Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
AWS CloudFront ist das Content Delivery Network (CDN) von Amazon Web Services. Es speichert Webseiten, Skripte, Bilder und Videostreams an hunderten Edge Standorten weltweit und liefert sie an den nächstgelegenen Besucher aus. Aus DSGVO Sicht verarbeitet CloudFront als Auftragsverarbeiter IP Adressen, HTTP Header und optionale Zugriffsprotokolle, wobei die Daten letztlich von AWS Inc. mit Sitz in den USA kontrolliert werden.
AWS CloudFront ist das Content Delivery Network (CDN) von Amazon Web Services. Es speichert HTML Seiten, JavaScript und CSS Bundles, Bilder, Schriftarten, Videosegmente und API Antworten an hunderten Edge Standorten weltweit und liefert sie aus dem Standort aus, der dem jeweiligen Besucher am nächsten ist. Für Website Betreiber in der Europäischen Union wird CloudFront meist als Reverse Proxy vor einem S3 Bucket, einem Application Load Balancer oder einer Drittorigin eingesetzt, um Latenzen zu senken, Lastspitzen abzufedern und den Ursprungsserver zu entlasten.
CloudFront erhält jede HTTP und HTTPS Anfrage, die vom Browser eines Besuchers gestellt wird. Um die Antwort auszuliefern, verarbeitet es die Quell IP Adresse, die angefragte URL, die HTTP Methode, Anfrage und Antwort Header (einschließlich User Agent, Referer und vom Ursprung weitergeleiteter Cookies), die TLS Version und den ausgehandelten Cipher, die aus der IP abgeleitete Geolokalisierung sowie den gewählten Edge Standort. Sind Access Logs oder Echtzeit Logs aktiviert, werden diese Informationen in einem S3 Bucket gespeichert oder an Kinesis gestreamt. CloudFront selbst setzt keine Marketing oder Analyse Cookies, kann aber Cookies, Querystrings und Header gemäß Cache Policy weiterleiten und zwischenspeichern.
Die von CloudFront verarbeiteten IP Adressen sind personenbezogene Daten im Sinne der DSGVO. Amazon Web Services Inc. handelt als Auftragsverarbeiter im Auftrag des Website Betreibers und als Verantwortlicher für eng begrenzte Betriebszwecke des Dienstes. Da die Muttergesellschaft in den USA sitzt, kann jede Anfrage an eine CloudFront Distribution grundsätzlich von US Infrastruktur eingesehen werden. Rechtsgrundlage für eine reguläre Inhalteauslieferung ist berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f DSGVO. Die ePrivacy Richtlinie verlangt eine vorherige Einwilligung erst dann, wenn Informationen auf dem Endgerät gespeichert oder ausgelesen werden, was bei reiner Inhalteauslieferung nicht der Fall ist, jedoch immer dann eintritt, wenn CloudFront zusammen mit Marketing Cookies, Werbe Tags oder Fingerprinting Techniken betrieben wird.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Auch wenn ein europäischer Edge Cache die Antwort ausliefert, kann AWS betriebliche Daten in die USA übermitteln oder replizieren. Diese Übermittlungen stützen sich auf das AWS DSGVO Auftragsverarbeitungs Addendum, die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU US Data Privacy Framework, ergänzt durch Verschlüsselung in der Übertragung (TLS 1.3) und im Ruhezustand, kundenseitig verwaltete Schlüssel über AWS KMS und ein strenges Zugriffskontrollregime. Betreiber müssen AWS im Verzeichnis von Verarbeitungstätigkeiten führen und Besucher in der Datenschutzerklärung über das US Ziel informieren.
Schließen Sie das AWS DSGVO Auftragsverarbeitungs Addendum ab, dokumentieren Sie CloudFront im Verzeichnis von Verarbeitungstätigkeiten und ergänzen Sie die Datenschutzerklärung um Hinweise auf das AWS Edge Netzwerk und das US Ziel. Konfigurieren Sie Cache Policies, die nicht notwendige Cookies und Querystrings entfernen, aktivieren Sie AWS WAF Regeln, die rohe IP Adressen nicht unnötig protokollieren, und begrenzen Sie die Aufbewahrungsdauer von Access Logs. Wenn CloudFront Ressourcen ausliefert, die gemeinsam mit Analyse oder Werbeskripten geladen werden, schalten Sie diese Skripte hinter eine Consent Management Plattform, damit kein Marketing Tag vor der Einwilligung des Besuchers feuert.
Websites using AWS CloudFront must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für die reine Auslieferung statischer Inhalte über CloudFront in der Regel nicht erforderlich. Eine DSFA wird empfohlen, wenn CloudFront mit AWS WAF, Lambda@Edge, Echtzeit Protokollen oder Fingerprinting Verfahren kombiniert wird, die das Verhalten der Besucher systematisch überwachen, oder wenn sensible Inhalte (Gesundheit, Finanzen, öffentlicher Sektor) an EU Nutzer ausgespielt werden.
Sample consent text
Wir nutzen Amazon CloudFront, ein Content Delivery Network von Amazon Web Services Inc. (USA), um diese Website schneller und zuverlässiger auszuliefern. CloudFront verarbeitet Ihre IP Adresse und Metadaten Ihrer Anfrage. Mit Ihrer Einwilligung erlauben Sie diese Übermittlung an AWS Server, auch in den USA, abgesichert durch die EU Standardvertragsklauseln und das EU US Data Privacy Framework.
Third-party domains contacted
cloudfront.netamazonaws.comaws.amazon.coms3.amazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| aws-waf-token | Security | Up to 24 hours (configurable) | Set by AWS WAF Bot Control or Captcha challenges when integrated with CloudFront. Stores a signed token attesting that the visitor has passed a bot or captcha challenge so that subsequent requests are not blocked. |
| CloudFront-Key-Pair-Id | Functional | Session or until logout | Used by CloudFront signed cookies to authorise access to private content (videos, downloads). Carries the key pair ID that identifies the signing keys used by the distribution. |
| CloudFront-Policy | Functional | Defined by the signing policy (typically minutes to hours) | Stores the base64 encoded policy that defines which resources the signed cookie authorises and until when. Read by CloudFront edge servers to validate access to restricted distributions. |
| CloudFront-Signature | Functional | Same lifetime as CloudFront-Policy | Stores the cryptographic signature that proves the CloudFront-Policy was issued by an authorised signer. Used together with CloudFront-Key-Pair-Id and CloudFront-Policy to grant access to private content. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
CloudFront selbst setzt keine Tracking , Analyse oder Werbe Cookies. Es kann jedoch Cookies, die von Ihrem Ursprung kommen, weiterleiten und zwischenspeichern, sofern die Cache Policy sie einschließt. Marketing oder Analyse Cookies, die auf einer von CloudFront ausgelieferten Seite auftauchen, stammen aus anderen Schichten (Ihrer Anwendung, AWS WAF Challenges, eingebundenen Skripten) und müssen nach den dafür geltenden Regeln behandelt werden.
Nein. Die reine Auslieferung von Inhalten über CloudFront fällt unter berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO und löst die ePrivacy Speicheranforderung nicht aus, da zu diesem Zweck keine Informationen auf dem Endgerät geschrieben oder ausgelesen werden. Eine ausdrückliche Einwilligung wird erst dann verpflichtend, wenn CloudFront Marketing Tags, Werbemittel oder Fingerprinting Skripte ausspielt, die ihrerseits eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erfordern.
Rechtsgrundlage ist das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO, denn der Betrieb eines CDN für die eigene Website ist ein anerkanntes wirtschaftliches und sicherheitstechnisches Interesse. Die Verarbeitung muss verhältnismäßig bleiben, die Aufbewahrung der Access Logs ist zu begrenzen und Besucher sind in der Datenschutzerklärung über das AWS Edge Netzwerk und das US Ziel zu informieren.
AWS veröffentlicht ein DSGVO Auftragsverarbeitungs Addendum, das die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO einbindet, und bestätigt die Teilnahme am EU US Data Privacy Framework. Ergänzende Maßnahmen sind TLS 1.3 in der Übertragung, Verschlüsselung im Ruhezustand, kundenseitig verwaltete Schlüssel über AWS KMS, Auditzertifikate (ISO 27001, ISO 27017, ISO 27018, SOC 2 Typ II) und strenge Zugriffskontrollen.
Für die reguläre Auslieferung statischer Assets ist eine DSFA nicht erforderlich. Eine DSFA wird empfohlen, sobald CloudFront mit AWS WAF, Lambda@Edge, Echtzeit Logs oder Fingerprinting kombiniert wird, die das Besucherverhalten systematisch überwachen, sobald die geschützte Ressource sensible Daten verarbeitet (Gesundheit, Finanzen, öffentlicher Sektor) oder Traffic von minderjährigen EU Nutzern erwartet wird.
Schließen Sie das AWS DSGVO Addendum ab, nehmen Sie AWS in das Verzeichnis von Verarbeitungstätigkeiten auf, aktualisieren Sie die Datenschutzerklärung um den Hinweis auf das US Ziel und konfigurieren Sie Cache und Origin Request Policies, die nicht notwendige Cookies entfernen. Begrenzen Sie die Aufbewahrungsdauer der Access Logs, beschränken Sie die Protokollierung roher IP Adressen durch WAF auf das absolut Notwendige und schalten Sie jedes Drittskript, das über CloudFront geladen wird, hinter eine Consent Management Plattform.
Ja. Europäische CDNs wie BunnyCDN (Slowenien), KeyCDN (Schweiz), Gcore (Luxemburg) oder OVHcloud (Frankreich) halten Edge Standorte und Konzernkontrolle in Europa, wodurch das Volumen der US Übermittlungen sinkt. Cloudflare bietet außerdem ein Add on für ausschließlich europäische Datenresidenz. Die richtige Wahl hängt von geografischer Abdeckung, erweiterten Funktionen (WAF, Edge Compute) und der Integration in den restlichen Stack ab.
Führen Sie AWS Inc. als Auftragsverarbeiter des CDN auf, nennen Sie die für Ihren Traffic relevanten Edge Standorte, weisen Sie darauf hin, dass Daten einschließlich IP Adressen unter SCC und EU US Data Privacy Framework in die USA übermittelt werden können, verlinken Sie die AWS Datenschutzerklärung und geben Sie die für CloudFront Access Logs gewählte Aufbewahrungsdauer an.