gekennzeichnet. 
Cloudflare ist ein sogenanntes Content Delivery Network (CDN). Es wird häufig aus Gründen der Bequemlichkeit verwendet, aber auch, um Inhalte möglicherweise schneller zu laden. Dies ist einwilligungspflichtig, wie die aktuelle Rechtsprechung zeigt.
Ob mit Cloudflare Inhalte schneller geladen werden als bei lokaler Dateiablage oder bei Abruf von anderen Servern, möchte ich hier nicht weiter untersuchen. Es spielt hier keine wesentliche Rolle. Vielmehr geht es darum, ob Cloudflare rechtskonform genutzt werden kann. Mit der obigen Bequemlichkeitsaussage meine ich Folgendes: Viele binden lieber einen Link auf eine Datei ein, als die Datei lokal abzulegen. Die lokale Dateiablage ist oft möglich und wäre dann in sich datenschutzkonform.
Motivation für diesen Beitrag ist das folgende Urteil des OLG Köln. Es zeigt, dass Cloudflare mehr als ein reiner Kurzzeitspeicher ist. Zudem zeigt es, dass Cloudflare anscheinend nicht an der Aufklärung rechtswidriger Vorgänge durch Kunden interessiert ist.
Wie das OLG Köln am 09.10.2020 (Az.: 6 U 32/20) feststellte, haftet der Diensteanbieter Cloudflare für das bereitgestellte Content Delivery Network (CDN) mit. Inhalte, die auf dem CDN abgelegt sind und gegen Urheberrechte verstoßen, sind demnach auch Cloudflare anzulasten. Die Bedingungen des § 8 TMG zum Haftungsausschluss gälten nicht. Insofern kann auch § 9 TMG keine Anwendung finden, der einen Haftungsausschluss für kurzzeitige Datenspeicherungen ermöglicht.
Cloudflare ist demnach vielmehr ein Diensteanbieter gemäß § 2 S. 1 Nr. 1 TMG. Denn Cloudflare beschränkt sich nicht auf die reine Übermittlung, sondern speichert unstreitig Inhalte der Webseiten ihrer Kunden auf ihren eigenen Servern zwischen.
Am 28.04.2021 hatte der Europäische Datenschutzausschuss vermeldet, dass die Portugiesische Datenschutzbehörde den Datentransfer über Cloudflare im Rahmen des Census (Volkszählung) wegen des Datentransfers in die USA ausgesetzt hatte.
Cloudflare speichert Inhalte von Kundenwebseiten nicht nur solange, wie dies zur bloßen Übermittlung erforderlich ist. Der CDN-Betreiber gilt selbst zu, die Speicherung auch deswegen vorzunehmen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren. Auch die Beschleunigung von Seitenaufrufen und der Schutz von Kundenwebseiten werden als Gründe bestätigt. Insbesondere bösartige Besucher sollen blockiert werden. Von einer kurzzeitigen Datenspeicherung kann also nicht die Rede sein.
Daraus ergibt sich eindeutig, dass das Speichern auf den Servern von Cloudflare nicht allein der Übermittlung der angefragten Informationen dient. Dies ist richtig, weil Cloudflare ein sogenannter Reverse Proxy ist.
Ein CDN ist kein reiner Telekommunikationsdienst, sondern übernimmt auch wesentlich andere Aufgaben als die reine Nachrichtenübertragung. Vgl. hierzu § 3 Nr. 61 TKG.
Meine Erkenntnis.
Das Gericht nimmt an, dass Cloudflare sogenannte Spiegel-Server (Mirror) betreibe, um Informationen redundant zu halten. Dies entspricht meiner Kenntnis nach den Tatsachen.
Cloudflare betreibt DNS Resolver, um eine Domänen-Adresse in eine IP-Adresse umzuwandeln. Dies ist allerdings nicht spezifisch für ein CDN wie dieses, sondern findet immer statt.
Das Gericht stellt fest, dass Cloudflare laut Eigenwerbung Rechtsverstöße von Kunden, die Inhalte auf dem CDN ablegen, nicht verfolgen wird. Das von Cloudflare genannte Trusted Reporter Programm sei nicht glaubwürdig und wäre auch im o.g. Rechtsstreit nicht durchgesetzt worden, um die IP-Adresse eines Anbieters illegaler Inhalte mitzuteilen. Eine Sperrung illegaler Inhalte durch einen Wortfilter auf Domänenebene sei laut Cloudflare nicht möglich, was das Gericht zurecht als nicht zutreffend ansah.
Insgesamt übernimmt Cloudflare anscheinend also keine Verantwortung für gehostete Inhalte und kümmert sich auch nicht um die Klärung der Frage, ob ein Anbieter oder Inhalt rechtskonform ist oder nicht.
Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich. Ein AVV jedenfalls scheidet aus. Das Vereinbaren einer gemeinsamen Verantwortlichkeit wäre Selbstmord. Geeignete Garantien (wie Corporate Binding Rules oder Standardvertragsklauseln) können nicht rechtskonform abgeschlossen werden.
Wer wissen möchte, von welchem Server mit welchem Serverstandort eine Datei abgerufen wurde, wird bei Cloudflare wahrscheinlich keine Information erhalten. Diese müsste ein Webseitenbetreiber (bzw. die verantwortliche Stelle) aber liefern können, um möglicherweise zu beweisen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat.
Wenn der Server, von dem eine Datei für eine Webseite abgerufen wurde, nicht in einem unsicheren Drittland steht, muss noch die Frage beantwortet werden, wie es mit dem Anbieter selbst aussieht:
Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA.
Bei meinem testweisen Abruf einer Webseite, die Cloudflare einsetzt, wurde die IP-Adresse 104.16.148.64 abgerufen. Zu dieser IP-Adresse liefert ein IP Lokationsdienst folgende Informationen (Stand: 31.03.2021):
Offenbar findet ein Datentransfer statt, der in Zusammenhang mit einem unsicheren Drittland steht. Dies ist gemäß Art. 44 DSGVO nur nach Einwilligung erlaubt.
Fazit
So groß der Nutzen von Cloudflare für manche auch sein mag, der Dienst darf erst nach Einwilligung eingesetzt werden. Zudem stellt sich die Frage, ob eine rechtskonforme Einwilligung eingeholt werden kann, weil die Informationspflichten aus Art. 13 DSGVO hier nur schwierig oder eventuell auch gar nicht zu erfüllen sind.
Wer Cloudflare nutzt, um eine schnellere Ladezeit seiner Webseite zu erreichen, sollte besser zuerst darauf achten, dass alle anderen lokalen Maßnahmen zur Geschwindigkeitssteigerung ausgeschöpft wurden. Beispielsweise optimieren viele ihre Bilder nicht, setzen aber ein vorgeblich superschnelles CDN ein.
Übrigens ist Akamai ein weiterer populärer CDN-Anbieter. Akamai wird (Stand: 09.12.2021) von Cookiebot eingesetzt, weswegen das VG Wiesbaden Cookiebot für rechtswidrig erklärte.
Update: Cloudflare hat das Cookie __cfduid ohne echte Begründung abgeschafft. In einem weiteren Beitrag gibt Cloudflare allerdings zu, dass weitere Cookies angeblich technisch notwendig seien (weswegen dafür sicher keine Einwilligung abgefragt wird).
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT und Datenschutz bin ich auch als Sachverständiger tätig. Mir sind juristische Gegebenheiten nicht fremd. Meine Ergebnisse gewinne ich durch Betrachtung von Technik und Recht. Das scheint mir absolut notwendig, wenn es um digitalen Datenschutz geht. Über neue Beiträge werden Sie informiert, wenn Sie meinen 
Moin Herr Meffert,
können Sie ein CDN nennnen, das DSGVO-konform eingesetzt werden kann?
Ich hatte überlegt, bunnyCDN einzusetzen, die Testphase war auch sehr zufriedenstellend.
https://bunny.net/gdpr
Firmensitz und Server innerhalb der EU, es werden keine Heeader-Cookies gesetzt, ich sehe daher keine Probleme mit dem CDN-Betreiber, wie sehen Sie das?
Das von Ihnen genannte CDN kenne ich namentlich und hatte es mir vor einiger Zeit auch mal angesehen.
Für mich steht fest, dass es besser als Cloudflare ist, und womöglich auch DSGVO-konform.
EU-Firmensitz ist schon mal ein großes Plus. Muttergesellschaft in der EU wäre ein weiteres Plus (ich vermute, das ist hier gegeben).
Mehr kann ich dazu leider nicht sagen. Ich würde es aber ad hoc empfehlen, wenn ansonsten nur CloudFlare, Akamai o.ä. zur Diskussion steht.
Hallo zusammen,
vielen Dank für die Ausführungen und den Kommentar.
Mit demselben Argument (Firmensitz in DE) könnte m.E. auch Myra Security CDN
https://www.myrasecurity.com/de/content-delivery-network/global-cdn/
zumindest “datenschutzkonformer” als Cloudflare, Akamai, Amazon CloudFront o.Ä. eingesetzt werden.
Nach eigenen Angaben liegt der Myra Global CDN-Schwerpunkt in Deutschland; zudem besteht die Möglichkeit, die CDN-Auslieferung auf Deutschland zu beschränken.
Ich höre gerne eure Einschätzung hierzu!
Ja, ein deutscher Anbieter weist m.E. erfahrungsgemäß in jeder Hinsicht einen besseren Datenschutz auf als ein amerikanischer Anbieter wie Cloudflare oder Akamai.
Wenn der Serverstandort dann noch Deutschland ist, umso besser.
Cloudflare hat eine laengere Abhandlung ueber die DSGVO: https://www.cloudflare.com/de-de/gdpr/introduction/
Bei der IP Addresse nach irgendeiner geoip Datenbank zu gehen ist nur bedingt sinnvoll. Die sind nicht immer aktuell und das Land das da steht ist manchmal nur Sitz der Firma aber nicht der IP. Wenn ich die IP anpinge bekomme ich sehr kurze Zeiten. Die IP ist definitiv nicht in den USA sondern wird irgendwo in Frankfurt oder zumindest in Deutschland sein. Sinn eines CDN ist ja die Last global zu verteilen und moeglichst kurze Strecken zum Kunden zu haben. Cloudflare und jeder andere groessere CDN Anbieter haben zig Rechenzentren in Deutschland wo der Traffic terminiert wird.
Der genannte Link zeigt auf eine “Selbstverpflichtung”. Diese ist effektiv ohne großen Wert. Im verlinkten Dokument sind zudem die US-amerikanischen Überwachungsgesetze thematisiert, an die sich Cloudflare halten möchte, sofern kein Ärger mit dem eigenen Land (USA) heraufbeschworen werden soll.
Jeder kann sich fragen: Was wird eine Firma aus den USA wohl mehr respektieren?
a) einheimische (USA) Überwachungsgesetze und Präsidentenverfügungen
b) DSGVO von irgendwo anders (= Europa)
Kurzfassung:
US-Anbieter = Problem
Nur eine effektive Verschlüsselung, so dass der US-Anbieter selbst keinen Zugriff auf den Schlüssel und die entschlüsselten Daten hat, können ein wirksamer Schutz sein. Das geht dummerweise mit Cloudflare nicht, weil die IP-Adresse des Nutzers nicht verschlüsselt werden kann, da diese Adresse technisch notwendig ist. Für einen Brief ohne bekannten Absender kann die Antwort eben nicht zugestellt werden.
Heißt das auch, dass ich keine Postkarte aus den USA nach Deutschland schicken darf? Die Empfängeradresse wird ja vom US-Postamt für die korrekte Zustellung verarbeitet und enthält unmittelbar personenbezogene Daten.
Am besten einen Anwalt fragen 😉
Jedenfalls lassen sich mit einer Postkarte keine Bewegungsprofile erstellen (außer, die Postkarte enthält einen GPS-Sender o.ä. und der Empfänger trägt sie nach dem Erhalt mit sich herum).
Die Analogie zur Postkarte wäre möglicherweise eine kontextlose IP-Adresse. Kontextlos = ohne Bezug zu irgend einer Internet-Aktivität. Die Adresse der Postkarte stammt ja aus einer Art (öffentlichem) Verzeichnis. Es wäre bei der Postkarte vielleicht so, als würde Google eine Nachricht an einen Nutzer schicken. Die Analogie ist nur ein erster Schuss zur Veranschaulichung und erhebt keinen Anspruch darauf, perfekt zu sein.