Löst AWS External Key Store die Datenschutzprobleme der Amazon Cloud?

Amazon Web Services (AWS) hat am 29.11.2022 einen neuen Dienst angekündigt: den AWS Key Management Service (KMS) External Key Store (XKS). Durch diesen Dienst ist es möglich, weitere Dienste in der AWS Cloud zu benutzen und dabei externe, außerhalb der AWS Cloud verwaltete Schlüssel für die Verschlüsselung von Daten zu verwenden. In Datenschutzkreisen hat die Meldung schnell die Runde gemacht. Aber welche Datenschutzprobleme kann AWS KMS XKS überhaupt lösen?

Wenn man AWS selbst fragen würde, wäre die Antwort wohl: gar keine. Denn AWS geht selbstverständlich davon aus, dass die AWS Cloud auch bisher (ohne XKS) datenschutzkonform verwendet werden kann. Laut der Ankündigung auf dem AWS News Blog zum External Key Store soll dieser helfen, Anwendungsfälle für einen kleinen Teil regulierter Workloads zu ermöglichen, bei denen Verschlüsselungsschlüssel außerhalb eines AWS-Rechenzentrums gespeichert und verwendet werden müssen. Die ganze „normale“ DSGVO-Compliance kann damit wohl nicht gemeint sein.

Wo liegt bisher das datenschutzrechtliche Problem bei der AWS Cloud?

Viele Datenschützer sehen das aber anders. Seit der berühmten (vielleicht auch berüchtigten) Schrems II Entscheidung des Europäischen Gerichtshofs vor gut zwei Jahren, sind Übermittlungen von personenbezogenen Daten in die USA nur noch sehr schwierig rechtskonform möglich. Welche Anforderungen genau erfüllt werden müssen, ist umstritten. Um den Rahmen dieses Artikels nicht zu sprengen soll der Einfachheit halber im Folgenden die wohl strengste Ansicht einiger deutscher Aufsichtsbehörden zugrunde gelegt werden: Angenommen, es wäre nur noch rechtskonform, personenbezogene Daten entweder vor der Übermittlung sicher zu verschlüsseln oder zu anonymisieren, also für einen möglicherweise zugreifenden US-Geheimdienst vollständig unbrauchbar zu machen, würde AWS KMS XKS hier helfen?

Kann die Funktionsweise von AWS KMS XKS die Schrems II Probleme lösen?

In der Dokumentation zum XKS findet sich im Abschnitt „How external key stores work“ eine ausführliche Beschreibung und auch eine graphische Illustration der Funktionsweise des External Key Stores. Hieraus ergeben sich zwei entscheidende Tatsachen:

1. Der AWS service hat zu Beginn die Daten im Klartext vorliegen
2. Der AWS service auch nach der initialen Verschlüsselung Zugriff auf die Daten im Klartext während er diese verarbeitet.

Es gibt also weiterhin Zeitfenster, innerhalb derer ein US-Geheimdienst auf die unverschlüsselten Daten zugreifen könnte bzw. AWS dazu zwingen könnte, innerhalb dieses Zeitfensters die Daten abzuzweigen. Das dürfte die Aufsichtsbehörden, die von den bisherigen Maßnahmen ohne Verwendung von External Key Store nicht haben überzeugen lassen, wohl kaum wesentlich beeinflussen.

Welche datenschutzrechtlichen Vorteilte bringt AWS KMS XKS?

Tatsächlich bringt die Verwendung eines XKS zwei Vorteile:

1.Die Daten werden so gespeichert, dass Sie nur mithilfe des externen Schlüssels entschlüsselt werden können. 2. Der Zugriff zum External Key Store kann jederzeit gekappt werden, sodass ab diesem Zeitpunkt die gespeicherten Daten von AWS nicht mehr entschlüsselt werden können.

Würde man die Verarbeitung des Speicherns der personenbezogenen Daten getrennt betrachten, so stellt die Verwendung von Verschlüsselung mittels externer Schlüssel sicherlich eine sehr starke technische Maßnahme (i.S.d. Artikel 32 DSGVO) dar. Die technischen Maßnahmen sind aber rechtlich bei der AWS Cloud bisher nie das Problem gewesen, sondern die (nach Auffassung einiger Aufsichtsbehörden) fehlenden geeigneten Garantien für die Übermittlung in die USA. Daran kann auch der AWS KMS External Key Store nichts ändern.