Cloud-Verträge sind keine Standard-IT-Beschaffung. Für deutsche Unternehmen gelten DSGVO-Pflichten, NIS2-Anforderungen an die Lieferkette, DORA-Vertragsklauseln für Finanzinstitute und branchenspezifische Vorgaben der BaFin, BSI oder Landesministerien. Dieser Artikel zeigt, welche Vertragsbausteine beim Einsatz von AWS für regulierungspflichtige Workloads zwingend zu prüfen und zu gestalten sind — von der AVV über Datenlokalisierung bis zu Exit-Strategien.

Das AWS-Vertragswerk: Überblick

Der AWS Customer Agreement (Kundenvereinbarung) bildet den rechtlichen Rahmen der Geschäftsbeziehung zwischen AWS und dem Kunden. Er wird ergänzt durch:

AWS Data Processing Addendum (DPA)
Regelt die Auftragsverarbeitung personenbezogener Daten gemäß Art. 28 DSGVO. Der DPA gilt automatisch für alle Kunden, die AWS-Services für DSGVO-relevante Verarbeitung nutzen. Er enthält Standardvertragsklauseln (SCCs) für Drittlandtransfers und Subunternehmer-Listen.
AWS Service Level Agreements (SLAs)
Für jeden AWS-Dienst gelten separate SLAs, die Verfügbarkeitsziele (z. B. 99,99 % für Amazon S3) und Service-Credits bei Unterschreitung definieren. Sie sind öffentlich einsehbar und Bestandteil des Vertrags.
AWS Acceptable Use Policy (AUP)
Definiert, welche Nutzungsarten verboten sind (z. B. illegale Inhalte, Angriffe auf Dritte). Für regulierte Workloads relevant: Sicherstellung, dass keine verbotenen Verwendungen stattfinden.
AWS Artifact
Bereitstellungsplattform für Compliance-Dokumente: SOC-Berichte, ISO-Zertifikate, BSI C5-Atteste, PCI DSS-Bescheinigungen. Kunden können diese Dokumente für eigene Audits herunterladen.

Auftragsverarbeitungsvertrag (AVV): Was geprüft werden muss

Der AWS DPA erfüllt grundsätzlich die Anforderungen des Art. 28 DSGVO. Für regulierte Unternehmen sind folgende Punkte im DPA besonders zu prüfen:

  1. Zweckbindung: AWS verarbeitet Kundendaten nur zur Erbringung der gebuchten Services. Für KI-Training oder Produktverbesserung werden keine Kundendaten genutzt, es sei denn, der Kunde aktiviert entsprechende Dienste ausdrücklich.
  2. Subunternehmer-Transparenz: AWS führt eine öffentliche Liste autorisierter Subunternehmer (Sub-Processors). Kunden werden über Änderungen benachrichtigt und haben ein Widerspruchsrecht.
  3. Drittlandtransfers: AWS stützt sich auf Standardvertragsklauseln (SCCs) und den EU-US Data Privacy Framework. Kunden mit strengen Datensouveränitätsanforderungen sollten Workloads auf EU-Regionen (eu-central-1 Frankfurt, eu-west-1 Irland, eu-west-3 Paris) einschränken.
  4. Löschanforderungen: AWS löscht Kundendaten nach Vertragsende gemäß definierten Fristen. Kunden müssen eigene Daten-Lösch-Prozesse für gesetzliche Aufbewahrungsfristen und Löschpflichten implementieren (z. B. DSGVO-Betroffenenrechte).
  5. Datenpannen-Benachrichtigung: AWS meldet Datenpannen an den Kunden (nicht direkt an Behörden — das ist Aufgabe des Kunden). Die 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde liegt beim Kunden.

SLAs verhandeln: Was brauchen regulierte Workloads?

AWS bietet Standardverträge — für regulierte Workloads sind die Standard-SLAs jedoch oft ein Ausgangspunkt, nicht das Ziel. Die folgende Tabelle zeigt typische Anforderungen und AWS-Antworten:

Regulatorische Anforderung AWS-Standard-SLA Empfehlung für regulierte Workloads
Hochverfügbarkeit (NIS2 Business Continuity) 99,99 % für S3; 99,95 % für EC2 Multi-AZ Multi-Region-Architektur für RTO < 15 min; eigene SLAs vertraglich definieren
Datenlokalisierung (DSGVO, BSI) Region wählbar, kein automatischer Failover in andere Regionen Service Control Policies erzwingen EU-Regionen; im Vertrag dokumentieren
Audit-Rechte (NIS2, DORA, DSGVO) AWS Artifact: SOC, ISO, C5-Berichte Zusätzliche Nachweise über AWS Security Hub und AWS Config
Incident-Meldepflicht (NIS2 24h) AWS Security Bulletins; AWS Support (Business/Enterprise) Enterprise Support abschließen; Security-Benachrichtigungen über AWS Health konfigurieren
Subunternehmer-Transparenz (DORA Art. 30) Öffentliche Sub-Processor-Liste; 30 Tage Vorabankündigung Sub-Processor-Liste im DPA dokumentieren; Änderungsprotokoll führen

Datenlokalisierung technisch durchsetzen

Regulatorische Datenlokalisierungsanforderungen — ob aus der DSGVO, BSI IT-Grundschutz oder branchenspezifischen Vorgaben — lassen sich auf AWS durch technische Kontrollen durchsetzen, die unabhängig von vertraglichen Zusagen funktionieren:

  1. AWS Organizations + Service Control Policies (SCPs): SCPs erzwingen, dass bestimmte AWS-Regionen außerhalb der EU nicht genutzt werden können. Auch wenn ein Mitarbeiter versehentlich einen Service in us-east-1 starten möchte, blockiert die SCP den API-Call.
  2. AWS Config Rules: Config-Regeln melden jede Ressource, die in einer nicht-zulässigen Region erstellt wurde. Kombiniert mit AWS Config Conformance Packs kann ein vollständiges Compliance-Dashboard für Datenlokalisierung aufgebaut werden.
  3. AWS IAM Condition Keys: IAM-Policies mit dem Condition Key aws:RequestedRegion beschränken die Erstellung von Ressourcen auf definierte Regionen — granular bis auf Service-Ebene.
  4. Datenverschlüsselung mit AWS KMS: Kunden-CMKs (Customer Managed Keys) in AWS KMS sind regionsspezifisch. Daten, die mit einem Frankfurt-CMK verschlüsselt wurden, können nur in eu-central-1 entschlüsselt werden — eine technische Datensouveränitätsgarantie.

Exit-Strategie: Portabilität und Herausgabepflichten

Regulatoren und Aufsichtsbehörden fordern zunehmend dokumentierte Exit-Strategien für Cloud-Dienste. DORA macht Exit-Pläne explizit zur Vertragspflicht für Finanzinstitute (Art. 30 lit. g). BSI IT-Grundschutz adressiert das Thema im Baustein OPS.2.2 (Cloud-Nutzung).

Eine Exit-Strategie für AWS umfasst typischerweise:

Datenexport-Mechanismen
AWS ermöglicht den Export aller Kundendaten: S3-Buckets via AWS DataSync, Datenbanken via AWS Database Migration Service, vollständige Account-Inventare via AWS Config. Für sehr große Datenmengen steht AWS Snowball für physische Datenmigration bereit.
Portabilitätsformate
Standard-Datenformate sind bei AWS-verwalteten Diensten die Regel: PostgreSQL-kompatibles Aurora, S3-kompatibel, offene Container-Standards. Proprietäre Formate sind zu vermeiden oder durch Abstraktionsschichten zu kapseln.
Übergangsfristen im Vertrag
Der AWS Customer Agreement sieht eine Frist von 90 Tagen nach Vertragsende für den Datenexport vor. Für regulierte Unternehmen sollten längere Fristen oder automatisierte Backup-Prozesse vertraglich verankert sein.
Dokumentation des Exit-Plans
Der Exit-Plan muss dokumentiert, regelmäßig getestet und aktuell gehalten werden — nicht nur als Vertragsdokument, sondern als operative Runbook mit klaren Verantwortlichkeiten und Eskalationspfaden.

Branchenspezifische Vertragsanforderungen

Über die allgemeinen DSGVO-Anforderungen hinaus gelten für bestimmte Branchen zusätzliche vertragliche Verpflichtungen:

Branche Regulierung Spezifische Vertragsanforderung
Finanzdienstleistungen DORA, MaRisk, BAIT DORA Art. 30-Klauseln, Audit-Rechte, Meldewege an BaFin, Sub-Dienstleister-Register
Gesundheitswesen DSGVO, KHZG, SGB V Erweiterte Datenschutz-Folgenabschätzung, Verarbeitung auf deutschen Servern, Sozialdaten-spezifische AVV-Klauseln
Öffentliche Verwaltung BSI IT-Grundschutz, EVB-IT EVB-IT Cloud-Vertrag, BSI C5-Nachweis, Verarbeitung in deutschen Rechenzentren
Kritische Infrastruktur NIS2, KRITIS-Verordnung NIS2-Lieferkettenanforderungen, Sicherheitskonzept des Cloud-Providers, Meldepflichten

Häufig gestellte Fragen zu Cloud-Verträgen

Ist ein AVV mit AWS Pflicht?
Ja. Sobald personenbezogene Daten auf AWS verarbeitet werden, ist ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO zwingend. Der AWS DPA gilt automatisch und kann über die Konsole akzeptiert werden.
Darf AWS Daten in die USA übertragen?
AWS kann Daten in Drittländer übertragen, wenn erforderlich. AWS stützt sich dabei auf SCCs und den EU-US Data Privacy Framework. Kunden können die Verarbeitung durch EU-Regionen und Service Control Policies auf Europa einschränken.
Welche Audit-Rechte haben Kunden gegenüber AWS?
AWS gewährt keine physischen Audits, stellt aber umfangreiche Auditberichte über AWS Artifact bereit: SOC 1/2/3, ISO 27001, BSI C5 Type II, PCI DSS. Datenschutzbehörden erkennen diesen Ansatz an.
Was passiert mit meinen Daten, wenn ich AWS kündige?
Der AWS Customer Agreement sieht 90 Tage für den Datenexport nach Vertragsende vor. Danach werden Daten gelöscht. Eine dokumentierte Exit-Strategie mit Datenexport-Tests ist für regulierte Unternehmen Pflicht.

Storm Reply: Cloud-Vertragsberatung und Compliance

Storm Reply — AWS Premier Consulting Partner im DACH-Markt — unterstützt Unternehmen bei der vollständigen Gestaltung regulatorik-konformer Cloud-Vertragsstrukturen: AVV-Prüfung, Datenlokalisierung, Audit-Rechte-Implementierung über AWS Audit Manager und dokumentierte Exit-Strategien.

Mit der AWS Security Competency und über 1.500 AWS-Zertifizierungen in der Reply Group verbinden wir technisches AWS-Know-how mit tiefem Verständnis der deutschen und europäischen Regulierungslandschaft.

Quellen

  1. AWS Datenschutz und -compliance
  2. AWS DSGVO-Compliance-Center
  3. AWS Artifact Dokumentation
  4. EU-Datenschutz-Grundverordnung (DSGVO) im EUR-Lex

Cloud-Verträge DSGVO-konform gestalten?

Storm Reply prüft Ihre AWS-Vertragsstrukturen und implementiert regulatorik-konforme Datenlokalisierung und Audit-Mechanismen.

Kontakt aufnehmen

Weitere Insights

NIS2 und die Cloud

Was deutsche Unternehmen zur NIS2-Compliance auf AWS tun müssen.

DORA beyond Finance

Operational Resilience Prinzipien aus DORA für alle Branchen adaptieren.