Cloudflares Selbstverpflichtung zur Einhaltung der DSGVO

Cloudflare ist ein Unternehmen für Sicherheit, Performance und Zuverlässigkeit mit Hauptsitz in den Vereinigten Staaten und weltweiten Niederlassungen, einschließlich von fünf Niederlassungen in Europa. Es vertreibt eine breite Palette von Netzwerkdiensten für Unternehmen jeder Größe und in allen geografischen Regionen. Wir helfen unseren Kunden, ihre Websites und Internetanwendungen sicherer zu machen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten und Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das Cloudflare Global-Netzwerk – das, wie hier beschrieben, von mehr als 200 Edge-Servern auf der ganzen Welt betrieben wird – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

Cloudflare hat keinen Zugriff auf und keine Kontrolle über die Daten, die seine Kunden über unser globales Netzwerk übertragen, weiterleiten, vermitteln und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Global-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa verarbeitet.

Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare Zero Trust, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

Cloudflare unterhält ein Sicherheitsprogramm, das die Branchenstandards übertrifft. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Wir erfüllen derzeit die folgenden Vorgaben: ISO 27001, ISO 27701, ISO 27018, SOC 2 Typ II und PCI DSS Level 1 Konformität. Mehr über unsere Zertifizierungen und Berichte erfahren Sie hier.

Bitte lesen Sie in Anhang 2 unseres Standard-DPA, welche Sicherheitsmaßnahmen Cloudflare zum Schutz personenbezogener Daten anbietet (einschließlich personenbezogener Daten, die aus dem Europäischen Wirtschaftsraum ("EWR") in die USA übermittelt werden).

Die Datenschutz-Grundverordnung der EU ("DSGVO") bietet eine Reihe von rechtlichen Mechanismen zur Sicherstellung angemessener Garantien, durchsetzbarer Rechte und wirksamer Rechtsmittel für betroffene Personen aus der EU, deren personenbezogene Daten aus dem EWR in ein Drittland übermittelt werden – ein Land, das nicht unter die DSGVO fällt oder von dem angenommen wird, dass es über die angemessenen Datenschutzgesetze verfügt.

Zu diesen Mechanismen gehören:

• Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;

• Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;

• Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder

• Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

Cloudflare stützt sich auf die Standardvertragsklauseln der Europäischen Union (SVK) (Standard Contractual Clauses, SCCs) zuzüglich flankierender Maßnahmen als rechtlichen Mechanismus zur Übermittlung personenbezogener Daten vom EWR in die USA. Zuvor stützte sich Cloudflare auch auf die gemäß dem Privacy Shield gewährte Angemessenheitsentscheidung. Allerdings hat der Europäische Gerichtshof ("EuGH") im Juli 2020 das EU-US Privacy Shield-Paradigma im Fall „Schrems II“ für ungültig erklärt (Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems). Die Außerkraftsetzung des Privacy Shields ändert nichts an den starken Datenschutzvorkehrungen, die Cloudflare für die personenbezogenen Daten, die wir im Auftrag unserer Kunden verarbeiten, getroffen hat. Wir werden weiterhin die Datenschutzprinzipien befolgen, zu denen wir uns bei der Zertifizierung im Rahmen des Privacy Shields verpflichtet haben.Im März 2022 haben sich die EU Kommission und das U.S. Department of Commerce auf ein neues transatlantisches Rahmenabkommen zum Datenschutz geeinigt, das auf Datenübermittlungen aus dem EWR in die Vereinigten Staaten anwendbar wäre. Wir verfolgen diese Entwicklungen sorgfältig und werden entscheiden ob und wie wir dieses Rahmenabkommen nutzen werden, sobald mehr Einzelheiten verfügbar sind.

Da es für uns von wesentlicher Bedeutung ist, das Vertrauen unserer Kunden zu gewinnen und zu erhalten, hat Cloudflare schon lange vor dem Fall Schrems II Datenschutzvorkehrungen getroffen. Als wir 2014 unseren allerersten Transparenzbericht für im Jahr 2013 eingegangene Gerichtsverfahren herausgaben, versprachen wir, dass wir ein gerichtliches Verfahren verlangen würden, bevor wir einer staatlichen Stelle Kundendaten außerhalb eines Notfalls zur Verfügung stellen, und dass wir unsere Kunden über jedes gerichtliche Verfahren, das ihre Kunden- oder Rechnungsdaten anfordert, informieren würden, bevor wir diese Informationen offenlegen, sofern dies nicht gesetzlich verboten ist. Wir haben öffentlich erklärt, dass wir niemals Verschlüsselungsschlüssel an eine Regierung weitergegeben haben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt haben oder Geräte zur Strafverfolgung in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen würden, um unsere Kunden vor unserer Meinung nach illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder „NSL“) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Wir haben häufig unsere Position dargelegt, dass alle Anfragen der Regierung nach persönlichen Daten, die im Widerspruch zu den Datenschutzgesetzen des Landes stehen, in dem eine Person lebt, rechtlich angefochten werden sollten. (Beachten Sie z.B. unseren Transparenzbericht und unser Whitepaper, Cloudflares Richtlinien zum Datenschutz und zu Anfragen von Strafverfolgungsbehörden, zu staatlichen Anfragen nach Daten.) Der Europäische Datenschutzausschuss (EDSA) bestätigte im Rahmen dieser Bewertung, dass die DSGVO einen solchen Widerspruch verursachen könnte. Da wir uns zur Einhaltung der DSGVO verpflichtet haben, würden wir Rechtsmittel einlegen, bevor wir auf Anfrage der US-Regierung Daten herausgeben, die als der DSGVO unterliegend identifiziert wurden. In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Wir haben unser Standardnachtrags zur Datenverarbeitung („DPA“) für unsere Kunden aktualisiert, um nun zusätzlich die oben beschriebenen zusätzlichen Maßnahmen und Garantien als vertragliche Verpflichtungen aufzunehmen. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DPA einsehen.

Wir sind der Auffassung, dass gegen staatliche Ersuchen um Herausgabe personenbezogener Daten einer Person, die kein Bürger oder keine Bürgerin der USA ist, Rechtsbehelf eingelegt werden sollte, wenn dies mit den Datenschutzgesetzen des Wohnsitzlands dieser Person (wie der DSGVO in der Europäischen Union) in Konflikt steht.

Die Ermittlungsbefugnisse der USA werden durch das CLOUD-Gesetz nicht erweitert. Die strengen Anforderungen an die Strafverfolgungsbehörden zur Beschaffung eines gültigen Durchsuchungsbeschlusses bleiben unverändert bestehen. Das CLOUD-Gesetz gilt auch für den Zugriff auf Inhalte, die wir im Allgemeinen nicht speichern, wie oben beschrieben. Des Weiteren ändert sich durch das CLOUD-Gesetz nichts an den bestehenden Gepflogenheiten in den Fällen, in denen US-amerikanische Strafverfolgungsbehörden auf Firmendaten zugreifen wollen. Es sei außerdem angemerkt, dass die Strafverfolgungsbehörden in der Regel versuchen, Daten von dem Unternehmen zu erhalten, das die tatsächliche Kontrolle über die Daten hat (d. h. von unseren Kunden) – und nicht von Cloud-Anbietern.

Cloudflare wird seinen Kunden, deren Daten der DSGVO unterliegen, weiterhin die SVK zuzüglich der flankierenden Sicherungsmaßnahmen zugänglich machen. Wir verfolgen aufmerksam die Entwicklungen in diesem Bereich sowie im Zusammenhang mit alternativen Transfermechanismen.

Wir verstehen, dass unsere Kunden im Lichte des Falles Schrems II zusätzliche Zusicherungen wünschen, dass Daten, die der DSGVO unterliegen und in die USA übermittelt werden, einen angemessenen Schutz im Rahmen der DSGVO erhalten. Wir haben diese zusätzlichen Schutzmaßnahmen oben besprochen.

Der EuGH hat in seiner Analyse im Fall Schrems II eine Reihe von Aufsichtsbehörden für nationale Sicherheit der USA berücksichtigt. Wir haben einige Fragen zur Anwendung dieser Befugnisse auf amerikanische Auftragsverarbeiter erhalten. Um zu erklären, ob oder wie sie für eine Übermittlung von Daten relevant sind, müssen wir die vom EuGH erwähnten Befugnisse näher erläutern.Abschnitt 702. Section 702 des Foreign Intelligence Surveillance Act oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Section 702 zur Erfassung des Inhalts von Mitteilungen anhand spezifischer Merkmale (z. B. E-Mail-Adressen), die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Diese Befugnis wird in der Regel zur Erfassung von Kommunikationsinhalten verwendet. Daher sind es meistens E-Mail-Provider oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ zur Einhaltung von Section 702 aufgefordert werden.

Wie in unserem Transparenzbericht erwähnt, hat Cloudflare keinen Zugang zu dieser Art von traditionellen Kundeninhalten für die Kerndienste von Cloudflare. Darüber hinaus hatte Cloudflare schon seit vielen Jahren öffentlich zugesagt, keiner Regierung jemals einen Feed der Kundeninhalte, die unser Netzwerk durchlaufen, zur Verfügung gestellt zu haben. Ebenso haben wir uns dazu verpflichtet, alle Rechtsmittel auszuschöpfen, wenn wir um solche gebeten werden würden, um unsere Kunden vor unserer Meinung nach illegalen oder verfassungswidrigen Anfragen zu schützen.

Executive Order 12333. Executive Order 12333 regelt die Informationsbeschaffung des US-Geheimdienstes im Ausland bezüglich Nicht-US-Bürgern außerhalb der Vereinigten Staaten. Diese Verordnung enthält keine Bestimmungen, anhand derer die Unterstützung von US-Unternehmen erzwungen werden kann.

Cloudflare hat sich seit langem verpflichtet, einen Rechtsweg zu beschreiten, bevor einer Regierungsstelle außerhalb eines Notfalls Zugang zu Kundendaten gewährt wird. Wir würden daher freiwilligen Anfragen nach Daten gemäß der Executive Order 12333 nicht nachkommen. Darüber hinaus ist Cloudflare führend bei der Förderung zusätzlicher Sicherheit für Daten während der Übermittlung, sowohl für Inhalte als auch für Metadaten, um personenbezogene Daten vor neugierigen Blicken jeglicher Art zu schützen. Im Jahr 2014 haben wir zum Beispiel Universal SSL eingeführt. Universal SSL machte Verschlüsselung (bisher teuer und schwierig) für alle Cloudflare-Kunden kostenlos – und verdoppelte damit mit einem Schlag die Größe des verschlüsselten Webs. Immer mehr Gesetze haben es auf Verschlüsselung abgesehen, daher haben wir uns sogar verpflichtet , unsere Verschlüsselung niemals auf Ersuchen einer Regierung oder eines anderen Dritten zu schwächen, zu kompromittieren oder zu untergraben.

Cloudflare hat bereits viele der zusätzlichen Sicherheitsvorkehrungen umgesetzt, die der EDSA in seinen Leitlinien (Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, beschlossen am 18. Juni 2021) empfiehlt. Cloudflare setzt sich für Transparenz und Rechenschaftspflicht in Bezug auf die Verarbeitung personenbezogener Daten wie oben beschrieben ein, und wir haben unseren DPA bereits aktualisiert, um eine Reihe unserer Verpflichtungen vertraglich bindend zu gestalten. Wir veröffentlichen auch weiterhin unseren Transparenzbericht. Darüber hinaus haben wir robuste Sicherheitsmaßnahmen und Verschlüsselungsprotokolle eingeführt, die Sie Anhang 2 unseres DPA entnehmen können.

Wir werden auch weiterhin neue Entwicklungen in diesem Bereich beobachten und unsere fortgesetzte Einhaltung der Artikel 44 und 46 EU-DSGVO sicherstellen. Währenddessen werden wir unsere Verpflichtungen im Rahmen bestehender Datenverarbeitungs-Addenda (Data Processing Addendas, DPA) und unsere Verpflichtungen gemäß den aktuellen SVK befolgen.

Unsere Self-Serve-Abonnementvereinbarung bezieht unseren Standard-DPA durch Verweis mit ein. Soweit die von uns im Auftrag eines Self-Serve-Kunden verarbeiteten personenbezogenen Daten der DSGVO unterliegen, werden die EU-Standardvertragsklauseln für diese Daten in unseren DPA integriert. Es muss daher nichts weiter unternommen werden, um sicherzustellen, dass die Standardvertragsklauseln in Kraft sind. Unser DPA enthält auch die oben beschriebenen zusätzlichen Absicherungen.

Während der DPA durch Bezugnahme aufgenommen wurde, haben wir unseren Standard-DPA auch im Kunden-Dashboard verfügbar gemacht. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen) um sich den DPA anzusehen und diesen anzunehmen.

Unsere Standard-Enterprise-Abonnementvereinbarung bezieht unseren Standard-DPA durch Verweis mit ein. Daher ist für diese Kunden keine weitere Maßnahme erforderlich. Soweit die von uns im Auftrag eines Kunden verarbeiteten personenbezogenen Daten der DSGVO unterliegen, wird unser DPA die EU-Standardvertragsklauseln umfassen. Unser aktualisierter Standard-DPA enthält auch die oben beschriebenen zusätzlichen Absicherungen.

Enterprise-Kunden unterliegen unserer Standard-ESA, wenn sie die ESA mit Cloudflare ab dem 8. August 2019 geschlossen haben und keine individuelle Vereinbarung getroffen wurde. Enterprise-Kunden mit älteren Versionen unserer ESA, maßgeschneiderten ESA oder einem maßgeschneiderten DPA haben jedoch möglicherweise bereits die EU-Standardvertragsklauseln mit Cloudflare vereinbart. Wir kontaktieren diese Kunden, um sicherzustellen, dass sie den aktuellsten Vertragsinhalt vereinbart haben. Diese Kunden können unser auf dem Kunden-Dashbard verfügbaren Standard-DPA zustimmen, da dieses die EU-Standardvertragsklauseln von 2021 und unsere zusätzlichen Sicherungsmechanismen enthält. Auch Kunden, die sich in der Vergangenheit auf die Zertifizierung von Cloudflare für den EU-US und Swiss-US Privacy Shield gestützt haben, sollten unserem aktualisierten DPA zustimmen, das im Kunden-Dashboard verfügbar ist. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen). Bitte lesen und akzeptieren Sie dort den DPA.

Enterprise-Kunden können ihren Customer Success Manager kontaktieren, wenn sie Fragen zu ihrem DPA haben.

Wir haben die am 4. Juni 2021 von der Europäischen Kommission veröffentlichten neuen Standardvertragsklauseln (SVK) in alle neuen Kundenverträge aufgenommen, die der DSGVO unterliegen. Eine darin enthaltene Übergangsbestimmung legt eine Frist von 18 Monaten für ihre Implementierung fest. Innerhalb dieses Zeitraums werden wir die neuen SVK für unsere aktuellen Kunden einführen.

Es ist uns bewusst, dass einige unserer Kunden es vorziehen würden, dass alle personenbezogenen Daten, die unter die DSGVO fallen, in der EU verbleiben und nicht zur Verarbeitung in die USA übermittelt werden. Hierfür haben wir die Cloudflare Data Localization Suite eingeführt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen am Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

Die Data Localisation Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

• Regional Services. Cloudflare unterhält Rechenzentren in mehr als 200 Städten in über 100 Ländern. Zusammen mit unserer Geo Key Manager-Lösung ermöglichen Regional Services den Kunden, die Rechenzentrumsstandorte auszuwählen, an denen TLS-Schlüssel gespeichert werden und die TLS-Terminierung stattfindet. Bei der weltweiten Aufnahme des Traffic wird L3/L4 DDoS-Abwehr angewandt. Demgegenüber kommen andere Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (etwa WAF oder CDN) nur in ausgewiesenen Cloudflare-Rechenzentren zum Einsatz.

• Metadata Boundary. Customer Metadata Boundary stellt sicher, dass die Endnutzer-Traffic-Metadaten, die einen Kunden identifizieren können, in der Europäischen Union bleiben. Dazu gehören alle Protokolle und Analytics, die ein Kunde sehen kann. Dies geschieht dadurch, dass alle Metadaten, mit denen ein Kunde identifiziert werden kann, durch einen einzigen Dienst an unser Edge fließen, bevor sie an eines unserer zentralen Rechenzentren weitergeleitet werden. Bei aktivierter Metadata Boundary stellt unsere Edge sicher, dass keine Protokollnachricht, anhand derer der betreffende Kunde identifiziert werden könnte (die also die Konto-ID dieses Kunden enthält), an ein Ziel außerhalb der EU gesendet wird. Sie wird nur an eines unserer zentralen Rechenzentren in der EU gesendet.

• Keyless SSL. Mit Keyless SSL können Kunden ihre eigenen privaten SSL-Schlüssel für die Nutzung bei Cloudflare speichern und verwalten. Für ihren Schlüsselspeicher steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“) sowie virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Untergebracht sind diese Systeme in von den Kunden kontrollierten Umgebungen.

• Geo Key Manager. Cloudflare verfügt über einen im wahrsten Sinne des Wortes internationalen Kundenstamm. Wir haben die Erfahrung gemacht, dass Kunden je nach Weltregion andere regulatorische und gesetzliche Vorgaben erfüllen müssen und unterschiedliche Risikoprofile bezüglich der Platzierung ihrer privaten Schlüssel aufweisen. In diesem Bewusstsein haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber die Kunden müssen keinen Schlüsselserver innerhalb ihrer eigenen Infrastruktur betreiben. Stattdessen hostet Cloudflare diese Server an den Orten ihrer Wahl.

Wie in unserem Transparenzbericht dargelegt, fordert Cloudflare ein gültiges Rechtsverfahren, bevor die personenbezogenen Informationen unserer Kunden an staatliche Stellen oder Zivilkläger weitergegeben werden, es sei denn, es liegt ein Notfall vor. Wir geben die personenbezogenen Informationen unserer Kunden nicht an Regierungsbeamte weiter, um Anfragen zu beantworten, bei denen keine rechtlichen Schritte unternommen wurden.

Um sicherzustellen, dass unsere Kunden die Möglichkeit haben, ihre Rechte durchzusetzen, ist es die Politik von Cloudflare, unsere Kunden über eine Vorladung oder ein anderes juristisches Verfahren, das ihre Informationen anfordert, zu informieren, bevor diese Informationen offengelegt werden, unabhängig davon, ob das juristische Verfahren von der Regierung oder von privaten Parteien kommt, die in einen Zivilprozess verwickelt sind, es sei denn, dies ist gesetzlich verboten. Insbesondere verpflichtet uns unser DPA, dass wir, sofern dies nicht gesetzlich verboten ist, Kunden benachrichtigen werden, wenn wir erkennen, dass ein Rechtsverfahren eines Dritten, in dem personenbezogene Daten angefordert werden, die wir im Auftrag des Kunden verarbeiten, einen Rechtskonflikt aufwirft, z. B. wenn die personenbezogenen Daten unter die DSGVO fallen. Kunden, die über eine bestehende rechtliche Anfrage für ihre personenbezogenen Daten informiert werden, können versuchen, einzugreifen, um die Offenlegung personenbezogener Daten zu verhindern.

Darüber hinaus bietet das US-Recht Mechanismen, mit denen Unternehmen Anordnungen anfechten können, die potentielle Rechtskonflikte aufwerfen, wie z. B. eine gesetzliche Anfrage für Daten, die der DSGVO unterliegen. Der CLOUD-Act sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare hat sich verpflichtet, alle Anträge, die einen solchen Rechtskonflikt darstellen, rechtlich anzufechten. Bislang haben wir keine Anträge erhalten, bei denen wir festgestellt haben, dass sie einen solchen Konflikt darstellen.

Wir haben die Veränderung, die das Vereinigte Königreich seit seinem Austritt aus der Europäischen Union im Datenschutzbereich vornimmt, genau verfolgt. Cloudflare wird weiterhin den SVK-Mechanismus der EU in Verbindung mit dem UK-DPA nutzen, die in unserem Standard-DPA zur Übertragung personenbezogener Daten außerhalb des Vereinigten Königreichs und des EWR enthalten sind Bitte beachten Sie unsere Anweisungen oben, um sicherzustellen, dass Sie das entsprechende DPA in Kraft haben. Wir beobachten auch weiterhin die laufenden Entwicklungen in diesem Bereich und werden sicherstellen, dass wir die britischen und globalen Datenschutzbestimmungen auch in Zukunft einhalten.