Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Fastly ist eine Edge Cloud Plattform mit globalem CDN, Bildoptimierung, Echtzeitanalyse und Edge Computing. Als CDN vermittelt Fastly den Datenverkehr zwischen Nutzern und Ursprungsservern, beschleunigt die Auslieferung und stärkt die Sicherheit. Standardmäßig setzt Fastly keine clientseitigen Cookies, was die DSGVO Position vereinfacht. Die Protokollierung von IP Adressen und Anfragemetadaten ist jedoch eine Verarbeitung personenbezogener Daten und muss dokumentiert werden.
Fastly ist eine in den USA ansässige Edge Cloud Plattform, die an der New Yorker Börse unter dem Kürzel FSLY notiert ist. Das Unternehmen betreibt ein globales Netz von Points of Presence, die als Reverse Proxies zwischen Endnutzern und Ursprungsservern fungieren. Fordert ein Besucher eine Ressource an, liefert der nächstgelegene Fastly Knoten die zwischengespeicherte Antwort oder holt sie vom Ursprung, was Auslieferung beschleunigt und Lastspitzen abfedert. Fastly bietet zusätzlich Bildoptimierung, Echtzeitanalyse, Compute@Edge für serverloses Code Ausführen und eine Web Application Firewall.
Standardmäßig setzt Fastly weder Erstanbieter noch Drittanbieter Cookies im Browser des Besuchers. Der Dienst arbeitet als transparente Infrastruktur, die HTTP Anfragen und Antworten vermittelt. Nach Artikel 5(3) der ePrivacy Richtlinie ist eine Einwilligung nur erforderlich, wenn ein Dienst Informationen auf dem Endgerät speichert oder darauf zugreift, was Fastly von sich aus nicht tut. Die Verarbeitung von IP Adressen und Anfrage Headern, die zur Auslieferung und Sicherheit erforderlich ist, fällt unter das berechtigte Interesse nach Artikel 6(1)(f) DSGVO. Für etwaige Session Routing Cookies gilt die Ausnahme für unbedingt erforderliche Cookies.
Auch ohne Cookies verarbeitet Fastly notwendige Verbindungsmetadaten, um den Dienst bereitzustellen. Dazu gehören IP Adressen, User Agents, angeforderte URLs, Referer Header, TLS Fingerabdrücke und Antwortstatuscodes. Logs können zu Sicherheits und Betriebszwecken aufbewahrt werden. Wenn der Ursprung Cookies setzt, leitet Fastly sie weiter, erzeugt sie aber nicht selbst. Kunden können Fastly außerdem so konfigurieren, dass Logs angereichert, IPs gehasht oder sensible Header am Edge entfernt werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Fastly ist ein US Verantwortlicher mit Infrastruktur in Europa, Asien, Amerika und Ozeanien. Verkehr europäischer Besucher kann über EU Edge Standorte laufen, Management Plane Daten und Support erreichen jedoch die USA. Transfers werden über Standardvertragsklauseln im Fastly Auftragsverarbeitungszusatz und, soweit Fastly zertifiziert ist, über das EU US Data Privacy Framework abgesichert. Verantwortliche sollten eine Transferfolgenabschätzung durchführen und ergänzende Maßnahmen wie TLS in Transit und Zugriffskontrollen dokumentieren.
Unterzeichnen Sie den Fastly Auftragsverarbeitungszusatz, führen Sie Fastly in Ihrer Datenschutzerklärung als Auftragsverarbeiter für Content Delivery, dokumentieren Sie die Abwägung des berechtigten Interesses und beschränken Sie die Aufbewahrung der Logs auf das Notwendige. Pseudonymisieren oder kürzen Sie IP Adressen in langlebigen Logs, wo möglich. Vermeiden Sie es, Fastly mit Analyse oder Tag Management Funktionen zu koppeln, die es in eine Tracking Technologie verwandeln würden. Prüfen Sie Konfigurationen regelmäßig, damit über Compute@Edge keine unerwarteten Cookies eingeführt werden.
Wer authentifizierte Bereiche, Zahlungsabläufe oder gesundheitsbezogene Inhalte über Fastly ausliefert, verarbeitet sensiblere Daten. Führen Sie dann eine DSFA durch, schränken Sie Edge Logging ein, aktivieren Sie End to End TLS, konfigurieren Sie Shielding, um den Verkehr nach Möglichkeit auf EU PoPs zu halten, und dokumentieren Sie die Kette der Unterauftragsverarbeiter. Für rein öffentliche Inhalte bleibt die Standard CDN Position risikoarm.
Websites using Fastly must obtain user consent under GDPR regulations.
DPIA considerations
Eine vollständige DSFA ist für die rein als CDN genutzte Plattform Fastly in der Regel nicht erforderlich, da die Verarbeitung auf Auslieferung, Caching und Sicherheit beschränkt bleibt. Empfohlen werden ein Verzeichnis nach Artikel 30 und eine Transferfolgenabschätzung für US Edge Standorte. Werden über Fastly sensible Nutzlasten, authentifizierte Sitzungen oder mit Nutzerkennungen angereicherte Logs verarbeitet, ist eine DSFA durchzuführen.
Sample consent text
Für Fastly ist normalerweise kein vorheriges Einwilligungsbanner erforderlich, da der Dienst als Content Delivery Network unbedingt erforderlich ist, um den angeforderten Inhalt bereitzustellen und die Sicherheit zu gewährleisten. Rechtsgrundlage ist das berechtigte Interesse nach Artikel 6(1)(f) DSGVO. Nutzer sind in der Datenschutzerklärung darüber zu informieren, dass Fastly Verbindungsmetadaten wie IP Adressen und Anfrage Header verarbeitet und dass Teile des Verkehrs unter geeigneten Garantien über US Edge Knoten laufen können.
Third-party domains contacted
fastly.comfastly.netfastlylb.netglobal.ssl.fastly.neta.ssl.fastly.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| (none) | Not applicable | Not applicable | Fastly operates as a content delivery network and reverse proxy. By default it does not set first party or third party cookies on the visitor's browser. Any cookies observed in responses are set by the origin server or by application code, not by Fastly itself. |
| Fastly-Debug-* | Debug header, not a cookie | Per request | Fastly may emit response headers such as Fastly-Debug-Path or Fastly-Debug-Digest for diagnostic purposes when explicitly enabled. These are HTTP headers, not browser cookies, and they do not persist between requests. |
| fastly-session | Strictly necessary (optional, configured) | Session | Some implementations configure a session affinity cookie at the edge to keep a visitor pinned to the same backend during a session. Where used, it is strictly necessary for service routing and is exempt from consent under the ePrivacy Directive. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Fastly setzt im Regelfall keine Cookies im Browser des Besuchers. Es arbeitet als Content Delivery Network und Reverse Proxy, vermittelt HTTP Verkehr und injiziert keine clientseitigen Kennungen. Cookies in der Antwort stammen fast immer vom Ursprungsserver, von der eigenen Anwendung oder von einer konfigurierten Compute@Edge Logik. Eine mögliche Ausnahme ist ein Session Affinity Cookie ausschließlich für das Routing zu einem konsistenten Backend, das nach der ePrivacy Richtlinie als unbedingt erforderlich gilt.
Wird Fastly ausschließlich als CDN eingesetzt, ist keine vorherige Einwilligung erforderlich. Artikel 5(3) der ePrivacy Richtlinie verlangt Einwilligung nur, wenn Informationen auf dem Endgerät gespeichert oder ausgelesen werden, was Fastly standardmäßig nicht tut. Die Verarbeitung von IP Adressen und Headern für Auslieferung und Sicherheit ist durch das berechtigte Interesse nach Artikel 6(1)(f) DSGVO gedeckt. Erwähnen Sie Fastly in der Datenschutzerklärung und dokumentieren Sie die Abwägung des berechtigten Interesses.
Die häufigste Rechtsgrundlage ist das berechtigte Interesse nach Artikel 6(1)(f) DSGVO, gerechtfertigt durch effiziente Inhaltsauslieferung, Schutz vor Angriffen und Verfügbarkeit. Wenn Fastly für die Vertragserfüllung wesentlich ist, etwa beim Betrieb einer vom Nutzer gewählten E Commerce Plattform, kann auch Artikel 6(1)(b) zur Vertragsdurchführung greifen. Beide Grundlagen sind im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren.
Ja. Fastly hat seinen Hauptsitz in San Francisco und betreibt weltweit Edge Points of Presence. Verkehr europäischer Besucher kann über EU PoPs ausgeliefert werden, doch Management Plane Operationen, Support und bestimmte Analysen erreichen die USA. Transfers werden durch Standardvertragsklauseln im Fastly Auftragsverarbeitungszusatz und, soweit Fastly zertifiziert ist, durch das EU US Data Privacy Framework abgesichert. Eine Transferfolgenabschätzung wird empfohlen.
Eine eigenständige DSFA ist in der Regel nicht erforderlich, wenn Fastly nur zum Caching und zur Absicherung öffentlicher Inhalte dient. Eine DSFA wird angemessen, wenn Fastly authentifizierte Bereiche, Zahlungsabläufe, Gesundheitsdaten, umfangreiches Logging mit Nutzerkennungen oder Compute@Edge Workloads jenseits reiner Auslieferung verarbeitet. Auch ohne DSFA sind die Tätigkeit im Verzeichnis nach Artikel 30 und eine Transferfolgenabschätzung zu dokumentieren.
Unterzeichnen Sie den Fastly Auftragsverarbeitungszusatz, führen Sie Fastly in der Datenschutzerklärung als Auftragsverarbeiter, konfigurieren Sie kurze Aufbewahrungsfristen, pseudonymisieren oder kürzen Sie IP Adressen und vermeiden Sie die Verquickung des CDN mit Tracking Funktionen. Aktivieren Sie TLS zum Ursprung, nutzen Sie Shielding, um europäischen Verkehr nach Möglichkeit auf EU PoPs zu halten, und prüfen Sie Compute@Edge Code auf unerwartete Cookies oder Drittaufrufe.
Verbreitete Alternativen sind Cloudflare, Akamai, Amazon CloudFront, Google Cloud CDN, Microsoft Azure Front Door sowie europäische Anbieter wie BunnyCDN, Gcore, OVHcloud oder Scaleway Edge Services. Die Wahl hängt von Performanceanforderungen, der Akzeptanz von US Transfers, der Reife der Edge Compute Funktionen und den bestehenden Cloud Beziehungen ab. Die meisten CDNs zeigen ein ähnlich niedriges Risikoprofil, wenn sie ausschließlich zur Auslieferung verwendet werden.
Auch wenn Fastly keine Cookies setzt, ist es transparenzfördernd, es ausdrücklich zu nennen. Ergänzen Sie einen Absatz in der Datenschutzerklärung, der Fastly als Auftragsverarbeiter für Auslieferung und Sicherheit benennt, erläutert, dass Verbindungsmetadaten wie IP Adressen auf Basis berechtigten Interesses verarbeitet werden, die geografische Reichweite der Edge Knoten beschreibt und auf die SCCs und das DPF verweist. Wird ein Session Routing Cookie verwendet, listen Sie es unter den unbedingt erforderlichen Cookies.