Content Delivery Network aus Sicht des Datenschutzes
Ein CDN (Content Delivery Network) ist aus der modernen Netzwelt nicht mehr wegzudenken. Es handelt sich dabei um ein weltweites Netzwerk aus Servern und Rechenzentren, die aber nicht Teil des Internets sind, sondern ausschließlich den Kunden des CDN-Betreibers zur Verfügung stehen. Aufgabe eines CDN ist es dabei einerseits den Datenzugriff zu beschleunigen und andererseits die Daten und Systeme der Kunden vor Angriffen zu schützen. Am Beispiel des CDN-Betreibers Cloudflare wird in diesem Blogbeitrag beleuchtet, ob dies mit den geltenden datenschutzrechtlichen Bestimmungen vereinbar ist.
Zunächst zur genaueren Funktionsweise und den Features des Cloudflare-CDN: Die schnellere Bereitstellung von Inhalten wird bei statischen Daten (z.B. Videos) dadurch erreicht, dass diese Inhalte durch Caching an verschiedenen Orten des CDN vorgehalten werden und so schnellstmöglich zum Nutzer gelangen. Die Übertragung dynamischer Daten (z.B. Live-Streams) soll durch spezielle Routingprotokolle und besonders leistungsfähige DNS-Server beschleunigt werden.
Dabei werden die Daten und der Ursprungsserver des Kunden an sich durch verschiedene Sicherheitsmaßnahmen, wie beispielsweise einer WAF (Web Application Firewall), geschützt. Viele dieser Sicherheitsmaßnahmen setzen aber voraus, dass die Daten, die geschützt werden, von dem betreffenden System des CDN analysiert werden können. Was eine Lesbarkeit dieser Daten erforderlich macht. Dies ist trotz durchgehender SSL-Verschlüsselung möglich, da es sich eigentlich um zwei serielle SSL-Verbindungen handelt, die ihren Start- bzw. End-Punkt im Cloudflare-CDN haben.
Konformität mit der DSGVO
Ist eine DSGVO-Konformität überhaupt möglich, wenn alle übermittelten Daten innerhalb des CDN vom Anbieter mitgelesen werden können?
Zunächst findet die DSGVO immer dann Anwendung, wenn personenbezogene Daten verarbeitet werden. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Darunter fallen zum Beispiel Online-Daten wie IP-Adresse oder Standortdaten. Bei der Nutzung des CDN werden mindestens die IP-Adresse im CDN selbst verarbeitet und weitergeleitet. Meist kommen aber z.B. durch Formular-Eingaben oder Bestellungen noch weitere personenbezogene Daten, wie Namen und Kontodaten, hinzu.
Die DSGVO findet also im Umfeld eines CDN grundsätzlich Anwendung.
Durch den konzeptionellen Aufbau eines CDN, lässt es sich nicht vermeiden, dass diese Daten auch im Hoheitsgebiet von Staaten gespeichert werden, die -wie z.B. die USA- ihren Sicherheitsbehörden gesetzlich erlauben, auf diese Daten zuzugreifen. Zudem ist es durch die Art, wie die SSL-Verschlüsselung bei Nutzung des CDN-Netzes realisiert ist, für den CDN-Betreiber und damit auch für die Sicherheitsbehörden technisch problemlos möglich auf alle Datenströme zuzugreifen.
Cloudflare versucht mit dem Feature „Data Location Suite“, diese datenschutzrechtliche Konfliktsituation zu lösen. Dabei kann der Kunde des CDN die geographischen Regionen auswählen, in denen seine Daten gespeichert bzw. analysiert werden dürfen. Allerdings muss trotzdem eine individuelle Prüfung erfolgen, ob die datenschutzrechtlichen Aspekte dadurch eingehalten werden können.
Pauschal lässt sich also nicht beurteilen, ob eine DSGVO-konforme Nutzung eines CDN möglich ist oder nicht. Für eine abschließende Bewertung, müssen sowohl die Transportwege als auch die Speicherorte der Daten, sowie die angebotenen Features des Anbieters zur Einhaltung der DSGVO, mit einbezogen werden.