Cloudflare — це так званий мережевий контент-ділінговий сервіс (CDN). Він часто використовується з метою зручності, але також для завантаження вмісту швидше. Це обов'язково вимагає згоди, як показує сучасна правова практика.
Обида з тим, що вміст Cloudflare завантажується швидше ніж при місцевому зберіганні файлів або під час завантаження з інших серверів, я тут не розбериму далі. Для мене це не має ніякого значення. Насправді мені цікаво, чи можна використовувати Cloudflare згідно законодавства. З попередньої комфортної заяви я маю на увазі таке: багато хто краще зв'язує посилання на файл ніж зберігає його місцево. Місцеве зберігання файлів часто можливе і тоді було б у собі відповідне захист даних.
Наприкінці мотивація для цього повідомлення – таке рішення суду вищого суду Кельна. Воно показує, що Cloudflare більше ніж лише тимчасовий зберігач даних. Крім того воно показує, що Cloudflare здається не має інтересу до розслідування порушень правових вимог клієнтів.
Як встановив ОЛГ Кельн 09.10.2020 (Az.: 6 U 32/20), відповідальність за надання послуг Cloudflare щодо Content Delivery Network (CDN) лежить на них. Зміст, який розміщено на CDN і порушує авторські права, також належить до Cloudflare. Умови § 8 TMG щодо звільнення від відповідальності не застосовуються. Тому також не може бути застосовано § 9 TMG, який дозволяє звільнити від відповідальності за короткочасне зберігання даних.
Cloudflare відповідно більше всього є послуговодавцем згідно § 2 С. 1 Нр. 1 TMG. бо Cloudflare обмежується не тільки чистою передачею, але й зберігає безспірно вміст сторінок своїх клієнтів на власних серверах між ними.
28 квітня 2021 року Європейський комісар із захисту даних повідомив, що португальська комісія із захисту даних зупинила передачу даних через Cloudflare в рамках перепису населення через передачу даних до США.
Cloudflare зберігає вміст сторінок клієнтів лише тоді, коли це необхідно для передачі даних. Власник CDN стверджує, що зберігає дані також тому, щоб зменшити кількість відвідувань сторінок своїх клієнтів. Також підтверджуються причини ушвидшення завантаження сторінок та захисту сторінок клієнтів від шкідників. У особливості, зловмисних відвідувачів слід блокувати. Від короткочасного зберігання даних не можна говорити.
З цього випливає однозначно, що зберігання на серверах від Cloudflare не лише призначене для передачі запиту інформації. Це вірно тому, що Cloudflare є так званим Reverse Proxy.
КДН не є чистим телекомунікаційним послугами, а виконує також суттєво інші завдання ніж тільки передавання повідомлень. Перегляньте відповідно до § 3 Nr. 61 TKG.
Моя пізнання.
Суд вважає, що Cloudflare здійснює так звані відбиткові сервери (Mirror), щоб зберігати інформацію в резерву. Це відповідає моїм відомостям щодо цієї справи.
Cloudflare керує розв'язником DNS для перетворення адреси домену в IP-адресу. Це не особливість цього CDN, але відбувається завжди.
Суд встановлює, що згідно з власною рекламою Cloudflare не буде розслідувати правопорушення клієнтів, які завантажують вміст на CDN. Програма Trusted Reporter, яку називають Cloudflare, є неповірливим і навіть у згаданому судовому процесі не було б здійснено, щоб повідомити IP-адресу постачальника незаконного змісту. Заборона незаконного вмісту за допомогою словникового фільтру на рівні домену згідно з Cloudflare неможлива, чого суд вважає невірним.
У цілому Cloudflare явно не бере на себе відповідальності за вміст, який він господарює та не займається навіть роз'ясненням питання, чи є провайдер або зміст відповідним законодавству чи ні.
З цього слідує, що DSGVO-компліментарна використання Cloudflare CDN для мене не можливе. Зокрема, DPA виключений з розгляду. Визначення спільної відповідальності було б самогубством. Дійсні гарантії (як Corporate Binding Rules або Standardvertragsklauseln) не можуть бути підписані відповідно до законодавства.
Хто хоче знати, який сервер із яким розташуванням був джерелом завантаження файлу, дуже ймовірно нічого не отримає з Cloudflare. Ця інформація повинна бути надана власником вебсторінки (або відповідальною особою), щоб можливо довести, що ніяка передача даних відбулася до небезпечних третіх країн.
Якщо сервер, з якого була завантажена файл для вебсторінки, не знаходиться у небезпечній країні третього світу, тоді ще залишається питання щодо самого провайдера:
Листин Декларація про захист даних вебсайту Cloudflare є підприємством із штаб-квартирою у США.
При тестовому завантаженні вебсторінки, яка використовує Cloudflare, була отримана IP-адреса 104.16.148.64. За цією IP-адресою послуга визначення місця розташування IP надає наступну інформацію (станом на 31.03.2021):
Видно відбувається передача даних, яка пов'язана з нестабільною третім країною. Це згідно ст. 44 ДЗП дозволено лише після згоди. Про значення запису:
Місцезнаходження серверів у загальному випадку не можна точно встановити за їхніми IP-адресами. Проте, щоб потрапити до проблеми Privacy-Shield, досить лише те, що власник сервера має американський зв'язок. У цьому випадку згадується провайдер Cloudflare. Cloudflare – це американське підприємство, дані якого можуть мати доступ американські спецслужби. Для цих органів не має значення, де знаходяться сервери Cloudflare. Зрештою, можна отримати доступ до будь-якого серверу світу через термінал, якщо відомі дані доступу. Також європейські дочки компанії Cloudflare (якщо такі існують) нічого не змінюють, оскільки активи розташовані в США. Американська мати має керівну повноважність щодо своїх європейських дочок. Якщо б це було інакше, американська мати міг би і повинен був довести це. Такі докази ні Google, ні Microsoft, ні Cloudflare ще не були зроблені.
Висновок
Такий великий користь від Cloudflare для деяких може бути, послуга повинна бути використовувана лише після згоди. Крім того, виникає питання, чи можна отримати згідну згоду, оскільки інформаційні зобов'язання згідно зі статті 13 ДЗПВ тут можуть бути важкими або навіть неможливими виконувати.
Хтоський Cloudflare використовує для досягнення швидшої завантажувальної швидкості своєї вебсторінки, повинен краще звернути увагу на те, щоб усі інші локальні заходи щодо підвищення швидкості були повністю використані. Наприклад, багато хто оптимізує свої зображення не, але встановлює ніби дуже швидке CDN.
Є ще один популярний провайдер CDN – Акамай. Akamai використовується Cookiebot, тому за цим VG Wiesbaden Cookiebot було визначено правопорушенням.
Cloudflare скасував Cookie __cfduid без справжньої причини. У іншому повідомленні Cloudflare визнає, що інші файли cookie є технічною необхідністю (що означає, що для них не буде запиту згоди).
Хоча Cloudflare здається дуже сумнівним щодо дотримання правил захисту даних, я вважаю, що продукт Транспортний платіж від Cloudflare, який повинен бути альтернативою CAPTCHA, не вартує свого часу.
Перегляньте також статтю від Netzpolitik про Cloudflare.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
