Cloudflare erhält Nachweis für Einhaltung des EU Cloud Code of Conduct und stärkt durch diesen Beleg der DSGVO-Konformität das Vertrauen in Cloud-Dienste
Die Gesetze für Datenschutz im Internet sind nicht überall auf der Welt gleich, und in den letzten Jahren waren grenzüberschreitende Datenübertragungen ein viel diskutiertes Thema. Häufig ist vorgeschrieben, dass angemessene Schutzvorkehrungen getroffen werden, bevor personenbezogene Daten einen bestimmten Rechtsraum verlassen. Ein Beispiel dafür ist die europäische Datenschutz-Grundverordnung (DSGVO). Das Gesetz legt die Messlatte für den sorgsamen Umgang von Unternehmen mit personenbezogenen Daten zu Recht hoch. Bei der Ausarbeitung der Verordnung hat der Gesetzgeber die grenzüberschreitende Übermittlung personenbezogener Daten vorsorglich geregelt: Kapitel 6 der DSGVO befasst sich speziell mit dieser Art der Datenübertragung.
Transparenz darüber, wo personenbezogene Daten gespeichert werden, ist wichtig. Maßgeblich ist aber auch, wie personenbezogene Daten verfahren und auf welche Weise für ihren Schutz gesorgt wird. Bei Cloudflare sind wir der Überzeugung, dass personenbezogene Daten auf der ganzen Welt geschützt werden müssen. Deshalb bieten wir unseren Kunden in der Frage, wo und ihre Daten verarbeitet werden, Entscheidungsfreiheit und die nötigen Werkzeuge. Kurz gesagt haben wir den Anspruch, dass beim Umgang mit den Daten und bei ihrem Schutz immer auf die gleiche, sichere und sorgfältige Art und Weise verfahren wird – unabhängig davon, ob unsere Kunden sich für eine unbeschränkte Datenübermittlung weltweit oder für den Verbleib der Daten in einem einzigen Land entscheiden.
Wir freuen uns, heute bekannt geben zu können, dass wir nach Abschluss einer entsprechenden Überprüfung den Nachweis für die Einhaltung des EU Cloud Code of Conduct (CoC) erhalten haben. Damit können wir schwarz auf weiß belegen, dass wir die Bestimmungen Datenschutz-Grundverordnung (DSGVO) einhalten und personenbezogene Daten in der Cloud weltweit schützen.
Es kommt nicht nur darauf an, in welcher Weltregion personenbezogene Daten gespeichert werden, sondern auch, auf welche Weise mit ihnen verfahren wird.
Bei der DSGVO hat der Gesetzgeber zudem die Annahme getroffen, dass Unternehmen einen einheitlichen, transparenten und sicheren Umgang mit personenbezogenen Daten anstreben und diese Prinzipien auch für den Schutz der Daten anwenden wollen. Artikel 40, der die Überschrift „Verhaltensregeln“ trägt, beginnt wie folgt:
„Die Mitgliedstaaten, die Aufsichtsbehörden, der Ausschuss und die Kommission fördern die Ausarbeitung von Verhaltensregeln, die nach Maßgabe der Besonderheiten der einzelnen Verarbeitungsbereiche und der besonderen Bedürfnisse von Kleinstunternehmen sowie kleinen und mittleren Unternehmen zur ordnungsgemäßen Anwendung dieser Verordnung beitragen sollen.“
Der Rückgriff auf Verhaltensregeln zum Nachweis der Einhaltung von Datenschutzvorschriften hat eine längere Geschichte. Wie die DSGVO enthielt auch die wegweisende Datenschutzrichtlinie der Europäischen Union aus dem Jahr 1995, offiziell die Richtlinie 95/46/EG, eine Bestimmung, wonach Entwürfe für Regelwerke des Staatenverbunds den Behörden der einzelnen Mitgliedsstaaten vorzulegen sind und von einer offiziellen Stelle der EU formell genehmigt werden müssen.
Ein offizieller DSGVO-Verhaltenskodex
Nach Verabschiedung der DSGVO im Jahr 2016 dauerte es nicht weniger als fünf Jahre bis zur offiziellen Verabschiedung des ersten Verhaltenskodex. Im Mai 2021 schließlich kam es zur Anerkennung des Datenschutzkodex für Cloud-Dienste durch den Europäischen Datenschutzausschuss, in dem die Datenschutzbehörden aller EU-Mitgliedsstaaten vertreten sind. Bei dem „EU Cloud Code of Conduct“ (EU Cloud CoC) handelte es sich um den ersten offiziellen Verhaltenskodex gemäß der DSGVO. Vorgeschlagen wurde er von der belgischen Datenschutzbehörde im Namen von SCOPE Europe. Die Organisation hat mehrere Jahre an der Ausarbeitung dieser Verhaltensregeln mitgewirkt, unter anderem unter Beteiligung der Europäischen Kommission, von Mitgliedern der Cloud-Computing-Branche und europäischen Datenschutzbehörden.
Der Kodex ist ein Rahmenwerk für Anbieter von Cloud-Diensten und ihre Kunden. Die Käufer können damit auf unkomplizierte Weise nachvollziehen, wie ein Anbieter mit personenbezogenen Daten umgeht. Die Anbieter unterziehen sich einer unabhängigen Überprüfung, um den Kunden nachzuweisen, dass die Handhabung personenbezogener Daten auf sichere und kodifizierte Weise erfolgt. Im Fall des EU Cloud CoC und ausschließlich aus dem Grund, dass der Kodex formell anerkannt wurde, wissen die Kunden von Cloud-Diensten, bei denen diese Regeln eingehalten werden, dass der Anbieter mit den personenbezogenen Daten der Käufer auf DSGVO-konforme Weise umgeht.
Anwendungsgebiet der Verhaltensregeln
Der Kodex definiert klare Anforderungen für Anbieter von Cloud-Diensten zur Umsetzung von Artikel 28 der DSGVO („Auftragsverarbeiter“) und verwandter Artikel. In dem Rahmenwerk werden sowohl Datenschutzrichtlinien als auch technische und organisatorische Sicherheitsmaßnahmen abgedeckt. Dieser Artikel befasst sich unter anderem mit den Geschäftsbedingungen der Anbieter, der Vertraulichkeit und der Aufbewahrung von Unterlagen, dem Anrecht des Kunden auf Prüfung, dem Umgang mit potenziellen Verstößen gegen den Datenschutz und dem Umgang des Anbieters mit Unterverarbeitung – den Fällen, in denen neben dem Hauptdatenverarbeiter Dritte mit der Verarbeitung personenbezogener Daten beauftragt werden.
Das Rahmenwerk geht auch darauf ein, wie personenbezogene Daten auf rechtmäßige Weise international übermittelt werden können. Allerdings gewährleistet der EU Cloud CoC zwar, dass dies auf rechtskonforme Weise geschieht, er selbst stellt jedoch keine „Schutzmaßnahme“ oder ein Instrument für die Übermittlung in Drittländer dar. Im Rahmen einer Aktualisierung des CoC könnte in diesem Bereich künftig noch ein weiteres Element hinzugefügt werden, doch mit Stand von März 2023 befindet sich dieses noch in der Entwicklung.
Wir wollen uns nun einige der Anforderungen des EU Cloud CoC genauer ansehen und näher darauf eingehen, wie sich damit die Einhaltung der DSGVO belegen lässt.
1. BeispielEine Anforderung des CoC ist die Befolgung dokumentierter Verfahren zur Unterstützung von Kunden bei ihrer „Datenschutz-Folgenabschätzung“. Laut DSGVO sind dies:
„… eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgängefür den Schutz personenbezogener Daten“. Artikel 35.1 DSGVO
Ein Cloud-Dienstleister sollte daher über ein schriftliches Verfahren anwenden, das Kunden bei der Durchführung ihrer eigenen Bewertung unterstützt. Dadurch zeigt der Dienstleister auch sein Engagement für die strengen Datenschutzstandards der DSGVO. Cloudflare erfüllt diese Anforderung und trägt durch die Veröffentlichung von Einzelheiten zu den Unterauftragsverarbeitern, die bei der Verarbeitung personenbezogener Daten eingesetzt werden, und durch den Verweis der Kunden auf die im Cloudflare-Dashboard verfügbaren Prüfberichte zusätzlich zu Transparenz bei.
In der DSGVO findet sich auch ein weiterer Hinweis auf Verhaltensregeln im Zusammenhang mit Datenschutz-Folgenabschätzungen:
„Die Einhaltung genehmigter Verhaltensregeln (…) ist bei der Beurteilung der Auswirkungen der von diesen durchgeführten Verarbeitungsvorgänge, (…) insbesondere für die Zwecke einer Datenschutz-Folgenabschätzung, gebührend zu berücksichtigen.“ Artikel 35.8 DSGVO
Bei Vornahme einer Folgenabschätzung muss ein Cloud-Kunde also berücksichtigen, dass ein Dienstleister anerkannte Verhaltensregeln einhält. Auch auf diese Weise profitieren sowohl Kunden als auch Cloud-Anbieter von der Anwendung von Verhaltensregeln.
2. BeispielEin weiteres Beispiel für eine Anforderung des CoC besteht darin, dass Anbieter von Cloud-Diensten, die Verschlüsselungsfunktionen anbieten, diese auch auf effektive Weise implementiert sein müssen. Dies sollte dem Text zufolge durch die Anwendung starker und vertrauenswürdiger Verschlüsselungstechniken, die Berücksichtigung des Stands der Technik und eine angemessene Maßnahmen zur Verhinderung des missbräuchlichen Zugriffs auf personenbezogene Kundendaten erfolgen. Die Verschlüsselung ist für den Schutz personenbezogener Daten in der Cloud von entscheidender Bedeutung. Ohne Verschlüsselung oder mit abgeschwächter oder veralteter Verschlüsselung lassen sich Datenschutz und Sicherheit nicht gewährleisten. Die Anbieter tragen durch eine angemessene Verwendung und Überprüfung der Verschlüsselung dazu bei, die Anforderungen der DSGVO hinsichtlich des Schutzes der personenbezogenen Daten ihrer Kunden zu erfüllen.
Bei Cloudflare sind wir besonders stolz auf unsere Erfolgsbilanz: Wir stellen allen unseren Kunden eine wirksame Verschlüsselung kostenlos zur Verfügung. Außerdem helfen wir unseren Kunden, zu verstehen, wie die Verschlüsselung funktioniert. Wichtiger noch: Wir verwenden selbst starke und vertrauenswürdige Verschlüsselungsalgorithmen und -techniken, um die personenbezogenen Daten unserer Kunden zu schützen. Wir verfügen über ein offizielles Research-Team, dem Wissenschaftler und Kryptographen angehören. Diese sind für die Entwicklung und Einführung hochmoderner Verschlüsselungsprotokolle zuständig, die einen wirksamen Schutz gegen aktive und passive Angriffe bieten – auch mit Ressourcen, von denen bekannt ist, dass sie den Behörden zur Verfügung stehen. Erst diesen Monat haben wir erklärt, dass Post-Quanten-Kryptographie kostenlos sein sollte. Deshalb stellen wir diese Technologie nun dauerhaft unentgeltlich zur Verfügung.
Mehr dazuDer CoC enthält Anforderungen, die in 87 Erklärungen, den sogenannten Kontrollen, beschrieben werden. Unter https://eucoc.cloud/en/home können Sie sich näher über den EU Cloud CoC informieren, die vollständige Version herunterladen und sich über Neuigkeiten auf dem Laufenden halten.
Warum das für Cloudflare-Kunden wichtig ist
Cloudflare ist der Generalversammlung des EU Cloud Code of Conduct im vergangenen Mai beigetreten. Die Mitglieder der Generalversammlung durchlaufen einen Bewertungsprozess, bei dem sie unter anderem erklären, dass ihre Cloud-Dienste EU Cloud CoC-konform sind. Nach erfolgreichem Abschluss eines unabhängigen Beurteilungsverfahrens durch die akkreditierte Prüfstelle SCOPE Europe erhalten sie eine Bestätigung darüber, dass sie den EU Cloud Code of Conduct einhalten.
Cloudflare hat den Bewertungsprozess abgeschlossen; 47 unserer Cloud-Dienste wurden verifiziert.
Folgende Cloudflare-Services unterliegen dem EU Cloud Code of Conduct:
Die Dienste werden hinsichtlich ihrer Einhaltung des EU Cloud Code of Conduct (EU Cloud CoC) überprüft.Verifizierungsnummer: 2023LVL02SCOPE4316.Näheres erfahren Sie unter https://eucoc.cloud/en/public-register.
Das ist aber noch nicht alles …
Der EU Cloud Code of Conduct ist die neueste Zugang in unserer wachsenden Liste an Datenschutzzertifizierungen. Vor zwei Jahren war Cloudflare eines der ersten Unternehmen in unserer Branche, das die neue ISO-Datenschutzzertifizierung ISO/IEC 27701:2019 erhalten hat, und das erste Unternehmen für Internet-Performance und -Sicherheit, das nach dieser Norm zertifiziert wurde. Im vergangenen Jahr hat Cloudflare die Zertifizierung gemäß einer zweiten internationalen Datenschutznorm für die Verarbeitung personenbezogener Daten erhalten: ISO/IEC 27018:2019. Im Januar 2023 haben wir unser jährliches ISO-Audit bei dem externen Prüfer Schellman abgeschlossen. Unser neues Zertifikat, das die Normen ISO 27001:2013, ISO 27018:2019 und ISO 27701:2019 abdeckt, kann von Kunden nun über das Cloudflare-Dashboard heruntergeladen werden.
Und das ist noch lange nicht alles. Wie wir bereits im Januar anlässlich des Data Privacy Day in einem Blogbeitrag berichtet haben, verfolgen wir mit Interesse die Fortschritte bei der sich abzeichnenden Global Cross Border Privacy Rules (CBPR)-Zertifizierung. Dieser Vorschlag für eine einheitliche weltweit geltende Zertifizierung könnte für die teilnehmenden Unternehmen ausreichen, um personenbezogene Daten sicher zwischen den teilnehmenden Ländern weltweit zu transferieren. Da sie bereits von mehreren Regierungen in Nordamerika und Asien unterstützt wird, sind die Erfolgsaussichten in diesem Fall vielversprechend.
Zertifizierungen von Cloudflare
Bestandskunden können über das Cloudflare-Dashboard Kopien unserer Zertifizierungen und Berichte herunterladen. Neukunden erhalten diese auf Anfrage von Ihren Ansprechpartnern im Vertrieb.
Aktuelle Informationen zu unseren Zertifizierungen und Berichten finden Sie in unserem Trust Hub.