Happy Data Privacy Day 2022! Hier bei Cloudflare ist natürlich jeder Tag ein Privacy Day. Heute nutzen wir diesen Anlass jedoch, um über eines unserer Lieblingsthemen zu sprechen.
Zu Ehren des Datenschutztags, bzw. Privacy Day, beleuchten wir einige Schlüsselthemen im Bereich Datenschutz und Datensicherheit, die die Landschaft im Jahr 2021 geprägt haben, sowie die Themen, über die wir 2022 nachdenken werden. Die erste Kategorie, die unsere Aufmerksamkeit erhält, ist die Überschneidung von Datensicherheit und Datenschutz. Wir bei Cloudflare haben in datenschutzfreundliche Technologien und Sicherheitsmaßnahmen investiert, die den Datenschutz verbessern, um die dritte Phase des Internets, die Datenschutzphase, aufzubauen, und wir gehen davon aus, dass wir diese Entwicklungen im Jahr 2022 noch verstärken werden.
Die zweite Kategorie ist die Datenlokalisierung. Wir sind zwar nicht der Meinung, dass man eine Lokalisierung braucht, um Datenschutz zu erreichen, aber die beiden Aspekte sind in der EU-Rechtslandschaft und anderswo untrennbar miteinander verbunden.
Drittens haben uns die jüngsten behördlichen Durchsetzungsmaßnahmen in der EU gegen die Verwendung von Cookies durch Websites dazu veranlasst, darüber nachzudenken, wie wir Websites dabei helfen können, Tools von Drittanbietern, z. B. Analytics-Tools, schneller, sicherer und datenschutzfreundlicher einzusetzen.
Schließlich werden wir uns weiterhin auf die Einführung neuer oder aktualisierter Datenschutzbestimmungen in der ganzen Welt sowie auf die Regulierung digitaler Dienste konzentrieren, die unweigerlich Auswirkungen darauf haben werden, wie personenbezogene und nicht-personenbezogene Daten weltweit verwendet und übertragen werden.
Sicherheit zum Schutz der Privatsphäre
Cloudflare hat es sich zur Aufgabe gemacht, ein besseres Internet zu schaffen und sich dabei auf Produkte und Dienstleistungen zu konzentrieren, bei denen der Datenschutz im Vordergrund steht. Wir haben schon einmal darüber geschrieben, dass wir der Meinung sind, dass ein wichtiger Weg zur Verbesserung des Datenschutzes darin besteht, die Menge an persönlichen Daten, die durch das Internet fließen, zu reduzieren. Dies hat zur Entwicklung und Einführung von Technologien geführt, die dazu beitragen, dass persönliche Daten privat bleiben und vor Angreifern geschützt werden. Beispiele für prominente Technologien sind der öffentliche DNS-Resolver 1.1.1.1 von Cloudflare – der schnellste und datenschutzfreundlichste öffentliche DNS-Resolver im Internet, der keine persönlichen Daten über gestellte Anfragen speichert — und Oblivious DNS over HTTPs (ODoH) —ein vorgeschlagener DNS-Standard, der von Entwicklern von Cloudflare, Apple und Fastly mitverfasst wurde und IP-Adressen von Anfragen trennt, sodass keine einzelne Instanz beide gleichzeitig sehen kann.
Wir freuen uns darauf, im Jahr 2022 weiter an Technologien zur Verbesserung des Datenschutzes zu arbeiten, einschließlich der Bemühungen, die ODoH-Technologie auf jeden Anwendungs-HTTP-Traffic durch Oblivious HTTP (OHTTP) zu übertragen. Cloudflare ist stolz darauf, einen aktiven Beitrag zur Arbeitsgruppe OHAI (Oblivious HTTP Application Intermediation) der Internet Engineering Task Force zu leisten, in der Oblivious HTTP entwickelt werden soll. Ähnlich wie ODoH erlaubt OHTTP einem Client, mehrere Anfragen an einen Server zu stellen, ohne dass der Server in der Lage ist, diese Anfragen mit dem Client zu verknüpfen oder die Anfragen als von demselben Client stammend zu identifizieren.
Es gibt jedoch Situationen, in denen die Wahrung der Identität wichtig ist, z. B. wenn Sie versuchen, von zu Hause aus auf das Netzwerk Ihres Arbeitgebers zuzugreifen – eine Situation, mit der viele von uns in den letzten zwei Jahren nur allzu vertraut geworden sind. Unternehmen sollten sich jedoch nicht zwischen dem Schutz der Privatsphäre und der Implementierung von Zero Trust-Lösungen entscheiden müssen, um ihre Netzwerke vor häufigen Fallstricken bei der Remote-Arbeit zu schützen: Mitarbeiter, die von zu Hause aus arbeiten und nicht über sichere Methoden auf ihre Arbeitsnetzwerke zugreifen oder Opfer von Phishing- und Malware-Angriffen werden.
Wir haben also nicht nur die Zero Trust-Services von Cloudflare entwickelt, um Unternehmen dabei zu helfen, ihre Netzwerke zu sichern, sondern wir sind auch über die reine Sicherheit hinausgegangen, um Zero Trust-Produkte zu entwickeln, die den Datenschutz verbessern. Im Jahr 2021 machte das Cloudflare Zero Trust-Team einen großen Schritt in Richtung Datenschutz, indem es Selective Logging in Cloudflare Gateway einbaute und einführte. Cloudflare Gateway ist eine Komponente unserer Service-Suite, die Unternehmen hilft, ihre Netzwerke zu sichern. Weitere Komponenten sind der Zero Trust-Zugang für die Anwendungen eines Unternehmens, der die Authentifizierung von Nutzern in unserem globalen Netzwerk ermöglicht, und eine schnelle und zuverlässige Lösung für das Remote-Browsing, die es Unternehmen ermöglicht, den gesamten Browser-Code in der Cloud auszuführen.
Mit Selective Logging können Gateway-Administratoren jetzt ihre Protokolle anpassen oder die gesamte Gateway-Protokollierung deaktivieren, um den Datenschutz im Unternehmen zu gewährleisten. Admins können die Protokollierung nur für Block-Aktionen aktivieren (“Enable Logging of only Block Actions”), Gateway-Protokollierung für personenbezogene Informationen deaktivieren (“Disable Gateway Logging for Personal Information), oder einfach jegliche Gateway-Protokollierung deaktivieren (“Disable All Gateway Logging"). Auf diese Weise kann ein Unternehmen entscheiden, keine personenbezogenen Daten von Nutzern zu erfassen, die auf ihre internen Organisationsnetze zugreifen. Je weniger personenbezogene Daten gesammelt werden, desto geringer ist die Wahrscheinlichkeit, dass sie gestohlen, weitergegeben oder missbraucht werden. Gleichzeitig schützt Gateway Unternehmen, indem es Malware- oder Command & Control-Seiten, Phishing-Seiten und andere URLs blockiert, die von den Sicherheitsrichtlinien des Unternehmens nicht zugelassen werden.
Da viele Arbeitgeber dazu übergegangen sind, zumindest in Teilzeit dauerhaft auf Remote-Arbeit umzustellen, werden Zero-Trust-Lösungen auch im Jahr 2022 wichtig sein. Wir freuen uns, diesen Arbeitgebern Tools an die Hand zu geben, die ihnen helfen, ihre Netzwerke so zu sichern, dass sie gleichzeitig die Privatsphäre ihrer Mitarbeiter schützen können.
Natürlich können wir nicht über Sicherheitsfragen zum Schutz der Privatsphäre sprechen, ohne die Sicherheitslücke Log4j zu erwähnen, die im letzten Monat aufgedeckt wurde. Diese Sicherheitslücke hat gezeigt, wie wichtig die Sicherheit für den Schutz der Privatsphäre persönlicher Daten ist. Wir haben die Funktionsweise dieser Sicherheitslücke eingehend erläutert, aber zusammenfassend lässt sich sagen, dass die Sicherheitslücke es einem Angreifer ermöglicht, Code auf einem entfernten Server auszuführen. Dies kann die Ausnutzung von Java-basierter, internetorientierter Software ermöglichen, die Log4j verwendet. Was Log4j jedoch noch heimtückischer macht, ist die Tatsache, dass auch nicht-internetorientierte Software ausgenutzt werden kann, da Daten von System zu System weitergegeben werden. So könnte beispielsweise eine User-Agent-Zeichenfolge, die den Exploit enthält, an ein in Java geschriebenes Backend-System weitergeleitet werden, das Indizierungs- oder Data-Science-Aufgaben übernimmt, und der Exploit könnte protokolliert werden. Selbst wenn die Software, die dem Internet zugewandt ist, nicht in Java geschrieben ist, ist es möglich, dass Zeichenfolgen an andere Systeme weitergeleitet werden, die in Java geschrieben sind, sodass der Exploit passieren kann.
Das bedeutet, dass ein Angreifer, wenn die Sicherheitslücke nicht behoben wird, Code ausführen kann, der nicht nur Daten von einem Webserver exfiltriert, sondern auch personenbezogene Daten aus Backend-Datenbanken stiehlt, die nicht mit dem Internet verbunden sind, wie z. B. Abrechnungssysteme. Und weil Java und Log4j so weit verbreitet sind, waren Tausende von Servern und Systemen betroffen, was bedeutete, dass die persönlichen Daten von Millionen von Benutzern gefährdet waren.
Wir sind stolz darauf, dass wir innerhalb weniger Stunden nach Bekanntwerden der Log4j-Sicherheitslücke neue WAF-Regeln eingeführt haben, die alle Websites unserer Kunden (und unsere eigenen) vor dieser Sicherheitslücke schützen. Darüber hinaus waren wir und unsere Kunden in der Lage, unser Zero Trust-Produkt Cloudflare Access zu nutzen, um den Zugang zu internen Systemen zu schützen. Sobald wir oder ein Kunde Cloudflare Access auf der identifizierten Angriffsfläche aktiviert hatten, musste sich der Angreifer bei jedem Angriffsversuch auf die Systeme von Cloudflare oder auf die Systeme der Kunden authentifizieren. Die Möglichkeit, Server-, Netzwerk- oder Traffic-Daten zu analysieren, die von Cloudflare im Zuge der Bereitstellung unseres Dienstes für die große Anzahl von Internetanwendungen, die uns nutzen, generiert werden, hat uns geholfen, alle Kunden von Cloudflare besser zu schützen. Wir waren nicht nur in der Lage, WAF-Regeln zu aktualisieren, um die Sicherheitslücke zu entschärfen, Cloudflare konnte die Daten nutzen, um WAF-Umgehungsmuster und Exfiltrationsversuche zu identifizieren. Diese Informationen ermöglichten es unseren Kunden, Angriffsvektoren in ihren eigenen Netzwerken schnell zu identifizieren und das Risiko eines Schadens zu mindern.
Wie wir weiter unten erläutern, erwarten wir, dass die Debatte über die Datenlokalisierung auch 2022 weitergehen wird. Gleichzeitig ist es wichtig zu erkennen, dass es für Unternehmen, die gezwungen sind, Daten nach Gerichtsbarkeiten zu segmentieren oder den Zugriff auf Daten über die Grenzen von Gerichtsbarkeiten hinweg zu verhindern, schwieriger gewesen wäre, die Art von Maßnahmen zu ergreifen, die wir schnell bereitstellen konnten, um unseren Kunden zu helfen, ihre eigenen Websites und Netzwerke vor Log4j zu schützen. Wir sind der Meinung, dass sowohl der Datenschutz als auch die Sicherheit der Daten gewährleistet werden müssen, unabhängig davon, in welchem Land die Daten gespeichert sind oder durch welches Land sie fließen. Und wir sind der Meinung, dass diejenigen, die auf der Datenlokalisierung als Ersatz für den Datenschutz bestehen, den Sicherheitsmaßnahmen einen schlechten Dienst erweisen. Die Sicherheitsmaßnahmen sind nämlich für den Schutz der Privatsphäre personenbezogener Daten ebenso wichtig wie die Vorschriften, wenn nicht sogar noch wichtiger.
Datenlokalisierung
Datenlokalisierung war 2021 ein wichtiger Schwerpunkt, und es gibt keine Anzeichen dafür, dass dies 2022 nachlässt. In der EU hat die österreichische Datenschutzbehörde (die Datenschutzbehörde) den Ton für dieses Jahr angegeben. Sie veröffentlichte am 13. Januar eine Entscheidung, in der sie feststellte, dass ein europäisches Unternehmen Google Analytics nicht verwenden dürfe, da dies bedeute, dass personenbezogene Daten aus der EU in die Vereinigten Staaten übermittelt würden, was die Aufsichtsbehörde als Verstoß gegen die EU-Datenschutzgrundverordnung (DSGVO) in der Auslegung des Urteils des Gerichtshofs der Europäischen Union aus dem Jahr 2020 in der Rechtssache „Schrems II“ ansah.
Wir sind weiterhin nicht der Ansicht, dass die Schrems-II-Entscheidung bedeutet, dass personenbezogene Daten aus der EU nicht in die Vereinigten Staaten übermittelt werden dürfen. Stattdessen glauben wir, dass es Schutzmaßnahmen gibt, die solche Übertragungen gemäß den EU Standardvertragsklauseln (Standard Contractual Clauses – SCCs) (von der EU-Kommission genehmigte Vertragsklauseln, die die Übertragung personenbezogener Daten aus der EU in Länder außerhalb der EU ermöglichen) in einer Weise ermöglichen, die mit der Schrems II-Entscheidung vereinbar ist. Cloudflare hat schon lange vor der Schrems II-Entscheidung Datenschutzgarantien eingeführt, wie z.B. unsere branchenführenden Verpflichtungen zu staatlichen Datenanfragen. Wir haben unser Datenverarbeitungs-Addendum (Data Processing Addendum – DPA) aktualisiert, um die von der EU-Kommission im Jahr 2021 genehmigten SCCs zu übernehmen. Wir haben auch zusätzliche Schutzmaßnahmen hinzugefügt, wie in den EDPB-Empfehlungen vom Juni 2021 zu ergänzenden Maßnahmen beschrieben. Schließlich sind die Dienste von Cloudflare nach der ISO-Norm 27701 zertifiziert, die den Anforderungen der Datenschutz-Grundverordnung entspricht.
In Anbetracht dieser Maßnahmen können unsere EU-Kunden die Dienste von Cloudflare in einer Weise nutzen, die mit der DSGVO und der Schrems-II-Entscheidung vereinbar ist. Wir sind uns jedoch bewusst, dass viele unserer Kunden möchten, dass ihre personenbezogenen Daten in der EU bleiben. Einige unserer Kunden aus Branchen wie dem Gesundheitswesen, dem Rechtswesen und dem Finanzwesen können beispielsweise zusätzliche Anforderungen stellen. Aus diesen Gründen haben wir unsere Data Localization Suite entwickelt, mit der Kunden die Kontrolle darüber haben, wo ihre Daten geprüft und gespeichert werden.
Cloudflare’s Data Localization Suite bietet eine praktikable Lösung für unsere Kunden, die vermeiden wollen, dass personenbezogene Daten aus der EU außerhalb der EU übertragen werden, und das in einer Zeit, in der die europäischen Aufsichtsbehörden den Datentransfers in die Vereinigten Staaten immer kritischer gegenüberstehen. Wir freuen uns besonders über die Komponente Customer Metadata Boundary der Data Localization Suite, da wir einen Weg gefunden haben, um zur Identifizierung von Kunden geeignete Endbenutzer-Protokolldaten in der EU zu behalten, ohne unsere Fähigkeit zu beeinträchtigen, die Sicherheitsdienste zu leisten, die unsere Kunden von uns erwarten.
Im Jahr 2022 werden wir unser Angebot zur Datenlokalisierung weiter verfeinern und in andere Regionen expandieren, in denen Kunden einen Bedarf an der Lokalisierung ihrer Daten sehen. Im Jahr 2021 trat das chinesische Gesetz zum Schutz personenbezogener Daten mit seinen Anforderungen an die Datenlokalisierung und den grenzüberschreitenden Datentransfer in Kraft, und es ist davon auszugehen, dass andere Länder oder vielleicht auch bestimmte Branchenrichtlinien im Jahr 2022 in irgendeiner Form nachziehen werden.
Datenschutzfreundliche Analytics
Wir gehen davon aus, dass Tracker (Cookies, Web Beacons usw.) auch im Jahr 2022 ein Schwerpunktthema sein werden, und wir freuen uns darauf, eine neue Ära einzuläuten, die Websites dabei hilft, Tools von Drittanbietern, wie z. B. Analytics-Tools, schneller, sicherer und datenschutzfreundlicher einzusetzen. Wir haben bereits 2020 über datenschutzfreundliche Analytics nachgedacht, als wir Web Analytics — auf den Markt brachten, ein Produkt, das es Websites ermöglicht, Analytics-Daten über ihre Nutzer zu sammeln, ohne clientseitigen Code zu verwenden.
Dennoch sind Cookies, Web-Beacons und ähnliche clientseitige Tracker im Internet allgegenwärtig. Jedes Mal, wenn ein Website-Betreiber diese Tracker verwendet, öffnet er seine Website für potenzielle Sicherheitslücken und riskiert, das Vertrauen seiner Nutzer zu untergraben, die der „Cookie-Akzeptanz“-Banner überdrüssig geworden sind und befürchten, dass ihre persönlichen Daten im Internet gesammelt und nachverfolgt werden. Es muss doch einen besseren Weg geben, oder? Tatsächlich gibt es einen solchen.
Wie in diesem Blog-Beitrag näher erläutert, ermöglicht das Zaraz-Produkt von Cloudflare nicht nur ein schnelleres Laden und eine höhere Interaktivität einer Website, sondern es reduziert auch die Menge an Drittanbieter-Code, der auf einer Website ausgeführt werden muss, was diese sicherer macht. Und diese Lösung ist auch datenschutzfreundlich: Sie ermöglicht dem Website-Betreiber die Kontrolle über die an Dritte gesendeten Daten. Durch die Verlagerung der Ausführung der Tools von Drittanbietern in unser Netzwerk können die Website-Betreiber erkennen, ob die Tools versuchen, personenbezogene Daten zu sammeln, und, falls dies der Fall ist, die Daten ändern, bevor sie an die Analytics-Provider weitergeleitet werden (z. B. URL-Abfragen entfernen, IP-Adressen der Endnutzer entfernen). Wie wir schon so oft gesagt haben, ist es der Privatsphäre dienlich, wenn wir die Menge der über das Internet gesendeten personenbezogenen Daten reduzieren können.
Die Datenschutzlandschaft verändert sich
Wie ein altes Sprichwort besagt, ist die einzige Konstante der Wandel. Und wie schon 2021 wird auch 2022 zweifellos ein Jahr fortgesetzter regulatorischer Änderungen sein, da neue Gesetze erlassen oder geändert werden oder in Kraft treten, die direkt oder indirekt die Erhebung, Verwendung und den grenzüberschreitenden Fluss personenbezogener Daten regeln.
In den Vereinigten Staaten beispielsweise müssen sich die Unternehmen im Jahr 2022 auf den California Privacy Rights Act (CPRA) vorbereiten, der am 1. Januar 2023 in Kraft tritt. Wichtig ist, dass das CPRA „rückwirkende Anforderungen“ (“retrospective requirements”) enthält, d. h. die Unternehmen müssen zurückblicken und die Vorschriften auf personenbezogene Daten anwenden, die ab dem 1. Januar 2022 erhoben wurden. Auch die Datenschutzgesetze von Virginia und Colorado treten im Jahr 2023 in Kraft. Und eine Reihe anderer Staaten, darunter Florida, Washington, Indiana und der District of Columbia, haben eigene Datenschutzgesetze vorgeschlagen. Die meisten dieser Gesetze zielen darauf ab, den Verbrauchern mehr Kontrolle über ihre persönlichen Daten zu geben – etwa durch die Festlegung von Rechten der Verbraucher auf Zugang und Löschung ihrer Daten - und Unternehmen zu verpflichten, diese Rechte zu schützen und zu respektieren.
In anderen Teilen der Welt ist ein Wandel in der Datenschutzgesetzgebung zu beobachten. Die Datenschutzgesetze konzentrieren sich nicht mehr nur auf personenbezogene Daten, sondern sie erweitern sich, um den Fluss aller Arten von Daten zu regeln. Das deutlichste Beispiel dafür ist Indien, wo ein Parlamentsausschuss im Dezember 2021 empfahl, die „Personal Data Protection Bill“ in „Data Protection Bill“ umzubenennen und seinen Geltungsbereich auf nicht-personenbezogene Daten auszuweiten. Der Gesetzentwurf würde Organisationen dazu verpflichten, auf nicht-personenbezogene Daten den gleichen Schutz zu gewähren, den die bestehenden Datenschutzgesetze auf personenbezogene Daten ausdehnen. Die vorgeschlagenen Aktualisierungen des indischen Datenschutzgesetzes haben erhebliche Auswirkungen. Sie könnten die Art und Weise, in der Unternehmen nicht-personenbezogene Daten für Analytics und betriebliche Verbesserungen nutzen, drastisch beeinflussen.
Indien ist nicht das einzige Land, das vorschlägt, den Anwendungsbereich der Datenregulierung auf nicht-personenbezogene Daten auszuweiten. Die https://digital-strategy.ec.europa.eu/en/policies/strategy-dataDatenstrategie der Europäischen Union zielt darauf ab, einen sicheren Rahmen zur Förderung des Datenaustauschs zu schaffen, mit dem erklärten Ziel, dass dieser Austausch Innovationen vorantreibt und die Digitalisierung der europäischen Wirtschaft beschleunigt.
Weitere Datenschutzgesetze, auf die man 2022 ein Auge haben sollte, sind die Änderung des japanischen Gesetzes zum Schutz personenbezogener Daten (Act on Protection of Personal Information – APPI) und das thailändische Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act – PDPA), die 2022 in Kraft treten werden. Zu den vorgeschlagenen Änderungen des japanischen APPI gehören Anforderungen, die erfüllt werden müssen, um japanische personenbezogene Daten außerhalb Japans zu übertragen, sowie die Einführung von Meldepflichten bei Datenschutzverletzungen. In der Zwischenzeit zielt das thailändische PDPA wie die GDPR darauf ab, personenbezogene Daten von Einzelpersonen zu schützen, indem es Organisationen, die solche personenbezogenen Daten sammeln, verarbeiten und übertragen, Verpflichtungen auferlegt.
Angesichts all dieser Technologien zur Verbesserung des Datenschutzes und der sich abzeichnenden regulatorischen Änderungen erwarten wir, dass 2022 ein weiteres aufregendes Jahr in der Welt des Datenschutzes und der Privatsphäre sein wird. Also: Happy Data Privacy Day!