![\"\"](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/03\/image-3.png\")
<\/a>Ein Beispiel<\/h3>\n\n\n\n
CDNs (Content-Delivery-Networks) wie Cloudflare, jsDelivr und anderen sind bekannterma\u00dfen dazu da, Inhalte wie Schriftarten, Symbole oder JavaScript-Bibliotheken auf Webseiten auf einfachste Weise einzubinden. Es reichen meistens ein oder zwei Zeilen und schon kann man loslegen. F\u00fcr jQuery (um nur ein g\u00e4ngiges Beispiel von vielen zu nennen) reicht zum Einbinden auf einer Website die folgende Zeile:<\/p>\n\n\n\n
<script src="https:\/\/cdn.jsdelivr.net\/npm\/jquery\/dist\/jquery.min.js"><\/script><\/code><\/pre>\n\n\n\nM\u00f6chte man jQuery “h\u00e4ndisch” einbinden, also ohne die Verwendung des CDNs von oben, sind schon mehr Schritte n\u00f6tig. Zun\u00e4chst sucht man im Netz nach der aktuellen Version von jQuery und l\u00e4dt sich den Code oder einfacher die fertig gebaute Version runter. Um jQuery dann auf seiner Webseite einzubinden, ist es mindestens n\u00f6tig die “min.js” auf seinem Server zu speichern, beispielsweise in einem Ordner namens “js”. Die Einbindung selbst ist dann auch nur eine Zeile analog zur oberen, nur dass man die eben gespeicherte Version referenziert (und die Datei dann nat\u00fcrlich auch auf den Server mit hochladen muss).
Aus eigener Erfahrung: Schnell denkt man, man hat lokal alles, l\u00e4dt es hoch und siehe da – es tut… nichts <\/em>… weil der Pfad zum Beispiel noch auf C:\/Users\/Downloads\/<\/em> oder wohin auch immer zeigt, weil die Datei ja auf dem Entwicklungsrechner dort gelegen ist. Ein relativer Pfad w\u00e4re nat\u00fcrlich viel besser, also wie folgt:<\/p>\n\n\n\n<script src="\/scripts\/js\/jquery.min.js"><\/script><\/code><\/pre>\n\n\n\nVorteil der CDN-Version ist, man bekommt immer die neuste jQuery-Version geliefert und solange keine Breaking-Changes enthalten sind, die nicht abw\u00e4rtskompatibel sind, l\u00e4uft die Webseite immer mit der neusten Version und den neusten Security-Updates. Bei der Weiterentwicklung kann man immer aus dem Vollen sch\u00f6pfen und muss nicht erst updaten oder gar alte Dokumentation online suchen. Ein weiteres beliebtes und weiter verbreitetes Beispiel ist die Einbindung von Google Fonts, also angepassten Schriftarten auf seiner Webseite, um zum Beispiel einen Wiedererkennungswert durch Analogien zum Logo oder Slogan seiner Firma zu schaffen.<\/p>\n\n\n\n
Vorteile<\/h3>\n\n\n\n
Nicht nur die Ladezeit in weit vom Ursprungsserver entfernten Gegenden wird minimiert, sondern auch die Bandbreitenauslastung am eigenen Server. Da nicht jedem Nutzer tonnenweise Inhalt, der sich auch anderswo n\u00e4her am Nutzer befindet durch dieselbe Leitung ausgeliefert werden muss, spart das einiges an Datenverkehr.<\/p>\n\n\n\n
Ein weiterer Vorteil beim Einsatz von CDNs bietet die Speicherung und Replizierung. Nicht nur einzelne Inhalte einer Webseite wie CSS, JavaScript oder Schriftarten vom CDN zu beziehen ist m\u00f6glich. Man kann auch seine kompletten Webseiten-Inhalte in CDNs zur Verf\u00fcgung stellen. Der passende Replika-Server f\u00fcr die Request aus der passenden Gegend wird im Request-Routing-System gesucht und anhand von Kennzahlen wird entschieden, wo die Anfragen hingehen. Zu den Kennzahlen geh\u00f6ren durchschnittliche \u00dcbertragungsrate, Latenzzeit, Paketverlustrate und geografische N\u00e4he. [1]<\/p>\n\n\n\n
Ein weiterer Vorteil ist eine h\u00f6here Sicherheit, da Angriffe auf sein System fr\u00fch im CDN erkannt werden k\u00f6nnen und Daten durch die weltweite Replikation sicher zwischengespeichert sind. DDoS-Attacken erreichen gar nicht erst den Ursprungsserver. Sensible Daten wie Passw\u00f6rter sollten jedoch aus dem CDN ferngehalten werden. <\/p>\n\n\n\n
Nachteile<\/h3>\n\n\n\n
Die Replizierung ist zuerst einmal ein Vorteil, von anderer Seite betrachtet bieten CDNs aber auch mehr Einfallstore f\u00fcr Hacker. Da die Daten auf vielen Servern verteilt sind, muss man einen gewissen Kontrollverlust akzeptieren (wo wir wieder bei den pers\u00f6nlichen Daten w\u00e4ren…) Der Aufwand zur Einrichtung sollte jedoch nicht untersch\u00e4tzt werden und f\u00fcr dynamische Inhalte wie Warenk\u00f6rbe in Online-Shops eignen sich CDNs nicht. [2]<\/p>\n\n\n\n
Was sagt die DSGVO dazu?<\/h2>\n\n\n\n
Sp\u00e4testens wenn man pers\u00f6nliche Daten der Nutzer auf einer Webseite verarbeitet, kommt (manche w\u00fcrden hier nur zu gerne das Wort “leider”<\/em> erg\u00e4nzen) die DSGVO ins Spiel. Und pers\u00f6nliche Daten fangen in Deutschland nach einem Urteil (auch hier gerne wieder ein “leider”<\/em> erg\u00e4nzen) bei der IP-Adresse an. [3] Denn neben Namen, Geburtsdaten, Adressen und Pseudonymen z\u00e4hlen auch IP-Adressen zu personenbezogenen Daten im Sinne von Artikel 4 Absatz 1 der DSGVO, da eine Einzelperson theoretisch \u00fcber die IP-Adresse identifiziert werden k\u00f6nnte.<\/p>\n\n\n\nSchaut man sich die DSGVO in Artikel 6 Absatz 1 und dort insbesondere Abschnitt f) n\u00e4her an, stellte man fest, dass die Datenverarbeitung rechtm\u00e4\u00dfig wird, wenn mindestens ein berechtigtes Interesse des Verantwortlichen (also des Webseitenbetreibers) besteht, sofern nicht die Interessen oder Grundrechte der betroffenen Person (also des Webseitenbesuchers) \u00fcberwiegen. Und hier wird\u00b4s dann kompliziert…<\/p>\n\n\n\n
Noch komplizierter und vor allem dann im Zusammenhang mit CDNs wird, beziehungsweise wurde es nach dem sogenannten Schrems II Urteil vom 16.7.2020. Demnach d\u00fcrfen personenbezogene Daten (also auch IP-Adressen) nur dann in Drittl\u00e4nder \u00fcbertragen werden, wenn sie dort stets mit angemessenen Mitteln gesch\u00fctzt werden. [4] Das EU-US Privacy-Shield ist demnach unwirksam, weil es kein der EU gleichwertiges Schutzniveau bietet. Mit der Entscheidung ist in vielen F\u00e4llen die Rechtsgrundlage zur \u00dcbermittlung personenbezogener Daten in die USA entfallen und bis 27.12.2022 mussten daher bestehende Vertr\u00e4ge an die neuen Standardvertragsklauseln angepasst werden.[5]<\/p>\n\n\n\n
Google Fonts<\/h3>\n\n\n\n
Letzteres ist zumindest bei der Einbindung von Google Fonts auf den Servern von Google nicht der Fall. So entschied auch das OLG M\u00fcnchen in einem Pr\u00e4zedenzfall im Januar 2022, bei dem die Klagende bem\u00e4ngelte, dass bei jedem Aufruf der von ihr besuchten Webseite, IP-Adresse, und damit also personenbezogene Daten, an den Google-Server in Amerika \u00fcbertragen werden. Sie f\u00fchle sich unwohl dabei und die unerlaubte Weitergabe der IP-Adresse verletze ihr allgemeines Pers\u00f6nlichkeitsrecht bzw. das Recht auf informationelle Selbstbestimmung nach \u00a7823 Abs. 1 BGB. Problematisch war das alleine nicht, h\u00e4tte der Betreiber der Webseite vorher die Einwilligung der Webseiten-Besucherin eingeholt. Jetzt k\u00f6nnte man auf die Idee kommen, dass die Einbindung der Schriftart ein “berechtigtes Interesse” des Webseitenbetreibers ist, dem jedoch stellte das Gericht entgegen, dass man die Schriftarten ja auch herunterladen und wie oben beschrieben lokal einbinden kann. [6] Dem Urteil folgte eine Welle von Abmahnungen verschiedener Anw\u00e4lte und es gibt sogar Musterschreiben gegen die Abmahnungen. [7]<\/p>\n\n\n\n![\"\"](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/03\/image-1.png\")
<\/a>Bildquelle: https:\/\/die-mainagentur.de\/abmahnung-google-fonts-180264\/<\/a><\/em><\/figcaption><\/figure>\n\n\n\nCDNs<\/h3>\n\n\n\n
Bei CDNs r\u00fcckt das berechtigte Interesse der Einbindung wieder n\u00e4her, da je nach Fall die Interessen des Unternehmens der Einzelinteressen \u00fcberwiegen k\u00f6nnen. Nehmen wir als Beispiel die Webseite der HdM https:\/\/www.hdm-stuttgart.de<\/a> und sehen uns im Browser den Network-Tab an, l\u00e4sst sich beim Laden zwischendurch feststellen, dass Inhalt von https:\/\/cdn.lightwidget.com\/widgets\/lightwidget.js<\/a> geladen wird, dessen IP-Adresse in Amerika verortet ist. Schaut man sich die Webseite an, wird man allerdings nicht nach einer Einwilligung gefragt und dennoch fragt der Client einen Server von Cloudflare scheinbar in den USA an. Gem\u00e4\u00df Art. 44 DSGVO w\u00e4re das jedoch nur nach Einwilligung durch den Nutzer erlaubt(!?)<\/p>\n\n\n\n![\"\"](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/03\/image.png\")
<\/a>Screenshot, https:\/\/tools.keycdn.com\/geo?host=cdn.lightwidget.com<\/a><\/em><\/figcaption><\/figure>\n\n\n\nSchaut man es sich dann aber per Traceroute-Befehl etwas genauer an, stellt man fest, dass beim Aufruf aus Deutschland der Server von Cloudflare in Frankfurt angefragt wird, was schon an der relativ kurzen Route und dem nahen Ende nach “de-cix-frankfurt.as13335.net” zu erkennen ist. W\u00e4re die Anfrage in die USA gegangen, h\u00e4tte zwischendurch sicherlich einmal sowas wie “ams-ix…” oder \u00e4hnliches gestanden.<\/p>\n\n\n\n![\"\"](\"https:\/\/blog.mi.hdm-stuttgart.de\/wp-content\/uploads\/2023\/03\/image-2.png\")
<\/a>Screenshot, Windows Terminal<\/em><\/figcaption><\/figure>\n\n\n\nNach einem Urteil der OLG K\u00f6ln bekommt man als CDN-Anbieter auch noch andere rechtliche Probleme, n\u00e4mlich mit dem Urheberrecht. Demnach haften CDN-Anbieter auch f\u00fcr die Inhalte, die von Kunden auf dem CDN abgelegt sind und beispielsweise gegen das Urheberrecht versto\u00dfen. Da (im konkreten Fall) Cloudflare die Daten unstrittig nicht nur kurzzeitig zwischenspeichert, sondern l\u00e4ngerfristig zur Verf\u00fcgung stellt, entf\u00e4llt der Haftungsausschluss nach \u00a7 9TMG. Cloudflare agiert in dem Fall n\u00e4mlich nicht als Telekommunikationsdienstleister. Cloudflare \u00fcbernimmt jedoch keine Verantwortung f\u00fcr gehostete Inhalte und Standardvertragsklauseln k\u00f6nnen nicht rechtskonform abgeschlossen werden. [8] <\/p>\n\n\n\n
Es gibt sogar eine Webseite, die europ\u00e4ische CDN-Anbieter listet:
https:\/\/european-alternatives.eu\/alternative-to\/cloudflare<\/a><\/p>\n\n\n\nExkurs: ChatGPT<\/h2>\n\n\n\n
Um “mit der Zeit zu gehen”, habe ich f\u00fcr den konkreten Fall CDN und DSGVO einfach mal eines der aktuell hei\u00df diskutiertesten Tools “ChatGPT” zum Thema Datenschutz und DSGVO befragt. …Wo wir schon beim Thema sind: Auch ChatGPT, beziehungsweise deren Betreiber OpenAI nutzen ja personenbezogene Daten. Das f\u00e4ngt schon bei den E-Mail-Adressen und Telefonnummern der Benutzer an, aber geht auch noch weiter bis in die generierten Inhalte. Und nicht nur personenbezogene Daten, sondern auch das Urheberrecht spielen hierbei wieder ein Thema. Im Trainingsmaterial befanden sich unter anderem B\u00fccher, deren Inhalte m\u00f6glicherweise unter das Urheberrecht fallen und diese Inhalte werden nun (umgeschrieben) von ChatGPT ohne jegliche Quellenangaben einfach so ausgespuckt. [9]
Sei\u00b4s drum: Auf die Frage “Ist die Nutzung eines CDN mit der DSGVO vereinbar?” antwortete ChatGPT mit der folgenden, durchaus sinnvoll verwertbaren Antwort, die in Teilen aus Rechtstexten besteht, die sich online so oder sehr \u00e4hnlich wieder finden lassen und das Problem recht gut verst\u00e4ndlich darstellen. <\/p>\n\n\n\n
\nDie Nutzung eines Content Delivery Networks (CDN) ist nicht grunds\u00e4tzlich mit der Datenschutz-Grundverordnung (DSGVO) unvereinbar, aber es m\u00fcssen bestimmte Vorkehrungen getroffen werden, um die Datenschutzanforderungen der DSGVO zu erf\u00fcllen.<\/p>\n\n\n\n
Ein CDN ist ein Netzwerk von Servern, das verwendet wird, um Webinhalte wie Bilder, Videos und andere statische Dateien schneller und effizienter an Endnutzer auszuliefern. Wenn ein Unternehmen ein CDN verwendet, werden die Daten in der Regel auf Servern au\u00dferhalb der Europ\u00e4ischen Union (EU) gespeichert und verarbeitet. Dies bedeutet, dass personenbezogene Daten, die im Zusammenhang mit der Nutzung des CDN verarbeitet werden, m\u00f6glicherweise au\u00dferhalb der EU \u00fcbertragen werden.<\/p>\n\n\n\n
Um sicherzustellen, dass die Nutzung eines CDN mit der DSGVO vereinbar ist, m\u00fcssen Unternehmen sicherstellen, dass sie eine geeignete Rechtsgrundlage f\u00fcr die Verarbeitung personenbezogener Daten haben, die im Zusammenhang mit dem CDN verarbeitet werden. Eine m\u00f6gliche Rechtsgrundlage kann beispielsweise die Einwilligung der betroffenen Person sein. Es ist jedoch wichtig zu beachten, dass eine Einwilligung freiwillig, informiert, spezifisch und unmissverst\u00e4ndlich sein muss.<\/p>\n\n\n\n
Dar\u00fcber hinaus m\u00fcssen Unternehmen sicherstellen, dass sie angemessene technische und organisatorische Ma\u00dfnahmen getroffen haben, um die Sicherheit personenbezogener Daten zu gew\u00e4hrleisten, die im Zusammenhang mit dem CDN verarbeitet werden. Dies umfasst die Verwendung von Verschl\u00fcsselung, die Begrenzung des Zugriffs auf personenbezogene Daten auf autorisierte Personen und die Durchf\u00fchrung von regelm\u00e4\u00dfigen Sicherheits\u00fcberpr\u00fcfungen.<\/p>\n\n\n\n
Insgesamt ist die Nutzung eines CDN mit der DSGVO vereinbar, solange Unternehmen geeignete Vorkehrungen treffen, um die Datenschutzanforderungen der DSGVO zu erf\u00fcllen.<\/p>\nChatGPT auf die Frage “Ist die Nutzung eines CDN mit der DSGVO vereinbar?”<\/cite><\/blockquote>\n\n\n\nFazit<\/h2>\n\n\n\n
Kurz gesagt: CDNs sind gro\u00dfartig, aber es ist kompliziert. Wer rechtlich ganz sicher sein will, betreibt am besten keine eigene Webseite und verarbeitet auch keine Daten anderer… <Sarkasmus aus><\/p>\n\n\n\n
Wer auf der ganz sicheren Seite sein will und eine Webseite betreibt, die sowieso nur in Deutschland oder der EU wirklich sinnvollen Nutzen hervorbringt, sollte um ganz sicher zu sein einfach keine Dienste eines CDNs in Anspruch nehmen. Auch wenn die Einfachheit nat\u00fcrlich verlockend ist. Aber was sind schon ein paar Minuten Aufwand zum Download der ben\u00f6tigten Schriftarten, oder JavaScript-Bibliotheken und Upload auf den eigenen Server verglichen mit einem Rechtsstreit oder der Zahlung von Entsch\u00e4digungen. Wer zumindest nur in EU-L\u00e4ndern agiert, dem sei die Nutzung einer der genannten Alternativen von https:\/\/european-alternatives.eu\/alternative-to\/cloudflare<\/a> empfohlen.<\/p>\n\n\n\n