Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cloudflare Zaraz ist ein serverseitiger Tag Manager, der Drittanbieter Tags auf Cloudflare Workers ausführt und Browser Tags durch Edge Events mit integrierter Einwilligungsschicht ersetzt.
Cloudflare Zaraz ist ein Tag Manager für Drittanbieter Tags, der auf Cloudflare Workers am Netzwerkrand ausgeführt wird. Statt Dutzende Tags direkt im Browser zu laden, sendet die Website eine Anfrage an Zaraz, das die Aufrufe serverseitig an die konfigurierten Destinations verteilt. Zaraz bringt eine eingebaute Einwilligungsschicht mit, die eine einfache CMP ersetzen oder eine bestehende ergänzen kann.
Zaraz schreibt ein First Party Cookie mit der Einwilligungsentscheidung pro Kategorie. Die Events enthalten URL, Referrer, Bildschirmgröße und vom Betreiber definierte Felder. Die Destinations können im Pixel Modus weiterhin eigene Cookies setzen, Zaraz kann Events aber auch rein serverseitig weitergeben, was Drittanbieter Cookies im Browser deutlich reduziert.
Auch wenn Tags am Edge ausgeführt werden, gelten die Einwilligungsregeln des Art. 5(3) ePrivacy Richtlinie weiter, da die Destinations personenbezogene Daten verarbeiten. Zaraz muss daher so konfiguriert sein, dass nicht essenzielle Destinations erst nach der Annahme der jeweiligen Kategorie laufen. Der Betreiber bleibt Verantwortlicher, Cloudflare ist Auftragsverarbeiter für die Edge Ausführung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Mappen Sie jede Destination auf eine Einwilligungskategorie, setzen Sie Default Reject für nicht essenzielle Kategorien und nutzen Sie die Zaraz Consent API, um den Versand zu steuern. Wenn Zaraz rein serverseitig relayt, hashen Sie persönliche Identifier vor der Übermittlung und liefern Sie das Tag bevorzugt über eine First Party Domain statt über den Standard cdn-cgi Pfad aus.
Cloudflare betreibt ein globales Edge Netzwerk. EU Traffic kann mit der Data Localisation Suite auf europäische Rechenzentren beschränkt werden, Logs und Konfiguration können dennoch in den USA verarbeitet werden. Cloudflare AVV, EU-US Data Privacy Framework und SCC bilden die rechtlichen Grundlagen.
Schließen Sie den Cloudflare AVV, aktivieren Sie die Data Localisation Suite für EU Routing, konfigurieren Sie Default Reject in der Zaraz Consent Schicht, dokumentieren Sie jede Destination und ihre Rechtsgrundlage und prüfen Sie vierteljährlich die serverseitigen Payloads auf neu hinzugekommene Felder.
Websites using Cloudflare Zaraz must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist sinnvoll, wenn Zaraz viele Werbetags steuert, wenn EU Daten ohne Data Localisation Suite über US PoPs laufen oder wenn die Einwilligung vollständig der Zaraz Schicht für viele Destinations überlassen wird.
Sample consent text
Wir nutzen Cloudflare Zaraz, um Drittanbieter Tags wie Analytics und Werbung über unsere Server statt direkt im Browser zu laden. Mit Ihrer Zustimmung erlaubt Zaraz das Setzen eines Einwilligungs Cookies und die Weiterleitung Ihrer Interaktionen an die freigegebenen Destinations.
Third-party domains contacted
cloudflare.comcdn-cgizaraz.cloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_zaraz | Strictly necessary | 1 year | Stores the visitor consent decisions managed by the Cloudflare Zaraz consent layer. |
| __cf_zid | Functional | Session | Internal Zaraz session identifier used to deduplicate edge events. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Zaraz schreibt ein cf_zaraz Cookie, das die Einwilligungsentscheidungen pro Kategorie speichert. Im Pixel Modus können Destinations weiterhin eigene Cookies setzen; im rein serverseitigen Modus erscheint im Browser kein Drittanbieter Cookie.
Ja für jede nicht essenzielle Destination, die Zaraz steuert. Die Einwilligungsregeln des Art. 5(3) ePrivacy Richtlinie gelten für die Destinations selbst, auch wenn sie am Edge statt im Browser ausgeführt werden.
Einwilligung für Analytics und Werbe Destinations, berechtigtes Interesse für streng notwendige Tags wie Security oder Betrugsabwehr, Vertragsnotwendigkeit für Destinations, die zur Erfüllung einer Kundenanfrage erforderlich sind.
Cloudflare ist ein US Unternehmen mit globalen PoPs. EU Traffic kann mit der Data Localisation Suite auf europäische Rechenzentren beschränkt werden, Logs und Konfiguration können dennoch in den USA verarbeitet werden. Transfers stützen sich auf SCC und EU-US Data Privacy Framework.
Eine DSFA ist sinnvoll, wenn viele Werbe Destinations über Zaraz laufen, wenn EU Daten ohne Data Localisation Suite verarbeitet werden oder wenn die Einwilligungsschicht die einzige Steuerung der Empfänger ist.
Schließen Sie den Cloudflare AVV, aktivieren Sie die Data Localisation Suite, setzen Sie Default Reject in der Consent Schicht, ordnen Sie jede Destination einer Kategorie zu, dokumentieren Sie die Liste und prüfen Sie vierteljährlich die serverseitigen Payloads.
Andere serverseitige oder hybride Tag Manager sind Google Tag Manager Server Side, Tealium iQ, Commanders Act TagCommander, Stape, Snowplow, RudderStack oder selbst gehostete Workers Proxies.
Listen Sie das cf_zaraz Cookie und alle Cookies der orchestrierten Destinations, weisen Sie Cloudflare als Auftragsverarbeiter aus, dokumentieren Sie Destination Liste und US Transfer und erklären Sie den Widerruf der Einwilligung über CMP oder Zaraz Schicht.