Mittlerweile spielen zahlreiche Unternehmen die eigene Website über ein Content Delivery Network (CDN) aus. Doch einige verstoßen hierbei gegen geltende Datenschutzbestimmungen, meist ohne es zu wissen. Weil solch ein Datenschutzverstoß kostspielig enden kann, empfiehlt sich eine gezielte Absicherung. Wer die Stolpersteine kennt und den richtigen CDN Anbieter wählt, minimiert sein Risiko im Datenschutz erheblich.
Exkurs: Was ist ein Content Delivery Network?
Traditionell erfolgen Hosting und Auslieferung von Webinhalten über einen Server. Die Aufgabe eines CDN besteht darin, diesen Server zu entlasten und gleichzeitig die Bereitstellung der Webinhalte zu beschleunigen.
In der Praxis hostet der Seitenbetreiber seine Inhalte weiterhin auf seinem Server, dem sogenannten Ausgangsserver. Das Content Delivery Network nimmt ein Caching der Inhalte vor und stellt diese über sogenannte Replica-Server bereit. Diese befinden sich an verschiedenen geografischen Standorten und können deshalb weltweit verteilt sein. Über ein Request-Routing-System wird entschieden, welche der Replica-Server ihre Inhalte an die einzelnen Internetnutzer ausspielen.
Beispiel: Ein deutsches Unternehmen hostet seine Webinhalte (u.a. HTML-Dateien, PDF-Dokumente und Videos) auf einem Server in Köln. Ein Nutzer aus Kanada ruft mit seinem Browser die Website auf. Das Request-Routing-System entscheidet, die angefragten Daten über einen Server mit Standort in Ottawa auszuspielen.
Zu den größten und bekanntesten CDN Anbietern zählen:
- Akamai Technologies
- Amazon CloudFront
- CDNetworks
- Cloudflare
- Fastly
- Google Cloud CDN
- Limelight Networks
Vorteile des Einsatzes eines Content Delivery Networks
- Kurze Ladezeiten: Aufgrund der intelligenten Request-Verteilung erfolgt die Ausspielung von Inhalten über jeweils passende Server (meist mit der kürzesten geografischen Entfernung), um kurze Ladezeiten und damit ein gutes Nutzererlebnis zu gewährleisten.
- Erhöhte Stabilität: Das Ausspielen von Webinhalten über Replica-Server entlastet den Ausgangsserver, wodurch sich Besucherspitzen besser abfangen lassen und die Stabilität des Systems optimieren lasst.
- Gesteigerte IT-Sicherheit: CDN Anbieter wenden enorme Ressourcen für die Absicherung ihrer Systeme auf. Entsprechend gut sind die Server geschützt, um DDoS-Attacken und andere Cyberangriffe abzuwehren.
Drohende Datenschutzverstöße bei Nutzung eines Content Delivery Networks
Der Einsatz eines Content Delivery Networks bringt aus datenschutzrechtlicher Sicht mehrere Stolpersteine mit sich. Art und Weise der Nutzung können je nach Konfiguration unzulässig sein. Dann drohen Abmahnungen durch Wettbewerber oder Betroffene legen Beschwerde bei der zuständigen Datenschutzaufsicht ein. Nachfolgend erläutern wir, welche Aspekte im Hinblick auf den Datenschutz mit der Nutzung eines CDN zu bedenken sind.
Verarbeitung personenbezogener Daten
Aus Sicht des Datenschutzes ist ein Content Delivery Network von Relevanz, weil es IP-Adressen und somit personenbezogene Daten verarbeitet. Folglich sollten Seitenbetreiber prüfen, ob die Verarbeitung personenbezogener Daten zulässig ist. Die Zulässigkeit ist zu begründen und darüber hinaus sind Seitenbesucher in der Datenschutzerklärung der Website über das CDN zu informieren.
Risiko 1: Datentransfer durch das CDN in Drittstaaten
Aufgrund der verschiedenen Serverstandorte (dies kann nicht nur die Replica-Server, sondern auch das Request-Routing-System betreffen) besteht das Risiko, dass Datentransfers außerhalb des Europäischen Wirtschaftsraums (EWR) stattfinden. Übermittlung und Verarbeitung personenbezogener in Drittstaaten sind jedoch nur bei Erfüllung bestimmter Voraussetzungen zulässig.
Im Hinblick auf dieses Risiko ist zu prüfen, in welchen Ländern die Server des CDN Anbieters stehen und die Verarbeitung der Daten erfolgt. Für den (wahrscheinlichen) Fall, dass eine Verarbeitung in Drittländern erfolgt, gilt es eine Lösung zu finden.
Das Einholen des Einverständnisses des Betroffenen fällt im Regelfall als Option aus, weil solch eine Maßnahme das Nutzererlebnis erheblich schmälern würde. Ebenso gilt es als unwahrscheinlich, dass für die Drittländer ein Angemessenheitsbeschluss der EU-Kommission vorliegt.
Eine gezielte Auswahl des CDN Anbieters kann ein Lösungsansatz sein. Zu prüfen wären der Unternehmenssitz, die Serverstandorte (unter Berücksichtigung von Transportwegen und Speicherorten) und die Konfigurationsmöglichkeiten des CDN. Je nach Anbieter kann auch die Option geboten sein, die Verarbeitung über Standardvertragsklauseln abzusichern.
Risiko 2: Fehlende Vereinbarung zur Auftragsverarbeitung
Da ein CDN personenbezogene Daten automatisiert verarbeitet, kann von einer Auftragsverarbeitung ausgegangen werden. Damit geht die Notwendigkeit einher, das Verhältnis zwischen Auftragsverarbeiter und Auftraggeber per Auftragverarbeitungsvertrag abzusichern.
Im Rahmen dieser Absicherung sollte geprüft werden, ob der Betreiber des CDN ausreichende technische und organisatorische Maßnahmen (TOM) zum Schutz der personenbezogenen Daten ergriffen hat.
Zusammenfassung
Das Ausspielen von Webinhalten über ein Content Delivery Network stellt aus technischer Perspektive beachtliche Vorteile in Aussicht. Allerdings geht mit der Nutzung eines CDN die Verarbeitung personenbezogener Daten einher. Seitenbetreiber sollten daher gründlich prüfen, ob die Nutzung zulässig ist und auch sonst keine Datenschutzverstöße (insbesondere im Hinblick auf Datentransfers und Auftragsverarbeitungen) drohen. Sofern sich eine DSGVO-konforme Lösung für den vorgesehenen Anwendungsfall findet, hat ergänzend eine Dokumentation zu erfolgen.
Sie möchten ein Content Delivery Network nutzen oder eine bestehende Nutzung auf den Prüfstand stellen? Bei dieser sowie anderen datenschutzrelevanten Fragestellungen stehen wir Ihnen gerne zur Seite. Nutzen Sie unsere kostenfreie Erstberatung zum Datenschutz – wir freuen uns auf Ihre Anfrage.