How to Build a Global Network that Complies with Local Law

Wir haben uns im Laufe dieser Woche ausführlich mit den technischen Lösungen befasst, die von Cloudflare-Ingenieuren entwickelt werden, um den Datenschutz zu verbessern sowie eine größere Kontrolle über Daten zu ermöglichen und auf diese Weise unseren Kunden bei der Bewältigung regulatorischer Herausforderungen zu helfen. Doch nicht alle Herausforderungen können auf technischem Weg gelöst werden. Manchmal müssen wir Richtlinien und Verfahren entwickeln, mit denen wir die Anliegen unserer Kunden vorwegnehmen. Diese Herangehensweise wenden wir seit Jahren bei Datenanfragen rechtlicher Natur an, unter anderem seitens Behörden.

Behörden in aller Welt haben seit langem ein Interesse daran, Zugang zu Online-Datensätzen zu erhalten. Manchmal suchen die Strafverfolgungsbehörden nach Beweisen, die für strafrechtliche Ermittlungen relevant sind. Manchmal versuchen Geheimdienste, mehr darüber zu erfahren, was ausländische Regierungen oder Akteure machen. Und Online-Service-Provider aller Art dienen oft als Zugangspunkt zu diesen elektronischen Aufzeichnungen.

Für Service Provider wie Cloudflare können diese Anfragen jedoch sehr heikel sein. Die Arbeit, die Strafverfolgungs- und andere Regierungsbehörden leisten, ist wichtig. Gleichzeitig sind die Daten, nach denen Strafverfolgungs- und andere Regierungsbehörden suchen, nicht unser Eigentum. Durch die Nutzung unserer Dienste haben unsere Kunden uns in eine Vertrauensposition bezüglich dieser Daten gebracht. Dieses Vertrauen zu bewahren, ist für unser Geschäft und unsere Werte von grundlegender Bedeutung.

Noch verstärkt werden diese Spannungen durch die Tatsache, dass Staaten unterschiedliche Standards für den Schutz personenbezogener Daten anwenden. Die USA beispielsweise verbieten Unternehmen, den Inhalt von Mitteilungen – auch gegenüber Regierungen anderer Länder – offenzulegen, sofern nicht ganz bestimmte, gesetzlich festgelegte Umstände gegeben sind. Die Europäische Union, die die Privatsphäre der Kommunikation und den Schutz personenbezogener Daten seit langem als grundlegende Menschenrechte betrachtet, schützt alle personenbezogenen Daten der EU durch die Datenschutz-Grundverordnung (DSGVO). Obwohl sich diese Schutzmaßnahmen in gewisser Hinsicht überschneiden, unterscheiden sie sich sowohl in ihrem Umfang als auch darin, wen sie schützen.

Die Unterschiede zwischen den rechtlichen Rahmenwerken sind von Bedeutung – insbesondere wenn es darum geht, ob die rechtlichen Informationsanfragen ausländischer Regierungen mit den Anforderungen an den Datenschutz in Einklang stehen. In den letzten Jahren ist der Europäische Gerichtshof (EuGH) zum Beispiel mehrfach zu dem Schluss gekommen, dass die rechtlichen Beschränkungen der USA für die Datenerhebung zusammen mit bestimmten freiwilligen Verpflichtungen wie dem „Privacy Shield“ oder seinem Vorgänger, dem „U.S.-EU Safe Harbor“, den Datenschutzanforderungen der EU nicht genügen. Das ist insbesondere aufgrund der US-Gesetze der Fall, die es den Justizbehörden erlauben, Informationen über Nicht-US-Bürger für Zwecke des Auslandsgeheimdienstes zu sammeln. In der Tat vertritt der Europäische Datenschutzausschuss (European Data Protection Board – EDPB) die Position, dass eine strafrechtliche Datenanfrage durch US-Behörden – außerhalb eines rechtlichen Verfahrens, bei dem Länder in der EU eine gewisse Kontrolle über die herausgegebenen Informationen behalten – keine legitime Grundlage für die Übermittlung personenbezogener Daten darstellt, die der DSGVO unterliegen.

Im Kern handelt es sich dabei um Streitigkeiten darüber, wann es für eine Regierung angemessen ist, Rechtsanordnungen oder andere rechtliche Verfahren einzusetzen, um auf Daten von Bürgern eines anderen Landes zuzugreifen. Und solche Auseinandersetzungen finden nicht nur in Europa statt. Obwohl ihre politischen Reaktionen nicht einheitlich sind, betrachten immer mehr Länder den Zugang zu den Daten ihrer Bürger inzwischen als eine Frage der nationalen Sicherheit. Aus unserer Sicht sind diese Auseinandersetzungen zwischen Nationalstaaten Auseinandersetzungen zwischen Giganten. Aber sie waren auch vorhersehbar.

Vorbereitung von Richtlinien für Kämpfe zwischen Giganten

Cloudflare verfügt bereits seit langem über Richtlinien, die Bedenken im Hinblick auf den Zugang zu personenbezogenen Daten berücksichtigen – weil wir dies für richtig erachten und weil die heutigen rechtlichen Konflikte uns unausweichlich erschienen. Als globales Unternehmen mit Kunden, Anlagen und Mitarbeitern in vielen Ländern ist uns bewusst, dass in verschiedenen Staaten auch unterschiedliche rechtliche Standards gelten. Doch wenn zwei Normen miteinander in Konflikt stehen, halten wir uns grundsätzlich an diejenige, die den besten Datenschutz gewährleistet. Und wir verlangen immer ein rechtliches Verfahren. Denn wurde einmal Zugang zu Daten gewährt, lässt sich dies oft nur schwer wieder rückgängig machen.

Angefangen mit unserem ersten Transparenzbericht im Jahr 2013, in dem Datenanfragen von Strafverfolgungsbehörden detailliert aufgeführt wurden, sind wir öffentliche Verpflichtungen zu unserem Umgang mit Datenanfragen eingegangen und haben öffentlich erklärt, welche Dinge wir noch nie getan haben. Diese Stellungnahmen bezeichnen wir als „Kanarienvögel“, denn sie sollen eine Signalfunktion nach außen haben. Wir erklären damit öffentlich, dass wir die entsprechenden Maßnahmen nicht freiwillig ergreifen würden. Zugleich schaffen wir durch die Option, die Stellungnahme von unserer Website zu entfernen, einen Mechanismus zur Übermittlung von Informationen, die wir sonst möglicherweise nur eingeschränkt offenlegen dürften. Wir verpflichten uns außerdem dazu, gegen Rechtsanordnungen vorzugehen, die von uns verlangen, gegen diese Verpflichtung zu verstoßen – notfalls auch vor Gericht. Wir wollen dabei sowohl unseren Kunden als auch Staaten auf der ganzen Welt gegenüber deutlich machen, wo wir unsere Grenzen ziehen.

Aufsichtsbehörden haben begonnen, den Wert von Datenschutzverpflichtungen anzuerkennen, insbesondere wenn sie vertraglich durchgesetzt werden können. In der Tat sind die Verpflichtungen, die wir seit Jahren in unsere Transparenzberichte aufgenommen haben, genau jene Arten von Verpflichtungen, die die Europäische Kommission in ihrem Entwurf für Standardvertragsklauseln zur Einhaltung der DSGVO empfohlen hat.

Die Gewährleistungsindikatoren von Cloudflare

Als Sicherheitsunternehmen wissen wir, dass die Kontrolle über den Zugang zu unseren Netzwerken ein absolutes Muss ist. Unser Sicherheitsteam hat sich aus diesem Grund auf Zugangskontrollen, Logging und Monitoring konzentriert und unterzieht sich jährlich mehreren Bewertungen durch Dritte. Wir möchten unseren Kunden deutlich machen, dass es bei diesen Kontrollen keine Ausnahmen für Strafverfolgungsbehörden oder andere staatliche Stellen gibt. Daher versichern wir, dass niemals Strafverfolgungssoftware oder -ausrüstung im Cloudflare-Netzwerk installiert wurde und wir niemals Behörden einen Feed von über unser Netzwerk übertragenen Inhalten unserer Kunden zur Verfügung gestellt haben.

Cloudflare ist überzeugt, dass Online-Datenschutz eine starke Verschlüsselung – sowohl für Inhalte als auch für Metadaten – erfordert. Wenn ein Land verhindern will, dass ein ausländischer Nachrichtendienst Zugriff auf die personenbezogenen Daten seiner Bürger erhält, sollten zuerst diese Daten verschlüsselt werden. Aber Kunden und Aufsichtsbehörden müssen sich auch darauf verlassen können, dass die Verschlüsselung selbst vertrauenswürdig ist. Wir versichern deshalb, dass wir niemals unsere Verschlüsselungs- oder Authentifizierungsschlüssel oder die Verschlüsselungs- oder Authentifizierungsschlüssel unserer Kunden irgendjemandem ausgehändigt haben und dass wir unsere Verschlüsselung niemals auf Ersuchen von Strafverfolgungsbehörden oder anderen Dritten abgeschwächt, beeinträchtigt oder unterlaufen haben.

Weitere Verpflichtungen, die Cloudflare eingegangen ist, beziehen sich auf die Integrität des Internet selbst. Unserer Auffassung nach sollten unsere Systeme nicht ausgenutzt werden, um Menschen zu Websites zu führen, die sie nicht besuchen wollten, oder die Inhalte zu verändern, die sie online erhalten. Wir haben daher öffentlich erklärt, dass wir niemals Kundeninhalte verändert oder das beabsichtigte Ziel von DNS-Antworten auf Ersuchen von Strafverfolgungsbehörden oder anderen Dritten geändert haben.

Benachrichtigung unserer Kunden über behördliche Anfragen

Cloudflare vertritt seit langem die Ansicht, dass unsere Kunden eine Benachrichtigung verdienen, wenn jemand – einschließlich einer Strafverfolgungsbehörde oder eines anderen staatlichen Akteurs – einen Rechtsweg zur Anforderung ihrer Daten beschreitet, damit sie dagegen vorgehen können. In der Tat haben wir seit unseren Anfängen eine Firmenpolitik der Benachrichtigung unserer Kunden verfolgt. Im Jahr 2014 haben wir mit der Electronic Frontier Foundation zusammengearbeitet, um eine Verfügung (National Security Letter –NSL) anzufechten, die unsere Möglichkeit einschränkte, den Erhalt einer solchen Verfügung offenzulegen. Nach drei langen Jahren des Rechtsstreits entschied das Gericht schließlich, dass wir die NSL öffentlich bekannt geben durften.

Wir sind uns darüber im Klaren, dass unter bestimmten Umständen eine vorübergehende Einschränkung der Offenlegung durch die Strafverfolgungsbehörden angemessen sein kann, um die Durchführbarkeit eines Ermittlungsverfahrens zu gewährleisten. Trotzdem sind wir der Meinung, dass die Regierung dazu verpflichtet sein sollte, Geheimhaltungsklauseln zu begründen, und dass Geheimhaltungsklauseln ausdrücklich auf die für den betreffenden Zweck erforderliche Mindestzeit begrenzt werden sollte. Da US-Gerichte auf verfassungsrechtliche Probleme im Zusammenhang mit unbefristeten Geheimhaltungsverfügungen hingewiesen haben, hat das US-Justizministerium im Jahr 2017 Leitlinien veröffentlicht. Darin werden die Bundesstaatsanwälte angewiesen, Geheimhaltungsverfügungen außer in Ausnahmefällen auf maximal ein Jahr zu beschränken.

Das hat jedoch nicht alle US-amerikanischen Strafverfolgungsbehörden davon abgehalten, sich um unbefristete Geheimhaltungsverfügungen zu bemühen. Tatsächlich haben wir seit 2017 mindestens 28 Geheimhaltungsverfügungen erhalten, die kein Enddatum enthielten. In Zusammenarbeit mit der American Civil Liberties Union (ACLU) hat Cloudflare einen Rechtsstreit angedroht, wenn wir solche unbefristeten Geheimhaltungsverfügungen erhalten haben. In jedem dieser Fälle hat die Behörde nachträglich Fristen für die Geheimhaltungsanforderungen in diese Verfügungen eingefügt, so dass wir unsere Kunden über die Anfragen informieren konnten.

Umgang mit Rechtskonflikten

Um die Einhaltung von Gesetzen wie der DSGVO zu gewährleisten, müssen Gerichte eingeschaltet werden – insbesondere angesichts von Rechtsanordnungen, die uns in die schwierige Lage bringen könnten, gegen solche Vorschriften verstoßen zu müssen. Ein Service-Provider wie Cloudflare kann ein Gericht bitten, rechtliche Anträge wegen eines Rechtskonflikts aufzuheben. Wir haben uns sowohl in unseren öffentlichen Erklärungen als auch vertraglich in unserem Datenverarbeitungszusatz (Data Processing Addendum) dazu verpflichtet, diesen Schritt zu unternehmen, falls dies zur Vermeidung eines solchen Konflikts erforderlich sein sollte. Wir sind der Ansicht, dass der Konflikt wieder dort ausgetragen sollte, wo er hingehört – zwischen den beiden Regierungen, die darüber streiten, wer das Recht auf Zugang zu Informationen haben soll.

Fazit

Letztlich erfordert die Bewältigung der Herausforderungen des Betriebs eines globalen Netzwerks, das mit den unterschiedlichen Datenschutzgesetzen weltweit konform ist, eine Rückbesinnung auf die Werte, für die wir uns seit unseren frühesten Tagen als Unternehmen einsetzen. Prinzipientreue und Transparenz, Respektieren der Privatsphäre, ordentliche Verfahren und rechtzeitige Mitteilungen an Kunden, damit sie selbst über ihre Daten entscheiden können.