Cloudflare und die Einhaltung der DSGVO

Cloudflare ist ein auf Sicherheit, Performance und Zuverlässigkeit spezialisiertes Unternehmen mit Hauptsitz in den USA, das eine breite Palette an Netzwerkdiensten für Firmen jeder Größe in allen Weltregionen bietet. Wir helfen Unternehmen, ihr Sicherheitsniveau zu erhöhen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten sowie die Komplexität, die mit der Verwaltung einzelner Hardwarebestandteile ihres Netzwerks einhergehen, zu beseitigen. Das Anycast-Netzwerk von Cloudflare stützt sich, wie hier beschrieben, auf mehr als 200 Edge-Server auf der ganzen Welt. Es bildet die Grundlage, auf der wir unsere Produkte schnell entwickeln und unseren Kunden bereitstellen können.

Cloudflare hat keinen Zugriff auf und keinerlei Kontrolle über die Daten, die seine Kunden über das Cloudflare Anycast-Netzwerk übermitteln, routen, schalten und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Anycast-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unserem Hauptrechenzentrum in den USA verarbeitet.

Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare for Teams, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unserem Hauptrechenzentrum in den USA für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

Cloudflare unterhält ein Sicherheitsprogramm, das den Industriestandards entspricht. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Wir erfüllen derzeit die folgenden Vorgaben: Konformität mit ISO 27001, SOC 2 Typ II und PCI DSS Level 1. Darüber hinaus führen wir einen SOC 3-Bericht. Mehr über unsere Zertifizierungen erfahren Sie hier.

Um sich über die von Cloudflare zum Schutz personenbezogener Daten (einschließlich solcher, die aus der Europäischen Union [EU] in die USA übermittelt werden) getroffenen Sicherheitsmaßnahmen zu informieren, lesen Sie bitte Anhang 2 unseres Standard-Datenverarbeitungszusatzes.

Die DSGVO bietet eine Reihe von rechtlichen Mechanismen zur Sicherstellung angemessener Garantien, durchsetzbarer Rechte und wirksamer Rechtsmittel für betroffene Personen aus der EU, deren personenbezogene Daten aus dem Europäischen Wirtschaftsraum (EWR) in ein Drittland übermittelt werden – ein Land, das nicht unter die DSGVO fällt oder von dem angenommen wird, dass es über die angemessenen Datenschutzgesetze verfügt.

Zu diesen Mechanismen gehören:

• Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;

• Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;

• Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder

• Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

Cloudflare stützt sich auf die Standardvertragsklauseln (SVK) (Standard Contractual Clauses, SCCs) als rechtlichen Mechanismus zur Übermittlung personenbezogener Daten vom EWR in die USA. Zuvor stützte sich Cloudflare auch auf die gemäß dem Privacy Shield gewährte Angemessenheitsentscheidung. Allerdings hat der Europäische Gerichtshof (EuGH) im Juli 2020 das EU-US Privacy Shield-Paradigma im Fall „Schrems II“ für ungültig erklärt (Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland und Maximillian Schrems). Die Außerkraftsetzung des Privacy Shields ändert nichts an den starken Datenschutzvorkehrungen, die Cloudflare für die personenbezogenen Daten, die wir im Auftrag unserer Kunden verarbeiten, getroffen hat. Wir werden weiterhin die Datenschutzprinzipien befolgen, zu denen wir uns bei der Zertifizierung im Rahmen des Privacy Shields verpflichtet haben.

Weil es für uns von wesentlicher Bedeutung ist, das Vertrauen unserer Kunden zu gewinnen und zu bewahren, hat Cloudflare schon lange vor dem Fall Schrems II Datenschutzvorkehrungen getroffen. Bei der Veröffentlichung unseres allerersten Transparenzberichts 2014 für im Vorjahr eingegangene Rechtsmitteilungen haben wir zugesagt, dass wir – Notfälle ausgenommen – einer staatlichen Stelle nur im Rahmen eines rechtlichen Verfahrens Kundendaten zur Verfügung stellen. Außerdem haben wir zugesichert, dass wir unsere Kunden über jedes rechtliche Verfahren informieren, in dessen Rahmen ihre Kunden- oder Rechnungsdaten angefordert werden, bevor wir diese Informationen offenlegen – sofern dies nicht gesetzlich untersagt ist. Wir haben öffentlich erklärt, dass wir niemals Kryptoschlüssel an eine Regierung weitergegeben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen werden, um unsere Kunden vor nach unserer Auffassung illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder NSL) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Es lässt sich aber auch ein Beispiel aus der jüngeren Vergangenheit anführen. So haben wir im Januar 2020 in einem Blog-Beitrag zum Tag des Datenschutzes dargelegt, dass alle auf personenbezogene Daten abzielenden Anfragen seitens Behörden, die mit den Datenschutzgesetzen des Wohnsitzlandes einer Person in Konflikt stehen, auf dem Rechtsweg angefochten werden sollten. Der Europäische Datenschutzausschuss (EDSA) bestätigte in einer vergangenes Jahr veröffentlichten Beurteilung, dass durch die DSGVO ein solcher Konflikt gegeben sein könnte. Da wir uns zur Einhaltung der DSGVO verpflichtet haben, würden wir Rechtsmittel einlegen, bevor wir auf Anfrage der US-Regierung Daten herausgeben, die als der DSGVO unterliegend identifiziert wurden. In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Wir haben den Standard-Datenverarbeitungszusatz für unsere Kunden aktualisiert, um zusätzliche Sicherheitsvorkehrungen als vertragliche Verpflichtungen darin aufzunehmen. Sie können diese Verpflichtungen in Abschnitt 7 unseres Zusatzes zur Datenverarbeitung einsehen.

Cloudflare wird Kunden, deren Daten der DSGVO unterliegen, weiterhin die SVK zur Verfügung stellen. Wir verfolgen aufmerksam die Entwicklungen in diesem Bereich sowie im Zusammenhang mit alternativen Transfermechanismen.

Wir verstehen, dass unsere Kunden im Lichte des Falles Schrems II zusätzliche Zusicherungen wünschen, dass Daten, die der DSGVO unterliegen und in die USA übermittelt werden, einen angemessenen Schutz im Rahmen der DSGVO erhalten. Wir haben diese zusätzlichen Schutzmaßnahmen oben besprochen.

Der EuGH hat in seiner Analyse im Fall Schrems II eine Reihe von Aufsichtsbehörden für nationale Sicherheit der USA berücksichtigt. Wir haben einige Fragen zur Anwendung dieser Befugnisse auf amerikanische Auftragsverarbeiter bekommen. Um zu erklären, ob oder wie sie für eine Übermittlung von Daten relevant sind, müssen wir die vom EuGH erwähnten Befugnisse näher erläutern.

Section 702. Section 702 des Foreign Intelligence Surveillance Act oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Section 702 zur Erfassung des Inhalts von Mitteilungen anhand spezifischer Merkmale (z. B. E-Mail-Adressen), die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Diese Befugnis wird in der Regel zur Erfassung von Kommunikationsinhalten verwendet. Daher sind es meistens E-Mail-Provider oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ zur Einhaltung von Section 702 aufgefordert werden.

Wie auch in unserem Transparenzbericht festgestellt, hat Cloudflare im Allgemeinen keinen Zugang zu dieser Art von klassischen Kundeninhalten. Darüber hinaus garantieren wir schon seit vielen Jahren öffentlich, keiner Regierung jemals einen Feed der unser Netzwerk durchlaufenden Kundeninhalte zur Verfügung gestellt zu haben. Für den Fall, dass wir dazu aufgefordert werden, haben wir uns zudem zur Ausschöpfung aller Rechtsmittel verpflichtet, um unsere Kunden vor unserer Einschätzung nach illegalen oder verfassungswidrigen Anfragen zu schützen.

Executive Order 12333. Executive Order 12333 regelt die Informationsbeschaffung des US-Geheimdienstes im Ausland bezüglich Nicht-US-Bürgern außerhalb der Vereinigten Staaten. Diese Verordnung enthält keine Bestimmungen, anhand derer die Unterstützung von US-Unternehmen erzwungen werden kann.

Cloudflare hat sich seit langem verpflichtet, den Rechtsweg zu beschreiten, bevor einer Regierungsstelle – von Notfällen abgesehen – Zugang zu Kundendaten gewährt wird. Deshalb würden wir Anfragen gemäß Executive Order 12333, die auf eine freiwillige Herausgabe von Daten abzielen, nicht nachkommen. Darüber hinaus zählt Cloudflare zu den wichtigsten Befürwortern zusätzlicher Sicherheit bei der Datenübermittlung, sowohl hinsichtlich Inhalten als auch Metadaten, um personenbezogene Daten vor den Blicken Unbefugter zu schützen. So haben wir beispielsweise im Jahr 2014 Universal SSL eingeführt und damit Verschlüsselungsdienste (die bisher teuer und schwierig anzuwenden waren) allen Cloudflare-Kunden kostenlos zugänglich gemacht. Schon in der Woche der Einführung hat sich dadurch die Größe des verschlüsselten Web verdoppelt. Eine wachsende Zahl an Gesetzen nimmt heute die Kryptographie ins Visier. Deshalb haben wir uns außerdem verpflichtet, unsere Verschlüsselung niemals auf Ersuchen eine Staats oder eines anderen Dritten zu verwässern, zu beeinträchtigen oder zu unterlaufen.

Cloudflare hat bereits viele der zusätzlichen Sicherheitsvorkehrungen umgesetzt, die der Europäische Datenschutzausschuss (EDSA) in seinem Leitlinienentwurf (Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, beschlossen am 10. November 2020) empfiehlt.

Cloudflare setzt sich für Transparenz und Rechenschaftspflicht in Bezug auf die Verarbeitung personenbezogener Daten wie oben beschrieben ein, und wir haben unsere DPA bereits aktualisiert, um eine Reihe unserer Verpflichtungen vertraglich bindend zu gestalten. Wir veröffentlichen auch weiterhin unseren Transparenzbericht, der hier verfügbar ist: https://www.cloudflare.com/en-gb/transparency/. Und zu guter Letzt haben wir robuste Sicherheitsmaßnahmen und Verschlüsselungsprotokolle eingeführt, die in Anhang 2 unseres aktualisierten DPA eingesehen werden können. Cloudflare fühlt sich gegenüber seinen europäischen Kunden verpflichtet und wir freuen uns darauf, nach der Konsultationsphase die endgültigen Leitlinien des EDSA zu erhalten.

Wir werden auch weiterhin neue Entwicklungen in diesem Bereich beobachten und unsere fortgesetzte Einhaltung der Artikel 44 und 46 EU-DSGVO sicherstellen. Währenddessen werden wir unsere Verpflichtungen im Rahmen bestehender Datenverarbeitungs-Addenda (Data Processing Addendas, DPA) und unsere Verpflichtungen gemäß den aktuellen SVK befolgen.

Am 5. Oktober 2020 haben wir unsere Self-Serve-Abonnementvereinbarung aktualisiert, um unseren aktualisierten Standard-Datenverarbeitungszusatz durch Verweis einzubinden. Soweit die von uns im Auftrag eines Self-Serve-Kunden verarbeiteten personenbezogenen Daten der DSGVO unterliegen, werden die EU-Standardvertragsklauseln für diese Daten in unseren Zusatz zur Datenverarbeitung integriert. Es muss daher nichts weiter unternommen werden, um sicherzustellen, dass die Standardvertragsklauseln in Kraft sind. Unser aktualisierter Zusatz zur Datenverarbeitung enthält auch die oben beschriebenen zusätzlichen Absicherungen.

Während das DPA durch Bezugnahme aufgenommen wurde, haben wir unser aktualisiertes DPA auch im Kunden-Dashboard verfügbar gemacht. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen).

Am 1. Oktober 2020 haben wir unsere Standard-Enterprise-Abonnementvereinbarung (Enterprise Subscription Agreement –ESA) aktualisiert, um unseren aktualisierten Standard-Datenverarbeitungszusatz durch Verweis einzubeziehen. Enterprise-Kunden unterliegen unserer Standard-ESA, wenn sie die ESA mit Cloudflare ab dem 8. August 2019 geschlossen haben und keine individuelle Vereinbarung getroffen wurde. Für diese Kunden besteht kein Handlungsbedarf, da der aktualisierte Zusatz zur Datenverarbeitung durch Verweis in unsere ESA aufgenommen wird. Sofern die von uns im Auftrag des Kunden verarbeiteten personenbezogenen Daten der DSGVO unterliegen, integriert unser Zusatz zur Datenverarbeitung die EU-Standardvertragsklauseln. Unser aktualisierter Zusatz zur Datenverarbeitung enthält auch die oben beschriebenen zusätzlichen Absicherungen. Nachlesen können Sie den Text hier.

Enterprise-Kunden mit älteren Versionen unserer ESA haben möglicherweise bereits die EU-Standardvertragsklauseln mit Cloudflare abgeschlossen. In diesem Fall ist keine Handlung erforderlich, aber sie können auch unserem aktualisierten DPA zustimmen, das im Kunden-Dashboard verfügbar ist, da dieses die Formulierungen zu unseren zusätzlichen Sicherheitsmaßnahmen enthält. Kunden, die sich in der Vergangenheit auf die Zertifizierung von Cloudflare für den EU-US und Swiss-US Privacy Shield gestützt haben, sollten unserem aktualisierten DPA zustimmen, das im Kunden-Dashboard verfügbar ist. Wenn Sie sich in Ihrem Dashboard befinden, gehen Sie zur Registerkarte "Configurations" (Konfiguration) und dann zu "Preferences" (Voreinstellungen). Bitte lesen und akzeptieren Sie dort das DPA.

Enterprise-Kunden, die eine kundenspezifische Vereinbarung mit Cloudflare abgeschlossen haben, sollten ihren Customer Success Manager kontaktieren, wenn sie Fragen zu ihrem DPA haben.

Wir prüfen sorgfältig den Entwurf neuer Standardvertragsklauseln (SVK) der Europäischen Kommission und wir erwarten den genehmigten Satz an SVK nach der Konsultationsphase. Nach ihrer Genehmigung enthalten die neuen SVK eine Übergangsbestimmung, die eine Frist von einem Jahr für ihre Einführung zugesteht, und wir werden während diesem Zeitraum die neuen SVK für unsere Kunden einführen.

Es ist uns bewusst, dass einige unserer Kunden es vorziehen würden, dass alle personenbezogenen Daten, die unter die DSGVO fallen, in der EU verbleiben und nicht zur Verarbeitung in die USA übermittelt werden. Hierfür haben wir die Cloudflare Data Localization Suite eingeführt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen am Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

Die Data Localisation Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

• Regional Services. Cloudflare unterhält Rechenzentren in mehr als 200 Städten in über 100 Ländern. Zusammen mit unserer Geo Key Manager-Lösung ermöglichen Regional Services den Kunden, die Rechenzentrumsstandorte auszuwählen, an denen TLS-Schlüssel gespeichert werden und die TLS-Terminierung stattfindet. Bei der weltweiten Aufnahme des Traffic wird L3/L4 DDoS-Abwehr angewandt. Demgegenüber kommen andere Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (etwa WAF oder CDN) nur in ausgewiesenen Cloudflare-Rechenzentren zum Einsatz. Auch bei Nutzung der Regional Services werden einige Metadaten weiterhin an unser Kernrechenzentrum in Portland (Oregon) übermittelt. Die einzigen personenbezogenen Daten, die wir innerhalb dieser Protokolle erheben, sind jedoch IP-Adressen.

• Keyless SSL. Mit Keyless SSL können Kunden ihre eigenen privaten SSL-Schlüssel für die Nutzung bei Cloudflare speichern und verwalten. Für ihren Schlüsselspeicher steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“) sowie virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Untergebracht sind diese Systeme in von den Kunden kontrollierten Umgebungen.

• Geo Key Manager. Cloudflare verfügt über einen im wahrsten Sinne des Wortes internationalen Kundenstamm. Wir haben die Erfahrung gemacht, dass Kunden je nach Weltregion andere regulatorische und gesetzliche Vorgaben erfüllen müssen und unterschiedliche Risikoprofile bezüglich der Platzierung ihrer privaten Schlüssel aufweisen. In diesem Bewusstsein haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber die Kunden müssen keinen Schlüsselserver innerhalb ihrer eigenen Infrastruktur betreiben. Stattdessen hostet Cloudflare diese Server an den Orten ihrer Wahl.

• Edge Log Delivery. Kunden können Protokolle direkt vom Netzwerkrand aus an den gewünschten Partner senden – zum Beispiel an einen Azure Storage Bucket in ihrer bevorzugten Weltregion oder an eine Instanz von Splunk, die in einem Rechenzentrum vor Ort läuft. Mit dieser Option erhalten Kunden weiterhin ihre vollständigen Protokolle in der von ihnen bevorzugten Weltregion, ohne dass diese Protokolle zuerst durch unsere Kernrechenzentren in den USA oder der EU geleitet werden.

• Rechtsraumbeschränkungen für Durable Objects in Workers. Bei Durable Objects handelt es sich um eine serverlose Speicher- und Koordinationstechnologie, die Entwickler die Statusverwaltung ohne infrastrukturellen Mehraufwand erlaubt. Beschränkungen bezüglich des Rechtsraums stellen sicher, dass die Verarbeitung und Speicherung dieser Daten mit den gesetzlichen Vorschriften vor Ort in Einklang stehen – wobei weiterhin jegliche Infrastrukturkonfiguration durch Entwickler vermieden wird. Dieses Feature unterstützt Entwickler-Teams bei der unkomplizierten Erstellung ihrer eigenen gesetzeskonformen, globalen Anwendungen.

Wie in unserem Transparenzbericht dargelegt, gibt Cloudflare nur im Rahmen eines zulässigen Rechtsverfahrens personenbezogene Daten von Kunden an staatliche Stellen oder Zivilkläger weiter – es sei denn, es liegt ein Notfall vor. Auf Anfragen, bei denen der Rechtsweg nicht beschritten wurde, geben wir keine personenbezogenen Daten unserer Kunden an Vertreter staatlicher Stellen weiter.

Damit unsere Kunden ihre Rechte wahrnehmen können, verfahren wir nach dem Grundsatz, dass sie über eine Vorladung unter Strafandrohung oder ein anderes Rechtsverfahren, in dessen Rahmen ihre Daten angefordert werden, vor der Offenlegung dieser Informationen informiert werden – unabhängig davon, ob das Rechtsverfahren von staatlicher Seite oder von privaten Parteien im Rahmen eines Zivilprozesses angestrengt wurde, es sei denn, dies ist gesetzlich untersagt. Insbesondere verpflichtet uns unser Zusatz zur Datenverarbeitung – sofern kein gesetzliches Verbot besteht – zur Benachrichtigung von Kunden, wenn nach unserer Erkenntnis durch ein Rechtsverfahren eines Dritten, in dessen Rahmen von uns im Auftrag des Kunden verarbeitete personenbezogene Daten angefordert werden, ein Rechtskonflikt aufgeworfen wird, wenn also beispielsweise die personenbezogenen Daten der DSGVO unterliegen. Kunden, die über eine laufende Anfrage auf dem Rechtsweg bezüglich ihrer personenbezogenen Daten informiert werden, können versuchen, die Offenlegung personenbezogener Daten zu verhindern.

Darüber hinaus bietet das US-Recht Mechanismen, mit denen Unternehmen Anordnungen anfechten können, die potentielle Rechtskonflikte aufwerfen, wie z. B. eine gesetzliche Anfrage für Daten, die der DSGVO unterliegen. Der Clarifying Lawful Overseas Use of Data (CLOUD) Act beispielsweise sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare hat sich verpflichtet, alle Anträge, die einen solchen Rechtskonflikt darstellen, rechtlich anzufechten. Bislang haben wir keine Anträge erhalten, bei denen wir festgestellt haben, dass sie einen solchen Konflikt darstellen.

Wir haben die Gespräche rund um Datenschutz mit Bezug auf den Brexit und den Austritt Großbritanniens aus der Europäischen Union zum 1. Januar 2021 genau verfolgt und wir haben Schritte unternommen, um sicherzustellen, dass wir auf die Übernahme der DSGVO in lokales britisches Recht vorbereitet sind. Cloudflare wird weiterhin den SVK-Mechanismus nutzen, der in unserem Standard-DPA enthalten ist, um personenbezogene Daten außerhalb Großbritanniens und des EWR zu übermitteln. Bitte beachten Sie unsere Anweisungen oben, um sicherzustellen, dass Sie das entsprechende DPA in Kraft haben. Wir beobachten auch weiterhin die laufenden Entwicklungen in diesem Bereich und werden sicherstellen, dass wir die britischen und globalen Datenschutzbestimmungen auch in Zukunft einhalten.