Cloudflare er et såkaldt Content Delivery Network (CDN). Det bliver ofte brugt af praktiske årsager, men også for at laste indhold muligvis hurtigere. Dette kræver samtykke, som viser sig i den nuværende rets praksis.
Hvis man med Cloudflare kan laste ind indhold hurtigere end ved lokal opbevaring af filer eller ved at hente fra andre servere, vil jeg her ikke gå videre på dette spørgsmål. Det er ikke af væsentlig betydning. I stedet handler det om, om Cloudflare kan bruges i overensstemmelse med loven. Med ovenstående bekvemhedsbekendtgørelse mener jeg følgende: Mange foretrækker at indsætte en link til en fil frem for at opbeare den lokale fil. Lokal opbevaring af filer er ofte mulig og ville så være i sig selv dataskyddskonform.
Motivation for denne artikel er følgende dom fra OLG Köln. Den viser, at Cloudflare er mere end blot en ren midlertidig lagring. Desuden viser den, at Cloudflare tydeligvis ikke har interesse i at afdække ulovlige handlinger udført af kunderne.
Som OLG Köln (Tyskland) konkluderede den 09.10.2020 (Az.: 6 U 32/20), var ansvarlig for leveringen af Cloudflare til det tilgjengelige Content Delivery Network (CDN). Indhold, der er lagt op på CDN og overtræder ophavsretten, kan derefter også § 8 TMG ikke anvendes. I den forbindelse kan heller ikke § 9 TMG anvendes, da det giver mulighed for en frifindelse fra ansvar for kortvarig opbevaring af data.
Cloudflare er i så fald snarest en tjenesteyder ifølge § 2 S. 1 Nr. 1 TMG. Fordi Cloudflare ikke begrænser sig til blot at overdrage, men på egen regning gemmer indholdet af webstederne hos sine kunder på deres egne servere.
Den 28.04.2021 havde den Europæiske Dataombudsmand meldt, at den Portugisiske Dataombudsmand havde indstillet overførslen af data via Cloudflare i forbindelse med folketællingen (census) på grund af overførslen til USA.
Cloudflare gemmer indhold fra kunde-websteder ikke kun så længe det er nødvendigt til blot at overdrage det. CDN-udbyderen regner selv med, at opbevaringen også foregår fordi man ønsker at reducere antallet af besøg på siderne hos deres kunder. Også acceleration af siden og beskyttelse af kunde-websteder bliver nævnt som årsager. Især børnede besøgende skal blokeres. Der kan således ikke tale om en kortvarig opbevaring af data.
Der følger af det er tydeligt, at opbevaringen på Cloudflares servere ikke alene har til formål at overdrage de foreskrevne oplysninger. Dette er rigtig, fordi Cloudflare er en såkaldt Reverse Proxy.
En CDN er ikke en ren telekommunikations-tjeneste, men overtar også væsentligt andre opgaver end den rene meddelelseoverførsel. Jf. § 3 Nr. 61 TKG.
Min erkendelse.
Domstolen mener, at Cloudflare driver såkaldte spejlservere (Mirror), for at holde informationerne redundant. Det svarer til mine kendsgerninger.
Cloudflare driver DNS Resolver til at omvende en domæneadresse til en IP-adresse. Dette er dog ikke specifikt for et CDN som dette, men finder altid sted.
Domstolen konkluderer, at Cloudflare ifølge deres egen fremmelelse ikke vil efterforske retsforbrydelser fra kunder, som lægger indhold på CDN'en. Det af Cloudflare nævnte Trusted Reporter Programm er ikke troværdigt og ville heller ikke være blevet gennemført i ovennævnte retssag for at meddele IP-adressen til en leverandør af ulovlige indhold. En blokering af ulovligt indhold ved hjælp af et ordfilter på domæne niveau er ifølge Cloudflare ikke mulig, hvilket domstolen retfærdiggjorde som ikke sandt.
I alt overtar Cloudflare tydeligvis ingenting for ansvar for gehostede indhold og bekymrer sig heller ikke om at afgøre, om en leverandør eller indhold er lovlige eller ej.
Med det i ånde er en DSGVO-konform brug af Cloudflare CDN ikke mulig ifølge min mening. Et DPA kan i hvert fald ikke forekomme. At indgå i en fælles ansvarlighed ville være selvmord. Passende garantier (som Corporate Binding Rules eller Standardoverenskomstsklausuler) kan ikke påtages i overensstemmelse med loven.
Hvis man ønsker at vide hvilken server med hvilket serversted en fil er blevet hentet fra, vil man sikkert ikke få nogen informationer hos Cloudflare. Denne information skulle webseitenudgiveren (eller den ansvarlige) dog kunne levere for at muligvis bevise, at der ikke har været overført data til usikre tredjelande.
Hvis serveren, der en fil er blevet hentet fra for en hjemmeside, ikke ligger i et usikkert tredjeland, skal der stadig spørgsmålet besvare, hvordan det går med leverandøren selv:
[Laut 5]Databeskyttelse på Cloudflares hjemmeside er Cloudflare et firma med hovedkvarter i USA.
Når jeg testmæssigt tilførte en hjemmeside, der bruger Cloudflare, blev IP-adressen 104.16.148.64 hentet. Til denne IP-adresse leverer en IP Lokationsdienst følgende oplysninger (sidst opdateret: 31.03.2021):
Det synes at der foregår en dataoverførsel, som har med et usikkert tredje land at gøre. Dette er ifølge artikel 44 i DSGVO kun tilladt efter samtykke. Til betydningen af indtægten:
Serverens placering kan i reglen ikke pålideligt bestemmes ved hjælp af deres IP-adresse. Dog skal det blot være tilfældet, at serverejeseren har en amerikansk forbindelse, her nævnt Cloudflare. Cloudflare er et amerikansk selskab, hvis data kan være tilgængelige for amerikanske efterretningstjenester. Efterretningstjenesten har ingen interesse i hvor Cloudflare placerer sine servere. Til sidst kan man via en terminal komme til enhver server i verden, hvis man kender til adgangskoden. Europæiske datterfirmaer af Cloudflare (hvis de eksisterer) ændrer ikke på dette, fordi aktiverne ligger i USA. Den amerikanske moder er underordnet overfor de europæiske datterfirmaer. Hvis det var anderledes, kunne den amerikanske moder jo dokumentere det. Sådanne dokumentationer har Google, Microsoft og Cloudflare ikke bragt frem.
Konklusion
Så stor fordel, der Cloudflare har for nogle, må være den, at tjenesten først kan anvendes efter samtykke er indhentet. Desuden opstår spørgsmålet, om et samtykke, der overholder loven, kan indhentes, da de informationspligtigheder fra Art. 13 DSGVO her kun svært eller muligvis ikke kan opfyldes.
Den der bruger Cloudflare til at få sin hjemmeside til at laste hurtigere, bør først se til, at alle andre lokale tiltag til at forbedre hastigheden er blevet udnyttet. Fx optimerer mange ikke billeder, men sætter et såkaldt supers hurtigt CDN ind.
Tilfældigvis er Akamai en anden populær CDN-leverandør. Akamai bruges af Cookiebot, hvormed VG Wiesbaden har erklæret Cookiebot for at være ulovlig.
Cloudflare har afskaffet cookieen__cfduid uden en rigtig grund. I et følgende indlæg erkender Cloudflare dog, at yderligere cookies er påstået at være teknisk nødvendige (hvorfor der ikke bliver spurgt om tilladelse til dem).
Selv om Cloudflare i sig selv fremstår meget mistænkelig hvad angår opfyldelse af dataskyddsbestemmelser, synes jeg produktet Billetautomat fra Cloudflare, der skal være en CAPTCHA-alternativ, ikke værd at investere i.
Se også en artikel fra Netzpolitik om Cloudflare.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
