Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Amazon Web Services ist die weltweit fuehrende Cloud-Infrastrukturplattform und bietet Rechenleistung, Speicher, Content Delivery (CloudFront), Datenbanken, Machine Learning und Hunderte weiterer Dienste. Viele europaeische Websites nutzen AWS ueber CloudFront fuer statische Assets, S3 fuer Mediendateien, EC2 oder Lambda fuer Anwendungshosting sowie CloudWatch oder QuickSight fuer Analytik. Da AWS von der Amazon Web Services Inc. mit Sitz in den USA betrieben wird, muss jeder europaeische Einsatz internationale Datenuebermittlungen adressieren und eine klare Rechtsgrundlage nach der DSGVO dokumentieren.
Amazon Web Services (AWS) ist die weltweit fuehrende Cloud-Plattform, betrieben von der Amazon Web Services Inc., einer in Seattle, Washington eingetragenen Tochter der Amazon.com Inc. Auf einer europaeischen Website erscheint AWS meistens in drei Formen: Amazon CloudFront liefert Bilder, Skripte und HTML aus Edge-Standorten in der Naehe des Besuchers aus, Amazon S3 speichert statische Assets und hochgeladene Medien, und Amazon EC2 oder AWS Lambda fuehrt die Backend-Anwendung aus. Zusatzliche Bausteine wie Amazon Cognito (Authentifizierung), Amazon Pinpoint (Push, E-Mail), AWS WAF (Sicherheitsfilter) oder Amazon Rekognition (Bildanalyse) koennen ebenfalls personenbezogene Daten verarbeiten.
Auch wenn eine EU-Region gewaehlt ist, bleibt AWS der US-Jurisdiktion unterstellt. Support-Teams in den USA koennen zur Stoerungsbehebung auf die Infrastruktur zugreifen, IAM und Abrechnung laufen ueber globale Endpunkte, und einige Managed Services replizieren Metadaten regionsuebergreifend. Diese doppelte EU- und US-Praesenz ist die zentrale DSGVO-Frage bei jedem AWS-Einsatz.
AWS setzt selbst keine Marketing-Cookies. Die Infrastrukturebene legt eine kleine Anzahl technischer Cookies ab, hauptsaechlich AWSALB und AWSALBCORS, die der Application Load Balancer verwendet, um eine Session am selben Backend zu halten, AWSELB des aelteren Classic Load Balancers sowie aehnliche Identifier, wenn Sticky Sessions aktiviert sind. CloudFront setzt standardmaessig keine Cookies, verarbeitet jedoch die IP-Adresse des Besuchers, den User-Agent-Header, die angeforderte URL und TLS-Metadaten. Logs koennen in vom Betreiber konfigurierten Amazon S3 Buckets gespeichert werden.
Werden hoehere Dienste auf AWS aufgesetzt, etwa Amazon Pinpoint Analytics, AWS Personalize oder Amazon Connect, kommen weitere Identifier und Profildaten hinzu. Der Website-Betreiber bleibt Verantwortlicher und muss jedes durch AWS-Komponenten ausgeloeste Cookie oder Local-Storage-Element dokumentieren.
Die Amazon Web Services Inc. handelt als Auftragsverarbeiter, wenn sie eine europaeische Website hostet, der Betreiber bleibt Verantwortlicher. Ein unterzeichneter AWS-Auftragsverarbeitungsvertrag (AVV / DPA) ist erforderlich und im AWS Artifact Portal verfuegbar. Der AVV integriert die Standardvertragsklauseln der Europaeischen Kommission sowie das UK-Addendum, listet Unterauftragsverarbeiter und beschreibt Sicherheitsmassnahmen nach ISO 27001, ISO 27018, SOC 2 und dem EU Cloud Code of Conduct.
Nach der ePrivacy-Richtlinie in nationaler Umsetzung (TTDSG bzw. TDDDG in Deutschland, LCEN in Frankreich, LSSI-CE in Spanien) ist fuer jedes nicht unbedingt erforderliche Cookie oder vergleichbare Kennung, die ueber eine AWS-Komponente gesetzt wird, eine informierte, freiwillige Einwilligung vor der Speicherung auf dem Endgeraet erforderlich. Load-Balancing-Cookies gelten in der Regel als unbedingt erforderlich und sind ausgenommen, Cookies fuer Analytik, Personalisierung oder Werbung jedoch nicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Amazon Web Services Inc. ist unter dem EU-US Data Privacy Framework zertifiziert, das von der Europaeischen Kommission im Angemessenheitsbeschluss 2023/1795 anerkannt wurde. Uebermittlungen personenbezogener Daten aus der EU an AWS in den USA verfuegen damit ueber eine Angemessenheitsgrundlage, ergaenzt um Standardvertragsklauseln fuer Drittlaender ausserhalb des Rahmens. Nach Schrems II werden zusaetzliche Massnahmen wie kundenverwaltete Schluessel (AWS KMS mit importierten Schluesseln), strikte IAM-Regeln und detaillierte Uebermittlungs-Folgenabschaetzungen dringend empfohlen.
Bei besonders sensiblen Workloads koennen Betreiber Dienste an EU-Regionen binden, AWS Nitro Enclaves aktivieren und US-Supportzugriffe vertraglich ausschliessen, etwa ueber die fuer die Region Brandenburg angekuendigte AWS European Sovereign Cloud.
Fuer reine Infrastrukturnutzung (Hosting, CDN-Cache, Sicherheitsfilter) ist Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) die uebliche Rechtsgrundlage, gestuetzt durch eine dokumentierte Interessenabwaegung. Fuer jede AWS-Funktion, die Nutzer profiliert, Analytik betreibt oder Werbung speist, ist eine vorherige Opt-in-Einwilligung ueber eine konforme Consent Management Platform vor jedem AWS-SDK- oder Pixel-Aufruf zwingend.
AWS-DPA unterzeichnen, Workloads moeglichst auf EU-Regionen beschraenken, Verschluesselung im Ruhezustand und Transit mit Kunden-Schluesseln aktivieren, IAM-Zugriffe auf benannte Rollen begrenzen, Log-Aufbewahrung auf das Noetigste minimieren, AWS und relevante Unterauftragsverarbeiter im Datenschutzhinweis nennen, die Uebermittlungs-Folgenabschaetzung dokumentieren und jedes durch AWS ausgeloeste Cookie oder Pixel in die Consent Management Platform integrieren, damit es erst nach ausdruecklichem Opt-in laedt, wenn eine Einwilligung erforderlich ist.
Websites using Amazon Web Services (AWS) must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz-Folgenabschaetzung (DSFA) ist empfehlenswert, wenn AWS personenbezogene Daten in grossem Umfang hostet, besondere Datenkategorien verarbeitet werden oder CloudFront, AWS WAF und CloudWatch mit Nutzerkennungen kombiniert werden. Die DSFA muss Regionwahl, Verschluesselung im Ruhezustand und Transit, IAM-Zugriffe, Subunternehmerliste, Aufbewahrungsfristen und den Reaktionsplan fuer US-Behoerdenanfragen abdecken.
Sample consent text
Wir nutzen Amazon Web Services zum Hosting und zur Auslieferung dieser Website, einschliesslich Content Delivery ueber Amazon CloudFront. AWS kann technische Cookies fuer das Lastenausgleichsverfahren setzen und Ihre IP-Adresse verarbeiten. Bestimmte Datenfluesse werden ueber US-Infrastruktur unter dem EU-US Data Privacy Framework und Standardvertragsklauseln geleitet. Mit Klick auf Akzeptieren erlauben Sie diese Verarbeitung fuer die auf AWS aufgebauten Analytik- und Personalisierungsfunktionen.
Third-party domains contacted
amazonaws.comcloudfront.netawsstatic.coms3.amazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| AWSALB | HTTP cookie | 7 days | Application Load Balancer sticky session: keeps a visitor on the same backend instance during a session. |
| AWSALBCORS | HTTP cookie | 7 days | Same as AWSALB but compatible with cross-origin requests using the SameSite=None attribute. |
| AWSELB | HTTP cookie | Session | Classic Load Balancer sticky session, legacy equivalent of AWSALB. |
| AWSELBCORS | HTTP cookie | Session | Classic Load Balancer sticky session in cross-origin context. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
AWS setzt nur wenige technische Cookies. Der Application Load Balancer kann AWSALB und AWSALBCORS (7 Tage) platzieren, um einen Besucher beim gleichen Backend zu halten, der aeltere Classic Load Balancer nutzt AWSELB und AWSELBCORS. CloudFront setzt standardmaessig keine Cookies, kann aber bei aktivierten Signed Cookies fuer geschuetzte Inhalte CloudFront-Key-Pair-Id und CloudFront-Policy speichern. Hoehere AWS-Dienste wie Pinpoint oder Personalize setzen eigene zusaetzliche Identifier.
Bei reiner Infrastrukturnutzung, etwa CloudFront-Caching statischer Assets oder ein Application Load Balancer, der eine Session haelt, gelten die Load-Balancing-Cookies in der Regel als unbedingt erforderlich und sind nach der ePrivacy-Richtlinie von der vorherigen Einwilligung ausgenommen. Eine Einwilligung ist erforderlich, sobald AWS-Komponenten Analytik, Werbung, Personalisierung oder Profilbildung bedienen.
Berechtigtes Interesse nach Artikel 6 Absatz 1 lit. f DSGVO ist die haeufigste Grundlage fuer Infrastruktur-Hosting und Sicherheit, gestuetzt auf eine dokumentierte Interessenabwaegung. Einwilligung nach Artikel 6 Absatz 1 lit. a ist fuer Marketing und Profilbildung erforderlich. Vertragsnotwendigkeit nach Artikel 6 Absatz 1 lit. b kann gelten, wenn AWS einen Dienst hostet, den der Besucher ausdruecklich abonniert hat.
Ja. Auch bei gewaehlter EU-Region koennen Support, IAM und einige globale Dienste aus den USA auf Daten zugreifen. Die Amazon Web Services Inc. ist unter dem EU-US Data Privacy Framework zertifiziert, das die Europaeische Kommission anerkennt, und AWS stellt mit dem Auftragsverarbeitungsvertrag Standardvertragsklauseln bereit. Nach Schrems II werden zusaetzliche Massnahmen wie kundenverwaltete Schluessel dringend empfohlen.
Eine Datenschutz-Folgenabschaetzung ist empfehlenswert, sobald AWS personenbezogene Daten in grossem Umfang hostet, besondere Datenkategorien verarbeitet oder Sicherheit, Content Delivery und Analytik mit Nutzerkennungen kombiniert. Die DSFA sollte Regionwahl, Verschluesselung, IAM-Kontrollen, Aufbewahrung, Unterauftragsverarbeiter und die Reaktion auf US-Behoerdenanfragen dokumentieren.
AWS-DPA im AWS Artifact unterzeichnen, Workloads soweit moeglich auf EU-Regionen beschraenken, Verschluesselung im Ruhezustand und Transit mit Kundenschluesseln aktivieren, IAM-Regeln auf benannte Rollen begrenzen, Logs nur so lange wie noetig speichern und jedes durch AWS ausgeloeste Cookie oder Pixel in die Consent Management Platform integrieren, damit es bei Einwilligungspflicht erst nach ausdruecklichem Opt-in laedt.
Fuer reinen CDN-Bedarf sind Bunny CDN, KeyCDN und Scaleway Edge europaeische Optionen. Fuer Objektspeicher bieten Scaleway, OVHcloud und Hetzner S3-kompatible Dienste in EU-Regionen. Fuer Compute und Serverless sind OVHcloud, Scaleway, Hetzner sowie die geplante AWS European Sovereign Cloud denkbar. Die richtige Alternative haengt von Workload, erforderlichen Zertifizierungen und SLAs ab.
AWS als Auftragsverarbeiter im Datenschutzhinweis nennen, CloudFront und alle weiteren genutzten AWS-Dienste auffuehren, die gesetzten technischen Cookies beschreiben (AWSALB, AWSALBCORS, AWSELB), das EU-US Data Privacy Framework und den Einsatz von Standardvertragsklauseln erwaehnen, auf den AWS-DPA verlinken und einen Kontaktpunkt fuer Betroffenenanfragen angeben.