Cloudflares Selbstverpflichtung zur Einhaltung der DSGVO

Cloudflare sieht es als seine Aufgabe an, ein besseres Internet zu schaffen. Wir sind der Meinung, dass der Schutz der Daten unserer Kunden und ihrer Endnutzer zur Erfüllung dieser Aufgabe von wesentlicher Bedeutung ist.

Noch bevor Europas Wendepunkt, die Datenschutz-Grundverordnung (DSGVO), im Jahr 2018 in Kraft trat, arbeitete Cloudflare bereits daran, den Datenschutz weltweit zu erhöhen. Wir haben Produkte entwickelt, um Datenschutz im Internet zu erweitern und zu erhöhen. Wir erheben so wenige personenbezogene Daten wie möglich und nutzen sie nur für den Zweck, für den sie erhoben wurden. Seit unserer Gründung haben wir uns dazu verpflichtet, personenbezogene Informationen vertraulich zu behandeln, daher haben wir die personenbezogenen Informationen unserer Nutzer niemals an Dritte verkauft oder vermietet.

Auf praktischer Ebene war die DSGVO eine Kodifizierung vieler Schritte, die wir bereits unternommen hatten: nur die personenbezogenen Daten zu erheben, die notwendig sind, um die angebotene Dienstleistung zu erbringen; keine personenbezogenen Informationen zu verkaufen; den Nutzern die Möglichkeit zu geben, auf ihre personenbezogenen Informationen zuzugreifen, sie zu korrigieren oder zu löschen; und (in Übereinstimmung mit unserer Rolle als Auftragsverarbeiter) unseren Kunden die Kontrolle über die Informationen zu geben, die zum Beispiel in unserem Content Delivery Network (CDN) zwischengespeichert, im Workers Key Value Store gespeichert oder von unserer Web Application Firewall (WAF) erfasst werden.

Auf dieser Seite haben wir Antworten auf häufige Fragen zusammengestellt, die erläutern, wie wir Daten im Auftrag unserer Kunden in Übereinstimmung mit der DSGVO verarbeiten. Da das Feld Datenschutz sich ständig weiterentwickelt, verfolgen wir weiterhin die laufenden Entwicklungen weltweit und werden diese Seite gegebenenfalls aktualisieren.

Informationen darüber, welche personenbezogenen Daten Cloudflare erhebt, wie wir diese Informationen nutzen und weitergeben, zu den Rechten betroffener Personen (einschließlich der Kontaktaufnahme mit Cloudflare zur Ausübung dieser Rechte) und zu internationalen Datenübermittlungen finden Sie in unserer Datenschutzrichtlinie.

FAQs

  1. Welche personenbezogenen Daten verarbeitet Cloudflare für seine Kunden und wo werden die Daten verarbeitet?

    Cloudflare ist ein Unternehmen, das Sicherheit, Performance und Zuverlässigkeit bietet und seinen Hauptsitz in den USA hat. Es vertreibt eine breite Palette an Netzwerkdiensten für Unternehmen jeder Größe sowie in allen geografischen Regionen. Wir helfen Unternehmen, ihr Sicherheitsniveau zu erhöhen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten sowie die Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das Anycast-Netzwerk von Cloudflare – das, wie hier beschrieben, von mehr als 200 Edge-Servern auf der ganzen Welt betrieben wird – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

    Cloudflare hat keinen Zugriff auf und keinerlei Kontrolle über die Daten, die seine Kunden über das Cloudflare Anycast-Netzwerk übermitteln, routen, schalten und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Anycast-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

    Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unserem Hauptrechenzentrum in den USA verarbeitet.

    Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare for Teams, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unserem Hauptrechenzentrum in den USA für einen begrenzten Zeitraum.

  2. Welche spezifischen technischen und organisatorischen Sicherheitsmaßnahmen sieht Cloudflare für personenbezogene Daten vor?

    Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

    Cloudflare unterhält ein Sicherheitsprogramm, das den Industriestandards entspricht. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

    Wir führen derzeit die folgenden Überprüfungen durch: Übereinstimmung mit ISO 27001, SOC 2 Typ II und PCI DSS Level Compliance. Wir führen auch einen SOC 3-Bericht. Sie können hier mehr über unsere Zertifizierungen erfahren.

    Um die Sicherheitsmaßnahmen zu sehen, die Cloudflare zum Schutz personenbezogener Daten anbietet (einschließlich personenbezogener Daten, die von der Europäischen Union [EU] in die USA übermittelt werden), lesen Sie bitte Anhang 2 unseres Standard-DPAs.

  3. Was ist Cloudflares Strategie im Umgang mit den Anforderungen von Art. 44 der DSGVO bezüglich der Übermittlung personenbezogener Daten in die USA?

    Die DSGVO bietet eine Reihe von rechtlichen Mechanismen zur Sicherstellung angemessener Garantien, durchsetzbarer Rechte und wirksamer Rechtsmittel für betroffene Personen aus der EU, deren personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Drittland übermittelt werden – ein Land, das nicht unter die DSGVO fällt oder von dem angenommen wird, dass es über die angemessenen Datenschutzgesetze verfügt.

    Zu diesen Mechanismen gehören:

    • Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;

    • Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;

    • Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder

    • Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

    Cloudflare stützt sich auf die Standardvertragsklauseln (SVK) (Standard Contractual Clauses, SCCs) als rechtlichen Mechanismus zur Übermittlung personenbezogener Daten vom EWR in die USA. Zuvor stützte sich Cloudflare auch auf die gemäß dem Privacy Shield gewährte Angemessenheitsentscheidung. Allerdings hat der Europäische Gerichtshof (EuGH) im Juli 2020 das EU-US Privacy Shield-Paradigma im Fall „Schrems II“ für ungültig erklärt (Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems). Die Außerkraftsetzung des Privacy Shields ändert nichts an den starken Datenschutzvorkehrungen, die Cloudflare für die personenbezogenen Daten, die wir im Auftrag unserer Kunden verarbeiten, getroffen hat. Wir werden weiterhin die Datenschutzprinzipien befolgen, zu denen wir uns bei der Zertifizierung im Rahmen des Privacy Shields verpflichtet haben.

  4. Welche zusätzlichen Datenschutzgarantien bietet Cloudflare?

    Da es für uns von wesentlicher Bedeutung ist, das Vertrauen unserer Kunden zu gewinnen und zu erhalten, hat Cloudflare schon lange vor dem Fall Schrems II Datenschutzvorkehrungen getroffen. Als wir 2014 unseren allerersten Transparenzbericht für im Jahr 2013 eingegangene Gerichtsverfahren herausgaben, versprachen wir, dass wir ein gerichtliches Verfahren verlangen würden, bevor wir einer staatlichen Stelle Kundendaten außerhalb eines Notfalls zur Verfügung stellen, und dass wir unsere Kunden über jedes gerichtliche Verfahren, das ihre Kunden- oder Rechnungsdaten anfordert, informieren würden, bevor wir diese Informationen offenlegen, sofern dies nicht gesetzlich verboten ist. Wir haben öffentlich erklärt, dass wir niemals Verschlüsselungsschlüssel an eine Regierung weitergegeben haben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt haben oder Geräte zur Strafverfolgung in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen würden, um unsere Kunden vor unserer Meinung nach illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

    Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder NSL) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

    Kürzlich haben wir in einem Blog-Beitrag zum Tag des Datenschutzes im Januar 2020 unsere Position dargelegt, dass alle Anfragen von Regierungen nach personenbezogenen Daten, die mit den Datenschutzgesetzen des Wohnsitzlandes einer Person in Konflikt stehen, rechtlich angefochten werden sollten. Der Europäische Datenschutzausschuss (EDSA) bestätigte in einer Bewertung, die er im vergangenen Jahr veröffentlichte, dass die DSGVO einen solchen Konflikt darstellen könnte. Unser Bekenntnis zur Einhaltung der DSGVO bedeutet, dass wir Rechtsmittel einlegen würden, bevor wir auf eine Anfrage der US-Regierung Daten herausgeben, die als DSGVO-pflichtig identifiziert wurden. In Übereinstimmung mit der bestehenden US-Rechtsprechung und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten aufzuheben.

    Wir haben unser standardmäßiges Addendum zur Datenverarbeitung (DPA) für unsere Kunden aktualisiert, um nun zusätzliche Sicherheitsvorkehrungen als vertragliche Verpflichtungen aufzunehmen. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DPA einsehen.

  5. Auswirkungen des EuGH-Beschlusses auf unseren Ansatz zur Einhaltung der DSGVO

    Cloudflare wird Kunden, deren Daten der DSGVO unterliegen, weiterhin die SVK zur Verfügung stellen. Wir verfolgen aufmerksam die Entwicklungen in diesem Bereich sowie im Zusammenhang mit alternativen Transfermechanismen.

    Wir verstehen, dass unsere Kunden im Lichte des Falles Schrems II zusätzliche Zusicherungen wünschen, dass Daten, die der DSGVO unterliegen und in die USA übermittelt werden, einen angemessenen Schutz im Rahmen der DSGVO erhalten. Wir haben diese zusätzlichen Schutzmaßnahmen oben besprochen.

    Der EuGH hat in seiner Analyse im Fall Schrems II eine Reihe von Aufsichtsbehörden für nationale Sicherheit der USA berücksichtigt. Wir haben einige Fragen zur Anwendung dieser Befugnisse auf amerikanische Auftragsverarbeiter bekommen. Um zu erklären, ob oder wie sie für eine Übermittlung von Daten relevant sind, müssen wir die vom EuGH erwähnten Befugnisse näher erläutern.

    Abschnitt 702. Abschnitt 702 des Foreign Intelligence Surveillance Acts oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der USA befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Abschnitt 702, um den Inhalt von Mitteilungen über bestimmte „Selektoren“ (z. B. E-Mail-Adressen) zu erheben, die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Die Befugnis wird in der Regel dazu verwendet, Kommunikationsinhalte zu erheben. Daher sind es meistens E-Mail-Anbieter oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ dazu aufgefordert werden, Abschnitt 702 nachzukommen.

    Wie schon in unserem Transparenzbericht erwähnt, hat Cloudflare im Allgemeinen keinen Zugang zu dieser Art von traditionellen Kundeninhalten. Darüber hinaus hatte Cloudflare schon seit vielen Jahren öffentlich zugesagt, keiner Regierung jemals einen Feed der Kundeninhalte, die unser Netzwerk durchlaufen, zur Verfügung gestellt zu haben. Ebenso haben wir uns dazu verpflichtet, alle Rechtsmittel auszuschöpfen, wenn wir um solche gebeten werden würden, um unsere Kunden vor unserer Meinung nach illegalen oder verfassungswidrigen Anfragen zu schützen.

    Executive Order 12333. Die Executive Order 12333 regelt die ausländische Nachrichtengewinnung des US-Geheimdienstes, die auf Nicht-US-Bürger außerhalb der USA abzielt. Die Executive Order 12333 enthält keine Bestimmungen, die die Unterstützung von US-Unternehmen erzwingen.

    Cloudflare hat sich seit langem verpflichtet, einen Rechtsweg zu beschreiten, bevor einer Regierungsstelle außerhalb eines Notfalls Zugang zu Kundendaten gewährt wird. Wir würden daher freiwilligen Anfragen nach Daten gemäß der Executive Order 12333 nicht nachkommen. Darüber hinaus ist Cloudflare führend bei der Förderung zusätzlicher Sicherheit für Daten während der Übermittlung, sowohl für Inhalte als auch für Metadaten, um personenbezogene Daten vor neugierigen Blicken jeglicher Art zu schützen. Im Jahr 2014 haben wir zum Beispiel Universal SSL eingeführt. Universal SSL machte Verschlüsselung (bisher teuer und schwierig) für alle Cloudflare-Kunden kostenlos – und verdoppelte damit mit einem Schlag die Größe des verschlüsselten Webs. Immer mehr Gesetze haben es auf Verschlüsselung abgesehen, daher haben wir uns sogar verpflichtet , unsere Verschlüsselung niemals auf Ersuchen einer Regierung oder eines anderen Dritten zu schwächen, zu kompromittieren oder zu untergraben.

  6. Wie reagiert Cloudflare auf die neuesten EDSA-Leitlinien für zusätzliche Sicherheitsvorkehrungen?

    Cloudflare hat bereits viele der zusätzlichen Sicherheitsvorkehrungen umgesetzt, die der Europäische Datenschutzausschuss (EDSA) in seinem Leitlinienentwurf (Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, beschlossen am 10. November 2020) empfiehlt.

    Cloudflare setzt sich für Transparenz und Rechenschaftspflicht in Bezug auf die Verarbeitung personenbezogener Daten wie oben beschrieben ein, und wir haben unsere DPA bereits aktualisiert, um eine Reihe unserer Verpflichtungen vertraglich bindend zu gestalten. Wir veröffentlichen auch weiterhin unseren Transparenzbericht, der hier verfügbar ist: https://www.cloudflare.com/en-gb/transparency/. Und zu guter Letzt haben wir robuste Sicherheitsmaßnahmen und Verschlüsselungsprotokolle eingeführt, die in Anhang 2 unseres aktualisierten DPA eingesehen werden können. Cloudflare fühlt sich gegenüber seinen europäischen Kunden verpflichtet und wir freuen uns darauf, nach der Konsultationsphase die endgültigen Leitlinien des EDSA zu erhalten.

    Wir werden auch weiterhin neue Entwicklungen in diesem Bereich beobachten und unsere fortgesetzte Einhaltung der Artikel 44 und 46 EU-DSGVO sicherstellen. Währenddessen werden wir unsere Verpflichtungen im Rahmen bestehender Datenverarbeitungs-Addenda (Data Processing Addendas, DPA) und unsere Verpflichtungen gemäß den aktuellen SVK befolgen.

  7. Wie können Kunden, die keinen Enterprise-Vertrag haben, sicherstellen, dass die Standardvertragsklauseln (SVK) mit Cloudflare in Kraft sind?

    Am 5. Oktober 2020 haben wir unsere Self-Serve-Abonnementvereinbarung aktualisiert, um unser aktualisiertes Standard-DPA durch Verweis einzubeziehen. Und soweit die personenbezogenen Daten, die wir im Auftrag eines Self-Serve-Kunden verarbeiten, durch die DSGVO geregelt sind, enthält unser DPA die EU-Standardvertragsklauseln für diese Daten. Es besteht also kein Handlungsbedarf, um sicherzustellen, dass die Standardvertragsklauseln in Kraft sind. Unser aktualisiertes DPA enthält auch die oben beschriebenen zusätzlichen Schutzmaßnahmen.

    Während das DPA durch Bezugnahme aufgenommen wurde, haben wir unser aktualisiertes DPA auch im Kunden-Dashboard verfügbar gemacht. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen).

  8. Wie können Enterprise-Kunden sicherstellen, dass die Standardvertragsklauseln (SVK) bei Cloudflare in Kraft sind?

    Am 1. Oktober 2020 haben wir unsere standardmäßige Enterprise-Abonnementvereinbarung (ESA) aktualisiert, um unser aktualisiertes Standard-DPA durch Verweis einzubeziehen. Enterprise-Kunden unterliegen unserer Standard-ESA, wenn sie die ESA mit Cloudflare am oder nach dem 8. August 2019 abgeschlossen haben und keine kundenspezifische Vereinbarung haben. Für diese Kunden besteht kein Handlungsbedarf, da das aktualisierte DPA durch Verweis in unsere ESA aufgenommen wird. Sofern die personenbezogenen Daten, die wir im Auftrag des Kunden verarbeiten, durch die DSGVO geregelt sind, enthält unser DPA die EU-Standardvertragsklauseln. Unser aktualisiertes DPA enthält auch die oben beschriebenen zusätzlichen Schutzmaßnahmen. Unser aktualisiertes Standard-DPA ist hier verfügbar.

    Enterprise-Kunden mit älteren Versionen unserer ESA haben möglicherweise bereits die EU-Standardvertragsklauseln mit Cloudflare abgeschlossen. In diesem Fall ist keine Handlung erforderlich, aber sie können auch unserem aktualisierten DPA zustimmen, das im Kunden-Dashboard verfügbar ist, da dieses die Formulierungen zu unseren zusätzlichen Sicherheitsmaßnahmen enthält. Kunden, die sich in der Vergangenheit auf die Zertifizierung von Cloudflare für den EU-US und Swiss-US Privacy Shield gestützt haben, sollten unserem aktualisierten DPA zustimmen, das im Kunden-Dashboard verfügbar ist. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen). Bitte lesen und akzeptieren Sie dort das DPA.

    Enterprise-Kunden, die eine kundenspezifische Vereinbarung mit Cloudflare abgeschlossen haben, sollten ihren Customer Success Manager kontaktieren, wenn sie Fragen zu ihrem DPA haben.

  9. Wie reagiert Cloudflare auf die neuen Standardvertragsklauseln?

    We are carefully reviewing the European Commission's new Standard Contractual Clauses (SCCs) released on 4th June 2021. The new SCCs contain a sunsetting provision of 18 months to allow for implementation, and we will move to implement the new SCCs for our current customers during that timeframe.

  10. Mit welchen Tools können Cloudflare-Kunden den Zugang zu Daten geografisch beschränken?

    Es ist uns bewusst, dass einige unserer Kunden es vorziehen würden, dass alle personenbezogenen Daten, die unter die DSGVO fallen, in der EU verbleiben und nicht zur Verarbeitung in die USA übermittelt werden. Hierfür haben wir die Cloudflare Data Localization Suite eingeführt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen am Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

    Die Data Localisation Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

    • Regionale Dienste. Cloudflare unterhält Rechenzentren in mehr als 200 Städten in über 100 Ländern. Regionale Dienste ermöglichen es den Kunden zusammen mit unserer Geo Key Manager-Lösung die Rechenzentrumsstandorte auszuwählen, an denen TLS-Schlüssel gespeichert werden und an denen die TLS-Terminierung stattfindet. Der Traffic wird weltweit unter Anwendung von L3/L4 DDoS-Abwehr aufgenommen, während Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (wie WAF, CDN, DDoS-Abwehr usw.) nur in ausgewiesenen Cloudflare-Rechenzentren gewartet werden. Bei den regionalen Diensten werden einige Metadaten weiterhin an unser Kernrechenzentrum in Portland, Oregon, übermittelt. Die einzigen personenbezogenen Daten, die wir in diesen Protokollen erheben, sind jedoch IP-Adressen.

    • Keyless SSL. Keyless SSL ermöglicht es Kunden, ihre eigenen privaten Schlüssel für SSL zur Nutzung mit Cloudflare zu speichern und zu verwalten. Für ihren Keystore steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“), virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Diese Systeme sind in Umgebungen untergebracht, die sich unter der Kontrolle des Kunden befinden.

    • Geo Key Manager. Cloudflare hat einen wahrlich internationalen Kundenstamm. Wir haben gelernt, dass Kunden auf der ganzen Welt unterschiedliche regulatorische und gesetzliche Anforderungen und unterschiedliche Risikoprofile bezüglich der Platzierung ihrer privaten Schlüssel haben. In diesem Sinne haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber anstatt einen Schlüsselserver innerhalb Ihrer Infrastruktur betreiben zu müssen, hostet Cloudflare Schlüsselserver an den Orten Ihrer Wahl.

    • Edge Log Delivery. Kunden können Protokolle direkt vom Edge aus an den Partner ihrer Wahl senden – zum Beispiel einen Azure Storage Bucket in ihrer bevorzugten Weltregion oder eine Instanz von Splunk, die in einem Rechenzentrum vor Ort läuft. Mit dieser Option erhalten Kunden weiterhin ihre vollständigen Protokolle in der von ihnen bevorzugten Weltregion, ohne dass diese Protokolle zuerst durch unsere Kernrechenzentren in den USA oder der EU geleitet werden.

    • Gerichtsbarkeitsbeschränkungen für Workers Durable Objects. Durable Objects sind eine serverlose Speicher- und Koordinationstechnologie, mit der Entwickler ohne Infrastruktur-Overhead den Zustand verwalten können. Gerichtsbarkeitsbeschränkungen stellen sicher, dass die Verarbeitung und Speicherung dieser Daten mit lokalen Vorschriften in Einklang steht – wobei weiterhin jede Infrastrukturkonfiguration durch Entwickler vermieden wird. Dieses Feature hilft Entwickler-Teams dabei, ganz leicht ihre eigenen gesetzeskonformen, globalen Anwendungen zu erstellen.

  11. Gibt es in den USA durchsetzbare Rechte und wirksame Rechtsbehelfe für betroffene Personen aus der EU, wo die Daten von Cloudflare oder den Auftragsverarbeitern im Unterauftragsverhältnis von Cloudflare verarbeitet werden?

    Wie in unserem Transparenzbericht dargelegt, fordert Cloudflare ein gültiges Rechtsverfahren, bevor die personenbezogenen Informationen unserer Kunden an staatliche Stellen oder Zivilkläger weitergegeben werden, es sei denn, es liegt ein Notfall vor. Wir geben die personenbezogenen Informationen unserer Kunden nicht an Regierungsbeamte weiter, um Anfragen zu beantworten, bei denen keine rechtlichen Schritte unternommen wurden.

    Um sicherzustellen, dass unsere Kunden die Möglichkeit haben, ihre Rechte durchzusetzen, ist es die Politik von Cloudflare, unsere Kunden über eine Vorladung oder ein anderes juristisches Verfahren, das ihre Informationen anfordert, zu informieren, bevor diese Informationen offengelegt werden, unabhängig davon, ob das juristische Verfahren von der Regierung oder von privaten Parteien kommt, die in einen Zivilprozess verwickelt sind, es sei denn, dies ist gesetzlich verboten. Insbesondere verpflichtet uns unser DPA, dass wir, sofern dies nicht gesetzlich verboten ist, Kunden benachrichtigen werden, wenn wir erkennen, dass ein Rechtsverfahren eines Dritten, in dem personenbezogene Daten angefordert werden, die wir im Auftrag des Kunden verarbeiten, einen Rechtskonflikt aufwirft, z. B. wenn die personenbezogenen Daten unter die DSGVO fallen. Kunden, die über eine bestehende rechtliche Anfrage für ihre personenbezogenen Daten informiert werden, können versuchen, einzugreifen, um die Offenlegung personenbezogener Daten zu verhindern.

    Darüber hinaus bietet das US-Recht Mechanismen, mit denen Unternehmen Anordnungen anfechten können, die potentielle Rechtskonflikte aufwerfen, wie z. B. eine gesetzliche Anfrage für Daten, die der DSGVO unterliegen. Der Clarifying Lawful Overseas Use of Data (CLOUD) Act beispielsweise sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare hat sich verpflichtet, alle Anträge, die einen solchen Rechtskonflikt darstellen, rechtlich anzufechten. Bislang haben wir keine Anträge erhalten, bei denen wir festgestellt haben, dass sie einen solchen Konflikt darstellen.

  12. What has Cloudflare done to prepare for handling EU personal data prior to Brexit?

    Wir haben die Gespräche rund um Datenschutz mit Bezug auf den Brexit und den Austritt Großbritanniens aus der Europäischen Union zum 1. Januar 2021 genau verfolgt und wir haben Schritte unternommen, um sicherzustellen, dass wir auf die Übernahme der DSGVO in lokales britisches Recht vorbereitet sind. Cloudflare wird weiterhin den SVK-Mechanismus nutzen, der in unserem Standard-DPA enthalten ist, um personenbezogene Daten außerhalb Großbritanniens und des EWR zu übermitteln. Bitte beachten Sie unsere Anweisungen oben, um sicherzustellen, dass Sie das entsprechende DPA in Kraft haben. Wir beobachten auch weiterhin die laufenden Entwicklungen in diesem Bereich und werden sicherstellen, dass wir die britischen und globalen Datenschutzbestimmungen auch in Zukunft einhalten.

Rund 25 Millionen Websites setzen ihr Vertrauen in uns

logo mars gray 32px wrapper
logo loreal gray 32px wrapper
logo doordash gray 32px wrapper
logo garmin gray 32px wrapper
logo ibm gray 32px wrapper
logo 23andme color 32px wrapper
logo shopify color 32px wrapper
logo lending tree color 32px wrapper
logo labcorp color 32px wrapper
logo ncr gray 32px wrapper
logo thomson reuters gray 32px wrapper
logo zendesk gray 32px wrapper