Cloudflare hat als eines der ersten Unternehmen in unserer Branche die Zertifizierung ISO/IEC 27701:2019 erhalten. Außerdem sind wir der erste Anbieter von Web-Performance- und Sicherheitsdiensten, der sowohl als Auftragsverarbeiter als auch als Verantwortlicher gemäß der neuen ISO-Datenschutznorm zertifiziert wurde.

Transparenz bei unseren Datenschutzpraktiken war uns schon immer ein großes Anliegen. Außerdem legen wir Wert darauf, in Sachen Datenschutz unseren Worten auch Taten folgen zu lassen: Wir sind kontinuierlich auf der Suche nach Möglichkeiten, unser Engagement in diesem Bereich unter Beweis zu stellen. Nach Einführung des schnellsten auf Datenschutz ausgerichteten öffentlichen DNS-Resolver des Internet, 1.1.1.1, haben wir beispielsweise nicht nur unsere Verpflichtungen gegenüber den Nutzern dieses Resolver veröffentlicht, sondern deren Einhaltung durch eine unabhängige Firma überprüfen und bestätigen lassen. Wir bloggen auch darüber und haben den entsprechenden Bericht veröffentlicht.

Dieser Tradition folgend freuen wir uns, heute bekannt geben zu können, dass Cloudflare sowohl als Verantwortlicher von Kundendaten als auch als Auftragsverarbeiter gemäß einer neuen internationalen Datenschutznorm für den Schutz und die Verwaltung der Verarbeitung personenbezogener Daten zertifiziert wurde: ISO/IEC 27701:2019. Die Anforderungen, denen Unternehmen für die Zertifizierung gemäß dieser Norm gerecht werden müssen, sind sehr eng an den Vorgaben der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union angelehnt. Insofern gibt diese Zertifizierung unseren Kunden die Gewissheit, dass die Datenschutzregeln von Cloudflare an die DSGVO angelehnte Branchenstandards erfüllt, weil dies von unabhängigen Dritten bestätigt wurde.

Was ist ISO/IEC 27701:2019?

Die International Organization for Standardization („ISO“) ist eine internationale nichtstaatliche Organisation, die sich aus nationalen Normungsorganisationen zusammensetzt. Diese entwickelt und veröffentlicht eine Vielzahl von geschützten, branchenbezogenen und gewerblichen Standards. Im August 2019 hat die ISO ISO/IEC 27701:2019 („ISO 27701“) vorgestellt, eine neue internationale Norm für den Schutz personenbezogener Daten und deren Verarbeitung.

Sie stellt eine Datenschutzerweiterung für die bestehenden und weit verbreiteten Branchenstandards ISO/IEC 27001 und ISO/IEC 27002 dar, die 2005 erstmals von der ISO veröffentlicht wurden. Sie beschreiben, wie ein Information Security Management System (Informationssicherheits-Managementsystem – „ISMS“) eingerichtet und ausgeführt werden kann. Die ISO berichtet inzwischen, dass derzeit über 36.000 Organisationen in 131 Ländern unabhängig gemäß ISO/IEC 27001 zertifiziert wurden. Geprüfte ISO-Zertifizierungen werden an Organisationen vergeben, denen ein unabhängiger externer Auditor bescheinigt, dass sie einen bestimmten veröffentlichten Standard erfüllen. Die Auditoren sind auch selbst akkreditiert – bei der Zertifizierungsreihe ISO 27000 ebenfalls nach veröffentlichten internationalen ISO-Normen.

ISO 27701, eine Erweiterung der Normen ISO/IEC 27001 und ISO/IEC 27002, ist noch keine zwei Jahre alt und nutzt das ISMS-Konzept als Basis für ein Privacy Information Management Systems („PIMS“). Bestimmte Anforderungen stellen sicher, dass dieses Datenschutzmanagementsystem robust ist und kontinuierlich verbessert wird, damit die festgelegten Ziele erreicht werden.

Wir freuen uns über diese neue Zertifizierung, da ISO 27701 die Anforderungen der richtungsweisenden und umfassenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union abbildet. Artikel 42 der DSGVO befürwortet:

... die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen, die dazu dienen, nachzuweisen, dass diese Verordnung bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird.

Zwar verlangt Artikel 42 die Entwicklung von DSGVO-Zertifizierungen, doch vorerst existieren solche offiziellen Zulassungen noch nicht, weil bislang keine von den offiziellen Stellen bestätigt wurden – weder vom europäischen Datenschutzausschuss in der Europäischen Union noch von der Geschäftsstelle des Datenschutzbeauftragten des Vereinigten Königreichs. Bei ihrer Veröffentlichung enthielt die Norm ISO 27701 einen Anhang D, in dem ausgeführt wurde, wie sich die Norm zu der DSGVO verhält.

Dieser Anhang enthält eine indikative Zuordnung der Bestimmungen dieses Dokuments zu den Artikeln 5 bis 49 der Datenschutz-Grundverordnung der Europäischen Union mit Ausnahme von Artikel 43. Der Anhang legt dar, inwieweit die Einhaltung der Anforderungen und Regelungen dieses Dokuments für die Erfüllung der Verpflichtungen der DSGVO relevant sein kann.

ISO-Normen beziehen sich oft auf andere internationale ISO-Normen und verweisen auf diese. Es ist jedoch ungewöhnlich, dass sie auf Nicht-ISO-Normen Bezug nehmen, insbesondere wenn es sich dabei um Vorschriften einer bestimmten Weltregion handelt. Bis die DSGVO-Aufsichtsbehörden einen offiziellen Zertifizierungsmechanismus einführen, bietet ISO 27701 eine hervorragende Möglichkeit, die Einhaltung der Verordnung durch externe Auditoren nachzuweisen.

Was bedeutet unsere ISO 27701-Zertifizierung für Cloudflare-Kunden?

Einfach ausgedrückt, bietet die ISO 27701-Zertifizierung unseren Kunden die Gewissheit, dass wir uns an Datenschutzregeln halten, die von einem Dritten auf die Einhaltung eines auf die DSGVO-abgestimmten, internationalen Branchenstandards überprüft wurden. Somit sind wir dazu verpflichtet, für kontinuierliche Konformität unserer Datenschutzregeln zu sorgen. Neben dem Zusatz zur Datenverarbeitung (Data Processing Addendum – DPA), den wir unseren Kunden im Dashboard zugänglich machen, bietet diese Zertifizierung unseren Kunden die mehrfache Zusicherung, dass Cloudflare beim Umgang mit allen von uns verarbeiteten personenbezogenen Daten die Vorgaben der DSGVO einhält.

Ein eingehenderer Blick auf einige der Anforderungen der ISO 27701-Norm

Diese schreibt 31 Regelungen für Organisationen vor, die „Verantwortliche“ für personenbezogene Daten sind, und 18 zusätzliche Regelungen für „Auftragsverarbeiter“ personenbezogener Daten. Da Cloudflare für Kundendaten beide Funktionen übernimmt, mussten wir alle 49 Vorgaben einhalten.

Dabei handelt es sich im Wesentlichen um eine Reihe von Best Practices, die von Verantwortlichen und Auftragsverarbeitern angewandt werden müssen, u. a. in Bezug auf den Umgang mit Daten und die Transparenz dieser Praktiken, die Dokumentation einer Rechtsgrundlage für die Verarbeitung und die Übermittlung von Daten in Drittländer (außerhalb der EU) sowie den Umgang mit den Rechten der betroffenen Personen.

1. Beispielanforderung:
Organisationen sollten Richtlinien einhalten und spezifische Verfahren im Zusammenhang mit der internationalen Übermittlung personenbezogener Daten dokumentieren.

Cloudflare erfüllt diese Anforderung durch die Anwendung einer internen Richtlinie, die die Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsräumen einschränkt, sofern dabei keine definierten Kriterien eingehalten werden. Kunden – ob diese unsere Dienste nun gebührenfrei nutzen oder dafür zahlen – vereinbaren mit Cloudflare einen Standardzusatz zur Datenverarbeitung, der über unser Kunden-Dashboard zugänglich ist und die Beschränkungen festlegt, die wir bei der Verarbeitung personenbezogener Daten im Namen von Kunden einhalten müssen. Dazu zählt die Übermittlung personenbezogener Daten zwischen verschiedenen Rechtsräumen. Darüber hinaus veröffentlicht Cloudflare eine Liste von Unterauftragsverarbeitern, die wir bei der Verarbeitung personenbezogener Daten einsetzen können. Außerdem wird angegeben, in welchen Ländern oder Rechtsräumen diese Verarbeitung stattfinden kann.

2. Beispielanforderung:
Organisationen sollten Ziele zur Minimierung personenbezogener Daten verfolgen und diese sowie die Mechanismen, die zu ihrer Erreichung eingesetzt werden, dokumentieren.

Cloudflare unterhält interne Richtlinien darüber, wie wir Daten während ihres gesamten Lebenszyklus verwalten, einschließlich der Ziele der Datenminimierung. In der Tat beginnt unser Engagement für den Datenschutz mit dem Ziel der Minimierung personenbezogener Daten. Deshalb ziehen wir es vor, bestimmte personenbezogene Daten gar nicht erst zu erheben, wenn wir sie nicht benötigen, um Kunden unseren Service bereitzustellen. Wo dies erforderlich ist, erheben wir nur so viele Daten wie nötig, um den identifizierten Zweck zu erreichen. Zudem werden die Daten von uns nur so lange wie nötig verarbeitet, wobei wir die Verarbeitung in unserer öffentlichen Datenschutzrichtlinie transparent dokumentieren.

Wir sind auch stolz darauf, dass wir eine „Privacy by Design“-Richtlinie entwickelt haben. Diese legt streng die hohen Standards und Bewertungen fest, die angewandt werden müssen, wenn durch Produkte und Dienstleistungen personenbezogene Daten gesammelt und verarbeitet werden sollen. Wir nutzen diese Mechanismen, um sicherzustellen, dass unsere Erfassung und Verwendung von personenbezogenen Daten begrenzt und transparent dokumentiert ist.

Cloudflare erhält die Zertifizierung ISO 27701:2019

Das PIMS von Cloudflare wurde im März 2021 von einem externen Auditor, A-LIGN, bewertet. Die Zertifizierung nach der Datenschutznorm ISO 27701 beinhaltet einen mehrstufigen Prozess, der Folgendes umfasst:

  • Verständnis der Norm und entsprechende Planung
  • Festlegen und Anpassen der Kontrollen, die die Organisation implementieren wird
  • internes Audit in Bezug auf die Anforderungen
  • externes Audit hinsichtlich der Norm (wiederum ein zweistufiger Prozess)

Danach kann das Unternehmen von dem unabhängigen Auditor die Zertifizierung gemäß der Norm erhalten. Anschließend wird das Datenschutzmanagementsystem durch jährlich stattfindende interne und externe Audits laufend bewertet und verbessert.

Cloudflare zählt zu den Ersten, die sowohl als Auftragsverarbeiter von Kundendaten als auch als Datenverantwortlicher für diese zertifiziert wurden. Das bedeutet, dass Cloudflare als eines der ersten Unternehmen unserer Branche diesen Standard erreicht hat. Außerdem wurden wir als erster Anbieter von Web-Performance- und Sicherheitsdiensten sowohl als Datenverantwortlicher als auch als Auftragsverarbeiter gemäß ISO 27001 zertifiziert. Neben der bereits bestehenden Zertifizierung von Cloudflare gemäß ISO 27701:2013 können sich Kunden auf Anfrage bei ihren Ansprechpartnern im Vertrieb nun auch die neue ISO 27701:2019-Zertifizierung vorlegen lassen.

Cloudflare-Zertifizierungen

Weitere Informationen zu unseren Zertifizierungen und Berichten finden Sie auf unserer Datenschutz- und Compliance-Seite: www.cloudflare.com/compliance. Bei Fragen erreichen Sie uns auch unter [email protected].