Need to Keep Analytics Data in the EU? Cloudflare Zaraz Can Offer a Solution

Eine kürzlich getroffene Entscheidung der österreichischen Datenschutzbehörde (die gleichnamige „Datenschutzbehörde“) führt bei Netzwerkingenieuren zu Kopfschütteln und hat EU-Unternehmen, die Google Analytics (GA) verwenden, aufgeschreckt. Die Datenschutzbehörde stellte fest, dass die Verwendung von GA auf einer österreichischen Website gegen die EU-Datenschutzgrundverordnung (DSGVO) in der Auslegung des „Schrems II“-Falls verstößt, da GA die Übermittlung vollständiger oder gekürzter IP-Adressen in die Vereinigten Staaten beinhalten kann.

Die Deaktivierung solcher Tracker könnte zwar eine (extreme) Lösung sein, doch damit würden die Website-Betreiber nicht mehr nachverfolgen können, wie die Nutzer mit ihrer Website interagieren. Eine bessere Herangehensweise ist es, einen Weg zu finden, Tools wie GA zu nutzen, aber mit einem Ansatz, der die Privatsphäre persönlicher Daten schützt und diese in der EU belässt. Hier kommt Cloudflare Zaraz ins Spiel.

Aber bevor wir darauf eingehen, wie Cloudflare Zaraz helfen kann, müssen wir den Hintergrund der Entscheidung der Datenschutzbehörde erklären und warum sie von solch enormer Bedeutung ist.

Welche Probleme gibt es im Bereich Datenschutz und Datenlokalisierung?

Die DSGVO ist ein umfassendes Datenschutzgesetz, das für die personenbezogenen Daten von EU-Bürgern gilt, unabhängig davon, wo sie verarbeitet werden. Die DSGVO selbst besteht nicht darauf, dass personenbezogene Daten nur in Europa verarbeitet werden müssen. Stattdessen sieht sie eine Reihe rechtlicher Mechanismen vor, die sicherstellen, dass personenbezogene Daten in der EU auf dem Niveau der DSGVO geschützt werden, wenn sie außerhalb der EU in ein Drittland wie die USA übermittelt werden. Datenübermittlungen aus der EU in die USA waren bis zur 2020 gefällten Entscheidung „Schrems II“ eines Abkommens namens „EU-U.S. Privacy Shield Framework“ zulässig.

Die Schrems-II-Entscheidung bezieht sich auf das Urteil des Gerichtshofs der Europäischen Union vom Juli 2020, mit dem das EU-U.S. Privacy Shield für ungültig erklärt wurde. Das Gericht stellte fest, dass das Privacy Shield kein wirksames Mittel ist, um EU-Daten vor den Überwachungsbehörden der US-Regierung zu schützen, sobald die Daten in die USA übermittelt werden, und dass daher personenbezogene Daten aus der EU unter dem Privacy Shield nicht das von der DSGVO garantierte Schutzniveau erhalten würden. Das Gericht bestätigte jedoch andere gültige Übermittlungsmechanismen, die die Übermittlung personenbezogener Daten aus der EU in die USA in einer Weise ermöglichen, die mit der DSGVO im Einklang steht, und die sicherstellen, dass die US-Behörden nicht in einer Weise auf personenbezogene Daten aus der EU zugreifen können, die gegen die DSGVO verstößt. Einer dieser Mechanismen sind Standardvertragsklauseln (Standard Contractual Clauses). Dabei handelt es sich um von der EU-Kommission genehmigte rechtliche Vereinbarungen, die Datenübermittlungen ermöglichen – diese können jedoch nur dann eingesetzt werden, wenn auch zusätzliche Maßnahmen ergriffen werden.

Im Anschluss an den Fall Schrems II reichte die von Max Schrems (dem Anwalt und Aktivisten, der die Klage gegen Facebook angestrengt hatte, die schließlich mit dem Schrems-II-Urteil endete) gegründete Interessengruppe „NOYB“ 101 Beschwerden gegen europäische Webseiten ein, welche Google Analytics- und Facebook-Connect-Tracker verwendet haben, mit der Begründung, dass die Nutzung dieser Tracker gegen das Schrems-II-Urteil verstößt, weil sie personenbezogene Daten aus der EU in die Vereinigten Staaten übermitteln, ohne ausreichende zusätzliche Maßnahmen zu ergreifen.

Diese Frage der ergänzenden Maßnahmen spielte in der Entscheidung der österreichischen Datenschutzbehörde eine wichtige Rolle. In ihrer Entscheidung erklärte die Datenschutzbehörde, dass ein europäisches Unternehmen GA auf seiner österreichischen Website nicht verwenden dürfe, weil GA die IP-Adressen der Besucher dieser Website an die Server von Google in den Vereinigten Staaten sende. Die Datenschutzbehörde bekräftigte eine frühere Rechtsprechung aus der EU, wonach IP-Adressen hinreichend mit Einzelpersonen verknüpft werden können und daher personenbezogene Daten darstellen, so dass die DSGVO gilt. Die Aufsichtsbehörde stellte außerdem fest, dass IP-Adressen nicht pseudonym sind und dass Google keine ausreichenden zusätzlichen Maßnahmen ergriffen hat, um US-Behörden am Zugriff auf die Daten zu hindern. Infolgedessen stellte die Aufsichtsbehörde fest, dass die Verwendung von GA und die Übermittlung von IP-Adressen an die Vereinigten Staaten in diesem Fall gegen die DSGVO in der Auslegung des Falls Schrems II verstößt. Nachdem die Datenschutzbehörde ihre Entscheidung bekannt gegeben hatte, hat die norwegische Datenschutzbehörde angekündigt, sich der österreichischen Entscheidung anzuschließen.

Entscheidung zu Google Analytics schafft besorgniserregenden Präzedenzfall

Man muss unbedingt beachten, dass sich dieses österreichische Urteil auf die Verwendung und Implementierung von GA auf einer Website bezieht. Es handelt sich nicht um ein europaweites Verbot von GA. Aber ist es ein Vorbote für weiterreichende Maßnahmen durch Datenaufsichtsbehörden? Jede Website kann Dutzende von Drittanbieter-Tools verwenden. Wenn eines der Drittanbieter-Tools personenbezogene Daten in die USA überträgt, könnte es die Aufmerksamkeit einer EU-Datenschutzbehörde auf sich ziehen. Selbst wenn diese Tools nicht absichtlich personenbezogene Daten oder sensible Informationen sammeln, bleibt die Verwendung von Drittanbieter-Tools problematisch, da sie sich aus der Art und Weise ergibt, wie das Internet aufgebaut ist und funktioniert.

Jedes Mal, wenn ein Nutzer eine Website aufruft, werden diese Tools geladen und stellen eine Verbindung zwischen dem Browser des Endnutzers und dem Server des Drittanbieters her. Diese Verbindung wird für verschiedene Zwecke genutzt, z. B. für die Anforderung eines Skripts, die Meldung von Analytics-Daten oder das Herunterladen eines Bildpixels. Bei jeder solchen Kommunikation wird die IP-Adresse des Besuchers offengelegt. So funktioniert die Kommunikation zwischen einem Browser und einem Server über das Internet seit den Anfängen des Internets.

Die Auswirkungen der Entscheidung sind daher tiefgreifend. Wenn andere europäische Regulierungsbehörden das österreichische Urteil und seine Schlussfolgerung übernehmen, dass selbst die Übermittlung von gekürzten IP-Adressen in die USA eine Übermittlung personenbezogener Daten darstellen könnte, die gegen die DSGVO verstößt, wird die Branche wahrscheinlich die derzeitige Internetarchitektur und die Art und Weise, wie IP-Adressen verwendet werden, grundlegend überdenken müssen. Cloudflare ist zunehmend davon überzeugt, dass wir diese Herausforderungen letztendlich lösen werden, indem wir IP-Adressen vollständig von der Identität trennen. Wir haben uns mit anderen in der Branche zusammengetan, um neue Protokolle wie Oblivious DNS over HTTPS zu entwickeln, die IP-Adressen von online abgefragten Inhalten trennen, um diese Zukunft Wirklichkeit werden zu lassen.

Während wir uns diese Zukunft vorstellen können, brauchen unsere Kunden sofortige Möglichkeiten, um die Bedenken der Regulierungsbehörden auszuräumen. Die durchschnittliche Website im Jahr 2021 verwendete 21 Lösungen von Drittanbietern auf dem Mobilgerät und 23 auf dem Desktop. Beim 90. Perzentil kletterten diese Zahlen auf 89 Drittanbieterlösungen auf dem Mobilgerät und 91 auf dem Desktop. Berücksichtigt man das österreichische DPA-Urteil, wonach das EU-Unternehmen selbst dafür verantwortlich ist, dass keine personenbezogenen Daten ohne ordnungsgemäße Behandlung in die Vereinigten Staaten übermittelt werden, kann man zu dem Schluss kommen, dass Unternehmen bald für jede einzelne auf ihrer Website implementierte Drittanbieterlösung verantwortlich werden könnten. Und da es sich um eine überwältigende Anzahl von Tools handelt, ist eine skalierbare Lösung erforderlich. Glücklicherweise haben wir genau eine solche Lösung entwickelt.

Die Lösung von Zaraz nutzt das globale Netzwerk und die Workers-Plattform von Cloudflare

Zaraz ist ein Manager für Tools von Drittanbietern, der auf Geschwindigkeit, Datenschutz und Sicherheit ausgelegt ist. Mit Zaraz können Kunden Analytics-Tools, Werbepixel, interaktive Widgets und viele andere Arten von Drittanbieter-Tools laden, ohne Änderungen an ihrem Code vorzunehmen.

Zaraz lädt Tools von Drittanbietern in die Cloud, indem es Cloudflare Workers nutzt. Es gibt mehrere Gründe, warum wir uns entschieden haben, auf Workers zu entwickeln, und Sie können in diesem Blogbeitrag mehr darüber lesen. Durch die Verwendung von Workers, um Tools von Drittanbietern in den Edge-Bereich und weg vom Browser zu verlagern, schafft Zaraz eine zusätzliche Sicherheitsebene und Kontrolle über personenbezogene Daten (Personal Identifiable Information – PII), geschützte Gesundheitsinformationen (Personal Health Information – PHI) oder andere sensible Informationen, die oft unbeabsichtigt an Drittanbieter weitergegeben werden.

Beim herkömmlichen Laden von Tools von Drittanbietern, entweder über eine Tag Management Software (TMS), eine Customer Data Platform (CDP) oder durch Einfügen von JavaScript-Snippets direkt in den HTML-Code, sendet der Browser immer Anfragen an die Domain des Drittanbieters. Dies ist aus einer Reihe von Gründen problematisch, vor allem aber, weil man die IP-Adresse des Nutzers nicht verbergen kann, selbst wenn man es wollte. Sie wird bei jeder HTTP-Anfrage offengelegt. Es ist auch deshalb problematisch, weil diese Tools Remote-JavaScript-Ressourcen ausführen und Sie so gut wie keinen Einblick in die Aktionen haben, die sie im Browser ausführen, oder in die Daten, die sie übertragen.

Wir können den Unterschied am Beispiel von GA verdeutlichen. Wenn eine Website GA entweder über Google Tag Manager oder direkt aus dem HTML-Code lädt, lädt der Browser die Datei „analytics.js“ herunter, die GA lädt. Anschließend sendet er eine HTTP-POST-Anfrage vom Browser an den Endpunkt von Google: „https://www.google-analytics.com/collect“. Beide Anfragen geben die IP-Adresse des Endnutzers preis und können der URL einige persönliche Daten anhängen, wie z. B. die Google-Kunden-ID, als Abfrageparameter.

Im Vergleich dazu findet bei der Verwendung von Zaraz zum Laden von GA überhaupt keine Kommunikation zwischen dem Browser und dem Endpunkt von Google statt. Stattdessen arbeitet Zaraz als Vermittler, und die gesamte Kommunikation findet zwischen Zaraz (das auf Workers-Servern läuft, isoliert vom Browser) und dem Drittanbieter statt. Sie können sich Zaraz als eine zusätzliche Schutzschicht zwischen dem Browser und dem Endpunkt des Drittanbieters vorstellen, und diese zusätzliche Schicht ermöglicht es uns, einige leistungsstarke Datenschutzfunktionen einzubauen.

Mit Zaraz können Kunden zum Beispiel entscheiden, ob die IP-Adresse eines Endnutzers an GA übertragen werden soll oder nicht. So einfach ist das. Wenn Sie ein neues Tool eines Drittanbieters wie GA konfigurieren, können Sie auf der Seite mit den Tool-Einstellungen festlegen, dass IP-Adressen ausgeblendet werden.

Sie können dieses Feature derzeit mit GA und der FB Pixel/Conversion API nutzen. Da aber immer mehr Tools ihre API zugänglich machen und Server-zu-Server-Integrationen ermöglichen, erwarten wir, dass die Zahl der Tools, bei denen Sie diese Funktion anwenden können, schnell wächst.

Eine ähnliche Funktion, die Zaraz anbietet, ist das Zaraz Data Loss Prevention (DLP)-Feature (Schutz vor Datenverlust), das derzeit von mehreren unserer Enterprise-Kunden genutzt wird. Das DLP-Feature scannt jede Anfrage, die an einen Endpunkt eines Drittanbieters geht, um sicherzustellen, dass sie keine sensiblen Informationen wie Namen, E-Mail-Adressen, Sozialversicherungsnummern, Kreditkartennummern, IP-Adressen und mehr enthält.  Mithilfe dieser Funktion können Kunden die Daten entweder maskieren oder einfach gewarnt werden, wenn ein Tool solche persönlichen Daten sammelt.  Die Funktion bietet volle Transparenz und Kontrolle über die Informationen, die an Dritte weitergegeben werden.

Wie Zaraz bei der Datenlokalisierung helfen kann

Vielleicht fragen Sie sich jetzt: „Moment, aber wie unterscheidet sich Cloudflare von Google, und gehen die Protokolle der Endnutzer nicht auch zu den US-Servern von Cloudflare?“ Das ist eine gute Frage, und die Kombination von Zaraz mit dem globalen Netzwerk von Cloudflare lässt uns glänzen. Wir können Enterprise-Kunden Zaraz in Kombination mit zwei leistungsstarken Funktionen von Cloudflares Data Localisation Suite anbieten: Regional Services, und die Customer Metadata Boundary.

Mit Cloudflare Regional Services können Sie wählen, wo Sie die Cloudflare-Dienste, einschließlich des Zaraz-Dienstes, ausführen möchten. Um Ihren Compliance-Verpflichtungen nachzukommen, benötigen Sie möglicherweise die Kontrolle darüber, wo Ihre Daten überprüft werden. Mit Cloudflare Regional Services können Sie entscheiden, wo Ihre Daten verarbeitet werden sollen, ohne die Performance-Vorteile unseres Netzwerks zu verlieren.

Nehmen wir an, Sie betreiben eine Website für eine europäische Bank. Nehmen wir weiter an, Sie haben die Data Localisation Suite für die EU aktiviert. Wenn eine Person in der EU Ihre Website besucht, wird eine HTTP-Anfrage gesendet, um Zaraz zu aktivieren. Da Zaraz in einem First-Party-Kontext, d. h. unter Ihrer eigenen Domäne, läuft, gelten alle Datenlokalisierungseinstellungen auch für diese. Das Netzwerk wird also den Datenverkehr in die EU leiten, ohne dessen Inhalt zu prüfen, und Zaraz dort ausführen.

Die EU Customer Metadata Boundary erweitert die Data Localisation Suite, um sicherzustellen, dass auch die Metadaten des Endbenutzer-Traffics eines Kunden in der EU bleiben. „Metadaten“ können ein furchterregender Begriff sein, aber es ist ein einfaches Konzept – es bedeutet einfach „Daten über Daten“. Mit anderen Worten, es handelt sich um eine Beschreibung von Aktivitäten, die in unserem Netz stattgefunden haben. Die Verwendung der EU-Customer-Metadata-Boundary bedeutet, dass diese Art von Metadaten nur in der EU gespeichert werden würde.

Und was ist mit den personenbezogenen Daten der Endnutzer, die von Zaraz verarbeitet werden? Standardmäßig protokolliert oder speichert Zaraz keine Informationen über den Endnutzer, mit einer Ausnahme im Falle der Fehlerprotokollierung. Um unseren Service zu verbessern, speichern wir Fehlerprotokolle, so dass wir alle Probleme beheben können. Für Kunden, die die Data Localisation Suite verwenden, können wir dies abschalten, was bedeutet, dass Zaraz keinerlei Protokolldaten speichert.

Wie sieht die Zukunft der Datenschutzfunktionen aus?

Seit der Ankündigung der Zaraz-Übernahme haben wir mit Hunderten von Cloudflare Enterprise-Kunden und Tausenden von Nutzern gesprochen, die die Beta-Version der kostenlosen Zaraz-Version verwenden. Und wir haben eine kurze Liste von Funktionen zusammengestellt, die wir bis 2022 entwickeln wollen.

  • Der Zaraz Consent Manager. Zaraz verändert die Art und Weise, wie Tools von Drittanbietern im Web implementiert werden, grundlegend. Um unseren Kunden die volle Kontrolle über das Consent-Management zu geben, haben wir uns überlegt, dass wir ein eigenes Tool entwickeln sollten, mit dem unsere Kunden dies einfach tun können. Der Zaraz Consent Manager wird vollständig in Zaraz integriert und ermöglicht es unseren Kunden, mit wenigen Klicks Maßnahmen entsprechend der Benutzerauswahl zu ergreifen.
  • Geolocation Triggers. Wir planen, die Option hinzuzufügen, Trigger-Regeln basierend auf dem aktuellen Standort eines Endbenutzers zu erstellen. Das bedeutet, dass Sie Tools so konfigurieren können, dass sie nur geladen werden, wenn der Benutzer Ihre Website aus einer bestimmten Region besucht. Sie wären sogar in der Lage, bestimmte Ereignisse oder Eigenschaften je nach Standort des Endbenutzers zu senden.
  • DLP-Mustervorlagen. Im Moment kann unser DLP-Feature Anfragen, die an Tools von Drittanbietern gehen, nach Mustern scannen, die Enterprise-Kunden selbst erstellen. In naher Zukunft werden wir Vorlagen einführen, mit denen unsere Kunden einfacher nach allgemeinen personenbezogenen Daten scannen können.

Dies ist nur ein Vorgeschmack auf das, was noch kommen wird. Wenn Sie Ideen für Datenschutzfunktionen haben, die Sie gerne sehen würden, wenden Sie sich an [email protected] – wir würden uns freuen, von Ihnen zu hören!

Wenn Sie die kostenlose Beta-Version testen möchten, klicken Sie bitte hier.  Wenn Sie ein Enterprise-Kunde sind und mehr über die Datenschutzfunktionen von Zaraz erfahren möchten, klicken Sie bitte hier, um sich auf die Warteliste zu setzen. Um unserem Discord-Kanal beizutreten, klicken Sie hier.