CDN

[Name CDN] [Catchy Phrase]

header-monitoring
service_google

[Name CDN]

[Name CDN] ist ein Content Delivery Network zur Optimierung der Websiteperformance.

Sitz: [Stadt, Region, Land]
Kategorie:
CDN
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist [Name CDN]?

    [Name CDN] ist ein Content Delivery Network (CDN), also ein Netz von Servern in verschiedenen Rechenzentren auf der ganzen Welt.

    Wenn Du ein CDN nutzt, werden statische Inhalte deiner Website (wie Bilder, Videos, Audios, Dokumente oder CSS-, HTML- oder JavaScript-Dateien) zunächst in einem sogenannten Cache zwischengespeichert und auf verschiedenen Servern weltweit hinterlegt. Diese Server werden als Replica-Server bezeichnet.

    Wie funktioniert ein CDN?

    In dem Moment wo ein User einen bestimmten Inhalt der Website aufruft, wird der Server ermittelt, der die Daten am schnellsten übermitteln kann. Er sendet die gecachten Inhalte dann an den Nutzer. Je nach Anbieter des CDNs variieren Anzahl und Verteilung der Server sowie der Einbindungsgrad leistungsstarker Backbone-Netze.

    Warum wird [Name CDN] verwendet?

    Aufgrund der beschriebenen Funktionsweise von CDNs mit weltweiten Replica-Servern verbessern sich Ladezeiten und somit der Performancefaktor der Webseite. Da bei dem Prozess Inhalte der Webseite auf den Servern von [Name CDN] zwischengespeichert werden, ist [Name CDN] ein Diensteanbieter gemäß Art. 1 Abs. 1 TMG.

    [Name CDN] bestätigt, dass es die Inhalte der Kundenwebseite länger speichert, als für die bloße Übermittlung notwendig wäre. Zum einen, um die Anzahl der Aufrufe auf die Seiten deiner Kunden zu reduzieren, zum anderen um Inhalt noch schneller laden zu können. Zudem sollen schädigende Besucher dadurch blockiert werden können.

    CDNs nutzen DNS Resolver, um eine Domäne in eine IP-Adresse umzuwandeln. Auf welchen Server (respektive Server-Standort) zugegriffen wird/wurde, ist schwer nachvollziehbar. Im CDN haben Algorithmen die Kontrolle über die Routenführung und Verbindungsoptimierung, der Anwender selbst kann keinen Einfluss darauf nehmen.

    Das stellt im Sinne der DSGVO ein Problem dar, da Webseitenbetreiber in der Lage sein müssen, zu belegen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat. *Bei [Name CDN], als amerikanisches Unternehmen, ist davon auszugehen, dass ein Großteil der Datenverarbeitung in den USA stattfindet, welches als unsicheres Drittland einzustufen ist. Ein Auftragsverarbeitungsvertrag (AVV) mit [Name CDN] ist nicht möglich, da [Name CDN] keine Verantwortlichkeit für die Inhalte deiner Kunden übernimmt.**Gilt vor allem für US Dienstleister, sollte bei europäischen geändert werden*

    *** Platzhalter CTA***

     

     

     

    Welche Daten werden verarbeitet?

    [Name CDN] erhebt Daten wie

    • IP-Adresse
    • Kontakt- und Protokollinfos
    • Sicherheitsfingerabdrücke
    • Leistungsdaten für Websites

    [Name CDN] verwendet das Cookie *_cfduid**Beispiel Cloudflare* um einzelne User zu identifizieren und Sicherheitseinstellungen für jeden einzelnen User anzuwenden.

    Das Cookie *_cfduid**Beispiel Cloudflare* wird nach einem Jahr gelöscht.

    *Andere Daten werden auf User-Ebene für Domains in den Versionen Free, Pro und Business max. 24 Stunden gespeichert. Für Enterprise Domain, die [Name CDN] Logs aktiviert haben, können Daten bis zu 7 Tagen gespeichert werden.**Beispiel Cloudflare*

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen

    IP-Adresse

    Beachte dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    monitor

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist [Name CDN] Einwilligungspflichtig?

    • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von [Name CDN] eingeholt werden, da Daten durch den Dienst gespeichert werden.
    • Der Dienst von [Name CDN] darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.
    • Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.
    • Damit liegen Verstöße gegen die oben genannten Punkte 1, 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    Fazit zur datenschutzkonformen Nutzung von [Name CDN]

    Seit dem gekippten Privacy Shield ist die Nutzung von Drittanbieter Services in Amerika eine Grauzone und sollte durch eine Standardvertragsklausel abgesichert werden. In jedem Fall stufen wir [Name CDN] und andere Content Delivery Networks als einwilligungspflichtig ein.

    Dennoch ist zu überlegen, ob der Nutzen, der durch das CDN entsteht, höher ist als die damit verbundenen Risiken. Falls nicht, solltest du dich über mögliche Alternativen informieren.

    Da alle Content Delivery Netzwerke nach dem Replica-Server Prinzip funktionieren, ist uns aktuell keine 100%ig DSGVO-konforme Alternative zu Cloudflare und anderen CDN bekannt.

    Um die Ladezeiten von Websites zu optimieren, können lokale Maßnahmen genutzt werden wie beispielsweise das Verkleinern von Bilddateien. Lokal eingebundene Dateien sind immer DSGVO-konform.

     

    service_google

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an