Compliance: Cloudflare und der Privacy Act

Cloudflare ist ein Unternehmen für Sicherheit, Performance und Zuverlässigkeit mit Hauptsitz in den Vereinigten Staaten und weltweiten Niederlassungen, einschließlich einer Niederlassung in Australien. Es vertreibt eine breite Palette von Netzwerkdiensten für Unternehmen jeder Größe und in allen geografischen Regionen. Wir helfen unseren Kunden, ihre Websites und Internetanwendungen sicherer zu machen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten und Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das Cloudflare Global-Netzwerk – das, wie hier beschrieben, von mehr als 200 Edge-Servern auf der ganzen Welt betrieben wird – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

Cloudflare hat keinen Zugriff auf und keine Kontrolle über die Daten, die seine Kunden über unser globales Netzwerk übertragen, weiterleiten, vermitteln und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Global-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa verarbeitet.

Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare Zero Trust, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

Cloudflare unterhält ein Sicherheitsprogramm, das die Branchenstandards übertrifft. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Wir erfüllen derzeit die folgenden Vorgaben: ISO 27001, ISO 27701, ISO 27018, SOC 2 Typ II und PCI DSS Level 1 Konformität. Mehr über unsere Zertifizierungen und Berichte erfahren Sie hier.

Um die Sicherheitsmaßnahmen zu sehen, die Cloudflare zum Schutz personenbezogener Daten anbietet (einschließlich personenbezogener Daten, die von Australien in die USA übermittelt werden), lesen Sie bitte Anhang 2 unseres Standard-DPAs.

Gemäß dem Privacy Act müssen Organisationen, die personenbezogenen Informationen an einen Empfänger außerhalb Australiens weitergeben möchten, sicherstellen, dass der Empfänger die APPs einhält. Der Zusatz zur Datenverarbeitung (Data Processing Addendum, DPA) – das unsere Verpflichtungen für die Verarbeitung personenbezogener Daten im Auftrag unserer Kunden behandelt und durch Verweis in unseren Enterprise-Leistungsvertrag und unseren Self-Serve-Abonnementvereinbarung aufgenommen wurde – wird vom Office of the Australian Information Commissioner („OAIC“) als angemessener Schritt zur Legitimierung grenzüberschreitender Übermittlungen betrachtet, wie besagt durch 13 APPs.

In Übereinstimmung mit den vom OAIC herausgegebenen Richtlinien respektiert unser DPA die APPs und beschreibt:

• Die Kategorien der übertragenen Daten;

• Mechanismen zur Behandlung von Beschwerden;

• Reaktionsplan auf Datenschutzverletzungen;

• Angemessene technische und betriebliche Sicherheitsvorkehrungen.

Cloudflare hat 2014 seinen allerersten Transparenzbericht für in 2013 eingegangene Rechtsmitteilungen veröffentlicht. Dabei haben wir zugesagt, dass wir – Notfälle ausgenommen – einer staatlichen Stelle nur im Rahmen eines rechtlichen Verfahrens Kundendaten zur Verfügung stellen. Außerdem haben wir zugesichert, dass wir unsere Kunden über jedes rechtliche Verfahren informieren, in dessen Rahmen ihre Kunden- oder Rechnungsdaten angefordert werden, bevor wir diese Informationen offenlegen – sofern dies nicht gesetzlich untersagt ist. Wir haben öffentlich erklärt, dass wir niemals Kryptoschlüssel an eine Regierung weitergegeben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen werden, um unsere Kunden vor nach unserer Auffassung illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder „NSL“) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Wir haben häufig unsere Position dargelegt, dass alle Anfragen der Regierung nach persönlichen Daten, die im Widerspruch zu den Datenschutzgesetzen des Landes stehen, in dem eine Person lebt, rechtlich angefochten werden sollten. (Beachten Sie z.B. unseren Transparenzbericht und unser Whitepaper, Cloudflares Richtlinien zum Datenschutz und zu Anfragen von Strafverfolgungsbehörden, zu staatlichen Anfragen nach Daten.) In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Wir haben unser standardmäßiges Addendum zur Datenverarbeitung („DPA“) für unsere Kunden aktualisiert, um nun zusätzlich die oben beschriebenen zusätzlichen Maßnahmen und Garantien als vertragliche Verpflichtungen aufzunehmen. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DPA einsehen.

Cloudflare hat die Data Localization Suite entwickelt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen an der Edge mühelos bestimmen können, wo ihre Daten gespeichert und abgesichert werden.

Die Data Localization Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

• Regionale Dienste. Cloudflare unterhält Rechenzentren in mehr als 270 Städten in über 100 Ländern. Zusammen mit unserer Geo Key Manager-Lösung ermöglichen Regionale Dienste den Kunden, die Rechenzentrumsstandorte auszuwählen, an denen TLS-Schlüssel gespeichert werden und die TLS-Terminierung stattfindet. Bei der weltweiten Aufnahme des Traffic wird L3/L4 DDoS-Abwehr angewandt. Demgegenüber kommen andere Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (etwa WAF oder CDN) nur in ausgewiesenen Cloudflare-Rechenzentren zum Einsatz.

• Keyless SSL. Mit Keyless SSL können Kunden ihre eigenen privaten SSL-Schlüssel für die Nutzung bei Cloudflare speichern und verwalten. Für ihren Schlüsselspeicher steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“) sowie virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Untergebracht sind diese Systeme in von den Kunden kontrollierten Umgebungen.

• Geo Key Manager. Cloudflare hat einen wahrlich internationalen Kundenstamm. Wir haben gelernt, dass Kunden auf der ganzen Welt unterschiedliche regulatorische und gesetzliche Anforderungen und unterschiedliche Risikoprofile bezüglich der Platzierung ihrer privaten Schlüssel haben. In diesem Sinne haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber anstatt einen Schlüsselserver innerhalb Ihrer Infrastruktur betreiben zu müssen, hostet Cloudflare Schlüsselserver an den Orten Ihrer Wahl.