In diesem Blogbeitrag beleuchten wir die Themen CDNs und IP-Adressen. Insbesondere erläutern  wir, was CDNs sind, wie und warum diese genutzt werden, welche  Datenübertragungen dabei stattfinden können und welche Alternativen es gibt.

Was ist ein CDN?

Sie können sich ein Content Delivery Network (CDN) als einen Zusammenschluss an Servern vorstellen, die weltweit verteilt sind und dafür sorgen, dass Daten möglichst schnell von A nach B übertragen werden.

Dabei werden Anfragen eines End-Users automatisch an den nächstgelegenen Server gesendet und in einem Cache gespeichert, sodass die Ladezeit sämtlicher angefragter Inhalte verkürzt wird.

Wozu wird ein CDN eingesetzt?

Die häufigsten drei Gründe für den Einsatz eines CDNs sind:

Ladezeit-Optimierung

Durch die massive Infrastruktur, die CDN Anbieter vorweisen können, brauchen sicht Websitebetreiber nicht um die Erreichbarkeit und Performance ihrer Ressourcen sorgen.

Kostensenkung

Durch das effiziente Bereitstellen von Inhalten wird insgesamt weniger Bandbreite verbraucht, was (je nach Hosting) zur Kostensenkung eines Projektes führen kann.

Comfort für Entwickler

Viele Entwickler oder Internet-Agenturen verwenden CDNs in ihren Website-Templates, weil es die für sie einfachste Option ist. Es bietet mehr Comfort alle Ressourcen, die für die Darstellung einer Website nötig sind, von einer externen Quelle zu laden, als sich selbst um die Verwaltung und Versionierung dieser zu kümmern.

Das ist natürlich aus datenschutzrechtlicher Sicht bedenklich, vereinfacht aber die Entwicklung einer Website.

Was muss beim Einsatz eines CDN beachtet werden, um DSGVO konform zu bleiben?

Bei der Verwendung von CDNs wird mindestens die IP-Adresse des End-Nutzers an den Betreiber des CDNs übertragen. IP-Adressen gelten laut einem Urteil des EuGH aus dem Jahre 2017 als personenbezogenes Datum, weshalb alle eingesetzten CDNs in der Datenschutzerklärung anzugeben sind.

Des Weiteren sei gesagt, dass CDNs üblicherweise die URL loggen, von denen die Anfrage kommt, um Metriken zu erstellen. Das bedeutet, der Betreiber des CDNs kann identifizieren, auf welcher Website der End-Nutzer sich befunden hat, als ein Inhalt angefragt wurde. Genaueres finden Sie in der Datenschutzerklärung des jeweiligen Anbieters.

Beispiel aus den Cloudflare-FAQs:

Welche Arten von Daten werden von Cloudflare verarbeitet?
[...] Zusätzlich erfassen wir u. U. bestimmte Informationen zur Nutzung der Websites unserer Kunden und verarbeiten Daten, die von unseren Kunden versendet werden, oder für die wir entsprechende Anweisungen erhalten. Wir können nicht beeinflussen, welche Daten wir erhalten, üblicherweise gehören jedoch Daten wie Kontaktinformationen, IP-Adressen, Sicherheitsfingerabdrücke, DNS-Protokolldaten und Leistungsdaten für Websites, die aus der Browseraktivitäten abgeleitet werden, dazu. [...]

Woher weiß ich, welche CDNs eine Website einsetzt?

Um festzustellen, welche CDNs eine Website einsetzt, können Sie den Entwickler der Website fragen, oder unseren automatisierten DSGVO Scan verwenden. Die Überprüfung einer Website dauert nur wenige Minuten und Sie erhalten eine Liste aller Drittanbieter, die auf der Website verwendet werden. Zusätzlich wird eine passende Datenschutzerklärung generiert und ein Bericht erstellt, den Sie Ihrem Mandaten aushändigen können.

Welche Alternativen zu CDNs gibt es?

Zunächst gilt es zu entscheiden, ob der Einsatz eines CDN überhaupt Sinn für Ihre Mandanten macht.

  1. Hat die Website eine internationale Audienz?
  2. Hat die Website massive Besucherströme?
  3. Werden große Dateien/Datenmengen verarbeitet?
  4. Wurde die Website bereits anderweitig optimiert (Load Balancing, internes Caching, etc)?

Sollte Ihr Mandat diese Fragen mehrheitlich mit "Nein" beantworten, empfehlen wir die Verbindungen zu CDNs einzustellen und die extern geladenen Ressourcen auf dem selben Server zu speichern, auf dem die Website gehostet wird.

Das hat nicht nur Datenschutzrechtliche Vorteile, sondern führt in diesem Fall auch zu einer Performanceverbesserung.