Cloudflare & Datensouveränität - ein Widerspruch in sich? Wir sagen nein.

Die Sicherheit der personenbezogenen Daten wird bei uns groß geschrieben - sei es die unserer Mitarbeiter, unserer Kunden sowie die Daten der Kunden unserer Kunden. Obwohl man mit dem Internet oftmals das Stichwort "Anonymität" verbindet, sickern in der Praxis des Öfteren personenbezogene Daten durch - z.B. an Drittanbietern. Dazu zählen z.B. die Cookie-Kennung, die IP-Adresse oder auch die Browserdaten.

In diesem Artikel erfährst du, wie Cloudflare DSGVO gerecht wird und welche europäische Urteile zum Datenschutz es zu beachten gilt. Außerdem lernst du, was es mit der Data Localisation Suite auf sich hat und wie du dadurch Kontrolle über die Prüfung und Speicherung deiner Daten erhältst.

Dieser Artikel spiegelt unsere Meinung wider und ist keine Rechtsberatung.

Die personenbezogenen Daten sind ein wichtige Güter, das es zu beschützen gilt. Im Zeitalter eines anonymen Internet gibt es eine Vielzahl an Daten, die sich auf eine dedizierte Person zurückführen lässt. Zu personenbezogenen Daten zählen unter anderem:

• Name und Vorname
• Privatanschrift
• E-Mail-Adresse 
• Cookie-Kennung
• IP-Adresse
• Browserdaten

Gerade letztere sind Daten, die ein Content Delivery Network (CDN) über die Person kennt und somit identifizieren kann, welche Internet Adressen eine Person mit welchem Browser oder Mobilgerät aufgerufen hat. Diese Daten unterliegen jedoch strengen Richtlinien.

Europäische Urteile zum Datenschutz

Doch warum sollte dies mit Cloudflare nicht sicher sein? Der Hauptsitz von Cloudflare liegt mit San Francisco in Kalifornien, der Vereinigten Staaten von America und speichert unter anderem Daten auf Servern in Amerika. In den vergangen Monaten und Jahren gab es diverse Urteile und Rechtsprechungen, die rechtlich gesehen den Einsatz von Anbietern außerhalb der EU hochumstritten ansehen.

Schrems-II

Der EuGH erklärte am 16.07.2020 das Privacy-Shield-Abekommen zwischen der USA und Europa für unwirksam. Begründet in der Tatsache, das das Abkommen Bürger innerhalb von Europa nicht wirksam vor der Abgreifung von Daten durch den amerikanischen Geheimdienst schützen kann. Dadurch fehlt aktuell eine rechtskonforme Grundlage für einen sicheren Datentransfer in die USA. 

CLOUD Act

Durch den Cloud Act (Clarifying Lawful Overseas Use of Data Act) wurde ein Gesetz am 23.03.2018 in Amerika erlassen, das amerikanische Anbieter verpflichtet, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Ein Widerspruchsrechts der Anbieter gilt hier nur für Bürger von Ländern, die den Cloud Act mit Amerika unterschrieben haben. Dieses wurde jedoch bislang nur von Großbritannien durchgeführt und gilt somit beispielsweise nicht für Bürger von Deutschland.

Foreign Intelligence Surveillance Act (FISA)

Mit der FISA (Foreign Intelligence Surveillance Act) wurde ein Gesetz in Amerika geschaffen, das der US-Regierung erlaubt, die Kommunikation von Nicht-US-Bürgern, die sich außerhalb der Vereinigten Staaten befinden für den Auslandsgeheimdienst anzufragen. Diese Reglung wird für den Zweck verwendet Inhalte von Mitteilungen anhand Merkmale wie E-Mail-Adressen, die mit Zielen des Geheimdienstes in Verbindung stehen zu überwachen. 

Vor diesem Hintergrund empfiehlt es sich jeden Einsatz wohl abzuwägen und zu überdenken.

Welche Daten werden von Cloudflare gespeichert?

Cloudflare leitet im Allgemeinen nur jene Daten weiter, die von Webseitenbetreibern gesteuert werden. Die Inhalte werden also nicht von Cloudflare bestimmt, sondern immer vom Webseitenbetreiber selbst. Zudem erfasst Cloudflare unter Umständen bestimmte Informationen zur Nutzung unserer Webseite und verarbeitet Daten, die von uns versendet werden oder für die Cloudflare entsprechende Anweisungen erhalten hat. In den meisten Fällen erhält Cloudflare Daten wie IP-Adresse, Kontakt- und Protokollinfos, Sicherheitsfingerabdrücke und Leistungsdaten für Webseiten. Protokolldaten helfen Cloudflare beispielsweise dabei, neue Bedrohungen zu erkennen.

Aus Sicherheitsgründen verwendet Cloudflare auch ein Cookie. Das Cookie (__cfduid) wird eingesetzt, um einzelne User hinter einer gemeinsam genutzten IP-Adresse zu identifizieren und Sicherheitseinstellungen für jeden einzelnen User anzuwenden. Wichtig zu wissen ist, dass dieses Cookie keine personenbezogenen Daten speichert, jedoch für die Cloudflare-Sicherheitsfunktionen unbedingt erforderlich ist und nicht deaktiviert werden kann.

Cloudflare speichert Informationen hauptsächlich in den USA und im Europäischen Wirtschaftsraum. Cloudflare kann die oben beschriebenen Informationen aus der ganzen Welt übertragen und darauf zugreifen. Im Allgemeinen speichert Cloudflare Daten auf User-Ebene für Domains in den Versionen Free, Pro und Business für weniger als 24 Stunden. Für Enterprise Domains, die Cloudflare Logs (früher Enterprise LogShare oder ELS) aktiviert haben, können die Daten bis zu 7 Tage gespeichert werden. Wenn allerdings IP-Adressen bei Cloudflare Sicherheitswarnungen auslösen, kann es zu Ausnahmen der oben angeführten Speicherungsdauer kommen.

Wie wird Cloudflare DSGVO-gerecht?

Beim Datenschutz gilt, dass dem Schutz von Daten immer eine Risikoabwägung zugrunde liegt, da eine 100 % Sicherheit nicht gewährleistet werden kann. Der Schutz von Daten unterliegt dabei einer Abwägung, die die Sensibilität und den Schutzbedarf berücksichtigt, der bei den Daten, die Cloudflare speichert, niedrig sein sollte, solange kein besonderer Kontext (s. besonders schützenswerte Daten etc.) betroffen ist. Cloudflare selbst kann beispielsweise Informationen nicht direkt auf die Person zurückführen, sondern ist dabei auf die Zuarbeit von ISPs angewiesen.

Cloudflare bietet eine Vielzahl von Mechanismen zur Sicherstellung von Garantien, Rechten und Rechtsmittel für betroffene Personen in der EU, deren Daten aus der EU in ein Drittland übermittelt werden, welches nicht unter die DSGVO fällt. Hierzu fallen folgende Mechanismen:

• Wenn die EU-Kommission entschieden hat, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, nachdem sie die Rechtsstaatlichkeit dieses Landes, die Achtung der Menschenrechte und Grundfreiheiten und eine Reihe anderer Faktoren bewertet hat;
• Wenn ein Verantwortlicher oder ein Auftragsverarbeiter verbindliche Unternehmensregeln aufgestellt hat;
• Wenn ein Verantwortlicher oder Auftragsverarbeiter über von der Kommission angenommene Standarddatenschutzklauseln verfügt; oder
• Wenn ein Verantwortlicher oder Auftragsverarbeiter einen genehmigten Verhaltenskodex oder einen genehmigten Zertifizierungsmechanismus eingeführt hat.

Weiterhin stützt sich Cloudflare auf die Standardvertragsklauseln (SVK) zur Übermittlung personenbezogener Daten in die USA, als Alternative zum Privacy Shield, welches durch Schrems-II unwirksam wurde.  Zusätzlich hat sich Cloudflare verpflichtet, falls sie dazu aufgefordert werden, alle Rechtsmittel auszuschöpfen, um Kunden vor nach illegalen oder verfassungswidrigen Anfragen zu schützen.

Abschließend bestätigt Cloudflare in Ihren halbjährigen Transparenzberichten, das sie keine Daten speichern, die über den Cloud Act oder FISA von US Behörden abgefragt werden darf. Sie bestätigen zudem öffentlich "keiner Regierung jemals einen Feed der unser Netzwerk durchlaufenden Kundeninhalte zur Verfügung gestellt zu haben." 

Neben diesem grundlegenden Schutz hat Cloudflare zudem ein weiteren Service in ihr Portfolio aufgenommen, das den Schutz für alle Cloudflare Enterprise Kunden auf eine weitere Ebene anhebt.

Wie können Kunden prüfen, dass die Standardvertragskauseln bei Cloudflare in Kraft getreten sind?

In Abhängigkeit des Supportlevels bei Cloudflare können Kunden auf unterschiedliche Weise prüfen, ob die Standardvertragsklauseln für sie greifen. Enterprise Kunden, die nach dem 8. August 2019 einen Vertrag abgeschlossen haben und keine kundenspezifische Vereinbarung getroffen haben, unterliegen den am 01. Oktober 2020 aktualisierten Standard-DPA (Enterprise Subscription Agreement). Für diese Kundengruppe besteht kein Handlungsbedarf, da das aktualisierte DPA per Verweis in diese Version unserer ESA aufgenommen wird. Kunden, die einen individuellen DPA-Vertrag mit Cloudflare abgeschlossen haben, sollten sich bei Fragen zu ihrem DPA an ihren Customer Success Manager wenden. Alle weiteren Kunden haben die Möglichkeit über das Self-Service Subscription Agreement die im Oktober 2020 aktualisierten Version einzusehen. Soweit die Verarbeitung

personenbezogenen Daten durch die DSGVO geregelt ist, enthält die DPA die EU-Standardvertragsklauseln für diese Daten. Weiterhin enthält die aktualisierte Datenschutzvereinbarung auch die oben erwähnten zusätzlichen Sicherheitsvorkehrungen. Die aktualisiertes Standard-DPA kann hier eingesehen werden.

Data Localisation Suite - Die erweitere Lösung zur Datenlokalisierung in der EU.

Die Data Localisation Suite vereint eine Reihe von Produkten, die Kunden die Kontrolle darüber geben, wo ihre Daten geprüft und gespeichert werden. Dadurch wird gewährleistet, das Daten so privat bleiben können wie es gewünscht ist und nur dorthin kommen, wo sie hin sollen.

Unter anderem ist folgendes Setup dadurch möglich:

• DDoS Angriffe können in ausschließlich europäischen Rechentrentenren erkannt und abgewehrt werden.
• Der Einsatz von TLS Verschlüsselung, WAF , CDN und Cloudflare Worker erfolgt nur auf europäischen Servern.
• Keyless SSL und Geo Key Manager speichern private SSL-Schlüssel auf europäischen Servern
• Edge Log Delivery überträgt Logs direkt an einen Partner ohne die im eigenen Hauptrechenzentrum zu durchlaufen.
• Cloudflare Regional Services hilft bei der Entscheidung, wo Daten verarbeitet werden sollen, ohne die Sicherheits- und Performance-Vorteile von Cloudflare zu verlieren.

Fazit

Cloudflare bietet trotz Hauptsitz in den Vereinigten Staaten einen Schutz gemäß der DSGVO. Wer seine Daten zudem in Europa belassen möchte, kann mit dem Einsatz von Cloudflare Enterprise und der Data Localisation Suite einen Schutz anbieten, der europäische Anbieter ebenbürtig ist.

Beim Datenschutz gilt, dass dem Schutz von Daten immer eine Risikoabwägung zugrunde liegt, da eine 100 % Sicherheit nicht gewährleistet werden kann. Der Schutz von Daten unterliegt dabei einer Abwägung, die die Sensibilität und den Schutzbedarf berücksichtigt, der bei den Daten, die Cloudflare speichert, niedrig sein sollte. Für eine genaue individuelle Einschätzung sollten sie Ihren Datenschutzbeauftragten zur Risikoabwägung nach TIA (Transfer Impact Assessment) einbeziehen.

Ihr steht vor der Entscheidung Cloudflare im Unternehmen einzuführen? Du kannst uns einfach ansprechen und  wir unterstützen dich gerne bei der Einführung. Wie wir dich sonst noch unterstützen können, erfährst du hier: https://www.synaigy.com/details/cloud-transformation

Unsere Quellen:

https://blog.cloudflare.com/empowering-your-privacy/
https://www.cloudflare.com/de-de/enterpriseterms/
https://www.cloudflare.com/de-de/terms/
https://www.cloudflare.com/de-de/cloudflare-customer-dpa/
https://www.cloudflare.com/de-de/data-localization/
https://www.cloudflare.com/de-de/press-releases/2022/cloudflare-joins-eu-cloud-code-of-conduct-achieves-new-certifications-to/
https://de.wikipedia.org/wiki/CLOUD_Act
https://de.wikipedia.org/wiki/Foreign_Intelligence_Surveillance_Act
https://de.wikipedia.org/wiki/EU-US_Privacy_Shield
https://www.srd-rechtsanwaelte.de/blog/transfer-impact-assessment/