Die offizielle saarländische Webseite zur Terminvergabe für Impfertermine gegen COVID19 (www.impfen-saarland.de) verwendet den US-amerikanischen Dienstleister cloudflare zum Ausliefern seiner Webseiten.

nslookup www.impfen-saarland.de

Name:    3fceb4a251484958b2e9bf9e6e201958.pacloudflare.com
Addresses:  2606:4700:90:0:f695:61c7:f30f:c69c
          172.65.232.160
Aliases:  www.impfen-saarland.de

Die Dienstleistungen von cloudflare werden regelmäßig auch von europäischen Web-Dienstleistern in Anspruch genommen, wenn die Herkunft einer Webseite verschleiert werden soll, Denial-of-Service-Angriffe auf die Webseite zu erwarten sind oder eine Web-Application-Firewall benötigt wird, um eine Webseite abzusichern.

cloudflare fungiert dabei also sogenannter Reverse-Proxy, der vor der eigentlichen Webseite liegt und die Anfragen auf diese Webseite analysiert, weiterleitet und auch zwischenspeichert. Auch wenn die Verbindung zu dem Reverse-Proxy per https abgesichert ist, so hat der Dienstleister als Aussteller des Zertifikats und Besitzer des privaten SSL/TLS-Schlüssels die Möglichkeit die Verbindung einzusehen. Dies ist insbesondere deshalb problematisch, da der EuGH mehrfach festgestellt hat, dass das Datenschutzniveau in den USA nicht den europäischen Erwartungen entspricht (siehe Schrems I und Schrems II).

Neben der Problematik des niedrigeren Datenschutzniveaus kommt erschwerend hinzu, dass es sich bei den Impfterminen um Gesundheitsdaten der Personen handelt, die den Impftermin vereinbaren. Gesundheitsdaten gehören entsprechend Art. 9 DSGVO zu den „besondere Kategorien von Daten“, deren Verarbeitung immer mit „erhebliche Risiken für die Grundrechte und Grundfreiheiten“ der betroffener Personen verbunden ist (Erwägungsgrund 51 DSGVO). Diese Daten bedürfen also eines besonderen Schutzes. Ob diese Forderung mit der unverschlüsselten Durchleitung durch einen amerikanischen Proxy-Server erfüllt wird, darf als fraglich gelten.

Zu alledem weist die vom Provider veröffentlichte Datenschutzerklärung mehrere Lücken auf:
a. Entgegen der Aussage „Wir verwenden keine Drittanbieter-Cookies.“ werden Cookies über die cloudflare-Server gesetzt (siehe unten).
b. Der Auftragsverarbeiter cloudflare fehlt in der entsprechenden Liste nach Art. 28 DSGVO.
c. Der Anbieter schreibt „Sämtliche von Ihnen eingegebenen personenbezogenen Daten (mit Ausnahme der E-Mail-Adresse und Handynummer) werden direkt in Ihrem Webbrowser Ende-zu-Ende verschlüsselt […]“. Eine solche Funktion kann aber nicht nachvollzogen werden. Zwar werden JavaScript-Funktionen zur asymetrischen Verschlüsselung geladen, aber nicht eingesetzt. Zumindest beim Laden der eingebenen Daten kommen diese nur transportverschlüsselt aber nicht Ende-zu-Ende-verschlüsselt im technischen Sinne an (siehe Screenshot).

Allgemeine Webseiteninformation

Weiterleitung nach:https://www.impfen-saarland.de/
Serversoftware:cloudflare
Cookie-Report:www.impfen-saarland.de xxxxxxxxxxxxxxx (persistenter Cookie)
.impfen-saarland.xxxxxxxxxxxxxx.xxxxx(persistenter Cookie)
2 Cookies insgesamt, 2 unterschiedliche Domains

Data-Center ausserhalb der EU (US – Kalifornien)
Drittbibliotheken von flowai.app

Allgemeine Webseiteninformation

Weiterleitung nach:https://widget.flowai.app/
Serversoftware:cloudflare
Cookie-Report:widget.flowai.approute-1 (transienter Cookie)
.flowai.xxxxxxxxxxxx.xxxxxxxx(persistenter Cookie)
2 Cookies insgesamt, 2 unterschiedliche Domains

Webseiten-Zertifikat von cloudflare

PDF

Datenschutzreport www.impfen-saarland.de