HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
cdn
Cloudflare

CDN im Graubereich

data processing services & kategorisierung
cloudflare logo
Cloudflare

Cloudflare ist ein Content Delivery Network zur Optimierung von Websiteperformance.

  • Sitz: San Francisco, Kalifornien, Vereinigte Staaten
  • Kategorie: CDN
  • Rechtsgrundlage: Einwilligung erforderlich via Consent Management Platform (CMP)
Inhalt des Beitrags

Was ist Cloudflare?

Cloudflare ist ein Content Delivery Network (CDN), also ein Netz von Servern in verschiedenen Rechenzentren auf der ganzen Welt.

 

Wenn Du ein CDN nutzt, werden statische Inhalte deiner Website (wie Bilder, Videos, Audios, Dokumente oder CSS-, HTML- oder JavaScript-Dateien) zunächst in einem sogenannten Cache zwischengespeichert und auf verschiedenen Servern weltweit hinterlegt. Diese Server werden als Replica-Server bezeichnet.

Wie funktioniert ein CDN?

In dem Moment wo ein User einen bestimmten Inhalt der Website aufruft, wird der Server ermittelt, der die Daten am schnellsten übermitteln kann. Er sendet die gecachten Inhalte dann an den Nutzer. Je nach Anbieter des CDNs variieren Anzahl und Verteilung der Server sowie der Einbindungsgrad leistungsstarker Backbone-Netze.

Warum wird Cloudflare verwendet?

Aufgrund der beschriebenen Funktionsweise von CDNs mit weltweiten Replica-Servern verbessern sich Ladezeiten und somit der Performancefaktor der Website. Da bei dem Prozess Inhalte der Website auf den Servern von Cloudflare zwischengespeichert werden, ist Cloudflare ein Diensteanbieter gemäß Art. 1 Abs. 1 TMG

 

Cloudflare bestätigt, dass es die Inhalte der Kundenwebsite länger speichert, als für die bloße Übermittlung notwendig wäre. Zum einen, um die Anzahl der Aufrufe auf die Seiten deiner Kunden zu reduzieren, zum anderen um Inhalt noch schneller laden zu können. Zudem sollen schädigende Besucher dadurch blockiert werden können.

 

CDNs nutzen DNS Resolver, um eine Domäne in eine IP-Adresse umzuwandeln. Auf welchen Server (respektive Server-Standort) zugegriffen wird/wurde, ist schwer nachvollziehbar. Im CDN haben Algorithmen die Kontrolle über die Routenführung und Verbindungsoptimierung, der Anwender selbst kann keinen Einfluss darauf nehmen.

 

 

Welche Daten werden verarbeitet?

Cloudflare erhebt Daten wie

 

  • IP-Adresse
  • Kontakt- und Protokollinfos
  • Sicherheitsfingerabdrücke
  • Leistungsdaten für Websites

Cloudflare verwendet das Cookie _cfduid um einzelne User zu identifizieren und Sicherheitseinstellungen für jeden einzelnen User anzuwenden.

 

Das Cookie _cfduid wird nach einem Jahr gelöscht.

 

Andere Daten werden auf User-Ebene für Domains in den Versionen Free, Pro und Business max. 24 Stunden gespeichert. Für Enterprise Domain, die Cloudflare Logs aktiviert haben, können Daten bis zu 7 Tagen gespeichert werden.

Na, auf der Suche nach einem ganz bestimmten Service?

Ziel erreicht! 🏁 

In unserem Service-Universum findest du umfassende Informationen zu einzelnen Services – übersichtlich und digital!

Expertenwissen und Profi-Tipps gibt’s on top 😉

Zur Cookiepedia-Übersicht
data processing services

Hast du "Service" richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:


  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    a) Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    b) Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    c) Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon

IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon

Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon

Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

Cloudflare muss Bestandteil deiner Datenschutzerklärung sein!

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Warum ist Cloudflare einwilligungspflichtig?

  • Wenn Daten auf einem Server in einem sicheren Drittland verarbeitet würden, muss dennoch in jedem Fall eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO für die Nutzung von Cloudflare eingeholt werden, da Daten durch den Dienst gespeichert werden.
  • Der Dienst von Cloudflare darf entsprechend erst nach Einwilligung geladen werden, da sonst bereits eine Verbindung zu einem der Server aufbauen würde.
  • Das Erfüllen der Informationspflicht gemäß Art. 13 DSGVO in der Datenschutzerklärung stellt eine weitere Hürde dar, da die Information des Drittlandes fehlt und somit keine transparente Information geliefert werden kann.

Damit liegen Verstöße gegen die oben genannten Punkte 1, 2, 3 und 7 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

 

DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

Fazit zur datenschutzkonformen Nutzung von Cloudflare

Seit dem gekippten Privacy Shield ist die Nutzung von Drittanbieter Services in Amerika eine Grauzone und sollte durch eine Standardvertragsklausel abgesichert werden. In jedem Fall stufen wir Cloudflare und andere Content Delivery Networks als einwilligungspflichtig ein.

 

Dennoch ist zu überlegen, ob der Nutzen, der durch das CDN entsteht, höher ist als die damit verbundenen Risiken. Falls nicht, solltest du dich über mögliche Alternativen informieren.

 

Da alle Content Delivery Netzwerke nach dem Replica-Server Prinzip funktionieren, ist uns aktuell keine 100%ig DSGVO-konforme Alternative zu Cloudflare und anderen CDNs bekannt.

 

Um die Ladezeiten von Websites zu optimieren, können lokale Maßnahmen genutzt werden wie beispielsweise das Verkleinern von Bilddateien. Lokal eingebundene Dateien sind immer DSGVO-konform.

cloudflare logo

Du hast Fragen?

Kontaktiere uns  gerne für ein unverbindliches Erstgespräch:

Cookiebox
Über uns
Kontakt
Karriere
Impressum
Datenschutzerklärung
Datenschutzeinstellungen
AGB/AVV
Hinweisgeberportal
Mehr
Cortina DSB Siegel
Unternehmensgruppe
cookiebox icon

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

jörg ter beek portrait

Jörg ter Beek

Managing Director, Head of Sales & Partnerships

+49 251 95 20 37 -50
jtb@cookiebox.pro
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo