Cloudflare jest tzw. Content Delivery Network (CDN). Często używa się go z powodów wygody, ale także, aby treści mogły być ładowane możliwie szybciej. To wymaga zgody, jak pokazuje obowiązująca orzecznosc sądowa.
Jeśli z treściami Cloudflare można załadować szybciej niż przy lokalnym przechowywaniu plików lub pobieraniu z innych serwerów, nie będę tu dalej rozwijał tej kwestii. Nie ma w tym przypadku znaczenia. Chodzi raczej o to, czy Cloudflare może być użyte prawidłowo prawnie. Z powyższą deklaracją komfortu mam na myśli następujące: Wiele osób preferuje umieszczanie linków do plików, niż przechowywanie ich lokalnie. Lokalne przechowywanie plików jest często możliwe i byłoby wtedy samodzielnie zgodne z prawem ochrony danych.
Motywacja do tego wpisu jest następującym wyrokiem OLG Kolonia (Niemcy). Pokazuje on, że Cloudflare jest czymś więcej niż tylko pamięcią krótkotrwałą. Ponadto pokazuje on, że Cloudflare nie wydaje się interesować ośmieszeniem prawidłowych działań klientów.
Jak orzeczał OLG Kolonia dnia 09.10.2020 (Az.: 6 U 32/20), odpowiedzialność ponosi dostawca usług Cloudflare za udostępnione przez niego Content Delivery Network (CDN). Treści umieszczone na CDN i naruszające prawa autorskie, należą się do Cloudflare. Warunki § 8 TMG, dotyczące wyłączenia odpowiedzialności, nie miały zastosowania. W związku z tym nie można było również odnosić się do § 9 TMG, który umożliwia wyłączenie odpowiedzialności za krótkotrwałe przechowywanie danych.
Cloudflare jest zatem raczej dostawcą usług, zgodnie z § 2 pkt 1 TMG. Bowiem Cloudflare nie ogranicza się jedynie do przesyłania danych, ale przechowuje bezspornie treści stron internetowych swoich klientów na własnych serwerach.
W dniu 28.04.2021 roku Europejski Komitet ds. Ochrony Danych poinformował, że Portugalska Rada ds. Ochrony Danych zawiesiła transfer danych za pośrednictwem Cloudflare w ramach spisu powszechnego (census) z powodu przesyłania danych do USA.
Cloudflare przechowuje treści stron klientów nie tylko tak długo, jak jest to wymagane do przesłania danych. Operator CDN sam uważa się za obowiązany do przechowywania również z tego powodu, aby zmniejszyć liczbę odwiedzin na strony swoich klientów. Zmniejszenie czasu ładowania stron i ochrona stron klientów są również potwierdzane jako przyczyny. W szczególności błaźni mogą być zablokowani. Od krótkotrwałej przechowywania danych nie może więc mówić się.
Z tego wynika wyraźnie, że zapisywanie na serwerach Cloudflare niesłuży jedynie przesyłaniu żądanych informacji. To prawda, ponieważ Cloudflare jest tzw. Reverse Proxy.
CDN nie jest czystym usługą telekomunikacyjną, ale również wykonuje inne istotne zadania niż jedynie przesyłanie informacji. Porównaj § 3 Nr. 61 TKG.
Moje odkrycie.
Sąd uważa, że Cloudflare prowadzi tak zwane serwery lustrzane (Mirror), aby utrzymać informacje w redundancji. To odpowiada moim przekonaniom na temat faktów.
Cloudflare prowadzi rozwiązywacz DNS, aby przekształcić adres domeny w adres IP. Jest to jednak nie specyficzne dla tego typu CDN, ale zdarza się każdorazowo.
Sąd stwierdza, że Cloudflare według własnej promocji nie będzie ścigać prawnych naruszeń przez klientów, którzy umieszczają treści na CDN. Program Trusted Reporter wskazany przez Cloudflare jest niewiarygodny i również w tym procesie nie mógłby być zastosowany, aby przekazać adres IP dostawcy nielegalnych treści. Zablokowanie nielegalnych treści za pomocą filtra słów na poziomie domeny według Cloudflare jest niemożliwe, co sąd uznał za niewłaściwe.
W sumie Cloudflare zdaje się więc nie ponosi odpowiedzialności za hostowane treści i nie zajmuje się również ustaleniem, czy dostawca lub treść są zgodne z prawem albo nie.
Z tego powodu uważam, że zastosowanie RODO zgodne z przepisami w przypadku korzystania z CDN Cloudflare nie jest możliwe. Nie ma mowy o DPA. Zgoda na współodpowiedzialność byłaby samobójstwem. Właściwe gwarancje (jak Corporate Binding Rules lub Standardvertragsklauseln) nie mogą być prawidłowo sporządzone.
Kto chce wiedzieć, z którego serwera i z jakiego punktu dostępu została pobrana plik, prawdopodobnie nie otrzyma informacji u Cloudflare. Ta informacja jednak powinna być dostarczona przez administratora strony (lub odpowiedzialną osobę) w celu potwierdzenia, że nie odbywa się transfer danych do niebezpiecznych krajów trzecich.
Jeśli serwer, z którego pobrano plik dla strony internetowej, nie znajduje się w niebezpiecznym kraju trzecim, musi jeszcze odpowiedzieć pytanie: jak jest z samym dostawcą?:
Tekst źródłowy: Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA. Tłumaczenie na język polski: Laut [5]Oświadczenie o ochronie danych osobowych strony Cloudflare[6] jest firmą z siedzibą w Stanach Zjednoczonych.
Podczas mojego testowego pobierania strony internetowej, która używa Cloudflare, została pobrana adres IP 104.16.148.64. W związku z tym adresem IP, jeden dostęp do lokalizacji IP dostarcza następujące informacje (stan na 31.03.2021):
Widmo odbywa się transfer danych związany z niepewnym krajem trzecim. Jest to, zgodnie z art. 44 DSGVO, dopuszczalne tylko po wyrażeniu zgody. Do znaczenia wpisu:
Lokalizacja serwerów nie może być zawsze ustalona za pomocą ich adresu IP. Jednakże wystarczy, aby w sprawę wciągnąć problematykę dotyczącą Privacy Shield, że administrator serwera ma powiązania ze Stanami Zjednoczonymi. W takim przypadku jest wymieniany dostawca usług Cloudflare. Jest to amerykańskie przedsiębiorstwo, na które mają dostęp amerykańscy służby wywiadowcze. Służbom nie jest to jednak wcale ważne, gdzie znajdują się serwery Cloudflare. Ostatecznie można uzyskać dostęp do każdego serwera świata poprzez terminal, dla którego znane są dane logowania. Także europejskie filie Cloudflare (jeśli istnieją) nie zmieniają w tym zakresie niczego, ponieważ mają siedzibę w Stanach Zjednoczonych. Matka amerykańska jest nad nimi zwierzchnią. Jeśli byłoby inaczej, to matka amerykańska musiałaby i mogłaby udowodnić to. Takie dowody nie zostały dotychczas przedstawione przez Google ani Microsofta oraz Cloudflare.
Wnioski
Tak duży jest zysk z użycia Cloudflare dla niektórych, usługa ta może być używana tylko po uzgodnieniu. Ponadto powstaje pytanie, czy można uzyskać zgody prawidłowo, ponieważ obowiązki informacyjne z Art. 13 DSGVO są tu trudne do spełnienia lub być może nie mogą być w ogóle spełnione.
Ktoś Cloudflare używa, aby uzyskać szybsze ładowanie strony internetowej powinien najpierw upewnić się, że wszystkie inne lokalne środki ułatwiające przeglądanie zostały w pełni wykorzystane. Na przykład wiele osób nie optymalizuje swoich zdjęć, ale zamiast tego używa rzekomo superszybkiego CDN.
Dodatkowo Akamai jest kolejnym popularnym dostawcą CDN. Akamai jest wykorzystywany przez Cookiebot, w związku z czym VG Wiesbaden uznało Cookiebot za niezgodny z prawem.
Cloudflare zniesiono plik cookie__cfduid. W innym artykule Cloudflare przyznaje, że inne pliki cookies są rzekomo technicznie niezbędne (dlatego na nich nie jest żadna zgoda popierana).
Chociaż Cloudflare wydaje się być bardzo wątpliwa pod kątem przestrzegania zasad ochrony danych, uważam, że produkt Zegar wrotkowy od Cloudflare, który ma być alternatywą dla CAPTCHA, nie jest wart swojej ceny.
Zobacz również artykuł z Netzpolitik o Cloudflare.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
