Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Cloudflare

Was macht Cloudflare?

Cloudflare ist ein globales Internet-Infrastrukturunternehmen, das CDN, DDoS-Schutz, DNS, WAF (Web Application Firewall), Bot-Management und Sicherheitsdienste anbietet. Seine Kerninfrastrukturdienste erfordern keine Cookie-Einwilligung. Die Sicherheits-Cookies (__cf_bm, cf_clearance) sind für den Bot-Schutz unbedingt erforderlich. Cloudflare agiert als Infrastrukturverarbeiter, nicht als Datensammler für Werbezwecke. EU-Datenlokalisierungsoptionen sind verfügbar. Cloudflare ist nach dem EU-US-Datenschutzrahmen zertifiziert.

Was ist Cloudflare?

Cloudflare ist ein globales Internet-Infrastrukturunternehmen, dessen Produkte zwischen Website-Besuchern und dem Ursprungsserver sitzen und folgendes bieten: Content Delivery (CDN) zur Beschleunigung von Seitenladevorgängen, DDoS-Schutz zum Absorbieren von Angriffsverkehr, eine Web Application Firewall (WAF) zum Blockieren bösartiger Anfragen, Bot-Management, DNS-Dienste und Cloudflare Workers (serverlose Computerlösungen). Über 20 % des Internets nutzen Cloudflare als CDN- und Sicherheitsschicht.

Cloudflare Cookies und DSGVO

Cloudflare setzt zwei Sicherheits-Cookies: __cf_bm (Bot-Management, 30 Minuten) und cf_clearance (Sicherheits-Challenge-Freigabe, 1 Tag). Beide sind für Cloudflares Sicherheitsfunktionen unbedingt erforderlich und werden technisch für die WAF und den Bot-Schutz benötigt. Diese Cookies erfordern gemäß der ePrivacy-Richtlinie keine Einwilligung, da sie für den legitimen Sicherheitsdienst unbedingt notwendig sind. Cloudflare setzt auch __cflb für den Lastausgleich, der ebenfalls unbedingt notwendig ist.

Welche Daten verarbeitet Cloudflare?

Cloudflare verarbeitet HTTP-Anfrage-Header (einschließlich IP-Adressen, User-Agent, Referer), Antwortcodes und Zeitdaten. IP-Adressen sind personenbezogene Daten gemäß DSGVO. Cloudflare bewahrt Protokolle für festgelegte Zeiträume auf (in der Regel 24 bis 72 Stunden für Standardpläne). Die Rechtsgrundlage ist berechtigtes Interesse für Sicherheits- und Performance-Dienste. Cloudflare verkauft diese Daten nicht und verwendet sie nicht für Werbezwecke.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

EU-Datenlokalisierung

Cloudflare bietet für Unternehmenskunden eine Data Localisation Suite an, die die Datenverarbeitung auf EU-Präsenzpunkte beschränkt. Bei Standard-Deployments kann Cloudflares Anycast-Netzwerk Traffic über Nicht-EU-Rechenzentren leiten. Cloudflare ist nach dem EU-US-Datenschutzrahmen zertifiziert und stellt SCCs in seinem DPA für Transfers außerhalb des EU/EWR bereit.

Praktische Compliance-Schritte

Unterzeichnen Sie den Cloudflare DPA (verfügbar im Cloudflare Dashboard unter Konto, Konfigurationen). Klassifizieren Sie __cf_bm und cf_clearance als unbedingt notwendig in Ihrer Cookie-Richtlinie. Keine Einwilligung erforderlich. Geben Sie Cloudflare als CDN- und Sicherheitsverarbeiter in Ihrer Datenschutzerklärung an. Für Unternehmens-Deployments, die ausschließlich EU-Verarbeitung erfordern, konfigurieren Sie die Data Localisation Suite.

GDPR consent category

Sonstige

Websites using Cloudflare must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f)) for CDN, DDoS protection, WAF, and security services as strictly necessary infrastructure. Cloudflare does not set advertising or tracking cookies for its core infrastructure services. The __cf_bm and cf_clearance cookies are strictly necessary for bot protection and security.

Risk levellow

Applicable regulationsGDPR, SCCs for US transfers. Cloudflare DPA available. EU-US Data Privacy Framework certified.

DPIA considerations

Eine DSFA ist für Standard-Cloudflare-CDN- und Sicherheits-Deployments in der Regel nicht erforderlich. Sie kann für Cloudflare Workers- oder R2-Deployments relevant werden, die große Mengen personenbezogener Daten verarbeiten, oder für Cloudflare Access/Zero Trust-Deployments zur Verwaltung der Mitarbeiterauthentifizierung.

Sample consent text

Diese Website verwendet Cloudflare für Sicherheit und Performance. Cloudflare setzt unbedingt notwendige Cookies (__cf_bm, cf_clearance) für den Bot-Schutz. Diese erfordern keine Einwilligung, da sie für die Website-Sicherheit unerlässlich sind. Cloudflare kann Ihre IP-Adresse und Anfragedaten für Sicherheitszwecke verarbeiten.

Technical details

Tracking methodCDN, DDoS protection, DNS, WAF, Bot Management, Cloudflare Analytics, Workers, Pages, R2 storage

Server locationGlobal network including European Union data centres

Cookieless tracking availableYes

Data transferred outside the EUCloudflare is a US company (San Francisco) with a global network including EU data centres. Standard Cloudflare deployments may route traffic through non-EU points of presence. Cloudflare offers EU data localisation options for certain products. Cloudflare provides a GDPR-compliant DPA and is certified under the EU-US Data Privacy Framework.

Third-party domains contacted

cloudflare.comchallenges.cloudflare.comcdnjs.cloudflare.com

Cookies placed

Name	Type	Duration	Purpose
__cf_bm	session	30 minutes	Cloudflare bot management cookie distinguishing legitimate users from automated bots — strictly necessary
cf_clearance	persistent	1 day	Cloudflare security challenge clearance cookie confirming the visitor passed the security check — strictly necessary

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Erfordern Cloudflare-Cookies eine DSGVO-Einwilligung?

Nein. Cloudflares Sicherheits-Cookies (__cf_bm, cf_clearance) sind für den Bot-Schutz und Sicherheitsdienste unbedingt notwendig. Sie erfordern gemäß der ePrivacy-Richtlinie keine Einwilligung. Klassifizieren Sie diese in Ihrer Cookie-Richtlinie als unbedingt notwendig.

Was macht Cloudflare mit den IP-Adressen der Besucher?

Cloudflare verarbeitet IP-Adressen im Rahmen seiner CDN- und Sicherheitsdienste: Anfragen weiterleiten, DDoS-Mitigation und Sicherheitsanalyse. IP-Adressen sind personenbezogene Daten gemäß DSGVO. Das berechtigte Interesse von Cloudflare deckt diese Verarbeitung als notwendigen Infrastrukturdienst ab. Cloudflare behält Protokolle für festgelegte Zeiträume gemäß seiner Datenschutzerklärung.

Bietet Cloudflare EU-Datenlokalisierung an?

Ja. Cloudflares Data Localisation Suite (Enterprise) beschränkt die Datenverarbeitung auf EU-Präsenzpunkte. Bei Standard-Deployments kann Cloudflares Anycast-Netzwerk Nicht-EU-Rechenzentren nutzen. Cloudflare ist nach dem EU-US-Datenschutzrahmen zertifiziert und stellt SCCs für Nicht-EU-Transfers bereit.

Ist Cloudflare ein Datenverarbeiter oder Verantwortlicher?

Beides, je nach Kontext. Für CDN, WAF und Sicherheitsdienste im Auftrag von Website-Betreibern ist Cloudflare ein Verarbeiter. Für Cloudflares eigene Sicherheitsinformationen (aggregierte Bedrohungsdaten) agiert Cloudflare als eigenständiger Verantwortlicher. Unterzeichnen Sie den Cloudflare DPA, der die Verarbeiterbeziehung abdeckt.

Benötige ich einen DPA mit Cloudflare?

Ja. Unterzeichnen Sie den Cloudflare Data Processing Addendum im Cloudflare Dashboard unter Kontoeinstellungen. Dieser deckt die Verarbeitung personenbezogener Daten (einschließlich Besucher-IP-Adressen) durch Cloudflare als Ihren Infrastrukturanbieter ab.

Erhebt Cloudflare Analytics personenbezogene Daten?

Cloudflare Web Analytics ist datenschutzfreundlich: keine Cookies, kein siteübergreifendes Tracking, keine IP-Adressen über die Anfrageverarbeitung hinaus. Es ist cookielos und DSGVO-freundlich, ähnlich wie Plausible in seinem Datenschutzansatz.

Was ist das __cf_bm Cookie?

__cf_bm ist ein Cloudflare-Bot-Management-Cookie (30 Minuten Session). Es unterscheidet legitimen menschlichen Traffic von automatisiertem Bot-Traffic. Es ist für Cloudflares Bot-Schutz unbedingt notwendig und erfordert keine Einwilligung.

Kann Cloudflare ohne DSGVO-Bedenken eingesetzt werden?

Die Kerndienste von Cloudflare (CDN, DDoS, WAF) können mit minimalem DSGVO-Aufwand eingesetzt werden: unbedingt notwendige Cookies, berechtigtes Interesse für Sicherheit und ein unterzeichneter DPA. Es ist einer der DSGVO-unkompliziertesten verfügbaren Infrastrukturdienste. Komplexere Produkte (Workers, R2, Access) erfordern eine zusätzliche Bewertung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note