WorkMail von AWS und Datenschutz

amazon 04
News

Künftig bietet Amazon Web Services (AWS) einen an Unternehmen gerichteten cloudbasierten E-Mail-Dienst unter dem Namen „WorkMail“ an, der die üblichen Funktionalitäten eines E-Mail-Programmes sowie eines Dienstes zum Datenaustausch beinhaltet. In Europa wird der Dienst zunächst in Irland angeboten, weitere Länder werden jedoch folgen. Für europäische und dann vor allem deutsche Unternehmen, die eine Nutzung dieses Dienstes in Betracht ziehen, gilt es jedoch, die geltenden Datenschutzanforderungen zu beachten.

Verschlüsselung

Nach Angaben von Amazon erfolgt die Datenübertragung u.a. zwischen Outlook Clients verschlüsselt mittels S/MIME, vorausgesetzt WorkMail wird innerhalb von Outlook angelegt. Im Übrigen werde bei der Datenübermittlung zu anderen Clients SSL verwendet. Innerhalb von WorkMail können Dateien verschiedener Formate über den Service WorkDocs ausgetauschet werden; auch hier erfolgt der Datentransfer nach Angaben von Amazon SSL-verschlüsselt.

Mit Blick auf eine Zertifikatsverwaltung in der Hand des Cloud-Anbieters Amazon kann allerdings das Risiko nicht ausgeschlossen werden, dass dieser ggf. Zugriff auf die mittels WorkMail verarbeiteten Daten erhält. Daher sollten vertrauliche und sensible Daten von dem für die Datenverarbeitung Verantwortlichen bereits verschlüsselt werden, bevor sie in die Cloud gesendet werden. Generell gilt, und zwar auch für ruhende Daten wie z.B. Nachrichten, Anhänge Metadaten, die selbstverständlich verschlüsselt werden sollten, dass sich der Schlüssel ausschließlich in der Hand des WorkMail-Nutzers befinden sollte, um den Zugriff auf die Daten verlässlich kontrollieren zu können.

Message Scanning

Im Rahmen der Nutzung von WorkMail werden ein- und ausgehende E-Mails einschließlich der Anhänge automatisch auf Malware, Viren und Spam überprüft, was sich auf die Clients beziehen dürfte, welche nicht innerhalb von Outlook angelegt sind oder sonst eine End-to-End-Verschlüsselung bei der Kommunikation verwenden. Dem geneigten Nutzer sollte damit bewusst sein, dass ein möglicher Zugriff auf Kommunikationsinhalte durch Amazon nicht auszuschließen ist.

Auftragsdatenverarbeitung

Im Geltungsbereich der Richtlinie 95/46/EG bzw. des Bundesdatenschutzgesetzes hat der WorkMail-Nutzer als der für die Datenverarbeitung Verantwortliche im Fall einer Verarbeitung in seinem Auftrag gem. Art. 17 Abs. 2 der Richtlinie 95/46/EG bzw. § 11 Abs. 2 i. V. mit § 9 BDSG mit Amazon eine  Datenschutzvereinbarung schriftlich abzuschließen und darin unter anderem die erforderlichen technischen und organisatorischen Sicherheitsmaßnahmen festzulegen. Hierbei sind vor allem die Besonderheiten eines Cloud-Dienstes in Bezug auf Datenschutz und Datensicherheit zu berücksichtigen.

Eine Übersicht zu den Inhalten, die eine solche Vereinbarung enthalten sollte, findet sich u.a. in der Stellungnahme 05/2012 zum Cloud Computing der Artikel-29-Datenschutzgruppe. Allerdings tut sich Amazon generell und zwar auch in Bezug auf andere Services bislang eher schwer, was die Verhandlung individueller Vereinbarungen und die damit einhergehende Schaffung der erforderlichen Transparenz und Kontrolle im Anbieter-Nutzer-Verhältnis anbelangt.

Problem des Berufsgeheimnisträgers

Für Berufsgeheimnisträger wie Ärzte, Rechtsanwälte und Steuerberater stellt die Nutzung von WorkMail überhaupt keine Option dar, da das Risiko einer Zugriffsmöglichkeit auf Daten durch Amazon nicht vollständig ausgeschlossen werden und daher eine strafbewehrte Verletzung von Privatgeheimnissen (§ 203 StGB) drohen kann.

2 Kommentare zu diesem Beitrag

  1. Wieso die unterschiedliche Beurteilung von Amazon Workmail vs. O365 (zu Letzterem s. https://www.datenschutzbeauftragter-info.de/nutzung-von-microsoft-produkten-ohne-safe-harbor/)? Vor allem der Abschnitt über „Problem des Berufsgeheimnisträgers“ leuchtet mir nicht ein. Eine „Zugriffsmöglichkeit auf Daten“ durch den jeweiligen Anbieter (Amazon oder Microsoft oder auch Telekom) kann nie „vollständig ausgeschlossen“ werden, es sei denn, alle Emails werden Ende-zu-Ende verschlüsselt (und selbst dann bleiben die Meta-Daten sichtbar). Sollen Berufsgeheimnisträger also nur eigene Email-Server nutzen dürfen? Und keine Emails an Amazon-/MS-/Telekom-/Google-Server senden dürfen?

    • Es erfolgt keine unterschiedliche Beurteilung der Dienste im Hinblick auf Berufsgeheimnisträger. Berufsgeheimnisträger wie z.B. Ärzte, Rechtsanwälte oder Steuerberater laufen immer Gefahr, Privatgeheimnisse ihrer Patienten oder Mandanten zu verletzen und sich damit strafbar zu machen, wenn für einen eingesetzten externen Dienstleister, und hierzu gehören auch die genannten Clouddienstleister, die Möglichkeit besteht, im Rahmen des Vertragsverhältnisses mit dem Berufsgeheimnisträger z.B. durch Administrationsrechte oder Wartungsarbeiten auf diese Privatgeheimnisse zuzugreifen und die Betroffenen hierin nicht informiert eingewilligt und den Berufsgeheimnisträger insoweit von der Schweigepflicht entbunden haben.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.