Das Thema, ob US-amerikanische SaaS-Anbieter zulässigerweise eingesetzt werden können oder ob Produkte wie Jira, Zendesk, diverse CRM System und weiteres nicht gegen Datenschutzrecht verstoßen ist seit er Schrems II-Entscheidung des EuGH (siehe hier) eigentlich klar.
Wie man nach aktuellem Stand SaaS-System als US-Anbieter in Deutschland anbieten kann, findet man in einem längeren Artikel hier.
Das Thema betrifft übrigens viele populäre WordPress-Plugins und Services wie eben Cloudflare. Bei Cloudflare gilt insbesondere, dass das OLG Köln gerade erst entschieden hat, dass der Anbieter für Urheberrechtsverletzungen haften würde (siehe diesen Post). Denn Cloudflare, jedenfalls wenn man mehr nutzt, als nur die Dienste zur möglichen Verhinderung von DDoS-Angriffen, speichert die Inhalte selber auf ihren Server, um Caching und CDN-Dienstleistungen zu erbringen. Was bei einer normalen Webseite, die NUR Inhalte bereitstellt, wie beispielsweise ein Blog oder ähnliches, noch wenig problematisch ist (von den im Fall OLG Köln relevanten Urheberrechtsverletzungen abgesehen), ist bei dynamischen Inhalten und persönlichen Daten von Nutzern eben nicht mehr so unproblematisch. Das würde beispielsweise Foren, Communitys und Seiten betreffen, in die man sich einloggen kann. Zwar werden bei einem CDN nicht die Nutzerdaten als solche geloggt, aber eben die persönlichen Daten, die man im Rahmen der Nutzung auf diesem Portal eingibt. Jedenfalls, wenn der Anbieter die CDN-Nutzung nicht richtig konfiguriert und dynamische Nutzerinhalte ausschließt.
An allen Stellen, in denen die Cache- oder CND-Dienstleistungen von Cloudflare genutzt werden, dient das Speichern auf welchen Servern von Cloudflare auch immer, nicht nur der Übermittlung der angefragten Informationen. Das führt aber wegen den fehlenden Privacy Shield-Voraussetzungen wohl dazu, dass eine DSGVO-konforme Nutzung von Cloudflare nicht möglich ist, jedenfalls, wenn, wie oben darlegt, persönliche Daten der Nutzer betroffen sind. Denn ein Auftragsverarbeitungsvertrag scheidet aus. Und wie in meinem Artikel zum Anbieten von SaaS-Diensten aufgezeigt, sind nach strenger Meinung wohl auch Corporate Binding Rules oder Standardvertragsklauseln nicht möglich.
Möglich wären eventuell volle Verschlüsselung aller Daten, wie es aktuell inzwischen anscheinend Amazon mit AWS in den europäischen Rechenzentren macht, dazu konnte ich aktuell aber nichts bei Cloudflare finden. Der Link auf die Datenschutzerklärung dort funktioniert nicht. Bei genauerem Suchen findet sich dann eine englischsprachige Privacy-Erklärung, die erklärt, dass man nicht mehr auf Privacy Shield aufbaut, aber zu den Alternativen sehr wage formuliert.
So ist der einzige Punkt zur Verschlüsselung
10. DATA SECURITY, DATA INTEGRITY AND ACCESS
We take all reasonable steps to protect information we receive from you from loss, misuse or unauthorized access, disclosure, alteration and/or destruction. We have put in place appropriate physical, technical and administrative measures to safeguard and secure your information, and we make use of privacy-enhancing technologies such as encryption. If you have any questions about the security of your personal information, you can contact us at privacyquestions@cloudflare.com.
Ob dies einen behördlichen Datenschützer ausreicht, der besonders streng hinterfragt, darf bezweifelt werden. Anbieter wie Zendesk sind da aus eigener Prüfung für Mandanten bereits deutlich weiter und regel beispielsweise:
Data-in-Transit-Verschlüsselung
Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Zendesk ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails verwenden wir standardmäßig opportunistisches TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.
Data-at-Rest-Verschlüsselung
Servicedaten werden bei AWS durch Data-at-Rest-Verschlüsselung verschlüsselt (AES-256).
Hinzu kommt das Problem, dass nach meinem aktuellen Kenntnisstand bei Cloudflare, anders als bei beispielsweise AWS etc. gerade nicht ausgewählt werden kann, wo die Daten gespeichert werden. Während ein Webseitenbetreiber diese Informationen zwar liefern müsste, wird er umgedreht dazu von Cloudflare wohl keine Antwort erhalten.
Fazit: Die Verwendung von Cloudflare sollte durch den eigenen Datenschutzbeauftragten wohl durchdacht werden.
Von wann ist denn der Artikel?
25 März 2021
Mit den Diensten Regional Services, Metadata Boundary und Data Localization Suite sollten alle Daten nur auf EU-Servern liegen. Ist allerdings nur ein Enterprise-Feature.