Ist ein CDN DSGVO-konform?

Worauf müssen Unternehmen datenschutzrechtlich achten, wenn sie ein CDN nutzen?

Fachlich geprüft von: Rechtsanwalt Sören Siebert Rechtsanwalt Sören Siebert
(3 Bewertungen, 5.00 von 5)

Das Wichtigste in Kürze

  • Unternehmen, die für ihre Website ein Content Delivery Network - CDN - nutzen, profitieren von schnelleren Ladezeiten und geringerer Bandbreite.
  • Ein CDN bringt höhere IT Sicherheit, ist aber gleichzeitig ein Einfallstor für Hacker.
  • Wer ein CDN datenschutzkonform nutzen möchte, hat einige To-Dos.

Worum geht's?

Sie möchten, dass Ihre Website von aller Welt aus schön lesbar, einheitlich und vor allem schnell geladen wird? Dann haben Sie vermutlich vorgesorgt und ein sogenanntes CDN implementiert. Aber wussten Sie, dass hier auch jede Menge rechtliche Stolperfallen lauern, was den Datenschutz angeht? Wenn Sie mit Content Delivery Networks auf der sicheren Seite sein wollen oder wissen wollen, was ein CDN überhaupt ist und was es Ihnen bringt, lesen Sie diesen Beitrag.

 

1. Was ist ein CDN?

Ein Content Delivery Network (CDN) ist ein Netzwerk aus weltweit regional verteilten Servern, die über das Internet miteinander verbunden sind und Webinhalte ausspielen. Ruft ein Nutzer eine Webseite von einem Kontinent aus auf, muss die Anfrage nicht über mehrere Kontinente zum Ursprungsserver gelangen.

Ein CDN nutzt den Server, der die Anfrage am schnellsten beantworten kann - und das ist in der Regel der zum Sitz des Nutzers nächstgelegene Server Standort. Durch Caching werden statische Inhalte wie CSS-, JavaScript-Dateien, Schriftarten und Bilder auf den Servern zwischengespeichert (sogenanntes Caching und Replizierung).

Das funktioniert so: Content Delivery Netzwerke bestehen aus einem Ursprungsserver, einem Replica Server und einem Distributionssystem.

  • Ursprungsserver: Hier legt der Website-Betreiber die Inhalte ab, die verteilt werden sollen. 
  • Replica Server: Sie halten Kopien dieser Inhalte vor.
  • Distributionssystem: Dieses verteilt die Inhalte auf die Replica Server.

Sinn und Zweck eines Content Delivery Networks: Die Ladezeit vom Ursprungsserver, der in der Regel weit weg angesiedelt ist, sowie die Bandbreite am eigenen Server minimieren sich. Bedeutet: Ein CDN eignet sich für Unternehmen mit Websites, die ein hohes Traffic-Aufkommen haben. Denn ohne dieses verarbeitet der Ursprungsserver den gesamten Traffic.

AUFGEPASST

Probleme kann es bei unerwarteten Ladespitzen oder Fehlern an Hard- oder Software geben. Kommen Anfragen von weit her, kann sich das negativ auf die Ladezeiten auswirken. Mithilfe eines CDN  hingegen können die Unternehmen die Ladezeiten und Fehler minimieren.

Fehler bei den Ursprungsservern wirken sich auch nicht auf aufrufende Nutzer aus, da die Webseiten-Elemente weiterhin über das CDN Netzwerk ausgeliefert werden. Das freut am Ende nicht nur die User, sondern Websitebetreiber profitieren auch von einer besseren Suchmaschinenplatzierung bei Google und Co.

2. Welches sind die größten CDN-Anbieter?

Es gibt zahlreiche Anbieter von Content Delivery Network. Die größten und bekanntesten Provider von CDNs sehen Sie hier:

3. IT Sicherheit, DDoS Schutz und Co.: Vor- und Nachteile von Content Delivery Networks

CDNs haben für Sie als Websitebetreiber zahlreiche Vorteile, aber auch einige Nachteile.

Zu den Vorteilen: Wie bereits erwähnt profitieren Sie als Nutzer eines CDN von schnelleren Ladezeiten und geringerer Breitbandauslastung am eigenen Server. Das vermeidet insbesondere Probleme, wenn unerwartet viele User auf die Website zugreifen. Dabei können Sie sowohl einzelne Inhalte wie CSS und Schriftarten als auch komplette Website-Inhalte in CDN befördern.

Hinzu kommt, dass Sie durch ein CDN eine erhöhte IT Sicherheit bzw. DDoS Schutz haben. Schließlich können Hacker-Angriffe im CDN früh erkannt werden und die Daten sind trotzdem geschützt, weil sie weltweit auf zahlreichen Servern zwischengespeichert sind.

Kommen wir zur Kehrseite der Medaille: Die Replizierung hat gleichzeitig auch Nachteile. Denn CDN sind auch ein Einfallstor für Hacker. Auf den Servern werden zahlreiche personenbezogene Daten gespeichert, auf die Hacker Zugriff haben können.

Weiterer Nachteil: CDNs können keine dynamischen Inhalte abbilden. Dazu gehören zum Beispiel Warenkörbe in Onlineshops oder Streaming Dienste. Denn das sind individuell angepasste Inhalte, die sich ständig ändern. Einer der größten Nachteile ist aber: Sie können Probleme mit dem Datenschutz bekommen, wenn Sie nicht alles richtig machen.

Vor- und Nachteile im Überblick
Vorteile
  • Schnellere Ladezeiten
  • bessere SEO-Performance
  • höhere Zufriedenheit der Nutzer
  • Geringere Bandbreitenauslastung
  • Bessere Performance der Website
  • Höhere Sicherheit durch weltweite Zwischenspeicherung
  • Vielzahl von Daten über Nutzer auf CDNs für Analysen nutzbar
  • Flexible Skalierbarkeit beim Breitbandbedarf
  • Niedrigere Hosting-Kosten, da Verwaltung der statischen Inhalte vom CDN übernommen wird
  • Zahlreiche Einsatzmöglichkeiten
Nachteile
  • Unsicherheiten beim Thema Datenschutz
  • Höherer Aufwand für Einrichtung und Betrieb eines CDN
  • Mehr Einfallstore für Hacker
  • Kontrollverlust, weil sich die Daten nicht mehr nur auf dem eigenen Server, sondern auch auf mehreren Replika-Servern befinden
  • Nicht nutzbar für dynamische Inhalte
  • SEO-Probleme: Durch Hosting auf Servern Dritter Content evtl. nicht auf aktuellem Stand

 

4. Ist ein Content Delivery Network DSGVO-konform?

Kommen wir nun zu der Frage, die Sie als Unternehmen sicher am meisten umtreibt: Kann ich CDN auch datenschutzkonform nutzen? Was muss ich dafür tun?

Die Datenschutz Grundverordnung (DSGVO) wird immer dann zum Thema, wenn es um personenbezogene Daten geht. Personenbezogene Daten sind Informationen, über die Sie direkt oder indirekt eine natürliche Person identifizieren können.

Klar ist das bei Daten wie Namen, Alter oder Telefonnummer. Hier besteht bei CDN erst einmal keine größere Gefahr. Allerdings fallen auch IP Adressen unter personenbezogene Daten. Und diese werden in der Regel verarbeitet, sobald ein User eine Anfrage zum Abruf einer Website stellt und das CDN diese verarbeitet. Die DSGVO findet also Anwendung.

Zum Artikel

LESEEMPFEHLUNG

Weitere Infos rund um personenbezogene Daten und die DSGVO finden Sie in unserem Artikel "Mit personenbezogenen Daten DSGVO-konform umgehen".

Zum Artikel

Problematisch kann es beim Datenschutz immer dann werden, wenn personenbezogene Daten in ein Land außerhalb der Europäischen Union, also in ein Drittland übertragen werden. Entscheidend ist dabei der Sitz des Anbieters. Schaut man sich die Liste oben an, wird schnell klar: In den meisten Fällen, wie bei Cloudflare oder Amazon Web Services (AWS) kommt es zu einer Datenübertragung in die USA.

Liegt ein Datentransfer in ein Drittland vor, hat das immer die gleiche Frage zur Folge: Die Datenübertragung ist nur dann zulässig, wenn das Schutzniveau für die Datenübermittlung in ein Drittland mit dem der EU der Sache nach gleichwertig ist. Das ist dann der Fall, wenn es einen Angemessenheitsbeschluss der EU-Kommission für das jeweilige Land gibt.

Hier herrschte jahrelange Unsicherheit. Erst war der EU-US-Privacy Shield gescheitert, dann warteten Websitebetreiber mehrere Jahre auf eine Einigung. Im Juli 2023 kam es dann endlich zu einem Happy End: Die Europäische Union und die USA einigten sich auf einen neuen transatlantischen Datenschutzrahmen, das sogenannte Data Privacy Framework (oder auch: Privacy Shield 2.0). Es war dann also besiegelt: Die Datenübertragung in die USA und damit die Nutzung tausender wichtiger Websitetools ist fortan zulässig! Oder?

Ganz so einfach ist es leider doch nicht. Denn für einen datenschutzkonformen Datentransfer in die USA sind weitere Voraussetzungen erforderlich. Die zunächst wichtigste: Das Unternehmen, welches das betreffende Tool anbietet, muss “DPF-zertifiziert” sein. Das bedeutet, dass es an einem Selbstzertifizierungsverfahren des US-Handelsministeriums teilgenommen hat und anschließend in die DPF-Liste (Data Privacy Framework) aufgenommen worden sein muss. Dieses Verfahren wird dann jährlich wiederholt.

Also: ohne DPF definitiv keine Angemessenheit! Die gute Nachricht: Zahlreiche Anbieter der oben genannten CDN Tools sind in der Liste drin. Dazu gehören:

  • Akamai Technologies, Inc.
  • Amazon.com Inc.
  • Cloudflare, Inc.
  • Fastly, Inc.
  • Google LLC

Sie benutzen ein CDN eines dieser Provider? Das ist schon einmal ein Grund zur Freude. Denn damit ist die Datenübertragung mit dem Tool grundsätzlich datenschutzkonform.

ACHTUNG

Das bedeutet noch nicht automatisch, dass das CDN selbst auch tatsächlich datenschutzkonform ist. Und jetzt sind Sie an der Reihe. Denn um das CDN wirklich datenschutzkonform zu betreiben, müssen Sie selbst aktiv werden.

5. Das sind Ihre To-Dos

Nur wenn Sie diese Pflichten erfüllen, halten Sie bei der Datenweitergabe an das CDN die DSGVO ein - und können nicht abgemahnt werden.

Schritt 1: Holen Sie eine Einwilligung Ihrer Nutzer ein

In der Regel nutzt der Anbieter eines Content Delivery Network Cookies, um Ihnen seine Dienste bereitzustellen. Diese können Userdaten erheben. Um auf der sicheren Seite zu sein, sollten Sie hierfür die Einwilligung Ihrer Websitebesucher einholen. Machen Sie das am besten mit einem Cookie Consent Tool. Idealerweise nutzen Sie dieses bereits für Ihre Homepage.

Schritt 2: Schließen Sie einen Vertrag zur Auftragsverarbeitung ab

Nutzen Sie ein Content Delivery Network System, hat der Provider des CDN Zugriff auf die IP Adresse. Somit liegt zwischen Ihnen eine sogenannte Auftragsverarbeitung vor. Das heißt: Ein externer Dienstleister erhebt, verarbeitet oder übermittelt in Ihrem Auftrag und nach Ihrer Weisung personenbezogene Daten.

Damit sind Sie als Auftraggeber für eine ordnungsgemäße Datenverarbeitung und den Schutz der Daten verantwortlich. Folge: Sie müssen unter anderem dafür sorgen, dass der Provider ordentlich mit den Daten umgeht, die Daten durch geeignete technische und organisatorische Maßnahmen schützt, die Weitergabe der Daten an Subunternehmer ordnungsgemäß regelt und Sie regelmäßig informiert.

Diese Pflichten erfüllen Sie, indem Sie einen sogenannten Vertrag zur Auftragsdatenverarbeitung abschließen. Am sichersten sind Sie, wenn Sie dafür ein anwaltlich erstelltes Muster für einen AV-Vertrag nutzen. Auf eRecht24 Premium stellen wir Ihnen einen Mustervertrag zur Verfügung.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

Schritt 3: Passen Sie Ihre Datenschutzerklärung an.

Ein kleiner, aber wichtiger Schritt: Den Auftragsverarbeitungsvertrag, den Sie mit Ihrem CDN-Anbieter geschlossen haben, müssen Sie in Ihrer Datenschutzerklärung aufnehmen. Dazu gehören vor allem Infos zum Grund, der Speicherdauer und der Rechtsgrundlage der Datenerhebung sowie zur Widerspruchsmöglichkeit Ihrer Nutzer.

Jetzt Datenschutzerklärung erstellen

Erstellen Sie jetzt eine rechtssichere Datenschutzerklärung mit dem eRecht24 Datenschutz Generator

  • Einfache Integration in Ihre Website
  • Anwaltlich geprüfter Generator
  • Für Sie kostenfrei in wenigen Schritten
Jetzt Datenschutzerklärung erstellen

Schritt 4: Schließen Sie Standardvertragsklauseln ab.

Steht der Anbieter in der DPF-Liste und ergreifen Sie die Maßnahmen 1-3, ist schonmal ein großer Schritt getan. Sie möchten trotzdem auf Nummer Sicher gehen? Dann schließen Sie zusätzlich Standardvertragsklauseln ab und nehmen Sie eine Datentransfer-Folgenabschätzung vor.

Standardvertragsklauseln sind Vertragsmuster der EU-Kommission, die beide Vertragsparteien verpflichten, ein Datenschutzniveau einzuhalten, das mit dem der EU vergleichbar ist. Im Rahmen einer Datentransfer-Folgenabschätzung prüfen Sie, wie die Datenübertragung in das Drittland abläuft und welche technischen und organisatorischen Maßnahmen Ihr Vertragspartner zum Schutz der Daten vorgesehen hat.

Zum Artikel

LESESTOFF

Weitere Infos zum Thema Standardvertragsklauseln finden Sie in unserem Artikel "Datenschutz im Fokus: Wie Standardvertragsklauseln die Datenübertragung sicher gestalten".

Zum Artikel

6. Ist Cloudflare DSGVO-konform?

Sie nutzen das Cloudflare Content Delivery Network? Dann sind Sie nicht allein. Cloudflare ist eines der meistgenutzten CDN-User. Wir können Sie beruhigen: Da Cloudflare in der DPF-Liste steht, haben Sie schon einmal die halbe Miete. Allerdings müssen auch Sie noch einiges tun. Befolgen Sie also ebenfalls diese Schritte:

TO-DO'S FÜR CLOUDFLARE-NUTZER
Daran sollten Sie denken:
  • Nutzer-Einwilligung einholen
  • Vertrag zur Auftragsverarbeitung abschließen
  • Datenschutzerklärung anpassen
  • Standardvertragsklauseln abschließen
  • Datentransfer-Folgenabschätzung vornehmen

7. Fazit

Ein Content Delivery Network System (CDN) ist ein sehr hilfreiches Tool, wenn Sie viel Traffic haben. Sie und Ihre Leser profitieren von zahlreichen Vorteilen. Ein großer Nachteil ist allerdings: Sie haben viel zu tun, um das Content Delivery Networks datenschutzkonform zu betreiben. Halten Sie sich an unsere To-Do´s, sind Sie damit aber definitiv auf dem richtigen Weg.

Premium Mitglied werden

eRecht24 Premium für Websitebetreiber, Agenturen & Online-Shops

  • Generatoren, AGB, Muster & Verträge
  • Cookie Consent Tool, Premium Scanner & Projekt Planer
  • Live-Webinaren und Know-How für rechtssicheres Business
Premium Mitglied werden

 

Rechtsanwältin Annika Haucke
Annika Haucke
Rechtsanwältin & Legal Writerin

Annika Haucke ist Rechtsanwältin und absolvierte darüber hinaus ein Journalismus-Studium. Seit mehr als 10 Jahren ist sie als Legal Writerin und Online-Redakteurin tätig. Sie hat bereits Texte für Steuerberatungsgesellschaften, Medienrechtsanwälte sowie für den Tagesspiegel und die Stiftung Warentest geschrieben. Seit 2020 ist Annika Haucke Teil des Redaktionsteams von eRecht24. Ihre inhaltlichen Schwerpunkte liegen im Internet-, Urheber-, Steuer- und Datenschutzrecht.

Rechtsanwalt Sören Siebert
Sören Siebert
Rechtsanwalt und Gründer von eRecht24

Rechtsanwalt Sören Siebert ist Gründer von eRecht24 und Inhaber der Kanzlei Siebert Lexow. Mit 20 Jahren Erfahrung im Internetrecht, Datenschutz und ECommerce sowie mit mehr als 10.000 veröffentlichten Beiträgen und Artikeln weist Rechtsanwalt Sören Siebert nicht nur hervorragende Fach-Expertise vor, sondern hat auch das richtige Gespür für seine Leser, Mandanten, Kunden und Partner, wenn es um rechtssichere Lösungen im Online-Marketing und B2B / B2C Dienstleistungen sowie Online-Shops geht. Neben den zahlreichen Beiträgen auf eRecht24.de hat Sören Siebert u.a. auch diverse Ebooks und Ratgeber zum Thema Internetrecht publiziert und weiß ganz genau, worauf es Unternehmern, Agenturen und Webdesignern im täglichen Business mit Kunden ankommt: Komplexe rechtliche Vorgaben leicht verständlich und mit praktischer Handlungsanleitung für rechtssichere Webseiten umsetzen.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details