Allgemein

Cloudflare und DSGVO-Konformität

Eckhard Schneider
Herausgegeben von Decareto
·
4 Minuten lesen
·
August 6, 2024
Inhaltsübersicht

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein sog. Content Delivery Network (CDN) und weitere Dienste bereitstellt, mit denen Websites skalierbarer und performanter betrieben werden können.

Der Dienst von Cloudflare besteht im Wesentlichen aus DNS-Servern und „Reverse Proxies“. Dies sorgt dafür, dass Webseiten nicht direkt vom Unternehmen an Benutzer ausgeliefert werden, sondern über zwischengeschaltete Server von Cloudflare, die in einer Vielzahl von Rechenzentren stehen. Damit können auch große Datenmengen sehr schnell ausgeliefert werden, ohne dass der Webserver des Unternehmens belastet wird.

Zudem schützen die vorgeschalteten Server von Cloudflare gegen Denial-of-Service-Attacken oder das Abgreifen von Website-Inhalten durch Bots. Der Hauptsitz von Cloudflare Inc. ist in 101 Townsend St, San Francisco, CA 94107, USA. Nach eigenen Angaben bietet Cloudflare Dienste für 6 Mio. Websites an, und bedient 11% der Top 10 Millionen Websites.

Ist Cloudflare DSGVO-konform?

Wenn Websites über ein CDN ausgeliefert werden, so verarbeitet dieses im Sinne der DSGVO immer personenbezogene Daten, da die IP-Adresse des Besuchers an den CDN-Server übertragen wird. Die IP-Adresse ist nach Ansicht des Europäischen Gerichtshofes ein personenbezogenes Datum, es findet deshalb eine Datenverarbeitung statt. Zudem speichert Cloudflare die übertragenen Inhalte, unter denen personenbezogene Daten sein können, zumindest zweitweise zwischen.

Eine Datenverarbeitung ist grundsätzlich nur für Länder in der EU zulässig oder für solche, für die es einen Angemessenheitsbeschluss gibt. Dies ist für die USA der Fall für Unternehmen, die zertifiziert im EU-US-Data Privacy Network sind. Cloudflare ist ein US-amerikanisches Unternehmen und im DPF zertifiziert (Stand 05.08.2024), damit ist die Nutzung zunächst rechtlich zulässig. Für einen DSGVO-konformen Einsatz müssen zusätzlich noch weitere Pflichten erfüllt werden (s.u.).

Werden durch Cloudflare Cookies gesetzt?

Nicht in allen Nutzungsszenarien setzt Cloudflare Cookies ein, nach eigenen Angaben aber zumindest teilweise die folgenden:

NameZweckSpeicherdauer
__cflbWird bei der Lastverteilung von Zugriffen verwendetBis zu 24 Stunden
__cf_bmWird zum Schutz einer Websites vor Bots verwendet30 Minuten
__cfseqWird zum Schutz einer Website gegen unzulässige Zugriffe verwendet 
cf_ob_info
cf_use_ob
Wird im Rahmen des Produktes „Always Online“ verwendet30 Sekunden
__cfwaitingroom
_cfuvid
__cfruid  
Wird bei der Begrenzung von Zugriffen verwendet 
cf_clearance
cf_chl_rc_i
cf_chl_rc_ni
cf_chl_rc_m
Wird verwendet, um verdächtige Zugriffe zu identifizieren 

Wie prüft man, ob Cloudflare auf einer Website eingesetzt wird?

Cloudflare kann in zwei Varianten auf einer Website eingesetzt werden:

  1. Auslieferung der Website durch das Cloudflare CDN und/oder Überwachung der Zugriffe auf die Website.
  2. Einbindung einzelner Inhalte (Bilder, Videos, Javascript-Dateien etc.) in die Website, die von Cloudflare-Servern ausgeliefert werden (anstatt sie auf dem eigenen Webserver abzulegen).

Zu 1: In diesem Fall werden auch HTML-Dateien der Website über die Netzwerk-Infrastruktur von Cloudflare ausgeliefert. Dies kann mit Hilfe der IP-Adresse des Webservers nachgewiesen werden. Dieser Artikel beschreibt, wie dafür vorgegangen werden muss.

Zu 2: Um dies nachzuweisen, laden Sie eine oder mehrere Seiten der Website, und prüfen Sie (dieser Artikel beschreibt, wie dafür vorgegangen werden muss) ob es Netzwerkzugriffe zu einer der folgenden Domains gibt:

  • cloudflare.com
  • cloudflare.net
  • cloudflareinsights.net

Wie setzt man Cloudflare DSGVO-konform ein?

Einwilligung einholen

Ob die von Cloudflare gesetzten Cookies notwendig zum Betrieb der Website sind ist umstritten. Falls nein, dann sieht §25 TDDDG vor, dass eine Einwilligung notwendig ist. Für einen rechtssicheren Betrieb ist eine Einwilligung empfohlen. Falls dies nicht möglich ist, weil Cloudflare als CDN die Auslieferung der gesamten Website verantwortet, sollte der Einsatz überdacht werden.

Vertrag zur Auftragsverarbeitung abschließen

Da Cloudflare im Auftrag des Website-Betreibers personenbezogene Daten verarbeitet, muss ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser kann im Cloudflare-Dashboard eingesehen werden.

Datenschutzerklärung anpassen

Über die Datenverarbeitung durch Cloudflare muss in der Datenschutzerklärung der Website informiert werden.

Bitte beachten Sie, dass dieser Artikel keine Rechtsberatung darstellt.
Soziales Teilen:

Weitere Blogs zum Thema erkunden

4 min read
·
Januar 7, 2025

Warum Unternehmen noch heute beginnen sollten, ihre Website auf Barrierefreiheit zu prüfen

4 min read
·
September 20, 2024

So vermeiden Sie die 6 häufigsten Fehler bei der Gestaltung Ihres Consent-Banners

4 min read
·
August 9, 2024

Shopify und DSGVO-Konformität