Braucht man bei der Nutzung eines CDN zwingend einen AV-Vertrag mit dem Anbieter?
Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?
Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)
Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.
LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig
CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.
Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:
- Einwilligungen der Nutzer in Cookies
- AV-Vertrag abschließen
- Standardvertragsklauseln abschließen (bei US-Anbieter) und
- Datenschutzerklärungen anpassen