Drücke „Enter”, um zum Inhalt zu springen.
Ausprobieren
Online Webseiten-Check
Ergebnis in wenigen Sekunden sehen
Auf meiner Webseite sind externe Links mit dem Symbol gekennzeichnet. Datenschutzhinweise · Wissensartikel

Cloudflare: Das Content Delivery Network und Datentransfers nach DSGVO

3

Cloudflare ist ein sogenannte Content Delivery Network (CDN). Es wird häufig aus Gründen der Bequemlichkeit verwendet, aber auch, um Inhalte möglicherweise schneller zu laden. Dies ist einwilligungspflichtig, wie die aktuelle Rechtsprechung zeigt.

Motivation für diesen Beitrag ist das folgende Urteil des OLG Köln. Es zeigt, dass Cloudflare mehr als ein reiner Kurzzeitspeicher ist. Zudem zeigt es, dass Cloudflare anscheinend nicht an der Aufklärung rechtswidriger Vorgänge durch Kunden interessiert ist.

Wie das OLG Köln am 09.10.2020 (Az.: 6 U 32/20) feststellte, haftet der Diensteanbieter Cloudflare für das bereitgestellte Content Delivery Network (CDN) mit. Inhalte, die auf dem CDN abgelegt sind und gegen Urheberrechte verstoßen, sind demnach auch Cloudflare anzulasten. Die Bedingungen des § 8 TMG zum Haftungsausschluss gälten nicht. Insofern kann auch § 9 TMG keine Anwendung finden, der einen Haftungsausschluss für kurzzeitige Datenspeicherungen ermöglicht.

Cloudflare ist demnach vielmehr ein Diensteanbieter gemäß § 2 S. 1 Nr. 1 TMG. Denn Cloudflare beschränkt sich nicht auf die reine Übermittlung, sondern speichert unstreitig Inhalte der Webseiten ihrer Kunden auf ihren eigenen Servern zwischen.

Cloudflare speichert Inhalte von Kundenwebseiten nicht nur solange, wie dies zur bloßen Übermittlung erforderlich ist. Der CDN-Betreiber gilt selbst zu, die Speicherung auch deswegen vorzunehmen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren. Auch die Beschleunigung von Seitenaufrufen und der Schutz von Kundenwebseiten werden als Gründe bestätigt. Insbesondere bösartige Besucher sollen blockiert werden. Von einer kurzzeitigen Datenspeicherung kann also nicht die Rede sein.

Daraus ergibt sich eindeutig, dass das Speichern auf den Servern von Cloudflare nicht allein der Übermittlung der angefragten Informationen dient. Dies ist richtig, weil Cloudflare ein sogenannter Reverse Proxy ist.

Das Gericht nimmt an, dass Cloudflare sogenannte Spiegel-Server (Mirror) betreibe, um Informationen redundant zu halten. Dies entspricht meiner Kenntnis nach den Tatsachen.

Cloudflare betreibt DNS Resolver, um eine Domänen-Adresse in eine IP-Adresse umzuwandeln. Dies ist allerdings nicht spezifisch für ein CDN wie dieses, sondern findet immer statt.

Das Gericht stellt fest, dass Cloudflare laut Eigenwerbung Rechtsverstöße von Kunden, die Inhalte auf dem CDN ablegen, nicht verfolgen wird. Das von Cloudflare genannte Trusted Reporter Programm sei nicht glaubwürdig und wäre auch im o.g. Rechtsstreit nicht durchgesetzt worden, um die IP-Adresse eines Anbieters illegaler Inhalte mitzuteilen. Eine Sperrung illegaler Inhalte durch einen Wortfilter auf Domänenebene sei laut Cloudflare nicht möglich, was das Gericht zurecht als nich zutreffend ansah.

Insgesamt übernimmt Cloudflare anscheinend also keine Verantwortung für gehostetet Inhalte und kümmert sich auch nicht um die Klärung der Frage, ob ein Anbieter oder Inhalt rechtskonform ist oder nicht.

Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich. Ein AVV jedenfalls scheidet aus. Das Vereinbaren einer Gemeinsamen Verantwortlichkeit wäre Selbstmord. Geeignete Garantien (wie Corporate Binding Rules oder Standardvertragsklauseln) können nicht rechtskonform abgeschlossen werden.

Wer wissen möchte, von welchem Server mit welchem Serverstandort eine Datei abgerufen wurde, wird bei Cloudflare wahrscheinlich keine Information erhalten. Diese müsste ein Webseitenbetreiber (bzw. die Verantwortliche Stelle) aber liefern können, um möglicherweise zu beweisen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat.

Wenn der Server, von dem eine Datei für eine Webseite abgerufen wurde, nicht in einem unsicheren Drittland steht, muss noch die Frage beantwortet werden, wie es mit dem Anbieter selbst aussieht:

Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA.

Bei meinem testweisen Abruf einer Webseite, die Cloudflare einsetzt, wurde die IP-Adresse 104.16.148.64 abgerufen. Zu dieser IP-Adresse liefert ein IP Lokationsdienst folgende Informationen (Stand: 31.03.2021):

Standortinformationen zu einer IP-Adresse, die von Cloudflare betrieben wird

Offenbar findet ein Datentransfer statt, der in Zusammenhang mit einem unsicheren Drittland steht. Dies ist gemäß Art. 44 DSGVO nur nach Einwilligung erlaubt.

Fazit

So groß der Nutzen von Cloudflare für manche auch sein mag, der Dienst darf erst nach Einwilligung eingesetzt werden. Zudem stellt sich die Frage, ob eine rechtskonforme Einwilligung eingeholt werden kann, weil die Informationspflichten aus Art. 13 DSGVO hier nur schwierig oder eventuell auch gar nicht zu erfüllen sind.

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen Newsletter abonnieren.
Bitte nutzen Sie bei Verwendung meiner Ergebnissen die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/cloudflare-datentransfers-und-die-dsgvo
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.

Dieser Beitrag wird in anderen Beiträgen erwähnt

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Nächster Beitrag

Bullshit Basics: Der Google Tag Manager ist keine cookielose Domäne: ein Beweis