Cloudflare è un network di distribuzione dei contenuti (CDN). Viene spesso utilizzato per comodità, ma anche per caricare i contenuti in modo più veloce. Ciò è soggetto a consenso, come mostrano le attuali norme giuridiche.
Con il contenuto di Cloudflare carica più velocemente rispetto alla memorizzazione locale delle file o al recupero da altri server, non intendo approfondire ulteriormente questo argomento. Non è rilevante in questo contesto. Ciò che conta è se Cloudflare possa essere utilizzato in modo conforme alle leggi. Con la dichiarazione di comodità sopra riportata, intendo dire quanto segue: molti preferiscono inserire un link a una risorsa piuttosto che memorizzarla localmente. La memorizzazione locale è spesso possibile e sarebbe allora conforme alla protezione dei dati in sé.
La motivazione per questo articolo è la seguente sentenza del Tribunale Superiore di Colonia. Mostra che Cloudflare è più di un semplice cache a breve termine. Inoltre, mostra che Cloudflare non sembra interessato all'individuazione di attività illegali da parte dei propri clienti.
Come stabilito dall'OLG di Colonia il 09.10.2020 (Az.: 6 U 32/20), l'operatore del servizio Cloudflare è responsabile per la rete di distribuzione dei contenuti (CDN) fornita. I contenuti archiviati sul CDN che violano i diritti d'autore sono quindi imputabili a Cloudflare. Le condizioni del § 8 TMG relativo all'esclusione di responsabilità non si applicavano. Di conseguenza, neppure il § 9 TMG, che consente l'esclusione di responsabilità per la memorizzazione a breve termine dei dati, poteva trovare applicazione.
Cloudflare è quindi piuttosto un fornitore di servizi ai sensi § 2 S. 1 Nr. 1 TMG. Infatti Cloudflare non si limita alla mera trasmissione, ma archivia incontestabilmente i contenuti delle pagine web dei suoi clienti sui propri server.
Il 28.04.2021 il Comitato europeo per la protezione dei dati ha annunciato, che l'Autorità portoghese per la protezione dei dati aveva sospeso il trasferimento di dati attraverso Cloudflare nel contesto del censimento (censimento) a causa del trasferimento di dati negli Stati Uniti.
Cloudflare conserva i contenuti delle pagine web dei clienti non solo per il tempo necessario alla trasmissione. L'operatore del CDN si considera anche responsabile della conservazione, in quanto ciò aiuta a ridurre il numero di accessi alle pagine dei suoi clienti. Anche l'accelerazione degli accessi alle pagine e la protezione delle pagine web dei clienti sono state confermate come motivazioni. In particolare, i visitatori malintenzionati dovrebbero essere bloccati. Quindi non si può parlare di una conservazione a breve termine.
Da si evince chiaramente che lo stoccaggio sui server di Cloudflare non serve solo per la trasmissione delle informazioni richieste. Ciò è vero, perché Cloudflare è un cosiddetto Reverse Proxy.
Un CDN non è un servizio di telecomunicazione puro, ma assume anche compiti molto diversi dalla trasmissione delle informazioni in sé. Vedi qui § 3 Nr. 61 TKG.
La mia consapevolezza.
Il tribunale ritiene che Cloudflare gestisca cosiddetti server di specchio (Mirror) per mantenere le informazioni in modo redundante. Ciò corrisponde alle mie conoscenze sulla realtà.
Cloudflare gestisce un risolutor DNS per convertire un indirizzo di dominio in un'indirizzo IP. Ciò non è specifico per un CDN come questo, ma avviene sempre.
Il tribunale stabilisce che Cloudflare non seguirà le violazioni di diritto da parte dei clienti che caricano contenuti sul CDN, secondo la pubblicità dell'azienda stessa. Il programma Trusted Reporter citato da Cloudflare non è credibile e non sarebbe stato applicato nel caso in questione per comunicare l'indirizzo IP di un fornitore di contenuti illegali. La bloccatura dei contenuti illegali mediante filtro di parole a livello di dominio non è possibile, secondo Cloudflare, ma il tribunale ha giudicato questa affermazione come non vera.
In generale Cloudflare sembra quindi non assumere alcuna responsabilità per i contenuti ospitati e non si preoccupa nemmeno di chiarire se un fornitore o un contenuto sia conforme alle leggi o meno.
Con ciò, una utilizzo conforme alla GDPR del Cloudflare CDN non è possibile secondo la mia opinione. Un DPA in ogni caso esclude. L'accordo di una responsabilità condivisa sarebbe un suicidio. Garantie adatte (come Corporate Binding Rules o Standardvertragsklauseln) possono essere conclusi in modo conforme al diritto non possono essere conclusi.
Chi vuole sapere da quale server con quale posizione del server è stata richiesta una file, probabilmente non riceverà alcuna informazione presso Cloudflare. Questa dovrebbe essere fornita invece dal gestore di un sito web (ovvero dalla persona responsabile) per dimostrare che nessun trasferimento di dati è avvenuto in paesi terzi non sicuri.
Se il server da cui è stata richiesta una pagina web non si trova in un paese di dubbia sicurezza, deve ancora essere risposto come va con l'editore stesso:
Laudo Dichiarazione di protezione dei dati della web site Cloudflare è un'azienda con sede negli Stati Uniti.
Al mio testuale richiamo di una pagina web che utilizza Cloudflare, è stata recuperata l'indirizzo IP 104.16.148.64. A tale indirizzo IP, un servizio di localizzazione IP fornisce le seguenti informazioni (valido al: 31.03.2021):
Evidentemente avviene un trasferimento di dati che ha a che fare con un paese terzo non sicuro. Ciò è consentito solo con il consenso, in base all'articolo 44 del GDPR . Per la rilevanza dell'ingresso:
Il luogo di posizionamento dei server non può essere stabilito con certezza attraverso la loro indirizzo IP. Tuttavia, per quanto riguarda il problema Privacy Shield, basta che l'operatore del server abbia un collegamento con gli Stati Uniti, come nel caso del fornitore Cloudflare. Cloudflare è una società americana, i cui dati possono essere accessibili ai servizi segreti statunitensi. Al servizio di spionaggio non interessa dove siano posizionate le server di Cloudflare. Inoltre, si può accedere a qualsiasi server del mondo attraverso un terminale, per il quale sono note le credenziali di accesso. Anche le filiali europee di Cloudflare (se esistono) non cambiano nulla in questo senso, poiché i loro asset sono situati negli Stati Uniti. La madre americana ha la facoltà di dare ordini alle figlie europee. Se fosse diverso, l'americana madre avrebbe potuto e dovuto dimostrarlo. Tali prove non sono state fornite da Google, Microsoft o Cloudflare.
Conclusione
Quindi grande è il beneficio di Cloudflare per alcuni, ma il servizio può essere utilizzato solo dopo aver ottenuto l'autorizzazione. Inoltre si pone la domanda se un'autorizzazione conforme al diritto possa essere richiesta, perché le obbligazioni informative dell'art. 13 GDPR sono qui difficili da soddisfare o forse anche impossibili.
Chi utilizza Cloudflare per ottenere una carica più veloce della propria pagina web dovrebbe prima assicurarsi di aver sfruttato tutte le altre misure locali per l'accelerazione. Ad esempio, molti ottimizzano le loro immagini ma utilizzano un CDN apparentemente molto veloce.
Altre cose, Akamai è un altro popolare fornitore di CDN. Akamai viene utilizzato da Cookiebot, per cui il VG Wiesbaden ha dichiarato Cookiebot come illegale.
Cloudflare ha abolito il cookie __cfduid senza una vera giustificazione. In un altro articolo, Cloudflare ammette che altri cookies sarebbero tecnologicamente necessari (per cui non viene richiesta alcuna autorizzazione).
Nonostante Cloudflare sembri molto dubbia in materia di rispetto delle norme sulla protezione dei dati, vedo il prodotto Bigliettone di Cloudflare, che dovrebbe essere un'alternativa alla CAPTCHA, come non degno di considerazione.
Vedi anche un contributo di Netzpolitik su Cloudflare.
Messaggi chiave
Cloudflare non è solo un semplice acceleratore di contenuti, ma archivia i dati dei suoi clienti a lungo termine sui propri server, rendendolo responsabile per eventuali violazioni di legge.
Cloudflare non si assume la responsabilità dei contenuti ospitati sul suo CDN e non garantisce la conformità alle leggi, rendendo difficile un utilizzo conforme al GDPR.
L'utilizzo di Cloudflare potrebbe comportare rischi per la privacy, in quanto i dati potrebbero essere accessibili ai servizi segreti statunitensi.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
