Content Delivery Network aus Sicht des Datenschutzes

Warum das weltweite Netzwerk nicht mehr wegzudenken ist

Bei einem CDN (Content Delivery Network) handelt es sich um ein weltweites Netzwerk aus Servern und Rechenzentren, die aber nicht Teil des Internets sind, sondern ausschließlich den Kunden des CDN-Betreibers zur Verfügung stehen.  Aufgabe eines CDN ist es dabei einerseits den Datenzugriff zu beschleunigen und andererseits die Daten und Systeme der Kunden vor Angriffen zu schützen. Um diese Aufgaben zu erfüllen, müssen die Kundendaten in für den CDN-Anbieter lesbarem über dessen Infrastruktur geleitet werden. Am Beispiel des CDN-Betreibers Cloudflare wird in diesem Blogbeitrag beleuchtet, ob dies mit den geltenden datenschutzrechtlichen Bestimmungen vereinbar ist.

Zunächst zur genaueren Funktionsweise und den Features des Cloudflare-CDNs: Die schnellere Bereitstellung von Inhalten wird bei statischen Daten (z.B. Videos) dadurch erreicht, dass diese Inhalte durch Caching an verschiedenen Orten des CDN vorgehalten werden und so schnellstmöglich zum Nutzer gelangen. Die Übertragung dynamischer Daten (z.B. Live-Streams) soll durch spezielle Routingprotokolle und besonders leistungsfähige DNS-Server beschleunigt werden.

Dabei werden die Daten und der Ursprungsserver des Kunden an sich durch verschiedene Sicherheitsmaßnahmen, wie beispielsweise einer WAF (Web Application Firewall) geschützt. Viele dieser Sicherheitsmaßnahmen setzen aber voraus, dass die Daten, die geschützt werden, von dem betreffenden System analysiert werden können. Was eine Lesbarkeit der Daten erforderlich macht. Dies ist trotz durchgehender SSL-Verschlüsselung möglich, da es sich eigentlich um zwei serielle SSL-Verbindungen handelt, die ihren Start- bzw. End-Punkt im Cloudflare-CDN haben.

Anwendbarkeit der DSGVO

Nun kann man die Frage stellen, ob die oben beschriebenen Punkte aus Sicht der DSGVO problematisch sind. Damit die DSGVO angewendet werden kann, müssen personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.  Darunter fallen zum Beispiel Online-Daten wie IP-Adresse oder Standortdaten. Bei der Nutzung des CDNs werden mindestens die IP-Adresse im CDN selbst verarbeitet und weitergeleitet. Meist werden z.B. durch Formular-Eingaben oder Bestellungen noch weitere personenbezogene Daten, wie Namen und Kontodaten verarbeitet.

Die DSGVO findet also im Umfeld eines CDNs grundsätzlich Anwendung.

Durch den konzeptionellen Aufbau eines CDNs, lässt es sich nicht vermeiden, dass diese Daten auch im Hoheitsgebiet von Staaten gespeichert werden, die es -wie z.B. die USA- ihren Sicherheitsbehörden per Gesetz erlauben, auf diese Daten zuzugreifen. Zudem ist es durch die Art, wie die SSL-Verschlüsselung bei Nutzung des CDN-Netzes realisiert ist, für den CDN-Betreiber und damit auch für die Sicherheitsbehörden technisch problemlos möglich auf alle Datenströme zuzugreifen.

Cloudflare bietet daher das Feature „Data Location Suite“, welches die datenschutzrechtliche Konfliktsituation lösen soll. Dabei wählt der Kunde des CDN die geographischen Regionen aus, in denen seine Daten gespeichert bzw. analysiert werden dürfen. Dies wäre aber nur ausreichend, wenn sichergestellt ist, dass eine Datenweiterleitung in die USA effektiv verhindert bzw. eine entsprechende Sicherheit vor dem Zugriff US-amerikanischer Behörden geschaffen wird.