Cloudflare & Datensouveränität - ein Widerspruch in sich? Wir sagen nein.

Die Sicherheit der personenbezogenen Daten wird bei uns groß geschrieben - sei es die unserer Mitarbeiter, unserer Kunden sowie die Daten der Kunden unserer Kunden. Obwohl man mit dem Internet oftmals das Stichwort "Anonymität" verbindet, sickern in der Praxis des Öfteren personenbezogene Daten durch - z.B. an Drittanbietern. Dazu zählen z.B. die Cookie-Kennung, die IP-Adresse oder auch die Browserdaten.

In diesem Artikel erfährst du, wie Cloudflare DSGVO gerecht wird und welche europäische Urteile zum Datenschutz es zu beachten gilt. Außerdem lernst du, was es mit der Data Localisation Suite auf sich hat und wie du dadurch Kontrolle über die Prüfung und Speicherung deiner Daten erhältst.

Dieser Artikel spiegelt unsere Meinung wider und ist keine Rechtsberatung.

Die personenbezogenen Daten sind ein wichtige Güter, das es zu beschützen gilt. Im Zeitalter eines anonymen Internet gibt es eine Vielzahl an Daten, die sich auf eine dedizierte Person zurückführen lässt. Zu personenbezogenen Daten zählen unter anderem:

  • Name und Vorname
  • Privatanschrift
  • E-Mail-Adresse 
  • Cookie-Kennung
  • IP-Adresse
  • Browserdaten

Gerade letztere sind Daten, die ein Content Delivery Network (CDN) über die Person kennt und somit identifizieren kann, welche Internet Adressen eine Person mit welchem Browser oder Mobilgerät aufgerufen hat. Diese Daten unterliegen jedoch strengen Richtlinien.

Europäische Urteile zum Datenschutz

Doch warum sollte dies mit Cloudflare nicht sicher sein? Der Hauptsitz von Cloudflare liegt mit San Francisco in Kalifornien, der Vereinigten Staaten von America und speichert unter anderem Daten auf Servern in Amerika. In den vergangen Monaten und Jahren gab es diverse Urteile und Rechtsprechungen, die rechtlich gesehen den Einsatz von Anbietern außerhalb der EU hochumstritten ansehen.

Schrems-II

Der EuGH erklärte am 16.07.2020 das Privacy-Shield-Abekommen zwischen der USA und Europa für unwirksam. Begründet in der Tatsache, das das Abkommen Bürger innerhalb von Europa nicht wirksam vor der Abgreifung von Daten durch den amerikanischen Geheimdienst schützen kann. Dadurch fehlt aktuell eine rechtskonforme Grundlage für einen sicheren Datentransfer in die USA. 

CLOUD Act

Durch den Cloud Act (Clarifying Lawful Overseas Use of Data Act) wurde ein Gesetz am 23.03.2018 in Amerika erlassen, das amerikanische Anbieter verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ein Widerspruchsrechts der Anbieter gilt hier nur für Bürger von Ländern, die den Cloud Act mit Amerika unterschrieben haben. Dieses wurde jedoch bislang nur von Großbritannien durchgeführt und gilt somit beispielsweise nicht für Bürger von Deutschland.

Foreign Intelligence Surveillance Act (FISA)

Mit der FISA (Foreign Intelligence Surveillance Act) wurde ein Gesetz in Amerika geschaffen, das der US-Regierung erlaubt, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden für den Auslandsgeheimdienst anzufragen. Diese Reglung wird für den Zweck verwendet Inhalte von Mitteilungen anhand Merkmale wie E-Mail-Adressen, die mit Zielen des Geheimdienstes in Verbindung stehen zu überwachen. 

Vor diesem Hintergrund empfiehlt es sich jeden Einsatz wohl abzuwägen und zu überdenken.

Welche Daten werden von Cloudflare gespeichert?

Cloudflare leitet im Allgemeinen nur jene Daten weiter, die von Webseitenbetreibern gesteuert werden. Die Inhalte werden also nicht von Cloudflare bestimmt, sondern immer vom Webseitenbetreiber selbst. Zudem erfasst Cloudflare unter Umständen bestimmte Informationen zur Nutzung unserer Webseite und verarbeitet Daten, die von uns versendet werden oder für die Cloudflare entsprechende Anweisungen erhalten hat. In den meisten Fällen erhält Cloudflare Daten wie IP-Adresse, Kontakt- und Protokollinfos, Sicherheitsfingerabdrücke und Leistungsdaten für Webseiten. Protokolldaten helfen Cloudflare beispielsweise dabei, neue Bedrohungen zu erkennen.

Aus Sicherheitsgründen verwendet Cloudflare auch ein Cookie. Das Cookie (__cfduid) wird eingesetzt, um einzelne User hinter einer gemeinsam genutzten IP-Adresse zu identifizieren und Sicherheitseinstellungen für jeden einzelnen User anzuwenden. Wichtig zu wissen ist, dass dieses Cookie keine personenbezogenen Daten speichert, jedoch für die Cloudflare-Sicherheitsfunktionen unbedingt erforderlich ist und nicht deaktiviert werden kann.

Cloudflare speichert Informationen hauptsächlich in den USA und im Europäischen Wirtschaftsraum. Cloudflare kann die oben beschriebenen Informationen aus der ganzen Welt übertragen und darauf zugreifen. Im Allgemeinen speichert Cloudflare Daten auf User-Ebene für Domains in den Versionen Free, Pro und Business für weniger als 24 Stunden. Für Enterprise Domains, die Cloudflare Logs (früher Enterprise LogShare oder ELS) aktiviert haben, können die Daten bis zu 7 Tage gespeichert werden. Wenn allerdings IP-Adressen bei Cloudflare Sicherheitswarnungen auslösen, kann es zu Ausnahmen der oben angeführten Speicherungsdauer kommen.

Wie wird Cloudflare DSGVO-gerecht?

Beim Datenschutz gilt, dass dem Schutz von Daten immer eine Risikoabwägung zugrunde liegt, da eine 100 % Sicherheit nicht gewährleistet werden kann. Der Schutz von Daten unterliegt dabei einer Abwägung, die die Sensibilität und den Schutzbedarf berücksichtigt, der bei den Daten, die Cloudflare speichert, niedrig sein sollte, solange kein besonderer Kontext (s. besonders schützenswerte Daten etc.) betroffen ist. Cloudflare selbst kann beispielsweise Informationen nicht direkt auf die Person zurückführen, sondern ist dabei auf die Zuarbeit von ISPs angewiesen.

Cloudflare bietet eine Vielzahl von Mechanismen zur Sicherstellung von Garantien, Rechten und Rechtsmittel für betroffene Personen in der EU, deren Daten aus der EU in ein Drittland übermittelt werden, welches nicht unter die DSGVO fällt. Hierzu fallen folgende Mechanismen:

  • Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;
  • Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;
  • Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder
  • Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

Weiterhin stützt sich Cloudflare auf die Standardvertragsklauseln (SVK) zur Übermittlung personenbezogener Daten in die USA, als Alternative zum Privacy Shield, welches durch Schrems-II unwirksam wurde.  Zusätzlich hat sich Cloudflare verpflichtet, falls sie dazu aufgefordert werden, alle Rechtsmittel auszuschöpfen, um Kunden vor nach illegalen oder verfassungswidrigen Anfragen zu schützen.

Abschließend bestätigt Cloudflare in Ihren halbjährigen Transparenzberichten, das sie keine Daten speichern, die über den Cloud Act oder FISA von US Behörden abgefragt werden darf. Sie bestätigen zudem öffentlich "keiner Regierung jemals einen Feed der unser Netzwerk durchlaufenden Kundeninhalte zur Verfügung gestellt zu haben." 

Neben diesem grundlegenden Schutz hat Cloudflare zudem ein weiteren Service in ihr Portfolio aufgenommen, das den Schutz für alle Cloudflare Enterprise Kunden auf eine weitere Ebene anhebt.

Wie können Kunden prüfen, dass die Standardvertragskauseln bei Cloudflare in Kraft getreten sind?

In Abhängigkeit des Supportlevels bei Cloudflare können Kunden auf unterschiedliche Weise prüfen, ob die Standardvertragsklauseln für sie greifen. Enterprise Kunden, die nach dem 8. August 2019 einen Vertrag abgeschlossen haben und keine kundenspezifische Vereinbarung getroffen haben, unterliegen den am 01. Oktober 2020 aktualisierten Standard-DPA (Enterprise Subscription Agreement). Für diese Kundengruppe besteht kein Handlungsbedarf, da das aktualisierte DPA per Verweis in diese Version unserer ESA aufgenommen wird. Kunden, die einen individuellen DPA-Vertrag mit Cloudflare abgeschlossen haben, sollten sich bei Fragen zu ihrem DPA an ihren Customer Success Manager wenden. Alle weiteren Kunden haben die Möglichkeit über das Self-Service Subscription Agreement die im Oktober 2020 aktualisierten Version einzusehen. Soweit die Verarbeitung

personenbezogenen Daten durch die DSGVO geregelt ist, enthält die DPA die EU-Standardvertragsklauseln für diese Daten. Weiterhin enthält die aktualisierte Datenschutzvereinbarung auch die oben erwähnten zusätzlichen Sicherheitsvorkehrungen. Die aktualisiertes Standard-DPA kann hier eingesehen werden.

Data Localisation Suite - Die erweitere Lösung zur Datenlokalisierung in der EU.

Die Data Localisation Suite vereint eine Reihe von Produkten, die Kunden die Kontrolle darüber geben, wo ihre Daten geprüft und gespeichert werden. Dadurch wird gewährleistet, das Daten so privat bleiben können wie es gewünscht ist und nur dorthin kommen, wo sie hin sollen.

Unter anderem ist folgendes Setup dadurch möglich:

  • DDoS Angriffe können in ausschließlich europäischen Rechentrentenren erkannt und abgewehrt werden.
  • Der Einsatz von TLS Verschlüsselung, WAF , CDN und Cloudflare Worker erfolgt nur auf europäischen Servern.
  • Keyless SSL und Geo Key Manager speichern private SSL-Schlüssel auf europäischen Servern
  • Edge Log Delivery überträgt Logs direkt an einen Partner ohne die im eigenen Hauptrechenzentrum zu durchlaufen.
  • Cloudflare Regional Services hilft bei der Entscheidung, wo Daten verarbeitet werden sollen, ohne die Sicherheits- und Performance-Vorteile von Cloudflare zu verlieren.

Fazit

Cloudflare bietet trotz Hauptsitz in den Vereinigten Staaten einen Schutz gemäß der DSGVO. Wer seine Daten zudem in Europa belassen möchte, kann mit dem Einsatz von Cloudflare Enterprise und der Data Localisation Suite einen Schutz anbieten, der europäische Anbieter ebenbürtig ist.

Beim Datenschutz gilt, dass dem Schutz von Daten immer eine Risikoabwägung zugrunde liegt, da eine 100 % Sicherheit nicht gewährleistet werden kann. Der Schutz von Daten unterliegt dabei einer Abwägung, die die Sensibilität und den Schutzbedarf berücksichtigt, der bei den Daten, die Cloudflare speichert, niedrig sein sollte. Für eine genaue individuelle Einschätzung sollten sie Ihren Datenschutzbeauftragten zur Risikoabwägung nach TIA (Transfer Impact Assessment) einbeziehen.

Ihr steht vor der Entscheidung Cloudflare im Unternehmen einzuführen? Du kannst uns einfach ansprechen und  wir unterstützen dich gerne bei der Einführung. Wie wir dich sonst noch unterstützen können, erfährst du hier: https://www.synaigy.com/details/cloud-transformation

Unsere Quellen:

https://blog.cloudflare.com/empowering-your-privacy/
https://www.cloudflare.com/de-de/enterpriseterms/

https://www.cloudflare.com/de-de/terms/
https://www.cloudflare.com/de-de/cloudflare-customer-dpa/
https://www.cloudflare.com/de-de/data-localization/
https://www.cloudflare.com/de-de/press-releases/2022/cloudflare-joins-eu-cloud-code-of-conduct-achieves-new-certifications-to/
https://de.wikipedia.org/wiki/CLOUD_Act
https://de.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
https://de.wikipedia.org/wiki/EU-US_Privacy_Shield
https://www.srd-rechtsanwaelte.de/blog/transfer-impact-assessment/

Marc Achsnich
Team Lead synaigy GmbH

Vertiefe dein Wissen mit uns

Jetzt Blog abonnieren und keine News mehr verpassen

✔️kostenlos ✔️jede Woche News ✔️Expertenwissen

Blog 05.07.24

Die Bedeutung der Datensouveränität

Datensouveränität ist nicht nur ein Marketing-Buzzword, sondern ein Erfolgsfaktor für Unternehmen, die in der globalen Wirtschaft ganz vorne mitspielen wollen. Die jüngste Bitkom-Studie zur Cloudsouveränität unterstreicht die wachsende Bedeutung von Cloud-Lösungen für deutsche Unternehmen und zeigt auf, dass 95 % der befragten Unternehmen Cloud Computing bereits im Einsatz haben oder noch nutzen wollen​.

Blog 30.11.21

Datensouveränität und europäische Lösungen

In den Zielen des Digitalkompass 2030 der EU-Exekutive wird eine Reihe von Vorgaben genannt, die bis zum Ende des Jahrzehnts erreicht werden sollen.

Blog 27.04.23

Datensouveränität vs. Cloud für deine E-Commerce-Strategie

Heute spreche ich mit Marc Achsnich, unserem Teameiter von Managed Services & Software Development, über das durchaus aktuelle und unumgängliche Thema Datensouveränität. Wir besprechen, welche Probleme amerikanische Anbieter mit sich bringen, warum unsere Entscheidung auf die OVH Cloud fiel, und welche Komponenten dabei beachtet werden sollen. Auch die entsprechenden Kosten europäischer Alternativen werden ausführlich besprochen. Du kannst mehr in der neuen Folge erfahren.

Blog 19.08.22

Shopware auf der Überholspur

Lernen Sie in diesem Artikel, wie Ihre Daten und die Ihrer Kunden sicher mit einer internen Web Application Firewall (WAF) geschützt werden können und warum dies sinnvoll ist. Wir zeigen Ihnen Codeauszüge innerhalb einer kurzen Anleitung mit Tipps und Tricks.

Blog 04.10.22

Erhöhte Sicherheit durch Kubernetes

Die Sicherheit spielt beim Einsatz von Containern eine besonders wichtige Rolle. Das Open-Source-System Kubernetes hat sich zum Standard bei der Automatisierung, Bereitstellung, Skalierung und Verwaltung von Container-Anwendungen entwickelt und erfordert deshalb besonderes Augenmerk bei der Sicherheit.

Blog 09.02.24

Ein Public Cloud Cheat Sheet der führenden Cloud Provider

Der Blogbeitrag bietet dir einen umfassenden Überblick über die aktuelle Landschaft der Public Cloud, insbesondere im Kontext von OVHcloud als führendem europäischen Cloud-Computing-Unternehmen. Das "Public Cloud Cheat Sheet" ist ein nützlicher Wegweiser durch die komplexe Welt der Public Cloud, unterteilt in acht Disziplinen. Diese Disziplinen reichen von Speicherdiensten über Datenbanken, Rechnersysteme, Orchestrierung, Netzwerk, Data & Analytics, KI bis hin zum Management.

Blog 26.02.24

Kann der Hosting-Anbieter OVHcloud überzeugen?

Wenn du dich in der Welt des Cloud-Hostings bewegst, ist die Auswahl des richtigen Servers entscheidend für die Leistung, Zuverlässigkeit und Skalierbarkeit deiner Anwendungen. OVHcloud hat kürzlich eine neue Generation von Servern vorgestellt, doch wie gut sind diese wirklich? Um einen möglichst objektiven Vergleich anzustellen, haben wir uns für Geekbench entschieden. Aber was genau ist Geekbench und warum haben wir es für diesen Test gewählt?

Blog 14.04.25

OVHcloud vs. AWS – Wer bietet die bessere Leistung pro Euro?

In diesem Beitrag vergleichen wir die Block Storage-Angebote von OVHcloud und AWS auf Basis aktueller Benchmark-Daten und technischer Spezifikationen.

Blog 06.06.23

Cloud Sustainability als umweltbewusste Revolution

Cloud Sustainability bezeichnet das Bestreben der Cloud-Computing-Industrie, ökologisch, sozial und ökonomisch nachhaltig zu handeln. Dieser Artikel beleuchtet wichtige Aspekte der Cloud Sustainability, wie den Umweltschutz und die nachhaltige Lieferkette, und präsentiert beispielhafte Maßnahmen führender Cloud-Anbieter wie OVHcloud und Amazon Web Services (AWS). Erfahre, wie diese Unternehmen erneuerbare Energien nutzen, Emissionen reduzieren und auf Recycling sowie ethische Richtlinien setzen, um die Cloud-Infrastruktur umweltfreundlicher und nachhaltiger zu gestalten. Entdecke die Bedeutung von Cloud Sustainability und wie du als Unternehmen von einer nachhaltigen IT-Infrastruktur profitieren kannst.

Blog 26.05.23

Bare Metal trifft auf Public Cloud

Mit Bare Metal und Public Cloud bietet die OVHcloud zwei unterschiedliche Ansätze, um IT-Infrastruktur bereitzustellen. Beide stehen für unterschiedliche Vor und Nachteile. Mit Bare Metal mietet ein Kunde einen physische Server und erhält die vollständige Kontrolle über die Hardware, das Betriebssystem, die Netzwerk-Konfiguration und die darauf ausgeführten Anwendungen. Somit kann die IT-Infrastruktur komplett an individuelle Anforderungen angepasst werden. Diese Server sind somit speziell für einen Kunden reserviert und niemand anderes nutzt diese Ressourcen parallel.

Blog 04.07.23

Erkunde hochresiliente Langzeitspeicherung mit Cold Archive

Die OVHcloud hat uns und anderen Partnern auf der OVHengage den neuen nachhaltigen Datenspeicher präsentiert - den "Cold Archive". Dieser verbindet die Grundsätze und Ideen zweier Welten und schafft dadurch neue Anwendungsmöglichkeiten. Der neue Datenspeicher "Cold Archive" basiert auf einem IBM Magnetband vom Typ IBM Enterprise 3592 und erfolgt durch Miria von Atempo. In diesem Beitrag stellen wir dir den neuen Datenspeicher -Cold Archive- der OVHcloud vor mit allen Infos rund um Funktionsweise, Vor- und Nachteile und Kostenstruktur.

Blog 12.04.23

OVHcloud: Schutz vertraulicher Infos für Unternehmen

Die digitale Transformation hat in den letzten Jahren zu einem rasanten Anstieg der Datenmengen geführt, die Unternehmen und Organisationen auf der ganzen Welt verarbeiten und speichern müssen. In diesem Zusammenhang wird die Datensouveränität zu einem immer wichtigeren Thema, insbesondere wenn es darum geht, vertrauliche Informationen sicher und geschützt zu halten. Hier kommt die OVHcloud ins Spiel - ein europäischer Cloud-Service-Anbieter, der sich dem Schutz der Datensouveränität verschrieben hat.

Blog 13.06.22

Shopware 6 mit Kubernetes

In diesem Artikel stellen wir euch vor, wie Shopware 6 in Kubernetes betrieben werden kann und warum dies sinnvoll ist. Wir zeigen euch Codeauszüge und eine kurze Anleitung mit Tipps und Tricks.

Blog 30.07.24

OVHcloud: Das Schutzschild gegen DDoS-Angriffe

Die Sicherheit von Online-Diensten unerlässlich. Cyber-Angriffe, wie z.B. Distributed Denial of Service (DDoS)-Angriffe, können Unternehmen schwere finanzielle Verluste zufügen und ihren Ruf dauerhaft schädigen. Genau da kommt OVHcloud ins Spiel.

Blog 11.10.23

Die Bedrohung im Internet und wie du dich schützen kannst

Im folgenden Blogbeitrag bekommst du eine Übersicht über den Bereich Cyber-Sicherheit. Darüber hinaus informieren wir dich über verschiedene Arten von Bedrohungen und zeigen auf, wie wir dich dabei unterstützen können.

Blog 14.11.24

Hans Sarpei über KI, Fußball und den inneren Schweinehund

Wir sprechen mit Hans Sarpei über seinen Weg vom Profisportler zum Unternehmer und Social-Media-Profi, Daten im Sport & gesellschaftliche Verantwortung.

Blog 25.07.24

ROI-Optimierung im Commerce: KI, B2H & Omnichannel-Strategy

In der neuesten Folge von insights! begrüße ich Frank Miller, den CEO der Inbound-Marketingagentur straight. Was folgt, ist ein tiefgehendes Gespräch über Digitalisierung, Marketingstrategien und die Rolle von Künstlicher Intelligenz im modernen Geschäftsleben.

Blog 01.08.24

MarTech Boom, KI, Echtzeit-Datenvernetzung – Buzzword Bingo?

In dieser insights!-Folge bringt dir Till Paschke von HCLSoftware die cloud-native Software-Stacks und den innovativen Ansatz „Integrated Composable Commerce“ nahe. Getrieben von HCLs beeindruckenden Kunden Ferrari, HP oder auch DHL spiegeln ihre digitalen Lösungen die Innovationskraft wider. Der aktuelle Martech-Boom sowie der clevere Einsatz von KI zur Echtzeit-Datenvernetzung sind Fokusthemen der Folge.

Blog 29.08.24

Kann IoT den E-Commerce wirklich smarter machen?

In unserer neuesten insights!-Folge zeigen dir Sonja und Joubin, wie IoT die Zukunft des E-Commerce prägt und welche Schritte notwendig sind, damit auch du von dieser Revolution profitieren kannst.

Blog 17.10.24

IoT und Edge AI: Technologien für die smarte, morgige Welt

Wie schafft man den Sprung von einer Idee zu einem marktfähigen Produkt? Gaylord Aulke, CEO von der 100 DAYS software projects GmbH, hat in der neusten insights!-Folge genau darüber gesprochen und erklärt, warum Edge AI – die Verarbeitung von Daten direkt am Gerät – der Schlüssel zu schnelleren Innovationen und mehr Datenschutz ist. Durch schnelle Prototypen, frühes Testen und flexible Anpassungen können Unternehmen agil bleiben und sich den Herausforderungen der modernen Technologie stellen.