Kann Cloudflare zulässig eingesetzt werden?

Das Thema, ob US-amerikanische SaaS-Anbieter zulässigerweise eingesetzt werden können oder ob Produkte wie Jira, Zendesk, diverse CRM System und weiteres nicht gegen Datenschutzrecht verstoßen ist seit er Schrems II-Entscheidung des EuGH (siehe hier) eigentlich klar.

Wie man nach aktuellem Stand SaaS-System als US-Anbieter in Deutschland anbieten kann, findet man in einem längeren Artikel hier.

Das Thema betrifft übrigens viele populäre Wordpress-Plugins und Services wie eben Cloudflare. Bei Cloudflare gilt insbesondere, dass das OLG Köln gerade erst entschieden hat, dass der Anbieter für Urheberrechtsverletzungen haften würde (siehe diesen Post). Denn Cloudflare, jedenfalls wenn man mehr nutzt, als nur die Dienste zur möglichen Verhinderung von DDoS-Angriffen, speichert die Inhalte selber auf ihren Server, um Caching und CDN-Dienstleistungen zu erbringen. Was bei einer normalen Webseite, die NUR Inhalte bereitstellt, wie beispielsweise ein Blog oder ähnliches, noch wenig problematisch ist (von den im Fall OLG Köln relevanten Urheberrechtsverletzungen abgesehen), ist bei dynamischen Inhalten und persönlichen Daten von Nutzern eben nicht mehr so unproblematisch. Das würde beispielsweise Foren, Communitys und Seiten betreffen, in die man sich einloggen kann. Zwar werden bei einem CDN nicht die Nutzerdaten als solche geloggt, aber eben die persönlichen Daten, die man im Rahmen der Nutzung auf diesem Portal eingibt. Jedenfalls, wenn der Anbieter die CDN-Nutzung nicht richtig konfiguriert und dynamische Nutzerinhalte ausschließt.

An allen Stellen, in denen die Cache- oder CND-Dienstleistungen von Cloudflare genutzt werden, dient das Speichern auf welchen Servern von Cloudflare auch immer, nicht nur der Übermittlung der angefragten Informationen. Das führt aber wegen den fehlenden Privacy Shield-Voraussetzungen wohl dazu, dass eine DSGVO-konforme Nutzung von Cloudflare  nicht möglich ist, jedenfalls, wenn, wie oben darlegt, persönliche Daten der Nutzer betroffen sind.  Denn ein Auftragsverarbeitungsvertrag scheidet aus. Und wie in meinem Artikel zum Anbieten von SaaS-Diensten aufgezeigt, sind nach strenger Meinung wohl auch Corporate Binding Rules oder Standardvertragsklauseln nicht möglich.

Möglich wären eventuell volle Verschlüsselung aller Daten, wie es aktuell inzwischen anscheinend Amazon mit AWS in den europäischen Rechenzentren macht, dazu konnte ich aktuell aber nichts bei Cloudflare finden. Der Link auf die Datenschutzerklärung dort funktioniert nicht. Bei genauerem Suchen findet sich dann eine englischsprachige Privacy-Erklärung, die erklärt, dass man nicht mehr auf Privacy Shield aufbaut, aber zu den Alternativen sehr wage formuliert.

So ist der einzige Punkt zur Verschlüsselung

10. DATA SECURITY, DATA INTEGRITY AND ACCESS

We take all reasonable steps to protect information we receive from you from loss, misuse or unauthorized access, disclosure, alteration and/or destruction. We have put in place appropriate physical, technical and administrative measures to safeguard and secure your information, and we make use of privacy-enhancing technologies such as encryption. If you have any questions about the security of your personal information, you can contact us at privacyquestions@cloudflare.com.

Ob dies einen behördlichen Datenschützer ausreicht, der besonders streng hinterfragt, darf bezweifelt werden. Anbieter wie Zendesk sind da aus eigener Prüfung für Mandanten bereits deutlich weiter und regel beispielsweise:

Data-in-Transit-Verschlüsselung

Die gesamte Kommunikation mit den Benutzeroberflächen und APIs von Zendesk ist durch den Industriestandard HTTPS/TLS (TLS 1.2 oder höher) über öffentliche Netzwerke verschlüsselt. Dadurch wird gewährleistet, dass der gesamte Datenverkehr zwischen Ihnen und Zendesk sicher ist. Für E-Mails verwenden wir standardmäßig opportunistisches TLS. Transport Layer Security (TLS) ist ein Protokoll zur sicheren Verschlüsselung und Zustellung von E-Mails, das Eavesdropping zwischen Mailservern verhindert, solange Peer-Services dieses Protokoll unterstützen. Ausnahmen für die Verschlüsselung sind unter anderem die Verwendung der produktintegrierten SMS-Funktionen sowie Anwendungen, Integrationen oder Dienste von Drittanbietern, die Abonnenten nach eigenem Ermessen nutzen.

 

Data-at-Rest-Verschlüsselung

Servicedaten werden bei AWS durch Data-at-Rest-Verschlüsselung verschlüsselt (AES-256).

Hinzu kommt das Problem, dass nach meinem aktuellen Kenntnisstand bei Cloudflare, anders als bei beispielsweise AWS etc. gerade nicht ausgewählt werden kann, wo die Daten gespeichert werden. Während ein Webseitenbetreiber  diese Informationen zwar liefern müsste, wird er umgedreht dazu von Cloudflare wohl keine Antwort erhalten.

Fazit: Die Verwendung von Cloudflare sollte durch den eigenen Datenschutzbeauftragten wohl durchdacht werden.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.