Was macht Cloudflare?
Cloudflare ist ein US-amerikanisches Unternehmen, das ein sog. Content Delivery Network (CDN) und weitere Dienste bereitstellt, mit denen Websites skalierbarer und performanter betrieben werden können.
Der Dienst von Cloudflare besteht im Wesentlichen aus DNS-Servern und „Reverse Proxies“. Dies sorgt dafür, dass Webseiten nicht direkt vom Unternehmen an Benutzer ausgeliefert werden, sondern über zwischengeschaltete Server von Cloudflare, die in einer Vielzahl von Rechenzentren stehen. Damit können auch große Datenmengen sehr schnell ausgeliefert werden, ohne dass der Webserver des Unternehmens belastet wird.
Zudem schützen die vorgeschalteten Server von Cloudflare gegen Denial-of-Service-Attacken oder das Abgreifen von Website-Inhalten durch Bots. Der Hauptsitz von Cloudflare Inc. ist in 101 Townsend St, San Francisco, CA 94107, USA. Nach eigenen Angaben bietet Cloudflare Dienste für 6 Mio. Websites an, und bedient 11% der Top 10 Millionen Websites.
Ist Cloudflare DSGVO-konform?
Wenn Websites über ein CDN ausgeliefert werden, so verarbeitet dieses im Sinne der DSGVO immer personenbezogene Daten, da die IP-Adresse des Besuchers an den CDN-Server übertragen wird. Die IP-Adresse ist nach Ansicht des Europäischen Gerichtshofes ein personenbezogenes Datum, es findet deshalb eine Datenverarbeitung statt. Zudem speichert Cloudflare die übertragenen Inhalte, unter denen personenbezogene Daten sein können, zumindest zweitweise zwischen.
Eine Datenverarbeitung ist grundsätzlich nur für Länder in der EU zulässig oder für solche, für die es einen Angemessenheitsbeschluss gibt. Dies ist für die USA der Fall für Unternehmen, die zertifiziert im EU-US-Data Privacy Network sind. Cloudflare ist ein US-amerikanisches Unternehmen und im DPF zertifiziert (Stand 05.08.2024), damit ist die Nutzung zunächst rechtlich zulässig. Für einen DSGVO-konformen Einsatz müssen zusätzlich noch weitere Pflichten erfüllt werden (s.u.).
Werden durch Cloudflare Cookies gesetzt?
Nicht in allen Nutzungsszenarien setzt Cloudflare Cookies ein, nach eigenen Angaben aber zumindest teilweise die folgenden:
| Name | Zweck | Speicherdauer |
| __cflb | Wird bei der Lastverteilung von Zugriffen verwendet | Bis zu 24 Stunden |
| __cf_bm | Wird zum Schutz einer Websites vor Bots verwendet | 30 Minuten |
| __cfseq | Wird zum Schutz einer Website gegen unzulässige Zugriffe verwendet | |
| cf_ob_info cf_use_ob | Wird im Rahmen des Produktes „Always Online“ verwendet | 30 Sekunden |
| __cfwaitingroom _cfuvid __cfruid | Wird bei der Begrenzung von Zugriffen verwendet | |
| cf_clearance cf_chl_rc_i cf_chl_rc_ni cf_chl_rc_m | Wird verwendet, um verdächtige Zugriffe zu identifizieren |
Wie prüft man, ob Cloudflare auf einer Website eingesetzt wird?
Cloudflare kann in zwei Varianten auf einer Website eingesetzt werden:
- Auslieferung der Website durch das Cloudflare CDN und/oder Überwachung der Zugriffe auf die Website.
- Einbindung einzelner Inhalte (Bilder, Videos, Javascript-Dateien etc.) in die Website, die von Cloudflare-Servern ausgeliefert werden (anstatt sie auf dem eigenen Webserver abzulegen).
Zu 1: In diesem Fall werden auch HTML-Dateien der Website über die Netzwerk-Infrastruktur von Cloudflare ausgeliefert. Dies kann mit Hilfe der IP-Adresse des Webservers nachgewiesen werden. Dieser Artikel beschreibt, wie dafür vorgegangen werden muss.
Zu 2: Um dies nachzuweisen, laden Sie eine oder mehrere Seiten der Website, und prüfen Sie (dieser Artikel beschreibt, wie dafür vorgegangen werden muss) ob es Netzwerkzugriffe zu einer der folgenden Domains gibt:
- cloudflare.com
- cloudflare.net
- cloudflareinsights.net
Wie setzt man Cloudflare DSGVO-konform ein?
Einwilligung einholen
Ob die von Cloudflare gesetzten Cookies notwendig zum Betrieb der Website sind ist umstritten. Falls nein, dann sieht §25 TDDDG vor, dass eine Einwilligung notwendig ist. Für einen rechtssicheren Betrieb ist eine Einwilligung empfohlen. Falls dies nicht möglich ist, weil Cloudflare als CDN die Auslieferung der gesamten Website verantwortet, sollte der Einsatz überdacht werden.
Vertrag zur Auftragsverarbeitung abschließen
Da Cloudflare im Auftrag des Website-Betreibers personenbezogene Daten verarbeitet, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser kann im Cloudflare-Dashboard eingesehen werden.
Datenschutzerklärung anpassen
Über die Datenverarbeitung durch Cloudflare muss in der Datenschutzerklärung der Website informiert werden.
| Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt. |
