Braucht man bei der Nutzung eines CDN zwingend einen AV-Vertrag mit dem Anbieter?

Ist ein AV-Vertrag nach Art. 28 DSGVO nötig?

Wir hatten im Datenschutz-Weekly hier schon einmal die Frage zu Cloudflare beantwortet (siehe FAQ Datenschutz)

Die Antwort war: wenn personenbezogene Daten über den Dienst erhoben werden, sind alle DSGVO-Vorgaben einzuhalten. Im Falle von Cloudflare ist die Rechtslage unsicher, der TÜV-Süd ist hier den Weg über die technisch-notwendigen Cookies gegangen.

LG Braunschweig: Cookiebot über ein CDN (Content Delivery Networks) ist unzulässig

CDN-Leistungen könnten auch als TK-Leistungen eingeordnet werden und wären dann über § 6 TTDSG priviligiert.
Damit wäre das nicht primär ein Datenschutz-Thema.

Ansonsten gilt, was für den DSGVO-konformen Einsatz von Tools notwendig ist:

• Einwilligungen der Nutzer in Cookies
• AV-Vertrag abschließen
• Standardvertragsklauseln abschließen (bei US-Anbieter) und
• Datenschutzerklärungen anpassen

Stand: 27.07.2022