Cloudflare und APPI-Konformität

Cloudflare ist ein Unternehmen für Sicherheit, Performance und Zuverlässigkeit mit Hauptsitz in den Vereinigten Staaten (USA) und weltweiten Niederlassungen, einschließlich einer Niederlassung in Japan. Es vertreibt eine breite Palette an Netzwerkdiensten für Unternehmen jeder Größe sowie in allen geografischen Regionen. Wir helfen unseren Kunden, ihre Websites und Internetanwendungen sicherer zu machen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten und Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das Cloudflare Global-Netzwerk – das, wie hier beschrieben, von mehr als 270 Edge-Servern auf der ganzen Welt betrieben wird – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

Cloudflare hat keinen Zugriff auf und keine Kontrolle über die Daten, die seine Kunden über unser globales Netzwerk übertragen, weiterleiten, vermitteln und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Global-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa verarbeitet.

Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare Zero Trust, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

Cloudflare unterhält ein Sicherheitsprogramm, das den Branchenstandards entspricht. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Alle Cloudflare-Mitarbeiter müssen bei der Einarbeitung eine Schulung zum Thema Datenschutz und Informationssicherheit absolvieren und erhalten anschließend eine jährliche Nachschulung.

Wir erfüllen derzeit die folgenden Vorgaben: Konformität mit ISO 27001, ISO 27701, SOC 2 Typ II und PCI DSS Level 1. Darüber hinaus führen wir einen SOC 3-Bericht. Sie können hier mehr über unsere Zertifizierungen erfahren.

Um die Sicherheitsmaßnahmen zu sehen, die Cloudflare zum Schutz personenbezogener Daten anbietet (einschließlich personenbezogener Daten, die von Japan in die USA übermittelt werden), lesen Sie bitte Anhang 2 unseres Standard-DPAs.

Der Datenverarbeitungsnachtrag (DVN) – der unsere Verpflichtungen für die Verarbeitung personenbezogener Daten im Auftrag unserer Kunden behandelt und durch Verweis in unseren Enterprise-Leistungsvertrag und unseren Self-Serve-Abonnementvereinbarung aufgenommen wurde – wird als gleichwertiger Standard zur Legitimierung grenzüberschreitender Übermittlungen gemäß Artikel 24 des APPI betrachtet. Zudem:

• Land der Übertragung: Cloudflare verarbeitet Daten über sein globales Netzwerk, und Metadaten können in unseren Rechenzentren in den Vereinigten Staaten und der EU gespeichert werden. Die Übertragungen an das Rechenzentrum in den Vereinigten Staaten beschränken sich auf die Traffic-Metadaten für die Kundenzonen, die für die Bereitstellung vieler unserer Sicherheitsdienste erforderlich sind.

• Sicherheitsmaßnahmen: Die Sicherheitsmaßnahmen von Cloudflare sind in Anhang unseres DVN aufgeführt;

• Bestätigung: Cloudflare validiert regelmäßig unsere Sicherheitsmaßnahmen, wie die oben beschriebenen Zertifizierungen, die wir aufrechterhalten, zeigen;

• Zweckbindung: Wir verarbeiten die personenbezogenen Daten nur gemäß den Anweisungen unserer Kunden – wir verkaufen, behalten, verwenden oder geben die personenbezogenen Daten für keinen anderen Zweck als für die Bereitstellung des Cloudflare-Dienstes weiter, und wir erstellen weder Profile, noch verfolgen oder verwenden wir die Daten der Endnutzer unserer Kunden für Marketing- oder Werbezwecke;

• Meldung von Datenschutzverletzungen: Cloudflare benachrichtigt betroffene Kunden unverzüglich über Sicherheitsverletzungen bezüglich personenbezogener Daten (wie in unserer DSGVO definiert) und bietet diesen Kunden eine angemessene Zusammenarbeit und Unterstützung in Bezug auf diese Sicherheitsverletzungen bezüglich personenbezogener Daten.

• Unterauftragsverarbeiter: Zu unseren Unterauftragsverarbeitern gehören unsere Tochtergesellschaften, mit Ausnahme unserer chinesischen Tochtergesellschaft. Die Mitarbeiter unserer chinesischen Tochtergesellschaft haben keinen Zugriff auf die Daten unserer weltweiten Kunden oder unseres Netzwerks.

In den Vereinigten Staaten gibt es kein umfassendes Datenschutzgesetz auf nationaler Ebene. Vielmehr verfolgen die USA einen branchenspezifischen Ansatz zum Schutz der Privatsphäre und des Datenschutzes. In den USA gibt es zum Beispiel Gesetze auf Bundesebene, die den Datenschutz von persönlichen Gesundheitsdaten (The Health Insurance Portability and Accountability Act oder „HIPAA“), von Informationen, die von Finanzinstituten verarbeitet werden (The Gramm-Leach-Bliley Act oder „GLBA“), und von Bildungseinrichtungen (The Family Educational Rights and Privacy Act oder „FERPA“) regeln. Darüber hinaus ist die U.S. Federal Trade Commission („FTC“) befugt, Untersuchungen durchzuführen und Maßnahmen zum Schutz der Verbraucher vor unlauteren und betrügerischen Handelspraktiken zu ergreifen. Die FTC hat von dieser Befugnis Gebrauch gemacht, um gegen Unternehmen vorzugehen, die es versäumt haben, angemessene Datensicherheitsmaßnahmen zu ergreifen, und die im Wesentlichen ungenaue oder irreführende Aussagen zum Datenschutz und zur Sicherheit gemacht haben, auch in Datenschutzrichtlinien.

Cloudflare veröffentlicht einen Transparenzbericht, in dem die Anfragen zur Offenlegung von Daten aufgeführt sind, die wir erhalten, und in dem wir erklären, wie wir damit umgehen. Generell gilt: Wenn wir eine Anfrage von einer Strafverfolgungs- oder Regierungsbehörde nach den Daten unserer Kunden erhalten, verpflichten wir uns in unserem DVN, dass wir unsere Kunden über eine solche Anfrage informieren, sofern dies nicht gesetzlich verboten ist. Kunden, die über eine laufende Anfrage auf dem Rechtsweg bezüglich ihrer personenbezogenen Daten informiert werden, können versuchen, die Offenlegung personenbezogener Daten zu verhindern. Für den Fall, dass wir feststellen, dass eine solche Anfrage einen Rechtskonflikt aufwirft – z.B. wenn die Person, an die die Anfrage gerichtet ist, in einem Land außerhalb der USA ansässig ist – haben wir uns in unserem DVN verpflichtet, gegen solche Anfragen vorzugehen und Rechtsmittel einzulegen.

Abschnitt 702. Section 702 des Foreign Intelligence Surveillance Act oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Section 702 zur Erfassung des Inhalts von Mitteilungen anhand spezifischer Merkmale (z. B. E-Mail-Adressen), die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Diese Befugnis wird in der Regel zur Erfassung von Kommunikationsinhalten verwendet. Daher sind es meistens E-Mail-Provider oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ zur Einhaltung von Section 702 aufgefordert werden.

Wie in unserem Transparenzbericht erwähnt, hat Cloudflare keinen Zugang zu dieser Art von traditionellen Kundeninhalten für die Kerndienste von Cloudflare. Darüber hinaus hatte Cloudflare schon seit vielen Jahren öffentlich zugesagt, keiner Regierung jemals einen Feed der Kundeninhalte, die unser Netzwerk durchlaufen, zur Verfügung gestellt zu haben. Ebenso haben wir uns dazu verpflichtet, alle Rechtsmittel auszuschöpfen, wenn wir um solche gebeten werden würden, um unsere Kunden vor unserer Meinung nach illegalen oder verfassungswidrigen Anfragen zu schützen.

Executive Order 12333. Die Executive Order 12333 regelt die ausländische Nachrichtengewinnung des US-Geheimdienstes, die auf Nicht-US-Bürger außerhalb der USA abzielt. Die Executive Order 12333 enthält keine Bestimmungen, die die Unterstützung von US-Unternehmen erzwingen.

Cloudflare hat sich seit langem verpflichtet, einen Rechtsweg zu beschreiten, bevor einer Regierungsstelle außerhalb eines Notfalls Zugang zu Kundendaten gewährt wird. Wir würden daher freiwilligen Anfragen nach Daten gemäß der Executive Order 12333 nicht nachkommen. Darüber hinaus ist Cloudflare führend bei der Förderung zusätzlicher Sicherheit für Daten während der Übermittlung, sowohl für Inhalte als auch für Metadaten, um personenbezogene Daten vor neugierigen Blicken jeglicher Art zu schützen. Im Jahr 2014 haben wir zum Beispiel Universal SSL eingeführt. Universal SSL machte Verschlüsselung (bisher teuer und schwierig) für alle Cloudflare-Kunden kostenlos – und verdoppelte damit mit einem Schlag die Größe des verschlüsselten Webs. Immer mehr Gesetze haben es auf Verschlüsselung abgesehen, daher haben wir uns sogar verpflichtet , unsere Verschlüsselung niemals auf Ersuchen einer Regierung oder eines anderen Dritten zu schwächen, zu kompromittieren oder zu untergraben.

CLOUD-Act. Der Clarifying Lawful Overseas Use of Data (CLOUD) Act erweitert nicht die Ermittlungsbefugnisse der USA. Die strengen Anforderungen an die Strafverfolgungsbehörden, um einen gültigen Durchsuchungsbefehl zu erhalten, bleiben unverändert. Der CLOUD-Act gilt auch für den Zugriff auf Inhalte, die wir im Allgemeinen nicht speichern, wie oben beschrieben. Es ist wichtig anzumerken, dass die Strafverfolgungsbehörden in der Regel versuchen würden, Daten von dem Unternehmen zu erhalten, das die tatsächliche Kontrolle über die Daten hat (d.h. von unseren Kunden) und nicht von Cloud-Anbietern.

Der CLOUD-Act sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare hat sich verpflichtet, alle Anträge, die einen solchen Rechtskonflikt darstellen, rechtlich anzufechten. Bislang haben wir keine Anträge erhalten, bei denen wir festgestellt haben, dass sie einen solchen Konflikt darstellen.

Und schließlich sollten Sie beachten, dass unser DVN vorsieht, dass wir unsere Kunden benachrichtigen, dass ein Rechtsverfahren eines Dritten, in dem personenbezogene Daten angefordert werden, die wir im Auftrag des Kunden verarbeiten, einen Rechtskonflikt aufwirft. Kunden, die über eine laufende Anfrage auf dem Rechtsweg bezüglich ihrer personenbezogenen Daten informiert werden, können versuchen, die Offenlegung personenbezogener Daten zu verhindern.

Da es für uns von wesentlicher Bedeutung ist, das Vertrauen unserer Kunden zu gewinnen und zu erhalten, hat Cloudflare schon lange vor der APPI-Novellierung von 2022 Datenschutzvorkehrungen getroffen. Bei der Veröffentlichung unseres allerersten Transparenzberichts 2014 für im Vorjahr eingegangene Rechtsmitteilungen haben wir zugesagt, dass wir – Notfälle ausgenommen – einer staatlichen Stelle nur im Rahmen eines rechtlichen Verfahrens Kundendaten zur Verfügung stellen. Außerdem haben wir zugesichert, dass wir unsere Kunden über jedes rechtliche Verfahren informieren, in dessen Rahmen ihre Kunden- oder Rechnungsdaten angefordert werden, bevor wir diese Informationen offenlegen – sofern dies nicht gesetzlich untersagt ist. Wir haben öffentlich erklärt, dass wir niemals Kryptoschlüssel an eine Regierung weitergegeben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen werden, um unsere Kunden vor nach unserer Auffassung illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder NSL) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Wir haben häufig unsere Position dargelegt, dass alle Anfragen der Regierung nach persönlichen Daten, die im Widerspruch zu den Datenschutzgesetzen des Landes stehen, in dem eine Person lebt, rechtlich angefochten werden sollten. (Beachten Sie z.B. unseren Transparenzbericht und unser Whitepaper, Cloudflares Richtlinien zum Datenschutz und zu Anfragen von Strafverfolgungsbehörden, zu staatlichen Anfragen nach Daten.) In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Wir haben unser Standard-DVN für unsere Kunden dahingehend aktualisiert, dass sie nun zusätzlich die oben beschriebenen zusätzlichen Maßnahmen und Sicherheitsvorkehrungen als vertragliche Verpflichtungen enthält. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DVN einsehen.