Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cloudflare Workers ist eine Serverless Plattform, die eigenen JavaScript und WebAssembly Code am Rand des globalen Cloudflare Netzwerks nahe an den Endnutzern ausführt.
Cloudflare Workers ist eine Serverless Compute Plattform, die JavaScript, TypeScript und WebAssembly Code auf dem Cloudflare Edge Netzwerk ausführt. Workers können Anfragen und Antworten transformieren, APIs sowie vollständige Anwendungen bauen und mit weiteren Cloudflare Produkten wie KV, D1 und R2 integriert werden.
Die Plattform selbst verarbeitet IP Adressen, Request Header und URLs, um den Traffic zum nächstgelegenen POP zu routen. Cloudflare kann eigene betriebliche Cookies wie __cf_bm zur Bot Abwehr und cf_clearance für Challenge Ergebnisse setzen. Jede zusätzliche Datenverarbeitung hängt vom Code ab, der vom Betreiber des Workers bereitgestellt wird.
Cloudflare stuft __cf_bm und cf_clearance als zwingend erforderlich zur Sicherheits und Bot Abwehr ein, sodass sie nach Paragraf 25 TTDSG keiner Einwilligung bedürfen. Für jedes vom Worker Code gesetzte nicht zwingend erforderliche Cookie ist hingegen eine Einwilligung notwendig.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Workers laufen auf dem nächstgelegenen Cloudflare POP, auch in der EU. Cloudflare ist jedoch ein US Unternehmen, und Steuerungsdaten, Account Informationen sowie bestimmte Logs werden in den USA verarbeitet. Übermittlungen sind durch Standardvertragsklauseln und das EU US Data Privacy Framework abgesichert. Die Cloudflare Data Localisation Suite ermöglicht eine Beschränkung der Datenresidenz.
Schließen Sie den Cloudflare DPA ab, dokumentieren Sie Workers im Verzeichnis der Verarbeitungstätigkeiten, prüfen Sie die Data Localisation Suite für ein ausschließlich EU basiertes Routing und stellen Sie sicher, dass jede Cookie oder Speicheroperation Ihres Worker Codes die Einwilligungspflichten respektiert.
Websites using Cloudflare Workers must obtain user consent under GDPR regulations.
DPIA considerations
Für Cloudflare Workers als Infrastruktur ist in der Regel keine DSFA erforderlich, der Anwendungsfall ist jedoch zu prüfen. Eine DSFA wird empfohlen, wenn Workers sensible Daten verarbeiten, profilieren oder Drittlanddienste aufrufen.
Sample consent text
Wir nutzen Cloudflare Workers, um Code am Edge zur Verbesserung von Performance und Sicherheit auszuführen. Cloudflare kann zwingend erforderliche Sicherheits Cookies setzen und technische Daten einschließlich Ihrer IP Adresse verarbeiten.
Third-party domains contacted
cloudflare.comworkers.devcloudflareinsights.comchallenges.cloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __cf_bm | necessary | 30 minutes | Cloudflare bot management cookie that distinguishes humans from automated traffic to protect the website. |
| cf_clearance | necessary | 30 days | Confirms that the visitor has successfully passed a Cloudflare security challenge. |
| __cflb | necessary | 1 day | Cloudflare load balancer cookie used to provide session affinity to the appropriate origin server. |
| __cfwaitingroom | necessary | session | Cloudflare Waiting Room cookie used to manage queueing of users during traffic spikes. |
| __cfruid | necessary | session | Cloudflare rate limiting cookie used to identify trusted web traffic. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Cloudflare selbst kann __cf_bm setzen, um Menschen von Bots zu unterscheiden, und cf_clearance, um das Ergebnis eines Sicherheitschallenges zu speichern. Der vom Betreiber bereitgestellte Worker Code kann zudem beliebige Cookies setzen, die jeweils nach ihrem Zweck zu klassifizieren sind.
Workers als Edge Compute benötigen keine Einwilligung für zwingend erforderliche Sicherheitscookies wie __cf_bm und cf_clearance. Eine Einwilligung ist jedoch erforderlich für jedes vom Worker Code gesetzte Cookie oder jeden Speichervorgang zu Analyse , Personalisierungs oder Marketingzwecken.
Rechtsgrundlage ist das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO für Sicherheit, Performance und Bereitstellung der Website. Für nach ePrivacy einwilligungspflichtige Funktionen ist die ausdrückliche Einwilligung der Nutzer erforderlich.
Ja. Auch wenn Workers auf dem nächstgelegenen POP, einschließlich in der EU, ausgeführt werden, werden die Steuerungsebene, Account Informationen und einige Logs in den USA verarbeitet. Übermittlungen sind durch Standardvertragsklauseln und das EU US Data Privacy Framework abgesichert.
Eine eigenständige DSFA ist für Workers als reine Infrastruktur in der Regel nicht erforderlich. Sie wird empfohlen, wenn Workers sensible Daten verarbeiten, Profilbildung betreiben, Drittlanddienste aufrufen oder automatisierte Entscheidungen treffen.
Schließen Sie den Cloudflare DPA ab, aktivieren Sie bei Bedarf die Data Localisation Suite für reines EU Routing, prüfen Sie die im Worker Code gesetzten Cookies und Speichervorgänge, loggen Sie nur das Nötigste, hashen Sie Identifier und respektieren Sie Einwilligungssignale aus Ihrer CMP.
Alternativen sind europäische Edge Plattformen wie Scaleway Edge Services, Clever Cloud, Fastly Compute@Edge in EU Regionen, OVHcloud oder selbst gehostete Node oder Rust Dienste. Die Wahl hängt von der geografischen Abdeckung und der gewünschten Datenresidenz ab.
Nennen Sie Cloudflare als Auftragsverarbeiter für Hosting, Performance und Sicherheit. Beschreiben Sie __cf_bm und cf_clearance als zwingend erforderlich, weisen Sie auf mögliche Übermittlungen in die USA hin, führen Sie Ihre eigenen Anwendungs Cookies separat auf und stellen Sie für nicht zwingend erforderliche Verarbeitungen einen klaren Opt Out Weg bereit.