Cloudflare kann rechtmäßig genutzt werden

Cloudflare Inc. ist ein US-amerikanisches Unternehmen. Es stellt ein Content Delivery Network, kurz CDN, bereit, welches zur Auslieferung von Webseiten dient. Die Hauptaufgabe dieses Dienstes ist es, Webseiten, vor allem für Besucher, zu beschleunigen. Fraglich ist, ob das Hosting einer Homepage durch eine US-amerikanische Firma wie Cloudflare aufgrund von Drittstaatenübermittlung von personenbezogenen Daten rechtswidrig wäre.

Inhalt des Urteils

Am 27.10.2022 urteilte die 3. Kammer des Verwaltungsgerichts Neustadt an der Weinstraße, dass das Statistische Landesamt Rheinland-Pfalz dazu berechtigt ist im Zuge der Gebäude- und Wohnungszählung (GWZ) im Rahmen des Zensus 2022 Daten zu strukturellen und statistischen Angaben zu erheben. Der Hauptgrund für die Klage war die Nutzung der US-amerikanischen CDN Cloudflare. Der Kläger befürchtete, dass durch die Nutzung von Cloudflare eine Datenübertragung und -verarbeitung in die USA erfolge und somit die US-amerikanischen Sicherheitsbehörden Zugriff auf seine personenbezogenen Daten hätten.

Cloudflare Nutzung ist rechtmäßig

Das Gericht hatte unter anderem über die Rechtmäßigkeit der Cloudflare-Nutzung zu entscheiden. Im Ergebnis hält das Gericht die Nutzung allerdings aus den folgenden Gründen für rechtmäßig. Cloudflare diene der Homepage des Zensus 2022 zu dem ausschließlichen Zweck, die Inhalte dieser Webseite in einer hohen Verfügbarkeit und Geschwindigkeit auch bei Lastspitzen zur Verfügung zu stellen und gegebenenfalls Angriffe auf die Webseite, die die Verfügbarkeit einschränken könnten, besser abzuwehren.

Die Verarbeitung von Hosting-Daten durch CDN-Dienstleister Cloudflare erfolge nur in europäischen Rechenzentren und unter ausschließlicher Nutzung europäisch registrierter IP-Adressen. Dabei werden nur allgemein zugängliche Metadaten, wie IP-Adresse des Abrufs, Internetbrowser, Uhrzeit des Seitenabrufs und Betriebssystem verarbeitet. Befragungsdaten der Auskunftspflichten werden hier nicht umfasst. Zudem werden die Daten nur durch eine Ende-zu-Ende Verschlüsselung weitergegeben, welches über ein Sicherheitszertifikat besitzt. Die Verarbeitung der personenbezogenen Daten findet darüber hinaus ohne Cloudflare nur im deutschen Raum statt. Die Datenschutzbedenken des Klägers, der die Mitwirkung im Zensus aufgrund des Einsatzes von Cloudflare verweigerte, seien deshalb unbegründet.

Fazit für die Nutzung von Cloudflare im Unternehmen

Cloudflare dient für einen störungsfreien Betrieb einer Webseite. Insbesondere soll Cloudflare die Erreichbarkeit, Zuverlässigkeit und die Performance einer Webseite sicherstellen. Das Urteil des VG Neustadt macht nun deutlich, dass beim Einsatz eines CDN durchaus zu betrachten ist, welche Daten im Falle einer CDN-Nutzung überhaupt übertragen werden. So kann der Einsatz eines CDN bei einer „normalen“ Webseite ohne sensible Daten durchaus rechtmäßig sein. Dies sollte allerdings im Einzelfall und in Absprache mit dem jeweiligen Dienstleister geklärt werden.


Quelle:

VG Neustadt a.d. Weinstraße Beschl. v. 27.10.2022 – 3 L 763/22, BeckRS 2022, 30971


Unsere aktuellen News gibt es auf unserer Startseite und alle News in unserem Newsarchiv