Compliance: Cloudflare und der IT Act

Cloudflare ist ein Unternehmen für Sicherheit, Performance und Zuverlässigkeit mit Hauptsitz in den Vereinigten Staaten und weltweiten Niederlassungen, einschließlich einer Niederlassung in Indien. Es vertreibt eine breite Palette von Netzwerkdiensten für Unternehmen jeder Größe und in allen geografischen Regionen. Wir helfen unseren Kunden, ihre Websites und Internetanwendungen sicherer zu machen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten und Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das Cloudflare Global-Netzwerk – das, wie hier beschrieben, von mehr als 200 Edge-Servern auf der ganzen Welt betrieben wird – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

Cloudflare hat keinen Zugriff auf und keine Kontrolle über die Daten, die seine Kunden über unser globales Netzwerk übertragen, weiterleiten, vermitteln und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Global-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Die überwiegende Mehrheit der Daten, die das Netzwerk von Cloudflare durchlaufen, verbleibt auf den Edge-Servern von Cloudflare. Metadaten über diese Aktivität werden im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa verarbeitet.

Cloudflare führt Protokolldaten über Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare Zero Trust, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unseren Hauptrechenzentren in den USA und Europa für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit dem Start von Cloudflare im Jahr 2010 haben wir eine Reihe hochmoderner Technologien veröffentlicht, die Datenschutz erhöhen und in der Regel dem Rest der Branche voraus sind. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung von Metadaten bei der Kommunikation mit DNS-over-HTTPS oder DNS-over-TLS und verschlüsselter SNI sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt und wo ihr Traffic überprüft wird.

Cloudflare unterhält ein Sicherheitsprogramm, das die Branchenstandards übertrifft. Das Sicherheitsprogramm umfasst die Aufrechterhaltung formaler Sicherheitsrichtlinien und -verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Wir erfüllen derzeit die folgenden Vorgaben: ISO 27001, ISO 27701, ISO 27018, SOC 2 Typ II und PCI DSS Level 1 Konformität. Mehr über unsere Zertifizierungen und Berichte erfahren Sie hier.

Die Sicherheitsmaßnahmen, die Cloudflare zum Schutz personenbezogener Daten bietet, einschließlich personenbezogener Daten, die von Indien in die USA übertragen werden, finden Sie in Anhang 2 unseres standardmäßigen Zusatz zur Datenverarbeitung („DPA“).

Die Standard-DPA von Cloudflare wird durch Verweis in unseren Enterprise-Servicevertrag und unseren Self-Service-Abonnementvertrag aufgenommen. Die Datenschutzverpflichtungen, die wir in unserer DPA eingehen, bieten das gleiche Schutzniveau wie der Information Technology Act und enthalten eine klare Angabe der verarbeiteten personenbezogenen Daten und der Zwecke der Verarbeitung sowie angemessene Sicherheitsmaßnahmen. Cloudflares Definition von „personenbezogenen Daten“ umfasst „sensible Daten“ gemäß der Definition in den SPDI Rules.

Bei der Veröffentlichung unseres allerersten Transparenzberichts 2014 für im Vorjahr eingegangene Rechtsmitteilungen haben wir zugesagt, dass wir – Notfälle ausgenommen – einer staatlichen Stelle nur im Rahmen eines rechtlichen Verfahrens Kundendaten zur Verfügung stellen. Außerdem haben wir zugesichert, dass wir unsere Kunden über jedes rechtliche Verfahren informieren, in dessen Rahmen ihre Kunden- oder Rechnungsdaten angefordert werden, bevor wir diese Informationen offenlegen – sofern dies nicht gesetzlich untersagt ist. Wir haben öffentlich erklärt, dass wir niemals Kryptoschlüssel an eine Regierung weitergegeben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen werden, um unsere Kunden vor nach unserer Auffassung illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Wir haben auch unseren Glauben an Transparenz und unser Engagement für den Schutz unserer Kunden unter Beweis gestellt, indem wir erforderlichenfalls Rechtsstreitigkeiten eingereicht haben. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder „NSL“) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Wir haben häufig unsere Position dargelegt, dass alle Anfragen der Regierung nach persönlichen Daten, die im Widerspruch zu den Datenschutzgesetzen des Landes stehen, in dem eine Person lebt, rechtlich angefochten werden sollten. (Beachten Sie z.B. unseren Transparenzbericht und unser Whitepaper, Cloudflares Richtlinien zum Datenschutz und zu Anfragen von Strafverfolgungsbehörden, zu staatlichen Anfragen nach Daten.) In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Unsere standardmäßiges Addendum zur Datenverarbeitung („DPA“) für unsere Kunden enthält zusätzlich die oben beschriebenen Maßnahmen als vertragliche Verpflichtungen. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DPA einsehen.

Abschnitt 702. Abschnitt 702 des Foreign Intelligence Surveillance Acts oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der USA befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Abschnitt 702, um den Inhalt von Mitteilungen über bestimmte „Selektoren“ (z. B. E-Mail-Adressen) zu erheben, die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Die Befugnis wird in der Regel dazu verwendet, Kommunikationsinhalte zu erheben. Daher sind es meistens E-Mail-Anbieter oder andere Anbieter mit Zugang zu Kommunikationsinhalten, die als „Anbieter elektronischer Kommunikationsdienste“ dazu aufgefordert werden, Abschnitt 702 nachzukommen.

Wie in unserem Transparenzbericht erwähnt, hat Cloudflare keinen Zugang zu dieser Art von traditionellen Kundeninhalten für die Kerndienste von Cloudflare. Darüber hinaus versichert Cloudflare schon seit vielen Jahren öffentlich, keiner Regierung jemals einen Feed der Kundeninhalte, die unser Netzwerk durchlaufen, zur Verfügung gestellt zu haben. Außerdem haben wir uns dazu verpflichtet, alle Rechtsmittel auszuschöpfen, wenn wir zu einer solchen Herausgabe aufgefordert werden, um unsere Kunden vor aus unserer Sicht illegalen oder verfassungswidrigen Anfragen zu schützen.

Executive Order 12333. Die Executive Order 12333 regelt die ausländische Nachrichtengewinnung des US-Geheimdienstes, die auf Nicht-US-Bürger außerhalb der USA abzielt. Die Executive Order 12333 enthält keine Bestimmungen, die die Unterstützung von US-Unternehmen erzwingen.

Cloudflare hat sich seit langem verpflichtet, den Rechtsweg zu beschreiten, bevor einer Regierungsstelle – von Notfällen abgesehen – Zugang zu Kundendaten gewährt wird. Deshalb würden wir Anfragen gemäß Executive Order 12333, die auf eine freiwillige Herausgabe von Daten abzielen, nicht nachkommen. Darüber hinaus zählt Cloudflare zu den wichtigsten Befürwortern zusätzlicher Sicherheit bei der Datenübermittlung, sowohl hinsichtlich Inhalten als auch Metadaten, um personenbezogene Daten vor den Blicken Unbefugter zu schützen. So haben wir beispielsweise im Jahr 2014 Universal SSL eingeführt und damit Verschlüsselungsdienste (die bisher teuer und schwierig anzuwenden waren) allen Cloudflare-Kunden kostenlos zugänglich gemacht. Schon in der Woche der Einführung hat sich dadurch die Größe des verschlüsselten Web verdoppelt. Eine wachsende Zahl an Gesetzen nimmt heute die Kryptographie ins Visier. Deshalb haben wir uns außerdem verpflichtet, unsere Verschlüsselung niemals auf Ersuchen eine Staats oder eines anderen Dritten zu verwässern, zu beeinträchtigen oder zu unterlaufen.

CLOUD-Act. Der Clarifying Lawful Overseas Use of Data (CLOUD) Act erweitert nicht die Ermittlungsbefugnisse der USA. Die strengen Anforderungen an die Strafverfolgungsbehörden, um einen gültigen Durchsuchungsbefehl zu erhalten, bleiben unverändert. Der CLOUD-Act gilt auch für den Zugriff auf Inhalte, die wir im Allgemeinen nicht speichern, wie oben beschrieben. Es ist wichtig anzumerken, dass die Strafverfolgungsbehörden in der Regel versuchen würden, Daten von dem Unternehmen zu erhalten, das die tatsächliche Kontrolle über die Daten hat (d.h. von unseren Kunden) und nicht von Cloud-Anbietern.

Der CLOUD-Act sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare hat sich verpflichtet, alle Anträge, die einen solchen Rechtskonflikt darstellen, rechtlich anzufechten. Bislang haben wir keine Anträge erhalten, bei denen wir festgestellt haben, dass sie einen solchen Konflikt darstellen.

Und schließlich sollten Sie beachten, dass unser DPA vorsieht, dass wir unsere Kunden benachrichtigen, dass ein Rechtsverfahren eines Dritten, in dem personenbezogene Daten angefordert werden, die wir im Auftrag des Kunden verarbeiten, einen Rechtskonflikt aufwirft. Kunden, die über eine laufende Anfrage auf dem Rechtsweg bezüglich ihrer personenbezogenen Daten informiert werden, können versuchen, die Offenlegung personenbezogener Daten zu verhindern.

Die Richtlinien der Reserve Bank of India („RBI“) verlangen von den Anbietern von Zahlungssystemen und deren Dienstleistern, Vermittlern, Drittanbietern und anderen Unternehmen im Zahlungsökosystem, dass sie sicherstellen, dass alle Daten im Zusammenhang mit den von ihnen betriebenen Zahlungssystemen in Indien gespeichert werden. Zu den Daten der Zahlungssysteme gehören die Details einer End-to-End-Transaktion und Informationen zu einer Zahlungs- oder Abwicklungstransaktion, die als Teil einer Zahlungsnachricht/eines Zahlungsauftrags erfasst/übertragen/verarbeitet werden. Dabei kann es sich um Kundendaten (Name, Mobiltelefonnummer, E-Mail, Aadhaar-Nummer, PAN-Nummer usw.), sensible Zahlungsdaten (Kontodaten des Kunden und des Begünstigten), Zahlungsreferenzen (OTP, PIN, Passwörter usw.) und Transaktionsdaten (Informationen zum Ursprungs- und Zielsystem, Transaktionsreferenz, Zeitstempel, Betrag usw.) handeln.

Cloudflare speichert keine Inhalte von Kunden, die die beliebtesten Application Layer Services von Cloudflare nutzen, einschließlich unseres Content Delivery Network (CDN). Cloudflare speichert nur Protokolldaten, die Metadaten über die Interaktion zwischen dem Endbenutzer, Cloudflare und dem Ursprung enthalten. In der Regel umfassen diese Daten Informationen über den Zeitpunkt der Anfrage, den Browsertyp, die Antwortzeit sowie die IP-Adressen von Client und Server. Daher glauben wir, dass Kunden die Dienste von Cloudflare in Übereinstimmung mit den RBI-Richtlinien nutzen können. Wir sind uns jedoch bewusst, dass einige Kunden glauben, dass die RBI-Richtlinien eine Datenlokalisierung notwendig machen. Unsere Data Localization Suite, die unten beschrieben wird, kann Ihnen dabei helfen.

Wir sind uns bewusst, dass einige unserer indischen Kunden es vorziehen würden, dass bestimmte Arten von regulierten Daten in Indien verbleiben und nicht zur Verarbeitung in die USA übertragen werden. Hierfür haben wir die Data Localization Suite eingeführt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen am Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

Die Data Localization Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

• Regionale Dienste. Cloudflare unterhält Rechenzentren in mehr als 270 Städten in über 100 Ländern. Zusammen mit unserer Geo Key Manager-Lösung ermöglichen Regionale Dienste den Kunden, die Rechenzentrumsstandorte auszuwählen, an denen TLS-Schlüssel gespeichert werden und die TLS-Terminierung stattfindet. Bei der weltweiten Aufnahme des Traffic wird L3/L4 DDoS-Abwehr angewandt. Demgegenüber kommen andere Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (etwa WAF oder CDN) nur in ausgewiesenen Cloudflare-Rechenzentren zum Einsatz.

• Keyless SSL. Mit Keyless SSL können Kunden ihre eigenen privaten SSL-Schlüssel für die Nutzung bei Cloudflare speichern und verwalten. Für ihren Schlüsselspeicher steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“) sowie virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Untergebracht sind diese Systeme in von den Kunden kontrollierten Umgebungen.

• Geo Key Manager. Cloudflare verfügt über einen im wahrsten Sinne des Wortes internationalen Kundenstamm. Wir haben die Erfahrung gemacht, dass Kunden je nach Weltregion andere regulatorische und gesetzliche Vorgaben erfüllen müssen und unterschiedliche Risikoprofile bezüglich der Platzierung ihrer privaten Schlüssel aufweisen. In diesem Bewusstsein haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber die Kunden müssen keinen Schlüsselserver innerhalb ihrer eigenen Infrastruktur betreiben. Stattdessen hostet Cloudflare diese Server an den Orten ihrer Wahl.