Cloudflare wird Kunden, deren Daten der DSGVO unterliegen, weiterhin die SVK zur Verfügung stellen. Wir verfolgen aufmerksam die Entwicklungen in diesem Bereich sowie im Zusammenhang mit alternativen Transfermechanismen.
Wir verstehen, dass unsere Kunden im Lichte des Falles Schrems II zusätzliche Zusicherungen wünschen, dass Daten, die der DSGVO unterliegen und in die USA übermittelt werden, einen angemessenen Schutz im Rahmen der DSGVO erhalten. Wir haben diese zusätzlichen Schutzmaßnahmen oben besprochen.
Der EuGH hat in seiner Analyse im Fall Schrems II eine Reihe von Aufsichtsbehörden für nationale Sicherheit der USA berücksichtigt. Wir haben einige Fragen zur Anwendung dieser Befugnisse auf amerikanische Auftragsverarbeiter bekommen. Um zu erklären, ob oder wie sie für eine Übermittlung von Daten relevant sind, müssen wir die vom EuGH erwähnten Befugnisse näher erläutern.
Section 702. Section 702 des Foreign Intelligence Surveillance Act oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Section 702 zur Erfassung des Inhalts von Mitteilungen anhand spezifischer Merkmale (z. B. E-Mail-Adressen), die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Diese Befugnis wird in der Regel zur Erfassung von Kommunikationsinhalten verwendet. Daher sind es meistens E-Mail-Provider oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ zur Einhaltung von Section 702 aufgefordert werden.
Wie auch in unserem Transparenzbericht festgestellt, hat Cloudflare im Allgemeinen keinen Zugang zu dieser Art von klassischen Kundeninhalten. Darüber hinaus garantieren wir schon seit vielen Jahren öffentlich, keiner Regierung jemals einen Feed der unser Netzwerk durchlaufenden Kundeninhalte zur Verfügung gestellt zu haben. Für den Fall, dass wir dazu aufgefordert werden, haben wir uns zudem zur Ausschöpfung aller Rechtsmittel verpflichtet, um unsere Kunden vor unserer Einschätzung nach illegalen oder verfassungswidrigen Anfragen zu schützen.
Executive Order 12333. Executive Order 12333 regelt die Informationsbeschaffung des US-Geheimdienstes im Ausland bezüglich Nicht-US-Bürgern außerhalb der Vereinigten Staaten. Diese Verordnung enthält keine Bestimmungen, anhand derer die Unterstützung von US-Unternehmen erzwungen werden kann.
Cloudflare hat sich seit langem verpflichtet, den Rechtsweg zu beschreiten, bevor einer Regierungsstelle – von Notfällen abgesehen – Zugang zu Kundendaten gewährt wird. Deshalb würden wir Anfragen gemäß Executive Order 12333, die auf eine freiwillige Herausgabe von Daten abzielen, nicht nachkommen. Darüber hinaus zählt Cloudflare zu den wichtigsten Befürwortern zusätzlicher Sicherheit bei der Datenübermittlung, sowohl hinsichtlich Inhalten als auch Metadaten, um personenbezogene Daten vor den Blicken Unbefugter zu schützen. So haben wir beispielsweise im Jahr 2014 Universal SSL eingeführt und damit Verschlüsselungsdienste (die bisher teuer und schwierig anzuwenden waren) allen Cloudflare-Kunden kostenlos zugänglich gemacht. Schon in der Woche der Einführung hat sich dadurch die Größe des verschlüsselten Web verdoppelt. Eine wachsende Zahl an Gesetzen nimmt heute die Kryptographie ins Visier. Deshalb haben wir uns außerdem verpflichtet, unsere Verschlüsselung niemals auf Ersuchen eine Staats oder eines anderen Dritten zu verwässern, zu beeinträchtigen oder zu unterlaufen.