Cloudflare und die Einhaltung der DSGVO

Cloudflare steht als Unternehmen für Sicherheit, Performance und Zuverlässigkeit. Das Unternehmen hat seinen Hauptsitz in den Vereinigten Staaten und weltweite Niederlassungen, darunter auch fünf Niederlassungen in Europa. Wir helfen unseren Kunden, ihre Websites und Internetanwendungen sicherer zu machen, die Performance ihrer geschäftskritischen Anwendungen zu verbessern und die Kosten und Komplexität der Verwaltung einzelner Netzwerkhardware zu eliminieren. Das globale Cloudflare-Netzwerk – das von Edge-Servern in mehr als 300 Städten auf der ganzen Welt betrieben wird, wie hier beschrieben – ist die Grundlage, auf der wir unsere Produkte für unsere Kunden schnell entwickeln und bereitstellen können.

Welche Arten von personenbezogenen Daten Cloudflare im Auftrag eines Kunden verarbeitet, hängt davon ab, welche Cloudflare-Services implementiert werden. Bei unseren beliebtesten Anwendungsdiensten und Netzwerkdiensten speichert Cloudflare weder Kundeninhalte, noch haben wir irgendeine Kontrolle über die Daten, die unsere Kunden über unser globales Netzwerk übertragen, weiterleiten, vermitteln und zwischenspeichern. In einer begrenzten Anzahl von Fällen können Cloudflare-Produkte zur Speicherung von Inhalten verwendet werden. Unabhängig davon, welchen Cloudflare-Service sie nutzen, sind unsere Kunden jedoch in vollem Umfang für ihre eigene Einhaltung des geltenden Rechts verantwortlich; ebenso für ihre unabhängigen vertraglichen Vereinbarungen im Zusammenhang mit den Daten, die sie über das Cloudflare Global-Netzwerk übermitteln, routen, schalten, zwischenspeichern oder speichern möchten.

Die meisten Daten, die unsere Anwendungs- und Netzwerkdienste über unser Netzwerk durchlaufen, werden auf den Edge-Servern von Cloudflare gespeichert. Metadaten über diese Aktivitäten werden im Auftrag unserer Kunden in unseren Rechenzentren in den Vereinigten Staaten und Europa verarbeitet.

Cloudflare protokolliert Ereignisse, die in unserem Netzwerk stattfinden. Einige dieser Protokolldaten enthalten Informationen über Besucher und/oder autorisierte Nutzer von Domains, Netzwerken, Websites, Anwendungsschnittstellen („APIs“) oder Anwendungen eines Kunden, einschließlich des Cloudflare-Produkts Cloudflare Zero Trust, sofern zutreffend. Diese Metadaten enthalten äußerst eingeschränkte personenbezogene Daten, meist in Form von IP-Adressen. Wir verarbeiten diese Art von Informationen im Auftrag unserer Kunden in unseren Rechenzentren in den USA und Europa für einen begrenzten Zeitraum.

Für Cloudflare ist Sicherheit ein entscheidendes Element, um Datenschutz zu gewährleisten. Seit unserer Gründung im Jahr 2010 haben wir branchenführende Technologien eingeführt, die den Datenschutz verstärken. Diese Tools ermöglichen unseren Kunden unter anderem die einfache Verschlüsselung von Kommunikationsinhalten mit Universal SSL, die Verschlüsselung oder den anderweitigen Schutz von Metadaten in der Kommunikation mit neuen Protokollen wie DNS-over-HTTPS, DNS-over-TLS und Oblivious HTTP sowie die Kontrolle darüber, wo ihre SSL-Schlüssel aufbewahrt werden oder wo ihr Traffic überprüft wird.

Das Sicherheitsprogramm von Cloudflare setzt Maßstäbe über die Branchenstandards hinaus. Unser Sicherheitsprogramm beinhaltet formelle Richtlinien und Verfahren, die Einrichtung angemessener logischer und physischer Zugangskontrollen und die Implementierung technischer Schutzmaßnahmen in Unternehmens- und Produktionsumgebungen, einschließlich der Einrichtung sicherer Konfigurationen, sicherer Übertragungen und Verbindungen, Protokollierung, Überwachung und Bereitstellung angemessener Verschlüsselungstechnologien für personenbezogene Daten.

Wir erfüllen derzeit die folgenden Vorgaben: ISO 27001, ISO 27701, ISO 27018, SOC 2 Typ II und PCI DSS Level 1 Konformität. Außerdem sind wir nach dem EU Cloud Code of Conduct und dem deutschen Standard C5 2020 zertifiziert. Mehr über unsere Zertifizierungen und Berichte erfahren Sie hier.

Bitte lesen Sie in Anhang 2 unseres Standard-DVN, welche Sicherheitsmaßnahmen Cloudflare zum Schutz personenbezogener Daten anbietet (einschließlich personenbezogener Daten, die aus dem Europäischen Wirtschaftsraum („EWR“) in die USA übermittelt werden).

Die EU-Datenschutz-Grundverordnung (DSGVO) stellt verschiedene rechtliche Mechanismen bereit, um EU-Bürgern angemessene Garantien, durchsetzbare Rechte und effektive Rechtsmittel zu bieten, wenn ihre Daten aus dem EWR in Drittländer übertragen werden. Ein Drittland ist ein Land, das entweder nicht unter die DSGVO fällt oder bei dem angenommen wird, dass es adäquate Datenschutzgesetze hat.

Zu diesen Mechanismen gehören:

• Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;

• Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;

• Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder

• Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

Wenn Cloudflare personenbezogene Daten aus dem EWR, der Schweiz oder dem Vereinigten Königreich („UK“) international überträgt, verlassen wir uns auf die Standardvertragsklauseln der Europäischen Kommission („SVK“), einschließlich ergänzender Maßnahmen, falls erforderlich, oder, für Übertragungen in die Vereinigten Staaten, haben wir auch unsere Konformität mit dem EU-U.S. Data Privacy Framework („EU-U.S. DPF“), dem Swiss-U.S. Data Privacy Framework („Swiss-U.S. DPF“) und/oder der UK-Erweiterung des EU-U.S. DPF zertifiziert. Unser standardmäßiger Datenverarbeitungsnachtrag („DVN“) wird weiterhin die EU-SVK einbeziehen, um sicherzustellen, dass wir mehrere Rechtsgrundlagen für die Datenverarbeitung haben.

Ja, definitiv. Wenn Cloudflare persönliche Daten aus dem Europäischen Wirtschaftsraum (EWR), der Schweiz oder dem Vereinigten Königreich (UK) in die Vereinigten Staaten überträgt, verlassen wir uns auf unsere Zertifizierungen unter dem EU-U.S. Data Privacy Framework, dem Swiss-U.S. Data Privacy Framework bzw. der UK Extension to the EU-U.S. DPF. Sollten diese Zertifizierungen erlöschen oder anderweitig ungültig werden, verlässt sich Cloudflare auf die EU-Standardvertragsklauseln, einschließlich ergänzender Maßnahmen, die für Übertragungen in die Vereinigten Staaten erforderlich sind. Wir verwenden die Standardvertragsklauseln auch für andere internationale Übertragungen aus dem EWR, der Schweiz oder dem Vereinigten Königreich.

Im Oktober 2022 unterzeichnete US-Präsident Biden die Executive Order 14086 („EO14086“), mit der neue Garantien für US-amerikanische Signalnachrichtendienste eingeführt wurden, um den EU-US-Datenschutzrahmen zu ermöglichen. Auf der Grundlage der durch die EO14086 gewährten Schutzmaßnahmen stellte die Europäische Kommission die Angemessenheit des EU-US-Datenschutzrahmens (EU-U.S. Data Protection Framework, „EU-U.S. DPF“) fest. Wichtig ist, dass dieser Schutz gleichermaßen für alle Datenübertragungen gilt – für solche, die gemäß einer des Datenschutzrahmens oder gemäß den EU-Standardvertragsklauseln erfolgen (siehe „Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023” des EDPB).

Die mit der EO14086 eingeführten Schutzmaßnahmen umfassen verbindliche Garantien, die gewährleisten, dass der Schutz der Privatsphäre und der bürgerlichen Freiheiten integraler Bestandteil der Überlegungen sind, sodass (i) Tätigkeiten im Bereich der Signalnachrichtendienste nur dann durchgeführt werden, wenn sie „notwendig“ sind, um eine validierte nachrichtendienstliche Priorität voranzubringen, und (ii) nur in dem Umfang und auf eine Weise durchgeführt werden, die hinsichtlich der validierten nachrichtendienstlichen Priorität „verhältnismäßig“ bzw. „angemessen“ sind. Die EO14086 sieht auch ein mehrstufiges Rechtsbehelfsverfahren für Einzelpersonen vor, um eine unabhängige und verbindliche Überprüfung und Rechtsbehelf für Vorwürfe zu erhalten, demnach ihre von US-Signalnachrichtendiensten erfassten persönlichen Daten in einer Weise verarbeitet wurden, die ihre Datenschutzrechte verletzt.

Wir sind der Überzeugung, dass es wichtig ist, das Vertrauen der Kunden zu gewinnen und zu bewahren. Deshalb hat Cloudflare schon lange vor dem Fall „Schrems II“ (Rechtssache C-311/18, Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems) Datenschutzgarantien eingeführt, darunter viele der zusätzlichen Datenschutzgarantien, die der EDSA in seinen post-Schrems II-Leitlinien (Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, beschlossen am 18. Juni 2021) empfiehlt.

Cloudflare setzt sich stark für Transparenz und Verantwortlichkeit bei der Verarbeitung personenbezogener Daten ein, wie oben beschrieben, und unsere DVN macht viele dieser Verpflichtungen vertraglich bindend. Bei der Veröffentlichung unseres allerersten Transparenzberichts 2014 für im Vorjahr eingegangene Rechtsmitteilungen haben wir zugesagt, dass wir – Notfälle ausgenommen – einer staatlichen Stelle nur im Rahmen eines rechtlichen Verfahrens Kundendaten zur Verfügung stellen. Außerdem haben wir zugesichert, dass wir unsere Kunden über jedes rechtliche Verfahren informieren, in dessen Rahmen ihre Kunden- oder Rechnungsdaten angefordert werden, bevor wir diese Informationen offenlegen – sofern dies nicht gesetzlich untersagt ist. Wir haben öffentlich erklärt, dass wir niemals Kryptoschlüssel an eine Regierung weitergegeben, einer Regierung einen Feed von Inhalten, die unser Netzwerk durchlaufen, zur Verfügung gestellt oder Geräte von Strafverfolgungsbehörden in unserem Netzwerk eingesetzt haben. Wir verpflichteten uns auch dazu, dass wir, falls dazu aufgefordert, „alle Rechtsmittel ausschöpfen werden, um unsere Kunden vor nach unserer Auffassung illegalen oder verfassungswidrigen Anfragen zu schützen.“ Seit diesen frühen Tagen in der Geschichte von Cloudflare haben wir diese Verpflichtungen in unseren Transparenzberichten zweimal jährlich neu formuliert und sogar noch erweitert.

Durch das Einreichen von Rechtsstreitigkeiten bei Bedarf haben wir unser Engagement für Transparenz und den Schutz unserer Kunden demonstriert. Im Jahr 2013 haben wir mithilfe der Electronic Frontier Foundation einen von der Regierung der USA ausgestellten nationalen Sicherheitsbrief (National Security Letter oder „NSL“) rechtlich angefochten, um die Rechte unserer Kunden zu schützen, da die Regierung die Möglichkeit hatte, uns daran zu hindern, Informationen über den NSL an den betroffenen Kunden weiterzugeben. Cloudflare stellte auf diese Anfrage keine Kundeninformationen zur Verfügung, aber die Geheimhaltungsbestimmungen blieben in Kraft, bis ein Gericht die Beschränkungen 2016 aufhob.

Wir haben häufig unsere Position dargelegt, dass alle Anfragen der Regierung nach persönlichen Daten, die im Widerspruch zu den Datenschutzgesetzen des Landes stehen, in dem eine Person lebt, rechtlich angefochten werden sollten. (Beachten Sie z.B. unseren Transparenzbericht und unser Whitepaper, Cloudflares Richtlinien zum Datenschutz und zu Anfragen von Strafverfolgungsbehörden, zu staatlichen Anfragen nach Daten.) Der Europäische Datenschutzausschuss (EDSA) bestätigte im Rahmen dieser Bewertung, dass die DSGVO einen solchen Widerspruch verursachen könnte. Da wir uns zur Einhaltung der DSGVO verpflichtet haben, würden wir Rechtsmittel einlegen, bevor wir auf Anfrage der US-Regierung Daten herausgeben, die als der DSGVO unterliegend identifiziert wurden. In Übereinstimmung mit der bestehenden Rechtsprechung in den Vereinigten Staaten und den gesetzlichen Rahmenbedingungen kann Cloudflare US-Gerichte bitten, aufgrund eines solchen Rechtskonflikts ein Ersuchen von US-Behörden um personenbezogene Daten für nichtig zu erklären.

Unser standardmäßiger Datenverarbeitungsnachtrag („DVN“) für unsere Kunden enthält die oben beschriebenen zusätzlichen Maßnahmen und Garantien als vertragliche Verpflichtungen. Sie können diese vertraglichen Verpflichtungen in Abschnitt 7 unseres DVN einsehen. Darüber hinaus haben wir robuste Sicherheitsmaßnahmen und Verschlüsselungsprotokolle eingeführt, die Sie Anhang 2 unseres DVN entnehmen können.

Wir werden diese zusätzlichen Maßnahmen und Datenschutzgarantien zusätzlich zu den zusätzlichen Garantien gemäß EO14086 weiterhin anwenden.

Wir beobachten kontinuierlich neue Entwicklungen und gewährleisten die Einhaltung der Artikel 44 und 46 EU-DSGVO. Gleichzeitig erfüllen wir unsere Verpflichtungen aus den bestehenden DVN, den aktuellen SVK und unserer Data Privacy Frameworks-Zertifizierung.

Unserer Meinung nach sollte Widerspruch gegen staatliche Ersuchen um Herausgabe von Daten von Nicht-US-Bürgern eingelegt werden, wenn dies gegen Datenschutzgesetze ihres Wohnsitzlandes, wie die DSGVO in der EU, verstößt.

Die Ermittlungsbefugnisse der USA werden durch das CLOUD-Gesetz nicht erweitert. Die strengen Anforderungen an die Strafverfolgungsbehörden, um einen gültigen Durchsuchungsbefehl zu erhalten, bleiben unverändert. Der CLOUD-Act gilt auch für den Zugriff auf Inhalte, die wir im Allgemeinen nicht speichern, wie oben beschrieben. Das CLOUD-Gesetz verändert nicht die bisherige Praxis, wenn US-Behörden auf Unternehmensdaten zugreifen wollen. Strafverfolgungsbehörden würden typischerweise versuchen, Daten direkt vom datenkontrollierenden Unternehmen (unseren Kunden) und nicht von Cloud-Anbietern zu erhalten. Sollten die Strafverfolgungsbehörden Daten von Cloudflare anfordern, raten wir ihnen, sich direkt an unseren Kunden zu wenden.

Wir möchten zusätzliche Erläuterungen zu den US-nationalen Sicherheitsbehörden geben, auf die sich der EuGH im Urteil „Schrems II“ bezieht.

Abschnitt 702. Section 702 des Foreign Intelligence Surveillance Act oder kurz FISA („Gesetz zur Überwachung in der Auslandsaufklärung“) erlaubt der US-Regierung, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden, für Zwecke des Auslandsgeheimdienstes anzufragen. Die US-Regierung verwendet Section 702 zur Erfassung des Inhalts von Mitteilungen anhand spezifischer Merkmale (z. B. E-Mail-Adressen), die mit bestimmten Zielen des Auslandsgeheimdienstes in Verbindung stehen. Diese Befugnis wird in der Regel zur Erfassung von Kommunikationsinhalten verwendet. In der Regel werden E-Mail-Provider oder andere Anbieter von Kommunikationsinhalten als „Anbieter elektronischer Kommunikationsdienste“ zur Einhaltung von Section 702 herangezogen.

Wie in unserem Transparenzbericht erwähnt, hat Cloudflare keinen Zugang zu dieser Art von traditionellen Kundeninhalten für die Kerndienste von Cloudflare. Darüber hinaus hatte Cloudflare schon seit vielen Jahren öffentlich zugesagt, keiner Regierung jemals einen Feed der Kundeninhalte, die unser Netzwerk durchlaufen, zur Verfügung gestellt zu haben. Zudem haben wir uns verpflichtet, alle Rechtsmittel zu nutzen, um unsere Kunden vor Anfragen zu schützen, die wir als illegal oder verfassungswidrig erachten.

Executive Order 12333. Die Executive Order 12333 regelt die ausländische Nachrichtengewinnung des US-Geheimdienstes, die auf Nicht-US-Bürger außerhalb der USA abzielt. Die Executive Order 12333 enthält keine Bestimmungen, die die Unterstützung von US-Unternehmen erzwingen.

Seit jeher verpflichtet sich Cloudflare, einen Rechtsweg zu beschreiten, bevor außerhalb von Notfällen Regierungsstellen Zugang zu Kundendaten erhalten. Wir würden daher freiwilligen Anfragen nach Daten gemäß der Executive Order 12333 nicht nachkommen. Darüber hinaus ist Cloudflare führend bei der Förderung zusätzlicher Sicherheit für Daten während der Übermittlung, sowohl für Inhalte als auch für Metadaten, um personenbezogene Daten vor neugierigen Blicken jeglicher Art zu schützen. Im Jahr 2014 haben wir zum Beispiel Universal SSL eingeführt. Universal SSL machte Verschlüsselung (bisher teuer und schwierig) für alle Cloudflare-Kunden kostenlos – und verdoppelte damit mit einem Schlag die Größe des verschlüsselten Webs. Immer mehr Gesetze haben es auf Verschlüsselung abgesehen, daher haben wir uns sogar verpflichtet , unsere Verschlüsselung niemals auf Ersuchen einer Regierung oder eines anderen Dritten zu schwächen, zu kompromittieren oder zu untergraben.

Wenn Cloudflare personenbezogene Daten aus dem EWR, der Schweiz oder dem Vereinigten Königreich („UK“) international überträgt, verlassen wir uns auf die EU-Standardvertragsklauseln („SVK“), einschließlich ergänzender Maßnahmen, falls erforderlich, oder, für Übertragungen in die Vereinigten Staaten, haben wir auch unsere Konformität mit dem EU-U.S. Data Privacy Framework („EU-U.S. DPF“), dem Swiss-U.S. Data Privacy Framework („Swiss-U.S. DPF“) und der UK Extension to the EU-U.S. DPF zertifiziert. Diese Zusicherungen sind in unserem standardmäßigen Datenverarbeitungsnachtrag („DVN“) enthalten, der durch Verweis in unsere Self-Service-Abonnementvereinbarung aufgenommen wird. Soweit für die Übermittlung personenbezogener Daten die SVK erforderlich sind, übernimmt unser DVN die SVK für diese Daten. Es muss daher nichts weiter unternommen werden, um sicherzustellen, dass die entsprechenden Mechanismen für die grenzüberschreitende Datenübermittlung in Kraft sind.

Wenn Cloudflare personenbezogene Daten aus dem EWR, der Schweiz oder dem Vereinigten Königreich („UK“) international überträgt, verlassen wir uns auf die EU-Standardvertragsklauseln („SVK“), einschließlich ergänzender Maßnahmen, falls erforderlich, oder, für Übertragungen in die Vereinigten Staaten, haben wir auch unsere Konformität mit dem EU-U.S. Data Privacy Framework („EU-U.S. DPF“), dem Swiss-U.S. Data Privacy Framework („Swiss-U.S. DPF“) und der UK Extension to the EU-U.S. DPF zertifiziert. Diese Zusicherungen sind in unserem standardmäßigen Datenverarbeitungsnachtrag enthalten, der durch Verweis in unsere Vereinbarung für Unternehmensabonnements (Enterprise Subscription Agreement, „ESA“) aufgenommen wird. Es muss daher nichts weiter unternommen werden, um sicherzustellen, dass die entsprechenden Mechanismen für die grenzüberschreitende Datenübermittlung in Kraft sind.

Enterprise-Kunden unterliegen unserer standardmäßigen Vereinbarung -ESA, wenn sie die ESA mit Cloudflare ab dem 8. August 2019 geschlossen haben und keine individuelle Vereinbarung getroffen wurde. Enterprise-Kunden mit älteren Versionen unserer ESA, maßgeschneiderten ESA oder einem maßgeschneiderten DVN haben möglicherweise keinen dokumentierten Mechanismus für die grenzüberschreitende Datenübertragung. Diese Kunden und alle anderen Enterprise-Kunden, die Fragen zu ihrem DVN haben, können sich an ihren Customer Success Manager wenden.

Wir sind uns bewusst, dass einige unserer Kunden es vorziehen würden, dass personenbezogene Daten, die der DSGVO (oder ihren britischen oder schweizerischen Pendants) unterliegen, in der EU verbleiben und nicht zur Verarbeitung in die USA übermittelt werden. Hierfür haben wir die Cloudflare Data Localization Suite eingeführt, mit der Unternehmen von den Performance- und Sicherheitsvorteilen des globalen Netzwerks von Cloudflare profitieren und zugleich durch die Festlegung von Regeln und Steuerungsmechanismen an der Edge mühelos bestimmen können, wo ihre Daten gespeichert und geschützt werden.

Die Data Localization Suite bündelt einige bestehende Angebote mit mehreren neuen Features:

a) Regionale Dienste. Cloudflare unterhält Rechenzentren in mehr als 300 Städten in über 100 Ländern. Zusammen mit unserer Geo Key Manager-Lösung ermöglichen Regionale Dienste den Kunden, die Standorte der Rechenzentren auszuwählen, an denen TLS-Schlüssel gespeichert werden und die TLS-Terminierung stattfindet. Bei der weltweiten Aufnahme des Traffics wird L3/L4 DDoS-Abwehr angewandt. Demgegenüber kommen andere Sicherheits-, Performance- und Zuverlässigkeitsfunktionen (etwa WAF oder CDN) nur in ausgewiesenen Cloudflare-Rechenzentren zum Einsatz.

b) Metadata Boundary. Customer Metadata Boundary stellt sicher, dass die Metadaten des Endnutzer-Traffics, die einen Kunden identifizieren können, in der Europäischen Union bleiben. Dazu gehören alle Protokolle und Analytics, die ein Kunde sehen kann. Dies geschieht dadurch, dass alle Metadaten, mit denen ein Kunde identifiziert werden kann, durch einen einzigen Dienst an unsere Edge fließen, bevor sie an eines unserer zentralen Rechenzentren weitergeleitet werden. Bei aktivierter Metadata Boundary stellt unsere Edge sicher, dass keine Protokollnachricht, anhand derer der betreffende Kunde identifiziert werden könnte (die also die Konto-ID dieses Kunden enthält), an ein Ziel außerhalb der EU gesendet wird. Sie wird nur an eines unserer zentralen Rechenzentren in der EU gesendet.

c) Keyless SSL. Mit Keyless SSL können Kunden ihre eigenen privaten SSL-Schlüssel für die Nutzung bei Cloudflare speichern und verwalten. Für ihren Schlüsselspeicher steht ihnen eine Vielzahl von Systemen zur Auswahl, darunter Hardware-Sicherheitsmodule („HSMs“) sowie virtuelle Server und Hardware, auf denen Unix/Linux und Windows ausgeführt werden. Untergebracht sind diese Systeme in von den Kunden kontrollierten Umgebungen.

d) Geo Key Manager. Cloudflare verfügt über einen im wahrsten Sinne des Wortes internationalen Kundenstamm. Wir haben die Erfahrung gemacht, dass Kunden je nach Weltregion andere regulatorische und gesetzliche Vorgaben erfüllen müssen und unterschiedliche Risikoprofile bezüglich der Hinterlegung ihrer privaten Schlüssel aufweisen. In diesem Bewusstsein haben wir ein sehr flexibles System entwickelt, mit dem Kunden entscheiden können, wo Schlüssel aufbewahrt werden. Mit dem Geo Key Manager können Kunden die Preisgabe ihrer privaten Schlüssel auf bestimmte Standorte beschränken. Die Funktion ähnelt Keyless SSL, aber die Kunden müssen keinen Schlüsselserver innerhalb ihrer eigenen Infrastruktur betreiben. Stattdessen hostet Cloudflare diese Server an den Orten ihrer Wahl.

Wie in unserem Transparenzbericht dargelegt, gibt Cloudflare nur im Rahmen eines zulässigen Rechtsverfahrens personenbezogene Daten von Kunden an staatliche Stellen oder Zivilkläger weiter. Außer im Falle eines Notfalls, bei dem die Gefahr des Todes oder einer schweren Körperverletzung besteht, geben wir die personenbezogenen Daten unserer Kunden nicht an Regierungsbeamte weiter, um Anfragen zu beantworten, bei denen keine rechtlichen Schritte unternommen wurden.

Cloudflare verpflichtet sich, Kunden über Vorladungen oder andere juristische Verfahren zu informieren, die ihre Daten anfordern, bevor solche Informationen weitergegeben werden. Dies gilt unabhängig davon, ob die Anfrage von Regierungsstellen oder von Privatpersonen im Rahmen eines Zivilprozesses stammt, sofern keine gesetzlichen Einschränkungen bestehen. Unser DPA, verpflichtet uns insbesondere dazu (sofern dies nicht gesetzlich verboten ist), Kunden zu benachrichtigen, falls ein Drittanbieter-Rechtsverfahren, das personenbezogene Daten fordert, die wir für den Kunden verarbeiten, einen Rechtskonflikt darstellt – beispielsweise, wenn diese Daten der DSGVO unterliegen.

Darüber hinaus bietet das US-Recht Mechanismen, mit denen Unternehmen Anordnungen anfechten können, die potentielle Rechtskonflikte aufwerfen, wie z. B. eine gesetzliche Anfrage für Daten, die der DSGVO unterliegen. Der CLOUD-Act sieht Mechanismen vor, mit denen ein Provider bei einem Gericht beantragen kann, einen rechtlichen Antrag, der einen solchen Rechtskonflikt darstellt, aufzuheben oder zu ändern. Dieses Verfahren erlaubt es einem Provider auch, einer ausländischen Regierung (deren Bürger von dem Antrag betroffen ist) die Existenz des Antrags offenzulegen, wenn diese Regierung ein CLOUD-Act-Abkommen mit den USA unterzeichnet hat. Cloudflare verpflichtet sich, alle rechtlichen Anträge mit potenziellen Rechtskonflikten anzufechten. Bisher haben wir keine solchen konfliktbehafteten Anträge erhalten.

Im Oktober 2022 unterzeichnete US-Präsident Biden die Executive Order 14086, mit der neue Garantien für US-Signalenachrichtendienste eingeführt wurden, um den neuen EU-US-Datenschutzrahmen („EU-U.S. Data Privacy Framework“) zu ermöglichen. Zu diesen Garantien gehört auch die Schaffung eines Rechtsbehelfsmechanismus für Personen, die behaupten, dass ihre personenbezogenen Daten unrechtmäßig durch Signalnachrichten-Programme erfasst worden sind. Einzelpersonen können eine Beschwerde beim U.S. Civil Liberties Protection Officer („CPLO“) einreichen, der diese Beschwerden untersuchen und verbindliche Entscheidungen gegen Geheimdienste erlassen kann. Gegen die Entscheidungen des CPLO kann bei einem neu geschaffenen Gericht zur Datenschutzüberprüfung (Data Protection Review Court, „DPRC“) Berufung eingelegt werden.

Schließlich verpflichtet sich Cloudflare in Übereinstimmung mit den EU-U.S. DPF, der UK-Erweiterung des EU-U.S. DPF (zusammen „die DPFs“) und den Swiss-U.S. DPF (zusammen „die DPFs“), die DPF-Prinzipien-bezogenen Beschwerden über unsere Erfassung und Verwendung Ihrer personenbezogenen Daten zu lösen. Weitere Informationen finden Sie in Abschnitt 7 unserer Datenschutzrichtlinie.

Wir haben die Veränderung, die das Vereinigte Königreich seit seinem Austritt aus der Europäischen Union im Datenschutzbereich vornimmt, genau verfolgt. Derzeit ist die EU-DSGVO durch Abschnitt 3 des European Union (Withdrawal) Act 2018 des Vereinigten Königreichs und den UK Data Protection Act 2018 (die „UK-DSGVO“) in das britische Recht übernommen worden. Gemäß dem International Data Transfer Addendum (Version B1.0), der vom UK Information Commissioner's Office unter s.119(A) des UK Data Protection Act 2018 (das „UK Addendum“) herausgegeben wurde, kann Cloudflare personenbezogene Daten aus dem Vereinigten Königreich außerhalb des Vereinigten Königreichs unter Berufung auf den EU SVK-Mechanismus in Verbindung mit dem UK-Zusatz übertragen. Abhängig von unseren Vereinbarungen mit unseren Kunden verlässt sich Cloudflare auf den EU SVK-Mechanismus in Verbindung mit dem UK Addendum und zusätzlichen Maßnahmen, oder Cloudflare verlässt sich auf die UK-Erweiterung des EU-U.S. Data Privacy Framework, sobald es genehmigt ist.