Cloudflare is een zogenaamd Content Delivery Network (CDN). Het wordt vaak uit gemakzucht gebruikt, maar ook om inhoud mogelijk sneller te laden. Dit is toestemmingsplichtig, zoals de huidige rechtspraak aantoont.
Als het gaat om Cloudflare en of inhoud sneller geladen wordt dan bij lokale opslag van bestanden of bij oproepen van andere servers, wil ik hier niet verder in gaan. Het speelt hier geen belangrijke rol. In plaats daarvan gaat het erom of Cloudflare rechtmatig gebruikt kan worden. Met de bovenstaande comfortaanspraak bedoel ik dit: Veel mensen prefereren een link naar een bestand te maken, in plaats van het bestand lokaal op te slaan. De lokale opslag is vaak mogelijk en zou dan zelfs data-privacy-compliant zijn.
Motivatie voor deze bijdrage is het volgende vonnis van het OLG Cologne. Het laat zien dat Cloudflare meer is dan een puur tijdelijk opslaggeheugen. Bovendien laat het zien dat Cloudflare kennelijk niet geïnteresseerd is in de onthulling van illegale activiteiten door klanten.
Hoe het Oberlandesgericht Cologne (Duitsland) op 09.10.2020 (Az.: 6 U 32/20) vaststelde, draagt de dienstenleverancier Cloudflare verantwoordelijkheid voor het beschikbaar gestelde Content Delivery Network (CDN). Inhoud die op het CDN is geplaatst en tegen auteursrechten verstoot, zijn dus ook Cloudflare aan te rekenen. De bepalingen van § 8 TMG over vrijwaring van aansprakelijkheid gelden niet. In zoverre kan ook § 9 TMG geen toepassing vinden, die een vrijwaring van aansprakelijkheid voor korte tijdige opslag van gegevens mogelijk maakt.
Cloudflare is dus vooral een dienstverlener volgens § 2 S. 1 Nr. 1 TMG. Want Cloudflare beperkt zich niet tot de puine doorzending, maar slaat onbetwistelijk inhoud van websites van hun klanten op op hun eigen servers.
Op 28 april 2021 had de Europese Commissie voor gegevensbescherming aangekondigd, dat de Portugese gegevensbeschermingsautoriteit de overdracht van gegevens via Cloudflare in het kader van de Census (volkstelling) had uitgesteld vanwege de overdracht van gegevens naar de VS.
Cloudflare bewaart inhoud van klantenwebsites niet alleen zolang dit noodzakelijk is voor de overdracht. De CDN-ondernemer doet het zelfs om de aanvraagniveaus op de pagina's van hun klanten te reduceren. Ook de versnelling van pagina-aanvragen en de bescherming van klantwebsites worden als redenen bevestigd. Vooral kwaadaardige bezoekers moeten geblokkeerd worden. Van een kortstondige gegevensopslag kan dus niet gesproken worden.
Uit dit volgt duidelijk dat het opslaan op de servers van Cloudflare niet alleen bedoeld is om de gevraagde informatie te versturen. Dit klopt, omdat Cloudflare een zogenaamde Reverse Proxy is.
Een CDN is geen puur telecommunicatiedienst, maar neemt ook andere belangrijke taken op zich dan de puine berichtoverdracht. Vergelijk hiervoor artikel 3 lid 61 TKG.
Mijn inzicht.
Het gerecht vermoedt dat Cloudflare zogenaamde spiegelservers (Mirror) exploiteert om informatie redundant te houden. Dit strookt naar mijn kennis met de feiten.
Cloudflare draait een DNS Resolver om een domeinnaam om te zetten in een IP-adres. Dit is echter niet specifiek voor zo'n CDN als dit, maar gebeurt altijd.
Het gerecht stelt vast dat Cloudflare volgens eigen reclame geen rechtsverstrijdingen van klanten zal doorzoeken die inhoud op het CDN plaatsen. Het door Cloudflare genoemde Trusted Reporter Programm is niet geloofwaardig en zou ook in de hiervoor genoemde procedure niet zijn doorgegaan om de IP-adres van een aanbieder illegale inhoud te melden. Een blokkade van illegale inhoud door een woordfilter op domeinebene is volgens Cloudflare niet mogelijk, wat het gerecht juist vond.
In totaal neemt Cloudflare kennelijk dus geen verantwoordelijkheid op voor gehoste inhoud en ziet men ook niet toe op het oplossen van de vraag of een aanbieder of inhoud wettig is of niet.
Met dit in achtnemend is een DSGVO-conforme gebruik van het Cloudflare CDN volgens mij niet mogelijk. Een DPA kan in ieder geval uitgesloten worden. Het sluiten van een overeenkomst met gemeenschappelijke verantwoordelijkheid zou zelfmoord zijn. Passende garanties (zoals Corporate Binding Rules of standaardcontractuele bepalingen) kunnen niet rechtsgeldig worden afgesloten.
Wie je wilt weten van welke server met welk serverlocatie een bestand is opgeroep, zal bij Cloudflare waarschijnlijk geen informatie verkregen worden. Deze zou echter door de webbeheerder (bzw. de verantwoordelijke partij) kunnen worden geleverd om mogelijk te bewijzen dat geen gegevensoverdracht naar onzekere derde landen heeft plaatsgevonden.
Als de server waarvan een bestand is opgevraagd voor een website niet in een onzekere derde land staat, moet nog de vraag beantwoord worden hoe het met de aanbieder zelf zit:
Laut De gegevensbeschermingsverklaring van de Cloudflare website is Cloudflare een bedrijf met hoofdzetel in de VS.
Bij mijn testwezen oproep van een website die Cloudflare gebruikt, werd de IP-adres 104.16.148.64 opgeroepen. Tot deze IP-adres levert een IP Lokationsdienst de volgende informatie (Stand: 31.03.2021):
Het lijkt erop dat een gegevensoverdracht plaatsvindt die verband houdt met een ongezekerd derde land. Dit is volgens Artikel 44 DSGVO alleen na toestemming toegestaan. Over de betekenis van het ingevoerde item:
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
