Hallo
Ich frage mich aber nun: Bedeutet dieses Urteil das Ende von CDNs? Denn die IP des Webseitenbesuchers wird bei jeglicher CDN Nutzung an den CDN Betreiber übertragen, das ist unvermeidlich.
Meine Meinung als juristischer Laie dazu.
Die DSGVO verbietet keineswegs die Datenübertragung. Sie fordert aber, dass sie entweder technisch oder juristisch erforderlich ist, was auf die IP üblicherweise zutrifft, oder eine informierte Zustimmung des Seitenbesuchers/Benutzers, dessen Daten erhoben werden sollen, eingeholt wurde. Ich ordne, wie gesagt, die IP den technischen Erfordernissen zu. Insoweit halte ich die Verwendung von CDNs – auch wenn ich sie selbst soweit wie möglich zu vermeiden suche – grundsätzlich für statthaft.
Allerdings wissen wir, dass neben der technisch erforderlichen IP auch von den CDN-Anbietern weitere Daten erhoben werden, die technisch nicht erforderlich sind, ihnen aber die Wiedererkennung des Seitenbesuchers/Benutzers über viele Websites hinweg ermöglicht und das dies meist ohne Zustimmung erfolgt. Da werden technisch nicht notwendige URL-Parameter benutzt, per JavaScript versucht, die Browserkonfiguration, damit das System des Benutzers und somit ihn selbst zu identifizieren, etc. pp.
Wir wissen auch, dass in mehreren Gerichtsverfahren die Vereinbarungen zur Datenübertragung zwischen der EU und den USA (Safe Harbor, Privacy Shield) als nicht wirksam festgestellt wurden, weil das gegenüber den EU-Bestimmungen als gleichwertig postulierte Datenschutzniveau in den USA eben nicht als gleichwertig angesehen werden kann. Selbes gilt auch für die aktuellen Urteile in Österreich und Frankreich.
Dass eine informierte Zustimmung eigentlich erfordern müsste, dass man dem einen zustimmen kann, ohne anderseits die damit verbundene Kröten schlucken zu müssen, ist die Art, wie ich die diesbezüglichen Regeln der DSGVO interpretiere. Das artet aber regelmäßig in Klickorgien aus, um, wenn es mir Seitenbetreiber bewusst schwer machen wollen, teilweise hunterte Datendienste abzuwählen. An selektive Zustimmungen zur Übertragung von technischen Daten und zur Nichtübertragung anderer Daten an einen Dienstanbieter will ich überhaupt nicht denken. Geht nicht, gibt's auch nicht.
Als Besucher können wir also üblicherweise diese Zustimmung nicht informiert erteilen oder verweigern. Nicht, weil wir als Besucher von den Seitenbetreibern die technischen Mittel nicht an die Hand bekommen und auch nicht, weil die Erklärungen oftmals bewusst schwer verständlich und die Bedienung der Auswahlen umständlich gehalten sind.
Dass zudem Seitenbetreiber regelmäßig nur „friss oder stirb“ anbieten, mir also nur die Möglichkeit des „alles oder nichts“ („nichts“ im Sinne von „die Seite nicht nutzen dürfen“ [1]) geben [2], mich zudem vor meiner Entscheidung weder informieren, an wen die Daten möglicherweise gehen noch mir die Möglichkeit geben, eine selektive Entscheidung zu treffen, steht auf einem der übernächsten Blätter.
Ist mir übrigens erst gestern wieder auf der Seite startupbw.de, einer Seite des Ministerium für Wirtschaft, Arbeit und Tourismus Baden-Württemberg passiert. Im Browser auf dem Smartphone ist beim Aufruf fast nichts anderes als das Stimm-gefälligst-zu!-Banner zu sehen, das auf meinem Gerät etwa 80% des Viewports belegt. Auch beim Aufruf der Datenschutzerklärung ist diese nur mit wenigen Zeilen gleichzeitig lesbar, weil das Banner auch dort angezeigt wird. Mit einer informierten Zustimmung wird das so nichts.
Und das ist kein Angebot einer profitorientierten Instanz, bei der ich sowas erwarten würde sondern eine staatliche Stelle, von der ich in erster Näherung erwarte, die Gesetze zu befolgen. 😠
Wir haben hier also mehrere Punkte.
- Datenübertragungen aus der EU heraus in die USA sind in vielen Fällen juristisch angreifbar
- technisch und juristisch nicht erforderlichen Datenerhebungen muss informiert zugestimmt oder widersprochen werden können und die Seite soll bei enger Auslegung der DSGVO auch bei Widerspruch immer noch nutzbar sein [3].
Wie geht Heinrich Hobbywebseitenanbieter mit dieser Situation um? Muss man in Zukunft alles selbst hosten? Oder muss man seiner Seite eine Willkommens-Seite voranstellen, die auf auf die Übertragung der Besucher-IP an die genutzten CDN hinweist und im Prinzip die Datenschutzerklärung der eigenen Seite zusammenfasst (oder darstellt)?
Selbst hosten ist eine Möglichkeit, die unbedingt in Betracht gezogen werden sollte. Ein CDN-Hosting durch einen in der EU beheimateten Anbieter innerhalb der EU und damit in deren Jurisdiktion ist eine weitere Möglichkeit. Gerade nach den diesen Thread auslösenden Urteilen wurde in den Medien auch ein EU-basiertes Hosting durch US-Konzerne ins Spiel gebracht. Da stellt sich mir aber wieder die Frage nach dem Zugriff durch US-Behörden, den diesen durch US-Gesetze auch bei ausländischen Serverstandorten (zum Beispiel in der EU) gewährt wird.
Bei einem CDN-Anbieter, der versichert, tatsächlich ausschließlich nur technisch notwendige Daten zu erheben und zu speichern, würde ich eine Information des Besuchers in der Datenschutzerklärung für ausreichend halten. Wenn Dienste verwendet werden, die mehr als die technisch notwendigen Daten erheben, muss die Zustimmung dazu vorliegen. Das aber macht wiederum eine Vorabinformation und -zustimmung notwendig. Wir landen also wieder beim nervigen Banner, Overlay, you name it.
Eine Einbindung aus eigenen Quellen oder einer externen Quelle, bei der sicher ist, dass nur die technisch erforderlichen Daten erhoben (und bestenfalls auch nicht gespeichert) werden, ist der Königsweg. Ob speziell der zweite Weg beschreitbar ist, es also entsprechende Angebote gibt und ob und für wen die attraktiv sind [4], sei mal dahingestellt.
Tschö, Auge
200 ist das neue 35.
wie auch immer die Seitenbetreiber das durchsetzen wollen ↩︎
es kann sein, dass tatsächlich nur technisch oder juristisch notwendige Daten erhoben werden, die Zustimmung also keine Fallstricke enthält, es ist aber keineswegs immer so ↩︎
im Zweifelsfall mit Einschränkungen ↩︎
wenn ein solcher Anbieter nicht mit den erhobenen daten sein Geld verdient, wird man als Seitenbeteiber einen Obolus zahlen müssen und das, wo wir zu einer Geiz-ist-geil-Mentalität erzogen wurden … ↩︎