Content Delivery Networks (CDNs)
Praktisch, aber nur mit Vorsicht einsetzbar. Auf was muss bei CDNs mit Berücksichtigung der DSGVO geachtet werden?
Auf vielen Websites werden Content Delivery Networks (CDN) eingesetzt. Sie sollen dafür sorgen, dass der eigentliche Server sich um seine Hauptaufgaben kümmern kann, wie z.B. die Verwaltung von Bestellungen eines Online-Shops und nicht damit belastet wird, häufig benötigte, aber selten veränderte Dateien zum Nutzer zu übertragen. Beispiele wären Grafikdateien, Schriften oder auch Script-Bibliotheken.
Solche Dateien werden daher von einem CDN ausgeliefert. Der CDN-Anbieter betreibt ein mehr oder weniger umfangreiches Netzwerk von eigenen Hochleistungs-Servern, von denen die Dateien ausgeliefert werden. Durch gefinkelte Algorithmen wird gewährleistet, dass der Browser des Website-Nutzers die Daten von demjenigen Server im CDN abruft, der am besten erreichbar ist. So wird im Idealfall die Ladezeit für die Seite erheblich verringert und der eigentliche Webserver kann sich um mehr Anfragen kümmern.
Was jedoch häufig nicht bedacht wird: bei so einem Abruf von Dateien aus einem CDN werden auch Daten des jeweiligen Endgeräts des Nutzers an den CDN-Betreiber übermittelt. Das ist technisch nicht anders möglich. Da es sich dabei unter anderem auch um die IP-Adresse des Endgeräts handelt und diese IP-Adresse als personenbezogenes Datum angesehen wird, ist auch die Datenschutz-Grundverordnung zu beachten.
Eine solche Übermittlung ist aus Datenschutzsicht aber nur dann unkritisch, wenn der CDN-Betreiber für den Website-Betreiber als Auftragsverarbeiter tätig ist UND die Daten nur innerhalb der Europäischen Union oder einem Land mit gültigem Angemessenheitsbeschluss (bspw. Schweiz) verarbeitet werden.
Bei anderen Website-Elementen wird häufig auf Einwilligungen zurückgegriffen, um den Website-Nutzer ausdrücklich zu einer Datenübermittlung bzw. einer Verarbeitung zustimmen zu lassen. Bei CDNs ist das meistens nicht vernünftig möglich, denn die betreffenden Grafikdateien, Schriften oder Scripts werden vom Browser bereits benötigt, bevor überhaupt die Einwilligung angezeigt werden kann.
Berücksichtigung der DSGVO
Folgende Situationen sind also aus Datenschutzsicht nicht rechtskonform:
- Verwenden eines CDN, bei dem mit dem Betreiber keine gültige Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO) abgeschlossen wurde. Begründung: es gibt keine Rechtsgrundlage für die Übermittlung an einen Dritten.
- Verwenden eines CDN aus einem unsicheren Drittland.
Praxisbeispiele für derartige Situationen wären:
- Einbindung von Google Fonts
- Nachladen von Script-Bibliotheken wie z.B. jQuery von jsdelivr.net
Auf welche Details muss bei CDNs mit Berücksichtigung der DSGVO nun geachtet werden? Achten sie einen gültigen und rechtskonformen Auftragverarbeitungsvertrag zwischen Ihnen und Betreiber, sowie auf den Firmensitz des Betreibers. Dieser sollte wenn möglich nicht in einem Drittland sein.