Cloudflare ist einer der weltweit meistgenutzten CDN- und Sicherheitsanbieter. Millionen von Websites setzen Cloudflare ein, um Ladezeiten zu verbessern und DDoS-Angriffe abzuwehren. Doch ist der Einsatz mit der DSGVO vereinbar? Die Antwort ist nicht ganz einfach – wir beleuchten die wichtigsten Aspekte.
Wie funktioniert Cloudflare?
Cloudflare arbeitet als Reverse Proxy: Der gesamte Traffic einer Website wird über die Cloudflare-Server geleitet, bevor er den eigentlichen Webserver erreicht. Dabei sieht Cloudflare jede Anfrage – einschließlich der IP-Adressen aller Besucher. Genau hier liegt das datenschutzrechtliche Problem.
Datenschutzrechtliche Einordnung
Auftragsverarbeitung nach Art. 28 DSGVO
Cloudflare verarbeitet personenbezogene Daten (IP-Adressen) im Auftrag des Website-Betreibers. Damit handelt es sich um eine Auftragsverarbeitung, für die ein Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO erforderlich ist. Cloudflare bietet ein solches „Data Processing Addendum" (DPA) standardmäßig an.
Datenübermittlung in die USA
Cloudflare Inc. hat seinen Hauptsitz in San Francisco, USA. Seit dem EU-U.S. Data Privacy Framework (DPF) vom Juli 2023 ist die Datenübermittlung an Unternehmen, die unter dem DPF zertifiziert sind, grundsätzlich zulässig. Cloudflare ist unter dem DPF zertifiziert.
Allerdings ist die Zukunft des DPF unsicher: Datenschutzaktivisten haben bereits angekündigt, das Framework vor dem EuGH anzufechten (ein mögliches „Schrems III"). Wer auf Nummer sicher gehen will, sollte zusätzlich Standardvertragsklauseln (SCCs) abschließen – was Cloudflare ebenfals anbietet.
Häufige Fragen zu Cloudflare und DSGVO
Brauche ich eine Einwilligung für Cloudflare?
Die herrschende Meinung ist: Nein, wenn Cloudflare ausschließlich als CDN und für die IT-Sicherheit eingesetzt wird. In diesem Fall kann der Einsatz auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO gestützt werden. Voraussetzung ist, dass Cloudflare keine eigenen Tracking-Cookies setzt und die Daten nur für den Betrieb des CDN verwendet.
Was muss in die Datenschutzerklärung?
Sie müssen den Einsatz von Cloudflare in Ihrer Datenschutzerklärung transparent darstellen. Dazu gehören: Name und Anschrift des Anbieters, Zweck der Datenverarbeitung, Rechtsgrundlage, Hinweis auf die Datenübermittlung in die USA und die Garantien (DPF-Zertifizierung, SCCs).
Was ist mit Cloudflare Web Analytics?
Cloudflare Web Analytics ist ein Analytics-Tool, das laut Cloudflare ohne Cookies und ohne Tracking personenbezogener Daten funktioniert. Dennoch sollten Sie den Einsatz in der Datenschutzerklärung erwähnen und prüfen, ob tatsächlich keine personenbezogenen Daten verarbeitet werden.
Risikobewertung: Was empfehlen wir?
- 1AV-Vertrag abschließen – Stellen Sie sicher, dass das Cloudflare DPA aktiviert ist (im Dashboard unter „Legal").
- 2Datenschutzerklärung aktualisieren – Cloudflare transparent aufführen mit allen erforderlichen Angaben.
- 3TIA durchführen – Ein Transfer Impact Assessment für die US-Datenübermittlung dokumentieren.
- 4Alternativen prüfen – EU-basierte CDNs wie Bunny.net oder KeyCDN minimieren das Übermittlungsrisiko.
Externe Dienste automatisch erkennen
Mit ScanCompliance.de können Sie automatisch prüfen lassen, welche externen Dienste Ihre Website einbindet – ob Cloudflare, Google-Dienste oder andere Drittanbieter. So behalten Sie den Überblick und können Ihre Datenschutzerklärung aktuell halten.
Externe Dienste auf Ihrer Website erkennen
Kostenloser Scan: Welche Drittanbieter-Dienste nutzt Ihre Website?
Kostenlosen Scan starten