Viele Kunden von DeepL sind besorgt über die künftige Nutzung der digitalen Infrastruktur von Amazon Web Services (AWS).
Besorgte Kunden versucht DeepL mit Verweis auf die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) und insbesondere auf die durchgeführte Risikobeurteilung für den Daten-Export in die USA zu beruhigen.
DeepL verweist auf Anfrage auf einen «Datenverarbeitungsvereinbarung», die mit AWS abgeschlossen worden sei, und die Einhaltung von Art. 28 DSGVO über die Auftragsverarbeitung sicherstelle.
Daten-Export von DeepL in die USA mit Standardvertragsklauseln
DeepL betont ausserdem, man habe für alle Fälle, in denen Daten ausserhalb des Europäischen Wirtschaftsraumes (EWR) verarbeitet würden, Standardvertragsklauseln (SCC) implementiert.
Mit diesen Standardvertragsklauseln – mutmasslichen den Standardvertragsklauseln der Europäischen Kommission – würden die notwendigen Sicherheitsvorkehrungen getroffen, um zu gewährleisten, dass in unsichere Drittstaaten übertragene Daten «im Wesentlichen» ein Schutzniveau erhalten, das jenem innerhalb der Europäischen Union (EU) entspricht.
Klausel 14 der Standardvertragsklauseln sieht vor, dass für den Daten-Export eine Risikobeurteilung erstellt werden muss, insbesondere:
«Die Parteien sichern zu, keinen Grund zu der Annahme zu haben, dass die für die Verarbeitung personenbezogener Daten durch den Datenimporteur geltenden Rechtsvorschriften und Gepflogenheiten im Bestimmungsdrittland, einschließlich Anforderungen zur Offenlegung personenbezogener Daten oder Maßnahmen, die öffentlichen Behörden den Zugang zu diesen Daten gestatten, den Datenimporteur an der Erfüllung seiner Pflichten gemäß diesen Klauseln hindern. Dies basiert auf dem Verständnis, dass Rechtsvorschriften und Gepflogenheiten, die den Wesensgehalt der Grundrechte und Grundfreiheiten achten und nicht über Maßnahmen hinausgehen, die in einer demokratischen Gesellschaft notwendig und verhältnismäßig sind, um eines der in Artikel 23 Absatz 1 der Verordnung (EU) 2016/679 aufgeführten Ziele sicherzustellen, nicht im Widerspruch zu diesen Klauseln stehen.»
Man bezeichnet diese Risikobeurteilung auch als Transfer Impact Assessment (TIA).
Transfer Impact Assessment «Amazon Web Services» von DeepL
DeepL erstellte ein Transfer Impact Assessment (TIA) mit Blick auf die Nutzung der digitalen Infrastruktur von Amazon Web Services (AWS).
Eine Person, die DeepL wegen der Nutzung von AWS kündigte und deshalb mit DeepL in Kontakt stand, stellte mir das TIA von DeepL netterweise zur Verfügung. Das TIA wäre auch über das «Trust Center» von DeepL erhältlich.
Das Transfer Impact Assessment «Amazon Web Services» von DeepL stammt vom Februar 2026 und umfasst sieben Seiten in Form einer Tabelle.
Inhaltlich entspricht das TIA eher einem Entwurf als einer vollständigen Risikobeurteilung gemäss den Vorgaben von Klausel 14 der SCC. So fehlen einige Angaben und vorhandene Angaben sind teilweise unvollständig.
Risiken wie der US CLOUD Act, der Remote-Zugriff durch Mitarbeiter von Amazon in den USA oder die Rechtsunsicherheit beim Data Privacy Framework (DPF) werden genannt, aber nicht bewertet. Wie gross ein Risiko ist, zeigt das TIA nicht. Die Risiken werden beschrieben, aber nicht quantifiziert.
Alles in allem ist das TIA von DeepL eher eine beschreibende Analyse als eine Risikobeurteilung.
Bild: Google / Gemini.