Cloudflare ist US-amerikanischer Anbieter, der Dienste wie ein Content Delivery Network (CDN), DDoS-Schutz, Domain Name Server (DNS) etc. anbietet. Rechtlich gesehen ist der Einsatz allerdings hochumstritten. Das liegt unter anderem daran:

Schrems-II: Am 16. Juli 2020 erklärte der EuGH (Urteil Az. C-311/18) das Privacy-Shield-Abkommen zwischen der EU und den USA für unwirksam. Die Entscheidung begründet sich darin, dass das ausgehandelte Abkommen EU-Bürger nicht wirksam vor der anlasslosen und zeitlich unbegrenzten Abgreifung/Ausleitung von Daten durch US-Geheimdienste schützen kann. Dadurch fehlt es aktuell schlichtweg an einer rechtskonformen Grundlage für den Datentransfer in die USA. Damit stellt der EuGH klar: Personenbezogene Daten von EU Bürger dürfen nur dann in Drittländer übermittelt werden, wenn sie in diesem Drittland einen im Wesentlichen gleichwertigen Schutz genießen wie in der EU. Ein solches angemessene staatliche Datenschutz-Niveau (Art. 45 DSGVO) kann die USA nicht bieten. Weitere Infos beim LfDI Baden-Württemberg: Orientierungshilfe: Was jetzt in Sacheninternationaler Datentransfer?
CLOUD Act: Das Gesetz vom 23. März 2018 verpflichtet US-amerikanische IT-Unternehmen und Dienstleister zur Zusammenarbeit mit den US-Behörden und gewährleistet diesen den Zugriff auf gespeicherte Daten, auch wenn die Speicherung nicht in der USA (sondern bspw. Europa) erfolgt. Falls die Anordnung die Herausgabe von Daten eines Nicht-US-Bürgers betrifft, kann ein betroffenes Unternehmen im Einzelfall von einem Widerspruchsrecht Gebrauch machen. Unklar ist, ob dieses Widerspruchsrechts auch (immer) Anwendung findet.
Foreign Intelligence Surveillance Act (FISA): Das Gesetz zur Überwachung in der Auslandsaufklärung (25. Oktober 1978) regelt die Spionagetätigkeit (unter anderem Auslandsaufklärung) der USA. Im Ausland dürfen die Nachrichtendienste bspw. ohne individuelle Genehmigung die Telekommunikation überwachen – damit ist das Gesetz die juristische Grundlage für die anlasslose Massenüberwachung durch die NSA. Gemäß § 702 FISA müssen Cloud-Anbieter wie Twitter oder Facebook den Sicherheitsbehörden Nutzerdaten auf Verlangen herausgeben. Rechtschutz der Betroffenen gibt es nicht.

Vor diesem Hintergrund empfiehlt es sich, die Abhängigkeit von US-IT-Unternehmen allgemein zu reduzieren – nicht nur gegenüber Cloudflare.

Nun stellt sich die Frage, ob der US-Anbieter Cloudflare nicht durch Alternativen zu ersetzen ist, die die Einhaltung eines angemessenen staatlichen Datenschutzniveaus nach DSGVO ermöglichen. Bei einer kurzen Recherche habe ich die folgenden Anbieter aus Deutschland/EU gefunden:

Myra Security GmbH (Deutschland, München): Content Delivery Network, DDoS-Schutz, Web Application Security etc.
Link11 GmbH (Deutschland, Frankfurt): Content Delivery Network, DDoS-Schutz, Web Application Firewall etc.
Leaseweb (Niederlande, Amsterdam): Content Delivery Network, DDoS-Schutz, Geoblocking etc.
KeyCDN (Schweiz, Ermatingen): Content Delivery Network, DDoS-Schutz etc.
European Alternatives listet weitere Alternativen zu Cloudflare:
- Bunny (Slowenien)
- G-Core Labs (Luxemburg)
- jsDelivr (Polen)

Entgegen dem weit verbreiteten Irrglauben sind Alternativen also vorhanden – sogar Anbieter aus Deutschland. Die Frage ist nun, weshalb staatliche Institutionen wie das Statistische Bundesamt Cloudflare bevorzugen, obwohl diese kein angemessenes staatliche Datenschutz-Niveau (Art. 45 DSGVO) gewährleisten können. Auf der anderen Seite setzt bspw. die Bundesregierung als auch das Bundesministerium für Gesundheit auf den deutschen Anbieter Myra Security GmbH.

Vielleicht kann man da auch die folgenden Schlüsse draus ziehen: Es gibt durchaus Institutionen/Unternehmen bzw. Verantwortliche die ihre Hausaufgaben machen. Aber leider auch solche, denen das schon in der Schule schwerfiel.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡