Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Amazon CloudFront

Was macht Amazon CloudFront?

Amazon CloudFront ist das Content Delivery Network (CDN) von Amazon Web Services. Es verteilt Webinhalte vom Origin des Betreibers über mehr als 450 Edge Points of Presence weltweit, einschließlich umfangreicher EU Abdeckung (Frankfurt, Paris, Dublin, Stockholm, Mailand). CloudFront setzt standardmäßig keine Tracking Cookies und verarbeitet nur die für die Auslieferung notwendigen Daten (Besucher IP, User Agent, angefragte URL). Da Amazon Web Services Inc in den USA dem CLOUD Act unterliegt, müssen EU Betreiber sich auf Standardvertragsklauseln, das EU US Data Privacy Framework und ein dokumentiertes Transfer Impact Assessment stützen.

Was Amazon CloudFront ist und wie es funktioniert

Amazon CloudFront ist das Content Delivery Network von Amazon Web Services Inc. Es cached und liefert Webinhalte (HTML, JavaScript, CSS, Bilder, Videos, API Antworten) über mehr als 450 Edge Points of Presence weltweit. Öffnet ein Besucher eine CloudFront aktivierte Website, wird die Anfrage zum nächsten POP geroutet, wenn möglich aus dem Cache bedient und sonst an den Betreiber Origin weitergeleitet. CloudFront unterstützt HTTPS Terminierung, signierte Anfragen, Geo Restriktionen, Lambda@Edge sowie eine enge Integration mit weiteren AWS Diensten (S3, EC2, ALB, API Gateway, Shield, WAF).

Welche Daten CloudFront verarbeitet

CloudFront setzt standardmäßig keine Tracking Cookies. Zur Bedienung einer Anfrage verarbeitet es die Besucher IP, den User Agent, die angefragte URL, vom Betreiber definierte Header, die vom POP erkannte geografische Region und Timing Metadaten. Die CloudFront Access Logs können IP und URL enthalten. Der Betreiber kann sie in einem S3 Bucket seiner Wahl (in einer EU AWS Region) speichern und CloudFront so konfigurieren, dass Identifikatoren anonymisiert oder verkürzt werden. Signed Cookies und Signed URLs werden nur für Zugriff geschützten Inhalt verwendet und beruhen auf einem Vertragsverhältnis zwischen Betreiber und Besucher.

DSGVO, ePrivacy und US CLOUD Act

Aus Besuchersicht ist CloudFront technische Infrastruktur, die den angeforderten Inhalt ausliefert. Maßgebliche Rechtsgrundlage ist Artikel 6(1)(b) DSGVO (Vertragserfüllung), ergänzt durch Artikel 6(1)(f) (berechtigtes Interesse) für Sicherheit und Performance. Für die CDN Funktion ist nach Artikel 5(3) ePrivacy Richtlinie keine Einwilligung erforderlich, da sie zum gewünschten Dienst zwingend gehört. Da CloudFront jedoch von Amazon Web Services Inc, einem dem FISA 702 und CLOUD Act unterliegenden US Unternehmen, betrieben wird, muss der Einsatz als Drittlandsübermittlung im Sinne von Kapitel V DSGVO mit dokumentierten Garantien behandelt werden.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Internationale Übermittlungen und EU Datenresidenz

AWS stellt Standardvertragsklauseln über das AWS GDPR Data Processing Addendum bereit, ist im EU US Data Privacy Framework zertifiziert und bietet das AWS Data Residency Add On (vertragliche Zusage, Daten in ausgewählten AWS Regionen zu verarbeiten). EU Betreiber können bei CloudFront Origin und Logs auf EU Regionen einschränken, aber die Edge POPs befinden sich auf allen Kontinenten und die Control Plane wird aus US AWS Regionen betrieben. EDPB und CNIL stufen das Restrisiko weiterhin als erheblich ein und verlangen ein Transfer Impact Assessment.

Praktische Compliance Schritte

Schließen Sie das AWS GDPR Data Processing Addendum ab, nutzen Sie gegebenenfalls den AWS Data Residency Add On, beschränken Sie Origin und Log Buckets auf EU AWS Regionen und deaktivieren Sie Geo Restriktionen, die Traffic auf US POPs zwingen. Dokumentieren Sie den Einsatz von CloudFront im Verzeichnis der Verarbeitungstätigkeiten, listen Sie ihn in der Datenschutzerklärung als Auftragsverarbeiter und internationale Übermittlung und führen Sie ein Transfer Impact Assessment durch. In risikobehafteten Branchen mit strikt EU Infrastruktur prüfen Sie EU CDNs wie Bunny CDN, Fastly mit ausschließlich EU POPs, OVHcloud CDN, Scaleway Edge Services oder selbst gehostetes nginx in EU Rechenzentren.

GDPR consent category

Sonstige

Websites using Amazon CloudFront must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(b) GDPR (performance of a contract) when CloudFront serves the operator content that the visitor requests. Article 6(1)(f) GDPR (legitimate interest) for security, fraud prevention and performance optimisation. Consent is only required for any non essential cookies that the operator chooses to set through CloudFront.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, French CNIL guidance on CDN and third country transfers, German TTDSG, Spanish LSSI, Schrems II case law, US CLOUD Act, EU US Data Privacy Framework, AWS Data Residency Add On, AWS GDPR Data Processing Addendum

DPIA considerations

Eine DSFA wird empfohlen, sobald CloudFront eine Website mit signifikantem Aufkommen an EWR Besucherdaten ausliefert, insbesondere in Gesundheit, Finanzen oder öffentlicher Verwaltung. Sie muss das AWS Data Processing Addendum, die Standardvertragsklauseln mit AWS, den EU US Data Privacy Framework Status, das Restrisiko aus CLOUD Act und FISA 702, den Einsatz des AWS Data Residency Add On sowie geprüfte Alternativen (Bunny CDN, Fastly mit ausschließlich EU POPs, OVHcloud CDN, Scaleway Edge Services) dokumentieren.

Sample consent text

Unsere Website wird über Amazon CloudFront ausgeliefert, das CDN von Amazon Web Services. CloudFront speichert unsere öffentlichen Inhalte in Edge Servern weltweit zwischen und verarbeitet Ihre IP Adresse und Anfrage Metadaten, um Seiten effizient auszuliefern. CloudFront wird von Amazon Web Services Inc in den USA unter Standardvertragsklauseln und dem EU US Data Privacy Framework betrieben, mit einem vertraglichen Data Processing Addendum.

Technical details

Tracking methodAWS edge network distributing web content (HTML, JavaScript, CSS, images, videos) and proxying requests to the operator origin. No cookies are injected by default. The operator can use CloudFront Signed Cookies or Signed URLs for access controlled content and configure Lambda@Edge or CloudFront Functions to enrich or filter requests.

Server locationAmazon Web Services Inc operates CloudFront with more than 450 edge Points of Presence worldwide, including extensive EU coverage (Frankfurt, Paris, Dublin, Stockholm, Milan). Amazon Web Services EMEA SARL in Luxembourg acts as the contracting entity for EEA customers. The control plane and logs are operated from US AWS regions.

Cookieless tracking availableYes

Data transferred outside the EUCloudFront is operated by Amazon Web Services Inc (US) and Amazon Web Services EMEA SARL (Luxembourg). When a visitor accesses a CloudFront distribution, the request reaches the nearest edge Point of Presence, but logs, configuration and the control plane are processed on US infrastructure. AWS provides Standard Contractual Clauses, is self certified under the EU US Data Privacy Framework, and offers the AWS Data Residency Add On for additional contractual commitments. EDPB and CNIL still classify AWS access by US authorities (FISA 702, CLOUD Act) as a residual risk that must be documented in a transfer impact assessment.

Third-party domains contacted

cloudfront.netamazonaws.comawsstatic.com

Cookies placed

Name	Type	Duration	Purpose
CloudFront-Policy	http	Configurable	CloudFront Signed Cookie carrying the access policy for protected content. Strictly necessary to deliver the operator gated resource.
CloudFront-Signature	http	Configurable	CloudFront Signed Cookie carrying the policy signature used to authenticate the request to protected content.
CloudFront-Key-Pair-Id	http	Configurable	CloudFront Signed Cookie containing the AWS key pair identifier used to verify the Signed Cookie policy.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt CloudFront?

Standardmäßig keine. CloudFront ist ein CDN und injiziert keine Tracking Cookies. Der Betreiber kann CloudFront Signed Cookies für zugriffsbeschränkte Inhalte konfigurieren (CloudFront-Policy, CloudFront-Signature, CloudFront-Key-Pair-Id), die für die geschützte Ressource technisch notwendig sind. Vom Origin gesetzte Cookies werden von CloudFront gemäß konfiguriertem Cache Behaviour einfach weitergeleitet.

Erfordert CloudFront eine Einwilligung?

Nein. Die CDN Funktion ist zur Auslieferung des vom Besucher angeforderten Inhalts technisch notwendig und fällt unter die Ausnahme nach Artikel 5(3) ePrivacy Richtlinie. Eine Einwilligung ist nur erforderlich für Cookies, die der Betreiber über CloudFront setzt und die selbst nicht notwendig sind (Analyse, Werbung etc.).

Welche Rechtsgrundlage gilt für den Einsatz von CloudFront?

Rechtsgrundlage ist Artikel 6(1)(b) DSGVO (Vertragserfüllung), wenn CloudFront den Inhalt des Betreibers ausliefert. Artikel 6(1)(f) (berechtigtes Interesse) deckt Sicherheit, Betrugsprävention und Performance Optimierung ab. Der Einsatz von CloudFront als Auftragsverarbeiter muss im Verzeichnis der Verarbeitungstätigkeiten und im Auftragsverarbeitungsvertrag dokumentiert sein.

Übermittelt CloudFront Daten in die USA?

Ja in der Praxis. Auch wenn Origin und Log Buckets in EU AWS Regionen liegen, wird die CloudFront Control Plane aus US AWS Regionen betrieben und die Edge POPs verteilen sich weltweit. AWS stellt Standardvertragsklauseln über das AWS GDPR Data Processing Addendum bereit, ist im EU US Data Privacy Framework zertifiziert und bietet das AWS Data Residency Add On für strengere vertragliche Zusagen.

Brauche ich eine DSFA für CloudFront?

Sie wird empfohlen, sobald CloudFront eine Website mit signifikantem EWR Traffic ausliefert, und ist in regulierten Branchen verpflichtend. Die DSFA muss das AWS Data Processing Addendum, den EU US Data Privacy Framework Status, das CLOUD Act Restrisiko, den Einsatz des AWS Data Residency Add On und geprüfte Alternativen (rein EU CDNs) abdecken.

Wie binde ich CloudFront rechtskonform ein?

Schließen Sie das AWS GDPR Data Processing Addendum ab, beschränken Sie Origin und Log Buckets auf EU AWS Regionen, deaktivieren Sie Geo Restriktionen, die Traffic auf US POPs zwingen, und konfigurieren Sie Access Logs so, dass Identifikatoren anonymisiert oder verkürzt werden. Dokumentieren Sie das Auftragsverhältnis in Datenschutzerklärung und Verzeichnis der Verarbeitungstätigkeiten und führen Sie ein Transfer Impact Assessment durch.

Welche sichereren Alternativen gibt es zu CloudFront?

EU basierte CDNs sind Bunny CDN (Slowenien), Fastly mit ausschließlich EU POPs, OVHcloud CDN (Frankreich), Scaleway Edge Services (Frankreich), Hetzner CDN, KeyCDN (Schweiz) sowie selbst gehostetes nginx in EU Rechenzentren. Betreiber mit harten Anforderungen an die Datenresidenz kombinieren häufig ein EU CDN mit Origin und Speicher ausschließlich in EU Regionen.

Wie aktualisiere ich meine Cookie Richtlinie für CloudFront?

Dokumentieren Sie CloudFront und Amazon Web Services als Auftragsverarbeiter für die Auslieferung der Website, nennen Sie Amazon Web Services Inc in den USA als Empfänger unter Standardvertragsklauseln und EU US Data Privacy Framework, stellen Sie klar, dass CloudFront selbst keine Tracking Cookies setzt, und verlinken Sie auf das AWS GDPR Data Processing Addendum und die AWS Datenschutzerklärung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note