Cloudflare DSGVO

Cloudflare & CDNs

Was Sie bei Content Delivery Networks beachten müssen

header-monitoring
service_cloudflare

Cloudflare, Inc.

Cloudflare ist ein Content Delivery Network zur Optimierung von Websiteperformance

Sitz: San Francisco, USA
Kategorie:
 Marketing Service
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP), berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO

Was ist ein Content Delivery Network?

Ein Content Delivery Network (CDN) ist ein Netz von Servern in verschiedenen Rechenzentren auf der ganzen Welt.

Wenn Sie ein CDN nutzen, werden statische Inhalte Ihrer Website (wie Bilder, Videos, Audios, Dokumente oder CSS-, HTML- oder JavaScript-Dateien) zunächst in einem sogenannten Cache zwischengespeichert und auf verschiedenen Servern weltweit hinterlegt. Diese Server werden als Replica-Server bezeichnet.

Wie funktioniert ein CDN?

In dem Moment wo ein User einen bestimmten Inhalt der Website aufruft, wird der Server ermittelt, der die Daten am schnellsten übermitteln kann. Er sendet die gecachten Inhalte dann an den Nutzer. Je nach Anbieter des CDNs variieren Anzahl und Verteilung der Server sowie der Einbindungsgrad leistungsstarker Backbone-Netze.

Was ist Cloudflare?

Cloudflare ist ein Content Delivery Network mit Sitz in den USA. Aufgrund der beschriebenen Funktionsweise von CDN mit weltweiten Replica-Servern verbessern sich Ladezeiten und somit der Perfomancefaktor der Website. Da bei dem Prozess Inhalte der Website auf den Servern von Cloudflare zwischengespeichert werden, ist Cloudflare ein Diensteanbieter gemäß § S. 1 Nr. 1 TMG.

Cloudflare bestätigte, dass es die Inhalte der Kundenwebsite länger speichert, als für die bloße Übermittlung notwendig wäre. Zum einen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren, zum anderen um Inhalt noch schneller laden zu können. Zudem sollen schädigende Besucher dadurch blockiert werden können.

CDNs nutzen DNS Resolver, um eine Domäne in eine IP-Adresse umzuwandeln. Auf welchen Server (respektive Server-Standort) zugegriffen wird/wurde, ist schwer nachvollziehbar. Im CDN haben Algorithmen die Kontrolle über die Routenführung und Verbindungsoptimierung, der Anwender selbst kann keinen Einfluss darauf nehmen.

Das stellt im Sinne der DSGVO ein Problem dar, da WebsitebetreiberInnen in der Lage sein müssen, zu belegen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat. Bei Cloudflare, als amerikanisches Unternehmen, ist davon auszugehen, dass ein Großteil der Datenverarbeitung in den USA stattfindet, welches als unsicheres Drittland einzustufen ist. Ein Auftragsverarbeitungsvertrag (AVV) mit Cloudflare ist nicht möglich, da Cloudflare keine Verantwortlichkeit für die Inhalte ihrer Kunden und Kundinnen übernimmt.

Datenverarbeitung durch Cloudflare

Welche Daten werden von Cloudflare erhoben?

Cloudflare erhebt Daten wie

  • IP-Adresse
  • Kontakt- und Protokollinfos
  • Sicherheitsfingerabdrücke
  • Leistungsdaten für Websites

Cloudflare verwendet das Cookie _cfduid um einzelne User zu identifizieren und Sicherheitseinstellungen für jeden einzelnen User anzuwenden.

Wie lange werden Daten gespeichert?

Das Cookie _cfduid wird nach einem Jahr gelöscht.

Andere Daten werden auf User-Ebene für Domains in den Versionen Free, Pro und Business max. 24 Stunden gespeichert. Für Enterprise Domain, die Cloudflare Logs aktiviert haben, können Daten bis zu 7 Tagen gespeichert werden.

Welche Cookies setzt meine Website?

Rechtsgrundlage

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

Einwilligungspflicht

Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a für die Nutzung von Cloudflare eingeholt werden, da Daten durch den Dienst gespeichert werden. Der Dienst von Cloudflare darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.

Informationspflicht

Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.

Zur Datenschutzerklärung von Cloudflare

Cloudflare & DSGVO

Was bedeutet das nun für WebsitebetreiberInnen?

Seit dem gekippten Privacy Shield ist die Nutzung von Drittanbieter Services in Amerika eine Grauzone und sollte durch eine Standardvertragsklausel abgesichert werden. In jedem Fall sstufen wir Cloudflare und andere Content Delivery Networks als einwilligungspflichtig ein.

Dennoch ist zu überlegen, ob der Nutzen, der durch das CDN entsteht, höher ist als die damit verbundenen Risiken. Falls nicht, sollten Sie sich über mögliche Alternativen informieren.

Alternativen:

Da alle Content Delivery Netzwerke nach dem Replica-Server Prinzip funktionieren, ist uns aktuell keine 100%ig DSGVO-konforme Alternative zu Cloudflare und anderen CDN bekannt.

Um die Ladezeiten von Websites zu optimieren, können lokale Maßnahmen genutzt werden wie beispielsweise das Verkleinern von Bilddateien. Lokal eingebundene Dateien sind immer DSGVO-konform.

service_cloudflare

Fordern Sie ein Angebot an

Sie möchten Cloudflare nutzen und brauchen eine DSGVO konforme Konfiguration oder Hilfe beim Cookie-Banner? Beantworten Sie uns kurz die folgenden 5 Fragen. Wir melden uns so schnell wie möglich bei Ihnen.

An dieser Stelle haben wir eigentlich ein sehr komfortables Typeform-Element für Sie platziert; Typeform ist ein Anbieter für Formulare mit Sitz in Barcelona, Spanien. So weit so datenschutzkonform; leider nutzen die freundlichen Typeformer ein zusätzliches Tracking-Steuer-Element, das wir ohne Ihre Erlaubnis nicht einsetzen möchten: Segment. Wenn Sie das nicht weiter stört, können Sie mit Klick auf “Zustimmen” zu besagtem Formular gelangen. Andernfalls können Sie sich natürlich auch gerne über unsere Kontaktseite mit uns in Verbindung setzen.

Fordern Sie ein Angebot an