Cloudflare erfüllt die neuen Global Cross-Border Privacy (CBPR)-Standards

Bei Cloudflare sind wir stolz auf unsere Vorreiterrolle in puncto Datenschutz und dabei insbesondere beim Schutz personenbezogener Daten. Gleichzeitig sind wir leidenschaftliche Verfechter uneingeschränkter Datenübertragung, die nicht an Landesgrenzen Halt macht. Wir möchten anlässlich des heute begangenen europäischen Datenschutztags (international als „Data Privacy Day“ bezeichnet) mitteilen, dass wir unseren vierten und fünften Nachweis über die Einhaltung von Datenschutzvorschriften erlangt haben. Dieses Mal handelt es sich sogar um ein internationales Novum! Cloudflare gibt als erstes Unternehmen weltweit bekannt, erfolgreich auf die Einhaltung der brandneuen „Global Cross-Border Privacy Rules“ (Global CBPR) für Datenverantwortliche und „Global Privacy Recognition for Processors“ (Global PRP) geprüft worden zu sein. Damit wird unsere Unterstützung und Einhaltung globaler Standards belegt, die eine datenschutzfreundliche Datenübertragung zwischen verschiedenen Rechtsräumen ermöglichen. Erfolgreich geprüfte Unternehmen erhalten formelle Zertifizierungen, sobald diese offiziell verfügbar sind, was voraussichtlich im weiteren Jahresverlauf der Fall sein wird. 

Zuvor ist uns bereits die Einhaltung zahlreicher weiterer Datenschutzregelungen bestätigt worden: Wir waren eines der ersten Unternehmen im Bereich Cybersicherheit, dem die Konformität mit der internationalen Datenschutznorm ISO 27701:2019 per Zertifizierung bestätigt wurde, nachdem diese eingeführt worden war. 2022 haben wir außerdem die Datenschutzzertifizierung für Clouds gemäß ISO 27018:2019 erlangt. Vergangenes Jahr kam eine dritte datenschutzbezogene Validierung hinzu, nachdem wir uns einer Überprüfung durch eine unabhängige Überwachungsstelle in der Europäischen Union (EU) unterzogen und die Einhaltung des ersten offiziellen DSGVO-Verhaltenskodex – des EU Cloud Code of Conduct (Verhaltensregeln der EU für Cloud-Anbieter) – bestätigt hatten.

Zusammengenommen belegen diese Zertifizierungen, dass Cloudflare die wichtigsten offiziellen Datenschutzvorgaben von 39 Ländern weltweit erfüllt: von Australien und Österreich bis hin zu Schweden und den Vereinigten Staaten. In vier weiteren Rechtsräumen (Großbritannien, Bermuda, Mauritius und dem Dubai International Financial Centre) läuft gerade das Verfahren zur Anerkennung der Zertifizierungen gemäß Global CBPR. Das ist für Cloudflare-Kunden wichtig, weil sie dadurch die Gewissheit haben, dass die von uns entwickelten Vorgehensweisen zur Gewährleistung des Datenschutzes von Staaten auf der ganzen Welt anerkannt werden.

In den letzten drei Jahren haben Regierungen auf der ganzen Welt zwei neue internationale Datenschutzstandards ausgearbeitet. Ein wichtiger Meilenstein wurde am 30. April 2024 mit Einführung des Global CBPR-Systems erreicht. Bei CBPR handelt es sich um ein freiwilliges, durchsetzbares, internationales, auf Rechenschaftspflicht basierendes System, das eine datenschutzfreundliche Datenübertragung zwischen Mitgliedsländern erleichtert. Es bietet Verbraucherinnen und Verbrauchern durch eine Reihe von Regeln für den Umgang mit personenbezogenen Daten ein grundlegendes Datenschutzniveau. Auf diese Weise wird die Vertraulichkeit der Daten von Verbraucherinnen und Verbrauchern in allen teilnehmenden Mitgliedsstaaten gewährleistet, obwohl in jedem Land eigene, eventuell nicht deckungsgleiche Datenschutzgesetze gelten.

Entwickelt wurde das CBPR-System vom Global CBPR Forum, in dem die Regierungen Australiens, Chinesisch Taipehs, Japans, Kanadas, Mexikos, der Philippinen, Singapurs, Südkoreas und der Vereinigten Staaten vertreten sind. Assoziierte Mitglieder sind außerdem neben dem Vereinigten Königreich Bermuda, Mauritius und das Dubai IFC, die jeweils den Beitritt als Vollmitglieder planen.

Im letzten Jahr haben wir uns auf die Einführung des Global CBPR-Systems vorbereitet. So konnten wir gleich am 1. Mai 2024 – dem ersten Tag nach seinem Inkrafttreten – die Aufnahme beantragen. Nun haben wir durch erfolgreichen Abschluss der Prüfung auf Einhaltung der Vorgaben den wichtigsten Meilenstein erreicht. Deshalb gehen wir davon aus, dass wir als erstes Unternehmen der Welt die Zertifizierung gemäß des neuen Global CBPR-Systems sowie der damit verbundenen „Global Privacy Recognition for Processors“ erhalten werden, sobald dies für Unternehmen offiziell möglich ist – was im weiteren Jahresverlauf zu erwarten steht.

Das Global CBPR-System umfasst eine ausführliche Liste mit 50 Anforderungen, die Unternehmen für eine Zertifizierung erfüllen müssen. Diese Vorgaben leiten sich aus den neun Datenschutzprinzipien des Systems ab. Diese stimmen mit den Kernprinzipien der von der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (Organisation for Economic Co-operation and Development – OECD) herausgegebenen Leitlinien zum Schutz der Privatsphäre und der grenzüberschreitenden Übertragung personenbezogener Daten überein. Die 50 Anforderungen betreffen die Erhebung, Verwaltung und Absicherung von personenbezogenen Daten durch Unternehmen. Um die Global CBPR-Zertifizierung zu erhalten, müssen sie ausnahmslos erfüllt sein. Die ihnen zugrunde liegenden neun Prinzipien lauten:

^{Die neun Datenschutzprinzipien des Global CBPR-Systems}

Die Global CBPR-Zertifizierung deckt den Umgang mit personenbezogenen Daten ab, über die das Unternehmen die Kontrolle hat – z. B. die personenbezogenen Daten von Kundinnen und Kunden, Mitarbeitenden sowie Bewerberinnen und Bewerbern. Im Fall von Cloudflare gehören dazu auch Netzwerkinformationen, also unsere Beobachtungen über den Umgang unserer globalen cloudbasierten Plattform mit Server-, Netzwerk- oder Traffic-Daten, die von uns im Rahmen der Bereitstellung unserer Dienste generiert werden.

Die zugehörige „Global Privacy Recognition for Processors“ (PRP)-Zertifizierung deckt den Umgang mit personenbezogenen Daten ab, die das Unternehmen im Auftrag anderer Firmen – in der Regel deren Kunden – verarbeitet. Der PRP-Standard umfasst 18 Anforderungen. Diese beziehen sich auf die beiden Datenschutzprinzipien, die bei der Verarbeitung von Daten im Auftrag einer anderen Firma die größte Relevanz haben: Sicherheitsvorkehrungen und Rechenschaftspflicht. Im Fall von Cloudflare umfasst dies die Verarbeitung von Daten gemäß dem Datenverarbeitungsnachtrag, den wir mit allen unseren Kunden abschließen. In erster Linie geht es dabei um Inhalte von Kunden, die unser Netzwerk durchlaufen, und die dabei generierten Kundenprotokolle. Um die Global PRP-Zertifizierung zu erhalten, müssen Unternehmen jede der 18 Anforderungen erfüllen.

Wie bereits erwähnt, umfassen die wichtigsten Anforderungen der Standards Global CBPR und des Global PRP die folgenden bekannten Datenschutzgrundsätze: Benachrichtigung, Wahlmöglichkeit, Begrenzung der Datenerfassung (Datenminimierung), Zugangs- und Berichtigungsanspruch betroffener Personen, Gewährleistung angemessener Sicherheit, Verhinderung von Schäden, Integrität personenbezogener Daten, Rechenschaftspflicht und Verwendung personenbezogener Daten. Da Dutzende von Anforderungen diese Prinzipien abdecken, soll an dieser Stelle nur auf einige davon eingegangen werden.

Schauen wir uns zunächst das Prinzip der Benachrichtigung an. Eine der offensichtlicheren Anforderungen des CBPR-Standards wird in Frage 1 formuliert:

Machen Sie klare und leicht zugängliche Angaben zu Ihren Vorgehensweisen und Richtlinien bezüglich der oben beschriebenen personenbezogenen Daten (in Form einer Datenschutzerklärung)?

Transparenz bei der Erfassung und Verwendung personenbezogener Daten ist ein wichtiges Datenschutzprinzip, und Transparenz zählt zu den Kernversprechen von Cloudflare. Die Dokumentation unserer Vorgehensweisen und Richtlinien hinsichtlich der Verwendung personenbezogener Daten ermöglicht es der oder dem Einzelnen, zu entscheiden, ob sie oder er seine Daten zur Verfügung stellen möchte. Deshalb hat es sich bewährt, dass der Datenschutzhinweis zum Zeitpunkt der Datenerfassung verfügbar ist und sichtbar angezeigt wird. Tatsächlich leitet sich dieses Benachrichtigungsprinzip aus Artikel 13 der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ab. Cloudflare erfüllt diese CBPR-Anforderung durch einen klar formulierten und leicht zugänglichen Datenschutzhinweis, der in der Fußzeile jeder Seite unserer Website angezeigt wird. Wir zeigen bei der Erfassung personenbezogener Daten, beispielsweise über ein Formular auf einer unserer Webseiten, auch einen Link zu diesem Hinweis an.

Die Art unserer Verwendung personenbezogener Daten wird durch Frage 8 abgedeckt:

Beschränken Sie die Verwendung der personenbezogenen Daten, die Sie (direkt oder durch Dritte, die in Ihrem Auftrag handeln) erheben, wie in Ihrer Datenschutzerklärung angegeben?

Wir verpflichten uns seit langem, die von uns erhobenen personenbezogenen Daten nur für die Bereitstellung der von uns angebotenen Dienstleistungen zu verwenden. Unser Geschäft beruht darauf, unseren Kunden Werkzeuge an die Hand zu geben, mit denen sie ihre Netzwerkanwendungen schützen und sie schneller, sicherer, zuverlässiger und datenschutzfreundlicher machen können. In unserer Datenschutzrichtlinie verpflichten wir uns, „Ihre personenbezogenen Daten nur in dem Umfang weiterzugeben oder auf andere Weise offenzulegen, in dem dies für die Bereitstellung unserer Dienstleistungen erforderlich oder anderweitig in dieser Richtlinie beschrieben ist, sofern wir Sie nicht im Voraus darüber in Kenntnis setzen und Ihnen die Gelegenheit zur Einwilligung geben“. Außerdem dokumentieren wir (im Einklang mit dem CBPR-Grundsatz der Rechenschaftspflicht) intern, welche Daten von uns verarbeitet werden und zu welchem Zweck.

Eine weitere wichtiger Gruppe von Anforderungen sowohl des Global CBPR- als auch des Global PRP-Systems bezieht sich auf Sicherheitsvorkehrungen. Die in Frage 27 formulierte CBPR-Anforderung lautet:

Können Sie die von Ihnen ergriffenen physischen, technischen und administrativen Sicherheitsvorkehrungen zum Schutz personenbezogener Daten unter anderem vor Verlust oder unbefugtem Zugriff, unbefugter Zerstörung, Verwendung, Änderung oder Offenlegung oder anderem Missbrauch beschreiben?

Im Global PRP-System findet sich die entsprechende Anforderung in Frage 2: 

Beschreiben Sie die physischen, technischen und administrativen Schutzmaßnahmen, mit denen die Richtlinien Ihres Unternehmens zur Informationssicherheit umgesetzt werden.

Cloudflare hat ein Informationssicherheitsprogramm gemäß der ISO/IEC-27000-Normengruppe implementiert. Einzelheiten sind in Anhang 2 („Technische und organisatorische Sicherheitsmaßnahmen“) des Cloudflare-Nachtrags zur Verarbeitung von Kundendaten dokumentiert, einschließlich der der zum Schutz personenbezogener Daten implementierten physischen, technischen und administrativen Sicherheitsvorkehrungen.

In Bezug auf den Grundsatz der Rechenschaftspflicht heißt es in Frage 46:

Haben Sie sich mit in Ihrem Auftrag personenbezogene Daten verarbeitenden Verarbeitern, Beauftragten, Auftragnehmern oder anderen Dienstleistern auf Verfahren geeinigt, mit denen sichergestellt wird, dass Ihre Verpflichtungen gegenüber den betroffenen Personen erfüllt werden? 

Wir verlangen von Auftragnehmern, die mit unseren personenbezogenen Daten oder denen unserer Kunden zu tun haben, dass sie mit uns einen Datenverarbeitungsnachtrag unterzeichnen. Auf diese Weise stellen wir sicher, dass die von uns in unseren Vereinbarungen mit Kunden diesen gegenüber eingegangenen Verpflichtungen, unter anderem im Hinblick auf Sicherheitsanforderungen, auch bei den von uns genutzten Dienstleistern eingehalten werden, sodass sowohl wir als auch sie diesbezüglich zur Rechenschaft gezogen werden können.

Wir freuen uns auf die im weiteren Jahresverlauf zu erwartende Einführung der Global CBPR-Zertifizierungen und sind stolz darauf, dass wir zum diesjährigen Datenschutztag erneut unser Engagement für allgemein anerkannte Grundsätze zum Schutz der Vertraulichkeit personenbezogener Daten unter Beweis stellen können.

Unter globalcbpr.org können Sie sich eingehender über das Global CBPR- und das Global PRP-System informieren, sämtliche Vorgaben herunterladen und sich über die neuesten Entwicklungen bei diesem Thema auf dem Laufenden halten.

Aktuelle Informationen zu den Zertifizierungen, über die wir verfügen, finden Sie auf unserem Trust Hub. Dort erfahren Kunden auch, wie sie eine Kopie der Zertifizierungen und Berichte von Cloudflare über das Cloudflare Dashboard herunterladen.