Cloudflare är ett så kallat content delivery network (cdn). Det används ofta av komfortskäl, men också för att läsa innehåll snabbare. Detta kräver samtycke, som den nuvarande rättspraxis visar.
Om med Cloudflare innehåll laddas snabbare än vid lokal filupplåtelse eller vid hämtning från andra servrar, vill jag inte gå vidare på det här. Det spelar ingen avgörande roll. Istället handlar det om att se om Cloudflare kan användas i en rättssäkerhetshänseende. Med den ovanstående bekvämlighetsförklaringen menar jag följande: Många binder hellre en länk till en fil in, än att lägga ner filen lokal. Den lokala filupplåtelsen är ofta möjlig och skulle då vara i sig dataskyddskonform.
Motivation för denna artikel är följande dom från OLG Köln(Tyskland). Den visar att Cloudflare är mer än bara en ren cache. Dessutom tyder det på att Cloudflare inte synes intresserad av att upplysa om olagliga händelser som utförs av kunderna.
Som OLG Köln konstaterade den 09.10.2020 (Az.: 6 U 32/20), var ansvarig för det tillhandahållna Content Delivery Network (CDN) av Cloudflare. Innehåll som lagrats på CDN och strider mot upphovsrätten, är därför också Cloudflare att anse som ansvarig. Villkoren i § 8 TMG för skyldighetsfrihet gällde inte. I den mån kan även § 9 TMG ingen tillämpning finna, vilket möjliggör en skyldighetsfrihet för kortvariga datalagringar.
Cloudflare är således snarare en tjänstelever enligt § 2 S. 1 Nr. 1 TMG. För Cloudflare gäller inte bara den rena överföringen, utan de lagrar uppenbart innehåll från webbplatser hos deras kunder på sina egna servrar.
Den 28 april 2021 hade den europeiska dataskyddsmyndigheten meddelat, att den portugisiska dataskyddsförvaltningen hade inaktiverat överföringen av data via Cloudflare i samband med folkräkningen (census) på grund av att data överförts till USA.
Cloudflare lagrar innehåll från kundwebbplatser inte bara så länge som det är nödvändigt för att överföra det. CDN-ägaren anses själv till att även spara innehållet för att minska antalet besök på sidorna hos deras kunder. Även acceleration av sidbesök och skydd av kundwebbplatser bekräftas som skäl. Särskilt ska onda besökare blockeras. Från en kortvarig lagring av data kan alltså inte talas.
Detta leder till att det är uppenbart att lagringen på Cloudflares servrar inte enbart syftar till överföringen av begärda informationer. Detta stämmer, eftersom Cloudflare är ett så kallat Reverse Proxy.
Ett CDN är inte en ren telekommunikationstjänst, utan tar också på sig väsentligt andra uppgifter än den rena meddelandeförmedlingen. Jämför härmed § 3 Nr. 61 TKG.
Min insikt.
Domstolen tror att Cloudflare driver så kallade spegelserver (Mirror) för att hålla informationer redundant. Det stämmer med vad jag vet är sant.
Cloudflare driverar en DNS-resolver för att omvandla en domännamn till en IP-adress. Detta är dock inte specifikt för ett CDN som detta, utan sker alltid.
Domstolen konstaterar att Cloudflare enligt egen marknadsföring inte kommer att följa upp rättsöverträdelser från kunder som laddar innehåll på CDN, Trusted Reporter Programmet som nämns av Cloudflare är inte trovärdigt och skulle inte heller ha genomförts i ovanstående rättstvist för att meddela IP-adressen till en leverantör av olagliga innehåll. En blockering av illegala innehåll via ett ordfilter på domän-nivå är enligt Cloudflare inte möjlig, vilket domstolen rättfärdigt ansåg vara felaktigt.
I sammanlagt övertar Cloudflare tydligen inget ansvar för innehåll som är värd hos dem och bekymrar sig heller inte om att klara ut om en leverantör eller innehåll är lagligt eller ej.
Med detta är en GDPR-konform användning av Cloudflare CDN inte möjlig från min synvinkel. En DPA (allmänna villkor) kan i alla fall uteslutas. Att komma överens om gemensam ansvarighet skulle vara självmord. Tillgängliga garantier (som Corporate Binding Rules eller Standardavtalsklausuler) kan inte rättssäkert slutas.
Om man vill veta från vilken server med vilket serverlandskap en fil hämtades, kommer sannolikt ingen information att erhållas hos Cloudflare. Denna information måste dock lämnas av webbplatsägaren (eller den ansvariga parten) för att eventuellt kunna bevisa att inget datatransfer skett till osäkra tredjeländer.
Om servern som hämtat en fil till en webbplats inte är belägen i ett osäkert tredje land, måste frågan fortfarande besvaras:
[Laut 5]Datatillståndsklartexten på Cloudflares webbplats är Cloudflare ett företag med säte i USA.
När jag provade att hämta en webbplats som använder Cloudflare fick jag IP-adressen 104.16.148.64. En IP-locationservice ger följande information (uppdaterad till den 31 mars 2021) för denna IP-adress:
Det tycks vara ett datatransfer som har samband med ett osäkert tredje land. Detta är enligt artikel 44 i DSGVO endast tillåtet efter samtycke. Till betydelsen av inlägg:
Serverns placering kan i allmänhet inte påliteligt bestämmas via dess IP-adress. Dock räcker det för att hamna i Privacy-Shield-problematiken att serverns ägare har ett amerikanskt samband. Här nämns till exempel leverantören Cloudflare. Cloudflare är ett amerikanskt företag, vars data kan ha tillgång av amerikanska underrättelsetjänster. Underrättelsetjänsten bryr sig inte om var Cloudflares servrar står. Till slut kan man via en terminal komma åt vilken server i världen som helst, förutsatt att man har tillgång till dess användaruppgifter. Även europeiska dotterbolag av Cloudflare (om det finns några) ändrar inte på detta, eftersom tillgången ligger i USA. Den amerikanska moderföretaget är underordnat de europeiska dotterbolagen. Om detta vore annorlunda kunde och skulle den amerikanska moderföretaget kunna bevisa det. Sådana bevis har dock inte presenterats av Google, Microsoft eller Cloudflare.
Sammandrag
Så stor nytta som Cloudflare kan vara för vissa, måste tjänsten användas med samtycke. Dessutom uppstår frågan om ett lagligt samtycke kan inhämtas, eftersom informationspliktarna från Artikel 13 DSGVO här är svåra eller kanske inte alls att uppfylla.
Den som använder Cloudflare för att få en snabbare laddningstid på sin webbplats, borde i stället se till att alla andra lokala åtgärder för hastighetsförbättring har utnyttjats. Till exempel optimerar många inte sina bilder, men sätter in ett så kallat supersnabbt CDN.
Övrigt är Akamai Technologies en annan populär CDN-leverantör. Akamai används av Cookiebot, varför VG Wiesbaden har uttalat att Cookiebot är laglöst.
Cloudflare har upphört med cookiencfduid. I en annan artikel erkänner Cloudflare dock att andra cookies är tekniskt nödvändiga (varför man inte begär tillstånd för dem).
Cloudflare verkar mig väldigt misstänkt när det gäller uppfyllande av dataskyddslagstiftningen, men jag ser inte Biljettkiosk från Cloudflare som ett produkt som är värt att investera i. Det är en CAPTCHA-alternativ.
Se även en artikel från Netzpolitik om Cloudflare.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
