HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
Content Delivery Network

jsDelivr

Open-Source CDN
data processing services
jsDelivr
jsDelivr ist ein Open-Source Content Delivery Network.
  • Sitz: Mount Pleasant, Barnet, England, Vereinigtes Königreich
  • Kategorie: Content Delivery Network
  • Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP) / Lokale Einbindung
Inhalt des Beitrags

Was ist jsDelivr?

jsDelivr ist ein öffentliches Content Delivery Network für Open-Source-Bibliotheken, Skripte und anderen Ressourcen, die in Webentwicklungsprojekten verwendet werden.

Über jsDelivr können statische Elemente wie Bilder, Videos, Audios, sowie CSS-, HTML- und JavaScript-Dateien für den Betrieb einer Website bezogen werden.

Was ist ein CDN?

Ein CDN (Content Delivery Network) ist ein verteiltes Netzwerk von Servern, das dazu dient, Inhalte effizient an Benutzer auszuliefern. Das Hauptziel eines CDNs besteht darin, die Leistung, Geschwindigkeit und Verfügbarkeit von Webseiten oder Anwendungen zu verbessern, indem es bezogene Daten im Netzwerk auf der ganzen Welt verteilt. Diese Server werden auch Replica-Server genannt. Ein CDN erlaubt es Nutzern Daten von nahegelegenen Servern anstelle des Ursprungsservers herunterzuladen oder zu beziehen.

Warum wird jsDelivr verwendet?

Aufgrund der beschriebenen Funktionsweise von CDNs mit weltweiten Replica-Servern verbessern sich Ladezeiten und somit der Performancefaktor der Website. Da bei dem Prozess Inhalte der Website auf den Servern von jsDelivr zwischengespeichert werden, ist jsDelivr ein Diensteanbieter gemäß Art. 1 Abs. 1 TMG.

CDNs nutzen DNS Resolver, um eine Domäne in eine IP-Adresse umzuwandeln. Auf welchen Server (respektive Server-Standort) zugegriffen wird/wurde, ist schwer nachvollziehbar. Im CDN selbst haben Algorithmen die Kontrolle über die Routenführung und Verbindungsoptimierung. Der Anwender selbst kann keinen Einfluss darauf nehmen.

Das stellt im Sinne der DSGVO ein Problem dar, da Websitebetreiber in der Lage sein müssen, zu belegen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat. Auch wenn mit Sitz in des Unternehmens im Vereinigten Königreich ein Angemessenheitsbeschluss vorliegt, ist eine Weiterleitung nicht auszuschließen.

Ein Auftragsverarbeitungsvertrag (AVV) mit jsDelivr ist nicht möglich.

Welche Daten werden verarbeitet?

Beim Bezug der Daten über die jsDelivr-Server, wird durch die Anfrage, die Daten abzurufen, immer die IP-Adresse der Benutzer genutzt. Diese stellt ein persönliches Datum dar. Im Hinblick auf den unklaren Standort der Server, ist immer damit zu rechnen, dass dieses Datum auch in unsicheren Drittländern verarbeitet wird.

jsDelivr setzt selbst keine Cookies. Das Setzen von Cookies kann jedoch durch den Bezug der Ressourcen von Dritten nicht ausgeschlossen werden.

Hast du jsDelivr richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  • Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  • Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    • Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    • er Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon
IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon
Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon
Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

jsDelivr muss Teil deiner Datenschutzerklärung sein

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Warum ist jsDelivr einwilligungspflichtig?

  • Die IP-Adresse der Nutzer kann ggf. in unsichere Drittländer weitergeleitet und dort verarbeitet werden.
  • Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Verarbeitungsstandort fehlt und somit keine transparente Information geliefert werden kann.

Fazit zur datenschutzkonformen Nutzung von jsDelivr

In jedem Fall stufen wir jsDelivr und andere Content Delivery Networks, vor allem mit Sitz in den USA, als einwilligungspflichtig ein.

Dennoch ist zu überlegen, ob der Nutzen, der durch das CDN entsteht, höher ist als die damit verbundenen Risiken. Falls nicht, solltest du dich über mögliche Alternativen informieren.

Da alle Content Delivery Netzwerke nach dem Replica-Server Prinzip arbeiten, ist uns keine vollständig DSGVO-konforme CDN Alternative bekannt.

Um die Ladezeiten von Websites zu optimieren, können lokale Maßnahmen genutzt werden wie beispielsweise das lokale Einbinden der bezogenen Dateien, diese sind immer DSGVO-konform.

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo