Nutzung von Beschäftigtendaten in der AWS-Cloud: Was Unternehmen wissen müssen
Die digitale Verarbeitung von Mitarbeiterdaten, etwa durch Zeiterfassungssysteme, digitale Personalakten oder Online-Bewerbungen, gewinnt immer mehr an Bedeutung. Dabei setzen Unternehmen zunehmend auf Cloud-Lösungen. Selbst wenn diese Anbieter innerhalb der EU ansässig sind, taucht in der Praxis oft Amazon Web Services (AWS) als Subdienstleister auf. Doch wie steht es dabei um die datenschutzrechtliche Zulässigkeit, insbesondere in Hinblick auf die Unterscheidung zwischen non-HR Data und HR Data?
Was ist AWS?
AWS, kurz für Amazon Web Services, ist einer der weltweit führenden Anbieter von Cloud-Dienstleistungen. Dabei stellt das Unternehmen digitale Infrastruktur wie Server, Speicherplatz oder Anwendungen flexibel und nutzungsbasiert bereit. AWS gehört zum Amazon-Konzern, dessen Hauptsitz sich in den USA befindet. Innerhalb der EU betreibt die Tochtergesellschaft Amazon Web Services EMEA SARL mit Sitz in Irland zahlreiche Serverstandorte, unter anderem in Frankfurt.
Datenübertragung in die USA: Was sagt die DSGVO?
Trotz europäischer Tochterunternehmen ist ein vollständiger Ausschluss von Datentransfers in die USA aufgrund der US-amerikanischen Konzernstruktur von AWS praktisch nicht möglich. Solche Übermittlungen in Drittstaaten unterliegen den Regelungen der Artikel 44 ff. DSGVO.
Seit der Einführung des EU-U.S. Data Privacy Framework (DPF) im Jahr 2023 existiert ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO. Dieser erleichtert die Datenübermittlung in die USA, sofern das betroffene US-Unternehmen nach dem DPF zertifiziert ist. Ob ein Unternehmen solche Zertifizierungen besitzt, lässt sich auf der offiziellen Webseite des DPF einsehen. Dort wird zwischen non-HR Data und HR Data unterschieden.
Non-HR Data vs. HR Data: Was bedeutet das?
Die Begriffe "non-HR Data" und "HR Data" stehen für unterschiedliche Kategorien personenbezogener Daten. HR Data bezieht sich explizit auf Mitarbeiterdaten, die im Kontext eines Beschäftigungsverhältnisses erhoben werden. Non-HR Data hingegen umfasst allgemeine personenbezogene Daten, etwa von Kunden.
Laut einer Stellungnahme der Datenschutzkonferenz (DSK) vom September 2023 sind Beschäftigtendaten nur durch das DPF abgedeckt, wenn das US-Unternehmen explizit eine Zertifizierung für HR Data aufweist. Dies bedeutet, dass die Datenübermittlung von Mitarbeiterdaten an Unternehmen ohne HR-Data-Zertifizierung nicht als durch das DPF gedeckt gilt.
Allerdings legt die US-Zertifizierungsstelle die Begriffe weniger streng aus. Nach deren Verständnis umfasst die HR-Data-Zertifizierung lediglich die Daten von Mitarbeitern des zertifizierten Unternehmens selbst, nicht jedoch die Daten von Beschäftigten anderer Unternehmen.
Argumente für die amerikanische Interpretation
Einige Experten favorisieren die US-amerikanische Sichtweise, da die DSGVO bei der Übermittlung personenbezogener Daten ins Ausland keine Unterscheidung zwischen verschiedenen Betroffenengruppen oder Datenarten trifft. Demnach gelten für sensible Gesundheitsdaten dieselben Anforderungen wie für allgemeine Beschäftigtendaten.
Die Interpretation der DSK hingegen führt zu einer paradoxen Situation: So könnten besonders schutzbedürftige Daten wie Gesundheitsdaten ohne HR-Data-Zertifizierung übertragen werden, während weniger kritische Beschäftigtendaten eine zusätzliche Zertifizierung erfordern würden.
Was bedeutet das für die Nutzung von AWS durch Arbeitgeber?
Amazon Web Services, Inc. ist derzeit nur für non-HR Data zertifiziert. Dennoch können europäische Arbeitgeber die AWS-Cloud für die Verarbeitung von Beschäftigtendaten nutzen, da sich die HR-Data-Zertifizierung nur auf die eigenen Mitarbeiter des zertifizierten Unternehmens bezieht.
Szenario: Wegfall des DPF oder der Zertifizierung
Falls der Angemessenheitsbeschluss oder die Zertifizierung von AWS wegfallen, müssen Unternehmen alternative Maßnahmen ergreifen. Zu den Standardverfahren gehören:
- Standardvertragsklauseln (Standard Contractual Clauses, SCC): AWS hat sich in der Vergangenheit als kooperationsbereit gezeigt, solche Klauseln abzuschließen.
- Transfer Impact Assessment (TIA): Eine Risikoanalyse, bei der geprüft wird, welche potenziellen Auswirkungen eine Datenübermittlung auf die Rechte der Betroffenen haben könnte.
Relevanz über AWS hinaus
Die Frage nach der Unterscheidung zwischen non-HR und HR Data betrifft nicht nur AWS. Viele andere Cloud-Anbieter, die beispielsweise primär Kundendaten verarbeiten, könnten ebenfalls Beschäftigtendaten berühren, etwa durch die Nutzung ihrer Dienste durch Mitarbeiter. Sobald Nutzerdaten wie IP-Adressen oder Logfiles betroffen sind, fallen diese ebenfalls in die Kategorie der Beschäftigtendaten.
Ohne eine klare Regelung, die auf non-HR Data beschränkt bleibt, könnte die praktische Anwendbarkeit solcher Zertifizierungen stark eingeschränkt sein.
Fazit
Die Nutzung von AWS für die Verarbeitung von Beschäftigtendaten ist datenschutzrechtlich zulässig, solange die allgemeinen Vorgaben der DSGVO eingehalten werden. Arbeitgeber sollten jedoch wachsam bleiben, insbesondere in Hinblick auf mögliche Änderungen des rechtlichen Rahmens.
Bildrechte: kostenloses Bild von Pixabay: Anfang Cloud Computing Geschäft - Kostenloses Bild auf Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz