Cloudflare ist ein sogenannte Content Delivery Network (CDN). Es wird häufig aus Gründen der Bequemlichkeit verwendet, aber auch, um Inhalte möglicherweise schneller zu laden. Dies ist einwilligungspflichtig, wie die aktuelle Rechtsprechung zeigt.
Motivation für diesen Beitrag ist das folgende Urteil des OLG Köln. Es zeigt, dass Cloudflare mehr als ein reiner Kurzzeitspeicher ist. Zudem zeigt es, dass Cloudflare anscheinend nicht an der Aufklärung rechtswidriger Vorgänge durch Kunden interessiert ist.
Wie das OLG Köln am 09.10.2020 (Az.: 6 U 32/20) feststellte, haftet der Diensteanbieter Cloudflare für das bereitgestellte Content Delivery Network (CDN) mit. Inhalte, die auf dem CDN abgelegt sind und gegen Urheberrechte verstoßen, sind demnach auch Cloudflare anzulasten. Die Bedingungen des § 8 TMG zum Haftungsausschluss gälten nicht. Insofern kann auch § 9 TMG keine Anwendung finden, der einen Haftungsausschluss für kurzzeitige Datenspeicherungen ermöglicht.
Cloudflare ist demnach vielmehr ein Diensteanbieter gemäß § 2 S. 1 Nr. 1 TMG. Denn Cloudflare beschränkt sich nicht auf die reine Übermittlung, sondern speichert unstreitig Inhalte der Webseiten ihrer Kunden auf ihren eigenen Servern zwischen.
Cloudflare speichert Inhalte von Kundenwebseiten nicht nur solange, wie dies zur bloßen Übermittlung erforderlich ist. Der CDN-Betreiber gilt selbst zu, die Speicherung auch deswegen vorzunehmen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren. Auch die Beschleunigung von Seitenaufrufen und der Schutz von Kundenwebseiten werden als Gründe bestätigt. Insbesondere bösartige Besucher sollen blockiert werden. Von einer kurzzeitigen Datenspeicherung kann also nicht die Rede sein.
Daraus ergibt sich eindeutig, dass das Speichern auf den Servern von Cloudflare nicht allein der Übermittlung der angefragten Informationen dient.
Das Gericht nimmt an, dass Cloudflare sogenannte Spiegel-Server (Mirror) betreibe, um Informationen redundant zu halten.
Cloudflare betreibt DNS Resolver, um eine Domänen-Adresse in eine IP-Adresse umzuwandeln. Dies ist allerdings nicht spezifisch für ein CDN wie dieses, sondern findet immer statt.
Das Gericht stellt fest, dass Cloudflare laut Eigenwerbung Rechtsverstöße von Kunden, die Inhalte auf dem CDN ablegen, nicht verfolgen wird. Das von Cloudflare genannte Trusted Reporter Programm sei nicht glaubwürdig und wäre auch im o.g. Rechtsstreit nicht durchgesetzt worden, um die IP-Adresse eines Anbieters illegaler Inhalte mitzuteilen. Eine Sperrung illegaler Inhalte durch einen Wortfilter auf Domänenebene sei laut Cloudflare nicht möglich, was das Gericht zurecht als nich zutreffend ansah.
Insgesamt übernimmt Cloudflare anscheinend also keine Verantwortung für gehostetet Inhalte und kümmert sich auch nicht um die Klärung der Frage, ob ein Anbieter oder Inhalt rechtskonform ist oder nicht.
Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich. Ein AVV jedenfalls scheidet aus. Das Vereinbaren einer Gemeinsamen Verantwortlichkeit wäre Selbstmord. Geeignete Garantien (wie Corporate Binding Rules oder Standardvertragsklauseln) können nicht rechtskonform abgeschlossen werden.
Wer wissen möchte, von welchem Server mit welchem Serverstandort eine Datei abgerufen wurde, wird bei Cloudflare wahrscheinlich keine Information erhalten. Diese müsste ein Webseitenbetreiber (bzw. die Verantwortliche Stelle) aber liefern können, um möglicherweise zu beweisen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat.
Wenn der Server, von dem eine Datei für eine Webseite abgerufen wurde, nicht in einem unsicheren Drittland steht, muss noch die Frage beantwortet werden, wie es mit dem Anbieter selbst aussieht:
Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA.