legalweb.io

Content Delivery Networks

Praktisch, aber nur mit Vorsicht einsetzbar 

Content Delivery Networks (CDNs)

Praktisch, aber nur mit Vorsicht einsetzbar

Auf vielen Websites werden Content Delivery Networks (CDN) eingesetzt. Sie sollen dafür sorgen, dass der eigentliche Server sich um seine Hauptaufgaben kümmern kann, wie z.B. die Verwaltung von Bestellungen eines Online-Shops und nicht damit belastet wird, häufig benötigte, aber selten veränderte Dateien zum Nutzer zu übertragen. Beispiele wären Grafikdateien, Schriften oder auch Script-Bibliotheken.

Solche Dateien werden daher von einem CDN ausgeliefert. Der CDN-Anbieter betreibt ein mehr oder weniger umfangreiches Netzwerk von eigenen Hochleistungs-Servern, von denen die Dateien ausgeliefert werden. Durch gefinkelte Algorithmen wird gewährleistet, dass der Browser des Website-Nutzers die Daten von demjenigen Server im CDN abruft, der am besten erreichbar ist. So wird im Idealfall die Ladezeit für die Seite erheblich verringert und der eigentliche Webserver kann sich um mehr Anfragen kümmern.

Was jedoch häufig nicht bedacht wird: bei so einem Abruf von Dateien aus einem CDN werden auch Daten des jeweiligen Endgeräts des Nutzers an den CDN-Betreiber übermittelt. Das ist technisch nicht anders möglich. Da es sich dabei unter anderem auch um die IP-Adresse des Endgeräts handelt und diese IP-Adresse als personenbezogenes Datum angesehen wird, ist auch die Datenschutz-Grundverordnung zu beachten.

Eine solche Übermittlung ist aus Datenschutzsicht aber nur dann unkritisch, wenn der CDN-Betreiber für den Website-Betreiber als Auftragsverarbeiter tätig ist UND die Daten nur innerhalb der Europäischen Union oder einem Land mit gültigem Angemessenheitsbeschluss (bspw. Schweiz) verarbeitet werden.

Bei anderen Website-Elementen wird häufig auf Einwilligungen zurückgegriffen, um den Website-Nutzer ausdrücklich zu einer Datenübermittlung bzw. einer Verarbeitung zustimmen zu lassen. Bei CDNs ist das meistens nicht vernünftig möglich, denn die betreffenden Grafikdateien, Schriften oder Scripts werden vom Browser bereits benötigt, bevor überhaupt die Einwilligung angezeigt werden kann.

Folgende Situationen sind also aus Datenschutzsicht nicht rechtskonform:

Praxisbeispiele für derartige Situationen wären:

This site is registered on wpml.org as a development site.