In Zeiten von weltweit verteilten großen Systemen im Internet und der überwiegend mobilen Bedienung von Webseiten ist die schnelle Datenübertragung an alle Orte auf der Welt ein entscheidendes Thema. Kein Deutscher Urlauber in Amerika möchte eine Ewigkeit auf die heißgeliebte online-Ausgabe der Bild-Zeitung länger als ein paar Sekunden warten. Und auch der durchschnittliche Facebook-Nutzer in Deutschland würden durchdrehen, wenn die Ladezeit wenige Sekunden übersteigt. Aber dazu gibt es ja Content-Delivery-Netzwerke, die uns auf der ganzen Welt verteilt den immer gleichen und stets aktuell gehaltenen statischen Inhalt von Webseiten vorhalten. Hauptsächlich CSS, JavaScript, Symbole und Schriftarten.

CDNs bieten also eine super Funktion, wäre da nicht die EU und der großartige Datenschutz der DSGVO und all die zum Teil schwachsinnigen Urteile von klagenden Menschen die wohl einfach nur zu viel Langeweile hatten… <Sarkasmus aus>

Was macht CDNs so attraktiv?

Was ist das überhaupt?

Ein CDN (Content-Delivery-Network) ist ein Netzwerk von weltweit verteilten Servern, die replizierte Inhalte vorhalten. So bekommt ein Nutzer aus den USA beim Webseitenaufruf die Inhalte vom nächstbesten Server in der Nähe und ein Nutzer aus Deutschland eben aus Frankfurt, um nur ein Beispiel zu nennen. Hier sind unter anderem auch die beiden großen CDN-Anbieter Akamei und Cloudflare mit Servern ihres CDNs angesiedelt.

Bildquelle: https://upload.wikimedia.org/wikipedia/commons/2/26/NCDN_-_CDN.svg

Ein Beispiel

CDNs (Content-Delivery-Networks) wie Cloudflare, jsDelivr und anderen sind bekanntermaßen dazu da, Inhalte wie Schriftarten, Symbole oder JavaScript-Bibliotheken auf Webseiten auf einfachste Weise einzubinden. Es reichen meistens ein oder zwei Zeilen und schon kann man loslegen. Für jQuery (um nur ein gängiges Beispiel von vielen zu nennen) reicht zum Einbinden auf einer Website die folgende Zeile:

<script src="https://cdn.jsdelivr.net/npm/jquery/dist/jquery.min.js"></script>

Möchte man jQuery “händisch” einbinden, also ohne die Verwendung des CDNs von oben, sind schon mehr Schritte nötig. Zunächst sucht man im Netz nach der aktuellen Version von jQuery und lädt sich den Code oder einfacher die fertig gebaute Version runter. Um jQuery dann auf seiner Webseite einzubinden, ist es mindestens nötig die “min.js” auf seinem Server zu speichern, beispielsweise in einem Ordner namens “js”. Die Einbindung selbst ist dann auch nur eine Zeile analog zur oberen, nur dass man die eben gespeicherte Version referenziert (und die Datei dann natürlich auch auf den Server mit hochladen muss).
Aus eigener Erfahrung: Schnell denkt man, man hat lokal alles, lädt es hoch und siehe da – es tut… nichts … weil der Pfad zum Beispiel noch auf C:/Users/Downloads/ oder wohin auch immer zeigt, weil die Datei ja auf dem Entwicklungsrechner dort gelegen ist. Ein relativer Pfad wäre natürlich viel besser, also wie folgt:

<script src="/scripts/js/jquery.min.js"></script>

Vorteil der CDN-Version ist, man bekommt immer die neuste jQuery-Version geliefert und solange keine Breaking-Changes enthalten sind, die nicht abwärtskompatibel sind, läuft die Webseite immer mit der neusten Version und den neusten Security-Updates. Bei der Weiterentwicklung kann man immer aus dem Vollen schöpfen und muss nicht erst updaten oder gar alte Dokumentation online suchen. Ein weiteres beliebtes und weiter verbreitetes Beispiel ist die Einbindung von Google Fonts, also angepassten Schriftarten auf seiner Webseite, um zum Beispiel einen Wiedererkennungswert durch Analogien zum Logo oder Slogan seiner Firma zu schaffen.

Vorteile

Nicht nur die Ladezeit in weit vom Ursprungsserver entfernten Gegenden wird minimiert, sondern auch die Bandbreitenauslastung am eigenen Server. Da nicht jedem Nutzer tonnenweise Inhalt, der sich auch anderswo näher am Nutzer befindet durch dieselbe Leitung ausgeliefert werden muss, spart das einiges an Datenverkehr.

Ein weiterer Vorteil beim Einsatz von CDNs bietet die Speicherung und Replizierung. Nicht nur einzelne Inhalte einer Webseite wie CSS, JavaScript oder Schriftarten vom CDN zu beziehen ist möglich. Man kann auch seine kompletten Webseiten-Inhalte in CDNs zur Verfügung stellen. Der passende Replika-Server für die Request aus der passenden Gegend wird im Request-Routing-System gesucht und anhand von Kennzahlen wird entschieden, wo die Anfragen hingehen. Zu den Kennzahlen gehören durchschnittliche Übertragungsrate, Latenzzeit, Paketverlustrate und geografische Nähe. [1]

Ein weiterer Vorteil ist eine höhere Sicherheit, da Angriffe auf sein System früh im CDN erkannt werden können und Daten durch die weltweite Replikation sicher zwischengespeichert sind. DDoS-Attacken erreichen gar nicht erst den Ursprungsserver. Sensible Daten wie Passwörter sollten jedoch aus dem CDN ferngehalten werden.

Nachteile

Die Replizierung ist zuerst einmal ein Vorteil, von anderer Seite betrachtet bieten CDNs aber auch mehr Einfallstore für Hacker. Da die Daten auf vielen Servern verteilt sind, muss man einen gewissen Kontrollverlust akzeptieren (wo wir wieder bei den persönlichen Daten wären…) Der Aufwand zur Einrichtung sollte jedoch nicht unterschätzt werden und für dynamische Inhalte wie Warenkörbe in Online-Shops eignen sich CDNs nicht. [2]

Was sagt die DSGVO dazu?

Spätestens wenn man persönliche Daten der Nutzer auf einer Webseite verarbeitet, kommt (manche würden hier nur zu gerne das Wort “leider” ergänzen) die DSGVO ins Spiel. Und persönliche Daten fangen in Deutschland nach einem Urteil (auch hier gerne wieder ein “leider” ergänzen) bei der IP-Adresse an. [3] Denn neben Namen, Geburtsdaten, Adressen und Pseudonymen zählen auch IP-Adressen zu personenbezogenen Daten im Sinne von Artikel 4 Absatz 1 der DSGVO, da eine Einzelperson theoretisch über die IP-Adresse identifiziert werden könnte.

Schaut man sich die DSGVO in Artikel 6 Absatz 1 und dort insbesondere Abschnitt f) näher an, stellte man fest, dass die Datenverarbeitung rechtmäßig wird, wenn mindestens ein berechtigtes Interesse des Verantwortlichen (also des Webseitenbetreibers) besteht, sofern nicht die Interessen oder Grundrechte der betroffenen Person (also des Webseitenbesuchers) überwiegen. Und hier wird´s dann kompliziert…

Noch komplizierter und vor allem dann im Zusammenhang mit CDNs wird, beziehungsweise wurde es nach dem sogenannten Schrems II Urteil vom 16.7.2020. Demnach dürfen personenbezogene Daten (also auch IP-Adressen) nur dann in Drittländer übertragen werden, wenn sie dort stets mit angemessenen Mitteln geschützt werden. [4] Das EU-US Privacy-Shield ist demnach unwirksam, weil es kein der EU gleichwertiges Schutzniveau bietet. Mit der Entscheidung ist in vielen Fällen die Rechtsgrundlage zur Übermittlung personenbezogener Daten in die USA entfallen und bis 27.12.2022 mussten daher bestehende Verträge an die neuen Standardvertragsklauseln angepasst werden.[5]

Google Fonts

Letzteres ist zumindest bei der Einbindung von Google Fonts auf den Servern von Google nicht der Fall. So entschied auch das OLG München in einem Präzedenzfall im Januar 2022, bei dem die Klagende bemängelte, dass bei jedem Aufruf der von ihr besuchten Webseite, IP-Adresse, und damit also personenbezogene Daten, an den Google-Server in Amerika übertragen werden. Sie fühle sich unwohl dabei und die unerlaubte Weitergabe der IP-Adresse verletze ihr allgemeines Persönlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung nach §823 Abs. 1 BGB. Problematisch war das alleine nicht, hätte der Betreiber der Webseite vorher die Einwilligung der Webseiten-Besucherin eingeholt. Jetzt könnte man auf die Idee kommen, dass die Einbindung der Schriftart ein “berechtigtes Interesse” des Webseitenbetreibers ist, dem jedoch stellte das Gericht entgegen, dass man die Schriftarten ja auch herunterladen und wie oben beschrieben lokal einbinden kann. [6] Dem Urteil folgte eine Welle von Abmahnungen verschiedener Anwälte und es gibt sogar Musterschreiben gegen die Abmahnungen. [7]

Bildquelle: https://die-mainagentur.de/abmahnung-google-fonts-180264/

CDNs

Bei CDNs rückt das berechtigte Interesse der Einbindung wieder näher, da je nach Fall die Interessen des Unternehmens der Einzelinteressen überwiegen können. Nehmen wir als Beispiel die Webseite der HdM https://www.hdm-stuttgart.de und sehen uns im Browser den Network-Tab an, lässt sich beim Laden zwischendurch feststellen, dass Inhalt von https://cdn.lightwidget.com/widgets/lightwidget.js geladen wird, dessen IP-Adresse in Amerika verortet ist. Schaut man sich die Webseite an, wird man allerdings nicht nach einer Einwilligung gefragt und dennoch fragt der Client einen Server von Cloudflare scheinbar in den USA an. Gemäß Art. 44 DSGVO wäre das jedoch nur nach Einwilligung durch den Nutzer erlaubt(!?)

Screenshot, https://tools.keycdn.com/geo?host=cdn.lightwidget.com

Schaut man es sich dann aber per Traceroute-Befehl etwas genauer an, stellt man fest, dass beim Aufruf aus Deutschland der Server von Cloudflare in Frankfurt angefragt wird, was schon an der relativ kurzen Route und dem nahen Ende nach “de-cix-frankfurt.as13335.net” zu erkennen ist. Wäre die Anfrage in die USA gegangen, hätte zwischendurch sicherlich einmal sowas wie “ams-ix…” oder ähnliches gestanden.

Screenshot, Windows Terminal

Nach einem Urteil der OLG Köln bekommt man als CDN-Anbieter auch noch andere rechtliche Probleme, nämlich mit dem Urheberrecht. Demnach haften CDN-Anbieter auch für die Inhalte, die von Kunden auf dem CDN abgelegt sind und beispielsweise gegen das Urheberrecht verstoßen. Da (im konkreten Fall) Cloudflare die Daten unstrittig nicht nur kurzzeitig zwischenspeichert, sondern längerfristig zur Verfügung stellt, entfällt der Haftungsausschluss nach § 9TMG. Cloudflare agiert in dem Fall nämlich nicht als Telekommunikationsdienstleister. Cloudflare übernimmt jedoch keine Verantwortung für gehostete Inhalte und Standardvertragsklauseln können nicht rechtskonform abgeschlossen werden. [8]

Es gibt sogar eine Webseite, die europäische CDN-Anbieter listet:
https://european-alternatives.eu/alternative-to/cloudflare

Exkurs: ChatGPT

Um “mit der Zeit zu gehen”, habe ich für den konkreten Fall CDN und DSGVO einfach mal eines der aktuell heiß diskutiertesten Tools “ChatGPT” zum Thema Datenschutz und DSGVO befragt. …Wo wir schon beim Thema sind: Auch ChatGPT, beziehungsweise deren Betreiber OpenAI nutzen ja personenbezogene Daten. Das fängt schon bei den E-Mail-Adressen und Telefonnummern der Benutzer an, aber geht auch noch weiter bis in die generierten Inhalte. Und nicht nur personenbezogene Daten, sondern auch das Urheberrecht spielen hierbei wieder ein Thema. Im Trainingsmaterial befanden sich unter anderem Bücher, deren Inhalte möglicherweise unter das Urheberrecht fallen und diese Inhalte werden nun (umgeschrieben) von ChatGPT ohne jegliche Quellenangaben einfach so ausgespuckt. [9]
Sei´s drum: Auf die Frage “Ist die Nutzung eines CDN mit der DSGVO vereinbar?” antwortete ChatGPT mit der folgenden, durchaus sinnvoll verwertbaren Antwort, die in Teilen aus Rechtstexten besteht, die sich online so oder sehr ähnlich wieder finden lassen und das Problem recht gut verständlich darstellen.

Die Nutzung eines Content Delivery Networks (CDN) ist nicht grundsätzlich mit der Datenschutz-Grundverordnung (DSGVO) unvereinbar, aber es müssen bestimmte Vorkehrungen getroffen werden, um die Datenschutzanforderungen der DSGVO zu erfüllen.

Ein CDN ist ein Netzwerk von Servern, das verwendet wird, um Webinhalte wie Bilder, Videos und andere statische Dateien schneller und effizienter an Endnutzer auszuliefern. Wenn ein Unternehmen ein CDN verwendet, werden die Daten in der Regel auf Servern außerhalb der Europäischen Union (EU) gespeichert und verarbeitet. Dies bedeutet, dass personenbezogene Daten, die im Zusammenhang mit der Nutzung des CDN verarbeitet werden, möglicherweise außerhalb der EU übertragen werden.

Um sicherzustellen, dass die Nutzung eines CDN mit der DSGVO vereinbar ist, müssen Unternehmen sicherstellen, dass sie eine geeignete Rechtsgrundlage für die Verarbeitung personenbezogener Daten haben, die im Zusammenhang mit dem CDN verarbeitet werden. Eine mögliche Rechtsgrundlage kann beispielsweise die Einwilligung der betroffenen Person sein. Es ist jedoch wichtig zu beachten, dass eine Einwilligung freiwillig, informiert, spezifisch und unmissverständlich sein muss.

Darüber hinaus müssen Unternehmen sicherstellen, dass sie angemessene technische und organisatorische Maßnahmen getroffen haben, um die Sicherheit personenbezogener Daten zu gewährleisten, die im Zusammenhang mit dem CDN verarbeitet werden. Dies umfasst die Verwendung von Verschlüsselung, die Begrenzung des Zugriffs auf personenbezogene Daten auf autorisierte Personen und die Durchführung von regelmäßigen Sicherheitsüberprüfungen.

Insgesamt ist die Nutzung eines CDN mit der DSGVO vereinbar, solange Unternehmen geeignete Vorkehrungen treffen, um die Datenschutzanforderungen der DSGVO zu erfüllen.

ChatGPT auf die Frage “Ist die Nutzung eines CDN mit der DSGVO vereinbar?”

Fazit

Kurz gesagt: CDNs sind großartig, aber es ist kompliziert. Wer rechtlich ganz sicher sein will, betreibt am besten keine eigene Webseite und verarbeitet auch keine Daten anderer… <Sarkasmus aus>

Wer auf der ganz sicheren Seite sein will und eine Webseite betreibt, die sowieso nur in Deutschland oder der EU wirklich sinnvollen Nutzen hervorbringt, sollte um ganz sicher zu sein einfach keine Dienste eines CDNs in Anspruch nehmen. Auch wenn die Einfachheit natürlich verlockend ist. Aber was sind schon ein paar Minuten Aufwand zum Download der benötigten Schriftarten, oder JavaScript-Bibliotheken und Upload auf den eigenen Server verglichen mit einem Rechtsstreit oder der Zahlung von Entschädigungen. Wer zumindest nur in EU-Ländern agiert, dem sei die Nutzung einer der genannten Alternativen von https://european-alternatives.eu/alternative-to/cloudflare empfohlen.

Doch das hier ist ja ein Artikel in der Kategorie Ultra Large Systems und so bleibt beim Einsatz einer weltweit hochverfügbaren Webseite scheinbar nur das eigene Hosten der Daten. Will man doch ein CDN nutzen, muss man den Nutzer mit ins Boot holen und sich eine Einverständniserklärung von ihm holen, die Daten auch in andere “unsichere” Länder wie die USA übertragen zu dürfen. Oder aber man schließt mit dem Betreiber des CDN eine Vereinbarung zur Auftragsverarbeitung nach Art. 28 DSGVO ab. Beispiele für solche Verträge finden sich im Netz unter anderem von Cloudflare: https://www.cloudflare.com/cloudflare_customer_DPAv3-German.pdf, hilft aber in dem Sinne auch nicht, da Cloudflare ja keine Verantwortung für Inhalte der Kunden übernimmt… (Deutsches) Europäisches Datenschutz-Recht und das Internet der großen weiten Welt sind eben zwei Themen die sich, salopp gesagt, “nur schwer unter einen Hut bringen lassen” und man immer aufpassen muss, was man tut.

Quellen

[1] Was ist ein CDN (Content Delivery Network)? – 31.1.2019 – Verfügbar unter https://www.ionos.de/digitalguide/hosting/hosting-technik/was-ist-ein-content-delivery-network-cdn/ (abgerufen am 28.2.2023)

[2] Vor- und Nachteile eines Content Delivery Networks – 9.2.2021 – Verfügbar unter https://www.asioso.com/de_DE/blog/vor-und-nachteile-eines-content-delivery-networks-b516 (abgerufen am 28.2.2023)

[3] BGH – VI ZR 135/13, 2017 (BGH 16.5.2017)

[4] Facebook Ireland u. Schrems, C-311/18, NJW 2020, 2613 (EuGH 16.7.2020)

[5] Das Ende des Privacy Shield und die Folgen für CDN-Nutzer – 15.9.2020 – Verfügbar unter https://www.computerweekly.com/de/meinung/Das-Ende-des-Privacy-Shield-und-die-Folgen-fuer-CDN-Nutzer (abgerufen am 28.2.2023)

[6] Az. 3 O 17493/20 (LG München 20.1.2022)

[7] Christian Solmecke WBS legal – 30.7.2022 – Verfügbar unter https://www.wbs.legal/it-und-internet-recht/datenschutzrecht/google-webfont-musterschreiben-61157 (abgerufen am 28.2.2023)

[8] Cloudflare Content Delivery Network: Nutzung und Datenschutz – 6.12.2022 – Verfügbar unter https://dr-dsgvo.de/cloudflare-datentransfers-und-die-dsgvo/ (abgerufen am 28.2.2023)

[9] ChatGPT: Wunder-KI ist bei Datenschutz und Urheberrecht nicht sicher – 16.1.2023 – Verfügbar unter https://www.mein-datenschutzbeauftragter.de/blog/chatgpt-datenschutz/ (abgerufen am 28.2.2023)

Comments

Leave a Reply