XF2.2 Datenschutzerklärung

Mir ist heute auch mal aufgefallen das viele Datenschatzerklärungen aufgrund von Cloudflare gar nicht korrekt sind.

Vorab:
Das TLS-Protokoll der Webseite wird dann von Cloudflare aufgebrochen und alle Daten, die zwischen dem Besucher und der Webseite ausgetauscht werden, können von Cloudflare mitgelesen werden.

In der Datenschutzerklärung steht dann häufig sowas wie:
Ihre Angaben werden durch eine „Secure Socket Layer“-Verbindung (SSL) verschlüsselt übertragen, so dass Unbefugte diese nicht einsehen können (https-Verbindung).
Aber meist nichts über Cloudflare.
 
Mal sehen was raus kommt da das Thema wohl jetzt zum Bundesdatenschutzbeauftragten kommt, eig. müsste cloudflare verboten werden da man damit am ende keinerlei Datenschutz einhalten kann durch die Entschlüsselung.
 
Zuletzt bearbeitet:
Dann dürfte man als Shop auf keinen Fall Cloudflare verwenden. Werde das mal bei der IT-Recht-Kanzlei ansprechen, mal sehen wie die das zur Zeit sehen.

Auf jeden Fall n guter Hinweis - auch wenn ichs noch nie genutzt habe, hatte ich doch schon paar mal drüber nachgedacht.
 
Werde das mal bei der IT-Recht-Kanzlei ansprechen, mal sehen wie die das zur Zeit sehen.
Ja würd mich interessieren was die sagen. Ich hoffe das da ne öffentliche Antwort raus kommt beim Bundesdatenschutzbeauftragten
 
Mal sehen was raus kommt da das Thema wohl jetzt zum Bundesdatenschutzbeauftragten kommt, eig. müsste cloudflare verboten werden da man damit am ende keinerlei Datenschutz einhalten kann durch die Entschlüsselung.

Das ist so nicht ganz richtig, du übertreibst es hier mal wieder.

Natürlich kann das sein, aber wenn ich bei CF eine volle Verschlüsselung einschalte, dann kann man eine komplette End2End Encryption erreichen, ist überhaupt kein Problem. Dann kann CF keine Daten lesen.

Wir setzen in der Firma Weltweit CF für Behörden und Shops in den meisten First World Staaten ein, selbst in Kalifornien die aktuell neben D das härteste Datenschutz Gesetzt haben. Unsere internen Sicherheitsstandards sind aus diesem Grund auch sehr hoch, und wir halten alle die Vorgaben ein, die Behörden Weltweit vorgeben, und sogar noch mehr.

Ja gut, wir haben natürlich auch Enterprise Paket.
 
Natürlich kann das sein, aber wenn ich bei CF eine volle Verschlüsselung einschalte, dann kann man eine komplette End2End Encryption erreichen, ist überhaupt kein Problem. Dann kann CF keine Daten lesen.
Hmm ... ich kenne mich mit CloudFlare (im Allgemeinen) und mit CloudFlare Enterprise (im Speziellen) nicht aus, aber nach der Beschreibung unter End-to-end HTTPS with Cloudflare - Part 1: conceptual overview sieht das für mich nicht so aus wie Du das beschreibst.

Vielmehr liest es sich so dass es 2 ("End-to-End") TLS-Verbindungen gibt: Vom Client zu CloudFlare und dann wieder von CloudFlare zum Origin Server.
CloudFlare ist dann quasi Man-in-the-Middle und kann die Anfragen und Antworten mitlesen - was sie auch tun (müssen) um z.B. Resourcen mit Brotli-Kompression auszuliefern (selbst wenn der Origin das gar nicht kann), ein WAF bereitzustellen, Inhalte lokal bereitzuhalten und auszuliefern, etc.

Theoretisch wäre natürlich auch "echte" End-to-End Verschlüsselung möglich, dann wäre CF nach meinem Verständnis aber quasi nur mehr ein TCP/UDP-Proxy oder Router (+ ggf. Layer 4 Firewall) - der Nutzen also kaum mehr gegeben.
Oder ich verstehe etwas komplett falsch, in diesem Fall würde ich mich über Infos freuen wie das funktionieren soll :)
 
Zuletzt bearbeitet:
Ich frag mal unsere Ops Abteilung, wie das realisiert ist. Gerade bei Behörden ist das Teil der Pflichtprogramms.

@ehd Das kann man Pauschal nicht sagen. Da gibt es auch Staffelpreise.
 
Zurück
Oben