Update vom 02.02.02 nach dem Urteil vom Landgericht München in einem Urteil (Az. 3 O 17493/20). Auch CDN sind davon wieder betroffen. Ihr könnt hier bei Golem mehr erfahren.
Es gibt auch einen neuen Artikel über das Thema Fonts und DSGVO.
Darf ich eigentlich noch einen CDN Anbieter wie Cloudflare verwenden? Dieser Frage bin ich privater Natur mal etwas hinterhergegangen und habe für mich ein Resultat erarbeitet. Eines sei zuvor gesagt. Ich bin kein Anwalt, das ist keine Beratung, Empfehlung oder ähnliches. Ich habe mich einfach mit dem Thema auseinandergesetzt und möchte meine Gedanken mit euch teilen. Ihr könnt euch gerne jederzeit beteiligen und Beiträge ergänzen.
Nachtrag: Heise hat am 16.09.2020 einen tollen Artikel rund um das Thema DSGVO und die Einbindung von Third Party Solutions veröffentlicht. Lege ich auch ans Herz, sich diesen Artikel durchzulesen. Hier geht es zum Heise Artikel.
Das Privacy Shield
Ich möchte eigentlich gar nicht im Detail darauf eingehen. Da gibt es bereits gute Artikel im Netz. Einfach mal zusammengefasst gibt es ja gemäß der DSGVO rechtliche Grundlagen, die erfüllt werden müssen um personenbezogene Daten zu verarbeiten. Und es gehört auch dazu, weitere Prüfungen vorzunehmen, sobald Daten in Drittländer, bzw. in unsichere Drittländer gesendet werden. Und hier gehören die Vereinigten Staaten dazu. Man hatte sich darauf geeinigt, dass US Unternehmen die unter dem Privacy Shield Dienstleistungen anbieten, eingesetzt werden dürfen. Darunter waren z.B Mailchimp, Squarespace etc. pp. Soweit so gut. Nun kam der Tag 26.07.2020 und die EuGH hat entschieden, dass das Privacy Shield nicht mehr „gültig“ ist und ab dato keine personenbezogene Daten in die USA transferiert werden dürfen. Ob die EU Model Clause noch Anwendung finden wird immer noch diskutiert. Manche sagen, dass es anwendbar sei, andere verneinen dies. Ich finde hier ist es auch nochmal schön zusammengefasst. https://dsgvo-gesetz.de/themen/drittland/
Gut, Ihr merkt wahrscheinlich wohin die Reise geht.
CDN (Content Delivery Network)
Kommen wir zum Thema CDN (Content Delivery Network). Kurz nochmal zusammgefasst. Ein Content Delivery Network ist quasi ein Verbund an Servern, auf denen statische Inhalte (zum Beispiel Bilder, Videos, CSS) ausgelagert werden und diese dann dann dem Besucher vom nächst gelegenen Server bereitgestellt werden. Heißt die Geschwindigkeit wird erhöht und die eigenen Anfragelast wird reduziert. Was per se eine sehr gute Idee ist. Nun kommen wir zum eigentlichen Problem der Thematik. Wie verträgt sich das denn mit der DSGVO und dem Privacy Shield?
Der bekannteste CDN Anbieter ist Cloudflare mit Sitz in Kalifornien. Ergo USA. Was müssen wir machen um das CDN einzusetzen? Um das CDN zu aktivieren ist es lediglich notwendig die Nameserver und den A-record wie vorgegeben zu ändern. Nun läuft der ganze Traffic über deren DNS Infrastruktur. Und damit kommen wir zum Kernthema.
Wenn ein Besucher die Homepage aufruft, werden seine Daten (IP Adresse) ungefragt weitergeschickt und im Hintergrund die Daten ausgespielt. Man sieht es eigentlich nur im unteren Fenster des Browsers beim Laden. Wer mehr zum Thema CDN lesen möchte kann es hier nachlesen https://de.wikipedia.org/wiki/Content_Delivery_Network
So und nun stell ich mir die Frage. Darf ich das eigentlich? Wenn ich mir die Gesetzeslage anschaue. Ich habe natürlich eine Rechtsgrundlage zwecks Verarbeitung personenbezogener Daten. Soweit in Ordnung. Aber eine Datenübermittlung in die unsicheren Drittländer. Worauf kann ich mich berufen? Evtl. durch eine EU Model Clause im CDN Vertrag. Aber wie gesagt. Im Moment sehr umstritten. Bleibt ja eigentlich nur die Einwilligung durch den Besucher. Also heißt das im Umkehrschluss. Wenn ein Besucher ablehnt, dann dürfte die Seite nicht ausgespielt werden oder nur durch den eigentlichen Hoster, der hoffentlich in der EU sitzt. Ich habe keine Ahnung wie das gehen sollte.
Fazit
Fassen wir mal die Erkenntnisse zusammen. Alles in allem ein sehr wackliges Konstrukt. Sicher wäre es, einen europäischen CDN Dienstleister einzusetzen. Kostet aber Geld. Und die Frage ist natürlich, ob jemand mit einen kleinen Shop oder Blog wirklich ein CDN benötigt. Zu 90% wird der Traffic eh aus dem Inland stammen und somit nicht wirklich so relevant. International sieht es natürlich wieder anders aus. Also je nach Anwendungsfall etwas zu unterscheiden. Ich würde empfehlen, kein CDN einzusetzen. Aufgrund der rechtlichen Unsicherheit. Und falls ja, dann wirklich schauen, ob die EU-Model Clause im Vertrag zumindest integriert sind und das auch !Wichtig! in der Datenschutzerklärung unbedingt aufführen. Am Ende ist man selbst verantwortlich :).
