Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Amazon S3

Was macht Amazon S3?

Amazon Simple Storage Service (S3) ist der Objekt Speicherdienst von Amazon Web Services. Er speichert Dateien (Bilder, Videos, Dokumente, Backups) in Buckets und liefert sie über HTTPS Endpunkte oder als Origin hinter Amazon CloudFront aus. S3 setzt selbst keine clientseitigen Cookies, übermittelt jedoch die IP Adresse der Besucher an AWS, was DSGVO Fragen zu Region, Auftragsverarbeitung und US Behördenzugriff aufwirft.

Was ist Amazon S3

Amazon Simple Storage Service (S3) ist der Vorzeige Objekt Speicherdienst von Amazon Web Services. Er stellt Buckets bereit, in denen beliebig viele Dateien (Bilder, Videos, Dokumente, Archive, Anwendungsdaten, ML Datensätze) abgelegt und über HTTPS Endpunkte, signierte URLs, REST APIs oder als Origin hinter Amazon CloudFront ausgeliefert werden. S3 ist ein fundamentaler Baustein des modernen Webs: Mediatheken, Anwendungs Backups, statische Sites und CMS Uploads landen häufig in einem S3 Bucket. Datenschutzrechtlich interessant ist S3, weil es personenbezogene Daten speichert oder weiterleitet, ohne selbst Client Cookies zu setzen.

Welche Daten S3 verarbeitet

S3 verarbeitet die abgelegten Objekte sowie die Metadaten jeder Anfrage: IP Adresse, HTTP Methode, Objektschlüssel, Antwortgröße, Latenz und Custom Header. Sind S3 Server Access Logs oder AWS CloudTrail aktiv, werden diese Zugriffsdaten in einem weiteren Bucket gespeichert und können IP Adressen enthalten, die unter die DSGVO fallen. Auf dem Endgerät setzt S3 keine Cookies. Sitzt CloudFront vor dem Bucket, werden zusätzlich Edge Logs zu Sicherheits und Performancezwecken vorgehalten.

DSGVO und ePrivacy Folgen

S3 ist Auftragsverarbeiter nach Art. 28 DSGVO, wenn es Inhalte für einen Verantwortlichen ausliefert. Das AWS Data Processing Addendum bildet den Standardvertrag, ergänzt durch die EU SCCs im GDPR DPA von AWS und die EU US Data Privacy Framework Zertifizierung von Amazon Web Services Inc. ePrivacy ist regelmäßig nicht einschlägig, weil S3 außerhalb des Standard HTTP Caches nichts auf dem Endgerät liest oder schreibt. Im Fokus stehen Speicherort, das Zugriffsregime der Region und die durch S3 und CloudFront erzeugten IP Logs.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Ist eine Einwilligung erforderlich

Nein, die reine Auslieferung einer Datei aus S3 an einen Besucher ist nicht einwilligungspflichtig. Die Speicherung stützt sich auf berechtigtes Interesse oder Vertragserfüllung. Einwilligung wird erst relevant, wenn der Bucket Tracking Pixel, marketingnahe Assets gekoppelt mit Analytics oder Skripte hostet, die selbst einwilligungspflichtig sind. Die Schrems II Debatte wiegt schwerer, wenn Buckets in einer US Region liegen, weil der Empfänger der Daten dann in den USA ist, auch ohne kommerzielle Auswertung. Die Datenschutzerklärung muss dies widerspiegeln.

Übermittlungen und US Behördenzugriff

AWS lässt die Region pro Bucket auswählen. Eine EU Region ohne Replikation oder regionsübergreifenden Zugriff hält die Speicherung in Europa. Amazon Web Services Inc. ist jedoch ein US Verantwortlicher, bestimmte Support und Sicherheitsaktivitäten können von den USA aus erfolgen. Gemäß den EDSA Empfehlungen nach Schrems II veröffentlicht AWS eine Transfer Impact Assessment für EU Kunden und stellt das Data Privacy Framework als Transfermechanismus bereit. Verschlüsselung mit kundenverwalteten Schlüsseln (SSE C oder KMS) bietet eine zusätzliche Schutzebene.

Praktische Schritte zur Compliance

Wählen Sie für Buckets mit personenbezogenen Daten eine EU Region, schließen Sie das AWS DPA ab, aktivieren Sie serverseitige Verschlüsselung (KMS für stärkere Kontrolle), beschränken Sie Zugriffe via IAM und S3 Block Public Access und verkürzen Sie die Aufbewahrung von Server Access Logs. Dokumentieren Sie die Rolle der Amazon Web Services EMEA SARL als EU Vertragspartnerin. Nennen Sie Amazon S3 und AWS in der Datenschutzerklärung mit Region und Transfermechanismus. Wenn ein US Bucket unvermeidbar ist, führen Sie eine TIA durch und erwägen Sie clientseitige Verschlüsselung.

GDPR consent category

Sonstige

Websites using Amazon S3 must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for delivering static assets to the visitor, contract (Art. 6(1)(b)) where S3 stores user files necessary to provide the service; consent (Art. 6(1)(a)) is only needed when S3 is used to host marketing assets coupled with tracking

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (limited, since S3 itself does not set cookies), DORA for regulated entities, EU US Data Privacy Framework, NIS2 for essential operators

DPIA considerations

Wenn S3 personenbezogene Daten speichert oder ausliefert (Nutzerdateien, Kundendokumente, Profilbilder), ist bei großen Mengen, sensiblen Daten oder Buckets in Nicht EU Regionen eine DSFA empfehlenswert. Region, Verschlüsselungs Konfiguration, Bezug auf das AWS DPA und alle IP haltigen Logs sind zu dokumentieren.

Sample consent text

Wir hosten bestimmte Inhalte und Dateien auf Amazon S3 (AWS). Das Laden überträgt Ihre IP Adresse an die AWS Infrastruktur, die Server in den USA oder einen Zugriff von dort umfassen kann. Möchten Sie zustimmen?

Technical details

Tracking methodObject storage HTTPS endpoint, accessed via direct URLs (s3.amazonaws.com or region specific endpoints), pre signed URLs, REST API, S3 SDK or as origin behind a CloudFront distribution. Optional S3 server access logs and AWS CloudTrail capture request metadata including IP address.

Server locationRegion selected by the customer; for EU customers the recommended regions are eu-central-1 (Frankfurt), eu-west-1 (Ireland), eu-west-3 (Paris), eu-north-1 (Stockholm) or eu-south-1 (Milan). When using S3 as origin behind CloudFront, edge caching can deliver content from servers worldwide.

Cookieless tracking availableYes

Data transferred outside the EUS3 itself does not transfer data to third countries when configured in an EU region for storage. However, the requesting visitor IP is processed by AWS edge infrastructure that may sit outside the EU, and AWS as a controller has access from the United States for support, security and government request handling. Amazon Web Services Inc. is certified under the EU US Data Privacy Framework and offers the AWS Data Processing Addendum with EU SCCs.

Third-party domains contacted

s3.amazonaws.coms3.eu-central-1.amazonaws.coms3.eu-west-1.amazonaws.coms3.eu-west-3.amazonaws.coms3.eu-north-1.amazonaws.coms3.dualstack.amazonaws.com<bucket>.s3.amazonaws.comcloudfront.net

Cookies placed

Name	Type	Duration	Purpose
No cookies set by S3 itself	none	N/A	Amazon S3 is a pure HTTPS object store and does not set browser cookies. When fronted by CloudFront with signed cookies, CloudFront cookies (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id) may be set; these are documented under the CloudFront service.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt Amazon S3 Cookies in Besucher Browsern?

Nein. S3 ist ein reiner HTTPS Objektspeicher und setzt keine clientseitigen Cookies. Wird S3 als Origin hinter Amazon CloudFront betrieben, kann CloudFront bei signierten Cookies technische Cookies setzen, ein direkter S3 Zugriff hingegen nicht.

Brauche ich eine Einwilligung, um Dateien aus S3 auszuliefern?

Nein, nicht für sich genommen. Das Ausliefern statischer Assets aus S3 ist für den Betrieb der Website erforderlich und stützt sich auf berechtigtes Interesse oder Vertragserfüllung. Einwilligung wird erst relevant, wenn die ausgelieferten Inhalte Tracking Pixel, marketingnahe Assets mit Messung oder Skripte mit eigener Einwilligungspflicht sind.

Welche Rechtsgrundlage gilt für Amazon S3?

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zur Auslieferung von Assets, Vertragserfüllung (Art. 6 Abs. 1 lit. b) bei Nutzerdateien als Teil der Leistung und rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) für Buchhaltungs Backups. AWS handelt als Auftragsverarbeiter nach dem AWS Data Processing Addendum.

Werden mit S3 Daten in die USA übermittelt?

Standardmäßig nicht, wenn eine EU Region ohne regionsübergreifende Replikation gewählt wird. Amazon Web Services Inc. bleibt aber aus den USA erreichbar für Support, Sicherheit und behördliche Anfragen. EU US Data Privacy Framework und AWS SCCs decken Resttransfers ab. Für Buckets in US Regionen ist der Transfer direkt und zu dokumentieren.

Ist eine DSFA für S3 erforderlich?

Für klassische Asset Auslieferung nein. Bei großflächiger Speicherung personenbezogener Daten (UGC, Kundendokumente, Gesundheit, Finanzen) sollte eine DSFA Standort, Verschlüsselung, Zugriffskontrollen und Logging abdecken, inkl. AWS DPA, KMS Konfiguration und Bucket Policies.

Wie integriere ich S3 DSGVO konform?

Wählen Sie eine EU Region, schließen Sie das AWS GDPR DPA, aktivieren Sie serverseitige Verschlüsselung mit KMS, sperren Sie Buckets mit Block Public Access, beschränken Sie Zugriff per IAM und Bucket Policy, nutzen Sie S3 Object Lock für die Aufbewahrung und reduzieren Sie die Speicherdauer von Server Access Logs und CloudTrail auf das Erforderliche.

Welche Alternativen zu Amazon S3 gibt es?

EU Anbieter für Objektspeicher sind OVHcloud Object Storage, Scaleway Object Storage, IONOS S3 und Hetzner Storage Box. Sie bieten S3 kompatible APIs und halten die Daten im EU Rechtsraum. Für souveräne Cloud Bedürfnisse in Frankreich kommen OVH SecNumCloud oder Outscale in Betracht.

Wie sollte die Datenschutzerklärung S3 beschreiben?

Beschreiben Sie die Nutzung von Amazon S3 der Amazon Web Services EMEA SARL (Luxemburg) als Auftragsverarbeiter, die Speicherregion, die Datenkategorien (Nutzerdateien, IP Logs), die Speicherdauer und den Transfermechanismus (Data Privacy Framework und SCCs im AWS GDPR DPA).

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note