gekennzeichnet. 
Cloudflare ist ein sogenanntes Content Delivery Network (CDN). Es wird häufig aus Gründen der Bequemlichkeit verwendet, aber auch, um Inhalte möglicherweise schneller zu laden. Dies ist einwilligungspflichtig, wie die aktuelle Rechtsprechung zeigt.
Ob mit Cloudflare Inhalte schneller geladen werden als bei lokaler Dateiablage oder bei Abruf von anderen Servern, möchte ich hier nicht weiter untersuchen. Es spielt hier keine wesentliche Rolle. Vielmehr geht es darum, ob Cloudflare rechtskonform genutzt werden kann. Mit der obigen Bequemlichkeitsaussage meine ich Folgendes: Viele binden lieber einen Link auf eine Datei ein, als die Datei lokal abzulegen. Die lokale Dateiablage ist oft möglich und wäre dann in sich datenschutzkonform.
Motivation für diesen Beitrag ist das folgende Urteil des OLG Köln. Es zeigt, dass Cloudflare mehr als ein reiner Kurzzeitspeicher ist. Zudem zeigt es, dass Cloudflare anscheinend nicht an der Aufklärung rechtswidriger Vorgänge durch Kunden interessiert ist.
Wie das OLG Köln am 09.10.2020 (Az.: 6 U 32/20) feststellte, haftet der Diensteanbieter Cloudflare für das bereitgestellte Content Delivery Network (CDN) mit. Inhalte, die auf dem CDN abgelegt sind und gegen Urheberrechte verstoßen, sind demnach auch Cloudflare anzulasten. Die Bedingungen des § 8 TMG zum Haftungsausschluss gälten nicht. Insofern kann auch § 9 TMG keine Anwendung finden, der einen Haftungsausschluss für kurzzeitige Datenspeicherungen ermöglicht.
Cloudflare ist demnach vielmehr ein Diensteanbieter gemäß § 2 S. 1 Nr. 1 TMG. Denn Cloudflare beschränkt sich nicht auf die reine Übermittlung, sondern speichert unstreitig Inhalte der Webseiten ihrer Kunden auf ihren eigenen Servern zwischen.
Cloudflare speichert Inhalte von Kundenwebseiten nicht nur solange, wie dies zur bloßen Übermittlung erforderlich ist. Der CDN-Betreiber gilt selbst zu, die Speicherung auch deswegen vorzunehmen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren. Auch die Beschleunigung von Seitenaufrufen und der Schutz von Kundenwebseiten werden als Gründe bestätigt. Insbesondere bösartige Besucher sollen blockiert werden. Von einer kurzzeitigen Datenspeicherung kann also nicht die Rede sein.
Daraus ergibt sich eindeutig, dass das Speichern auf den Servern von Cloudflare nicht allein der Übermittlung der angefragten Informationen dient. Dies ist richtig, weil Cloudflare ein sogenannter Reverse Proxy ist.
Das Gericht nimmt an, dass Cloudflare sogenannte Spiegel-Server (Mirror) betreibe, um Informationen redundant zu halten. Dies entspricht meiner Kenntnis nach den Tatsachen.
Cloudflare betreibt DNS Resolver, um eine Domänen-Adresse in eine IP-Adresse umzuwandeln. Dies ist allerdings nicht spezifisch für ein CDN wie dieses, sondern findet immer statt.
Das Gericht stellt fest, dass Cloudflare laut Eigenwerbung Rechtsverstöße von Kunden, die Inhalte auf dem CDN ablegen, nicht verfolgen wird. Das von Cloudflare genannte Trusted Reporter Programm sei nicht glaubwürdig und wäre auch im o.g. Rechtsstreit nicht durchgesetzt worden, um die IP-Adresse eines Anbieters illegaler Inhalte mitzuteilen. Eine Sperrung illegaler Inhalte durch einen Wortfilter auf Domänenebene sei laut Cloudflare nicht möglich, was das Gericht zurecht als nicht zutreffend ansah.
Insgesamt übernimmt Cloudflare anscheinend also keine Verantwortung für gehostete Inhalte und kümmert sich auch nicht um die Klärung der Frage, ob ein Anbieter oder Inhalt rechtskonform ist oder nicht.
Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich. Ein AVV jedenfalls scheidet aus. Das Vereinbaren einer gemeinsamen Verantwortlichkeit wäre Selbstmord. Geeignete Garantien (wie Corporate Binding Rules oder Standardvertragsklauseln) können nicht rechtskonform abgeschlossen werden.
Wer wissen möchte, von welchem Server mit welchem Serverstandort eine Datei abgerufen wurde, wird bei Cloudflare wahrscheinlich keine Information erhalten. Diese müsste ein Webseitenbetreiber (bzw. die verantwortliche Stelle) aber liefern können, um möglicherweise zu beweisen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat.
Wenn der Server, von dem eine Datei für eine Webseite abgerufen wurde, nicht in einem unsicheren Drittland steht, muss noch die Frage beantwortet werden, wie es mit dem Anbieter selbst aussieht:
Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA.
Bei meinem testweisen Abruf einer Webseite, die Cloudflare einsetzt, wurde die IP-Adresse 104.16.148.64 abgerufen. Zu dieser IP-Adresse liefert ein IP Lokationsdienst folgende Informationen (Stand: 31.03.2021):
Offenbar findet ein Datentransfer statt, der in Zusammenhang mit einem unsicheren Drittland steht. Dies ist gemäß Art. 44 DSGVO nur nach Einwilligung erlaubt.
Fazit
So groß der Nutzen von Cloudflare für manche auch sein mag, der Dienst darf erst nach Einwilligung eingesetzt werden. Zudem stellt sich die Frage, ob eine rechtskonforme Einwilligung eingeholt werden kann, weil die Informationspflichten aus Art. 13 DSGVO hier nur schwierig oder eventuell auch gar nicht zu erfüllen sind.
Wer Cloudflare nutzt, um eine schnellere Ladezeit seiner Webseite zu erreichen, sollte besser zuerst darauf achten, dass alle anderen lokalen Maßnahmen zur Geschwindigkeitssteigerung ausgeschöpft wurden. Beispielsweise optimieren viele ihre Bilder nicht, setzen aber ein vorgeblich superschnelles CDN ein.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. Im Jahr 2017 bin ich zum Datenschutz gekommen. Mir sind juristische Gegebenheiten nicht fremd. Ich versuche, meine Ergebnisse durch Betrachtung von Technik und Recht zu gewinnen. Das scheint mir jedenfalls absolut notwendig, wenn es um digitalen Datenschutz geht. Ich würde mich freuen, wenn Sie meinen 