Ist Cloudflare Web Analytics DSGVO-konformer als Google Analytics?

Dies ist kein Rechtsgutachten. Konsultieren Sie einen Juristen und/oder den Datenschutzbeauftragten.

Ist Cloudflare Web Analytics DSGVO-konform?

Cloudflare ist ein US-amerikanisches Unternehmen, das letztendlich die Daten Ihrer Besucher, wie IP-Adressen, verarbeitet. Cloudflare behauptet, diese Daten nicht zu speichern und keine Fingerabdrücke von Browsern zu erstellen. Ein Ansatz, der Beifall verdient. Wir sind alle Bürger des Internets. Es ist herzerwärmend und ermutigend zu sehen, wie sich große Unternehmen für den Schutz der Privatsphäre einsetzen.

Da die Datenverarbeitung durch Cloudflare den Schrems-II-Test nicht besteht, scheint die Nutzung von Cloudflare Web Analytics nicht DSGVO-konform zu sein, und zwar aus denselben Gründen, aus denen Google Analytics oder Universal Analytics es nicht sind.

Ein US-amerikanisches Unternehmen unterliegt, auch wenn es Daten in der EU verarbeitet, den US-Überwachungsgesetzen. Diese Gesetze sind mit der DSGVO und dem Schutz der Privatsphäre der Bürger und Einwohner der Europäischen Union unvereinbar.

Cloudflare stützt sich bei seinen Behauptungen über die Angemessenheit der DSGVO auf Standardvertragsklauseln. SCCs sind eine zusätzliche Maßnahme, die von der DSGVO bei der Datenübermittlung in ein [unangemessenes Land] (https://adequate.country/) verlangt wird.

Nach dem Urteil in der Rechtssache Schrems II reichen die [SCCs jedoch nicht aus, um die Einhaltung der Bestimmungen zu gewährleisten] (https://iapp.org/news/a/using-sccs-post-schrems-ii-guidance-from-dpas/). Trotz der besten Absichten des Unternehmens muss Cloudflare das US-Recht befolgen, was die SCCs höchst unzuverlässig macht

Kann ich im Falle von Beschwerden Cloudflare die Schuld geben?

Leider nein. Ihre Website ist in diesem Szenario der Data Controller. Die für die Datenverarbeitung Verantwortlichen müssen sicherstellen, dass alle Datenverarbeiter, die an der Kundenbetreuung beteiligt sind, offengelegt werden und die einschlägigen Gesetze einhalten.

Nicht nur Cloudflare könnte Sie in Schwierigkeiten bringen. Das Gleiche gilt für Google Analytics, das trotz vehement anmutender Beweise und rechtlicher Entscheidung auf der Einhaltung der DSGVO besteht. Suchen Sie sich ein beliebiges sogenanntes datenschutzfreundliches Webanalyseprogramm aus, führen Sie eine Due-Diligence-Prüfung durch, und Sie werden feststellen, dass viele, die sich stolz mit dem Abzeichen für die Einhaltung der DSGVO schmücken, nicht in der Lage sind, kochfreies Tracking von der Befolgung der DSGVO zu unterscheiden.

Einige Unternehmen bleiben hartnäckig und behaupten, dass sie die Vorschriften einhalten, obwohl die Datenschutzbehörden [anders entscheiden] (https://noyb.eu/en/update-further-eu-dpa-orders-stop-google-analytics).

Wie kommt es also, dass Wide Angle Analytics sich der Einhaltung der Vorschriften rühmen kann, während andere versagen?

Vielleicht sind Sie skeptisch, dass ein solcher Rat von einem Anbieter von Webanalyselösungen kommt. Wir laden Sie ein, unsere Behauptungen zu überprüfen. Und hier ist unsere Zusammenfassung im Wesentlichen:

• Mit Ausnahme der Rechnungsdaten (wir verwenden PaddleHQ) verlassen weder Kunden- noch Ihre Endnutzerdaten die Europäische Union oder das EWR-Land. Diese strenge Aussage umfasst Aspekte wie unsere Unternehmens-E-Mail und den Kundensupport. Wenn Sie persönliche Daten von Endbenutzern in Supportgesprächen austauschen, bleiben Sie konform.
• Wir hosten alle Dienste in der EU, auf einer europäischen Cloud. Nicht nur auf Servern in der EU. Unser einziger Hosting-Anbieter ist die OVHcloud.
• Wir haben uns in der Anfangsphase mit einer professionellen Datenschutzagentur zusammengetan. The DPO Consulting, ein französischer DPO-as-a-Service, den wir nutzen, beschäftigt ehemalige CNIL-Mitarbeiter. Eine bessere Beratung als diese kann man nicht bekommen.
• Wir wissen, dass die DSGVO nicht nur aus schicken Grafiken und der Vermeidung von Cookies besteht. Wir machen uns den Prozess und die Transparenz zu eigen und betrachten dies als ständige Aufgabe. Gemeinsam mit unserem Datenschutzbeauftragten verbessern wir kontinuierlich unsere DSGVO-Kompatibilität, indem wir eine präzisere Dokumentation erstellen und entsprechende Angaben machen.
• Unsere Kunden können eine unterzeichnete Datenverarbeitungsvereinbarung erhalten, ein Dokument, das für die Verarbeitung personenbezogener Daten erforderlich ist, falls der Kunde sich für eine solche Verarbeitung entscheidet.

Wir haben für Sie gesorgt.