In der heutigen digitalen Welt ist der Schutz personenbezogener Daten unerlässlich. Die Datenschutz-Grundverordnung (DSGVO), eine umfassende Datenschutzrichtlinie der Europäischen Union, setzt hohe Standards für die Verarbeitung und den Schutz personenbezogener Daten. Wenn Sie Cloudflare nutzen, um Ihre Website oder Anwendung zu schützen und zu beschleunigen, stellt sich die Frage: Benötigen Sie einen Auftragsverarbeitungsvertrag (AVV) mit Cloudflare, und wo finden Sie diesen?
Was ist ein AVV (Auftragsverarbeitungsvertrag)?
Ein AVV, auch Datenverarbeitungsvertrag genannt, ist ein rechtsgültiger Vertrag zwischen einem Verantwortlichen (z.B. Ihnen als Website-Betreiber) und einem Auftragsverarbeiter (z.B. Cloudflare). Dieser Vertrag regelt die Verarbeitung personenbezogener Daten durch den Auftragsverarbeiter im Auftrag des Verantwortlichen. Er stellt sicher, dass der Auftragsverarbeiter die Daten gemäß den Vorgaben der DSGVO behandelt und schützt.
Der AVV definiert klar die Verantwortlichkeiten und Pflichten beider Parteien, wie z.B. die Art der verarbeiteten Daten, den Zweck der Verarbeitung, die Dauer der Verarbeitung, die Sicherheitsmaßnahmen, die der Auftragsverarbeiter implementieren muss, sowie die Rechte und Pflichten im Falle einer Datenschutzverletzung.
Warum benötigen Sie einen AVV mit Cloudflare?
Die Notwendigkeit eines AVV mit Cloudflare hängt davon ab, ob Sie personenbezogene Daten von EU-Bürgern verarbeiten und inwieweit Cloudflare in diese Verarbeitung involviert ist. Generell gilt: Wenn Cloudflare in irgendeiner Weise personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein AVV erforderlich.
Cloudflare bietet eine Vielzahl von Diensten an, darunter:
- Content Delivery Network (CDN): Beschleunigung der Website-Ladegeschwindigkeit durch Caching von Inhalten auf Servern weltweit.
- Distributed Denial-of-Service (DDoS) Schutz: Schutz vor Angriffen, die Ihre Website lahmlegen könnten.
- Web Application Firewall (WAF): Schutz vor gängigen Web-Angriffen.
- DNS-Dienste: Verwaltung Ihrer Domain-Namen.
- Analytics: Bereitstellung von Daten über den Website-Traffic.
Viele dieser Dienste implizieren, dass Cloudflare Zugriff auf Daten hat, die als personenbezogene Daten im Sinne der DSGVO gelten könnten. Beispielsweise:
- IP-Adressen: Diese gelten oft als personenbezogene Daten.
- Cookies: Cloudflare kann Cookies setzen, um die Funktionalität der Dienste zu gewährleisten.
- Log-Daten: Informationen über Website-Besucher, die in Server-Logs gespeichert werden.
- Eingaben in Formulare: Daten, die Benutzer in Formulare auf Ihrer Website eingeben, können von Cloudflare verarbeitet werden, insbesondere wenn Sie Cloudflare-Dienste zur Filterung von Spam nutzen.
Da Cloudflare diese Daten im Auftrag von Ihnen verarbeitet, agiert Cloudflare als Auftragsverarbeiter im Sinne der DSGVO. Daher ist in den meisten Fällen ein AVV erforderlich, um sicherzustellen, dass die Datenverarbeitung DSGVO-konform erfolgt.
Wann ist KEIN AVV mit Cloudflare erforderlich?
Es gibt Szenarien, in denen ein AVV möglicherweise nicht unbedingt erforderlich ist. Dies ist der Fall, wenn Sie Cloudflare-Dienste nutzen, die KEINE Verarbeitung personenbezogener Daten beinhalten. Dies ist jedoch selten und sollte sorgfältig geprüft werden. Im Zweifelsfall ist es ratsam, einen AVV abzuschließen, um auf der sicheren Seite zu sein.
Wo finden Sie den Cloudflare AVV?
Cloudflare stellt seinen AVV online zur Verfügung. Sie können ihn in der Regel wie folgt finden:
- Cloudflare-Dashboard: Loggen Sie sich in Ihr Cloudflare-Konto ein.
- Account-Einstellungen: Navigieren Sie zu den „Account”-Einstellungen.
- Datenschutz oder DSGVO: Suchen Sie nach einem Abschnitt, der „Datenschutz”, „DSGVO”, „Legal” oder „Terms” heißt.
- Auftragsverarbeitungsvertrag (AVV): Innerhalb dieses Abschnitts sollten Sie einen Link zum AVV finden. Oft ist es eine PDF-Datei, die Sie herunterladen können.
Alternativ können Sie auch auf der Cloudflare-Website direkt nach dem AVV suchen. Geben Sie in die Suchleiste „Cloudflare AVV” oder „Cloudflare Data Processing Addendum” ein. Sie sollten dann direkt zum entsprechenden Dokument oder zur Seite mit Informationen dazu gelangen.
Wichtig: Cloudflare ändert seine Nutzungsbedingungen und Datenschutzrichtlinien gelegentlich. Stellen Sie sicher, dass Sie die aktuellste Version des AVV verwenden.
Wie schließe ich den Cloudflare AVV ab?
In vielen Fällen ist der AVV von Cloudflare als Standardvertrag in den Nutzungsbedingungen enthalten. Das bedeutet, dass Sie ihn automatisch akzeptieren, wenn Sie die Dienste von Cloudflare nutzen. Es ist jedoch wichtig, die Bedingungen sorgfältig zu prüfen und sicherzustellen, dass sie Ihren Anforderungen entsprechen.
In manchen Fällen bietet Cloudflare auch die Möglichkeit, einen individuellen AVV abzuschließen, insbesondere für Unternehmenskunden mit spezifischen Anforderungen. Kontaktieren Sie in diesem Fall den Cloudflare-Support, um die Möglichkeiten zu besprechen.
Was sollte der Cloudflare AVV beinhalten?
Ein guter AVV, wie der von Cloudflare, sollte mindestens die folgenden Punkte abdecken:
- Gegenstand und Dauer des Vertrages: Definition des Zwecks und der Dauer der Datenverarbeitung.
- Art und Zweck der Verarbeitung: Klare Beschreibung, welche Art von personenbezogenen Daten verarbeitet wird und zu welchem Zweck.
- Pflichten des Auftragsverarbeiters (Cloudflare): Detaillierte Auflistung der Pflichten von Cloudflare im Bezug auf Datensicherheit, Vertraulichkeit, Unterstützung bei Anfragen von betroffenen Personen (z.B. Auskunftsrecht, Löschungsrecht), Meldung von Datenschutzverletzungen usw.
- Pflichten des Verantwortlichen (Sie): Beschreibung Ihrer Pflichten, wie z.B. die rechtmäßige Erhebung der Daten und die Information der betroffenen Personen.
- Technische und organisatorische Maßnahmen (TOM): Beschreibung der Sicherheitsmaßnahmen, die Cloudflare implementiert hat, um die Daten zu schützen (z.B. Verschlüsselung, Zugangskontrollen, regelmäßige Sicherheitsaudits).
- Unterauftragsverarbeiter: Informationen darüber, ob Cloudflare Unterauftragsverarbeiter einsetzt und unter welchen Bedingungen dies geschieht. Sie haben in der Regel das Recht, dem Einsatz von Unterauftragsverarbeitern zu widersprechen.
- Datentransfers außerhalb der EU/EWR: Klärung, ob und wie Daten in Länder außerhalb der EU/EWR übertragen werden und welche Schutzmaßnahmen ergriffen werden, um ein angemessenes Datenschutzniveau zu gewährleisten (z.B. Standardvertragsklauseln).
- Haftung: Regelungen zur Haftung im Falle von Verstößen gegen den AVV oder die DSGVO.
Zusammenfassung
Wenn Sie Cloudflare nutzen und personenbezogene Daten von EU-Bürgern verarbeiten, ist in den meisten Fällen ein AVV mit Cloudflare erforderlich. Der AVV regelt die Datenverarbeitung im Auftrag und stellt sicher, dass die DSGVO-Anforderungen erfüllt werden. Sie finden den AVV in Ihrem Cloudflare-Konto oder auf der Cloudflare-Website. Überprüfen Sie die Bedingungen sorgfältig und stellen Sie sicher, dass sie Ihren Anforderungen entsprechen, um DSGVO-Konformität zu gewährleisten.
Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Im Zweifelsfall sollten Sie sich von einem Rechtsanwalt beraten lassen.