Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Varnish

Was macht Varnish?

Varnish ist ein quelloffener HTTP Beschleuniger und Reverse Proxy Cache, urspruenglich von Poul Henning Kamp fuer die norwegische Zeitung VG entwickelt und heute vom Open Source Projekt Varnish Cache und von Varnish Software AS gepflegt. Es sitzt zwischen Client und Origin Server, cacht HTTP Antworten nach VCL Regeln und liefert gecachte Inhalte aus, ohne das Backend zu treffen. Aus Datenschutzsicht ist Varnish Server Software: keine Client Cookies, aber Zugriffslogs mit IP und Request Metadaten.

Was Varnish ist

Varnish ist ein leistungsstarker HTTP Beschleuniger und Reverse Proxy Cache. Es wurde 2006 von Poul Henning Kamp fuer die norwegische Zeitung VG geschrieben, um Lastspitzen zu bewaeltigen, und wird heute vom Open Source Projekt Varnish Cache und der Firma Varnish Software AS (Norwegen, Schweden, Deutschland) gepflegt. Varnish steht vor einem oder mehreren Origin Servern, cacht HTTP Antworten nach der Konfigurationssprache VCL und liefert gecachte Antworten direkt an Clients, was Backend Last und Latenz drastisch reduziert. Es wird breit von Publishern, E Commerce Plattformen, Video Streaming Diensten und SaaS APIs eingesetzt.

Welche Daten Varnish erzeugt

Varnish setzt oder liest keine eigenen Client Cookies. Es kann Cookies vom Client zum Origin weiterreichen (oder im VCL entfernen), diese Cookies gehoeren aber den Anwendungsbackends, nicht Varnish. Was Varnish produziert, sind detaillierte Transaktionslogs ueber varnishlog (vollstaendiges Request/Response Tracing) und varnishncsa (Combined Log Format), mit Client IP, Zeitstempel, Methode, URL, Status, Antwortzeit und Headern. Diese Logs sind personenbezogene Daten nach DSGVO. Varnish speichert Antwortkoerper im Shared Memory waehrend des Caches, was kurzzeitig personenbezogene Daten aus API Antworten oder HTML enthalten kann.

DSGVO und ePrivacy Implikationen

Da Varnish weder Informationen auf dem Endgeraet speichert noch von dort liest, greift Art. 5 Abs. 3 ePrivacy Richtlinie (Cookie Einwilligung) auf Varnish nicht. Cache und Zugriffslogs unterliegen der DSGVO und stuetzen sich auf berechtigtes Interesse nach Art. 6 Abs. 1 lit. f: Caching ist eine erwartbare Betriebsaktivitaet und Logs sind fuer Cache Tuning, Sicherheit und Stabilitaet erforderlich. Die Aufbewahrungsfrist sollte standardmaessig kurz sein, da Cache Logs nicht fuer langfristige forensische Untersuchungen genutzt werden.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenschutzfreundliche VCL Muster

Varnish liefert ein Default VCL, das Cookies von cachebaren GET Requests entfernt, um die Hit Rate zu maximieren. Das ist ein datenschutzfreundlicher Default, weil Tracking Cookies nicht auf gecachte Inhaltspfade gelangen. Betreiber koennen varnishncsa so konfigurieren, dass IPs durch Kuerzung des letzten Oktetts anonymisiert werden, oder ein eigenes Combined Log Format nutzen. Die Cache Key Konstruktion kann so eingestellt werden, dass Session IDs nicht enthalten sind, was Effizienz erhaelt und das Risiko verringert, Sessiondaten unbeabsichtigt zu cachen.

Transfers und Hosting

Varnish Cache als Open Source transferiert selbst keine Daten. Wo der Betreiber den Server hostet, entscheidet ueber das Transferregime. Varnish Software AS, das kommerzielle Unternehmen, hat Sitz in Norwegen (unter DSGVO als angemessen anerkannt) mit Bueros in Schweden und Deutschland; bei Kauf von Varnish Enterprise oder Controlled Edge gilt ein norwegischer Vertrag mit EU/EEA Datenresidenz als Standard.

Praktische Umsetzung

Varnish im Verarbeitungsverzeichnis als operative Caching Schicht unter berechtigtem Interesse fuehren. varnishncsa Aufbewahrung auf 7 bis 30 Tage setzen, Logrotation per logrotate, Logs auf EU Infrastruktur speichern. VCL so konfigurieren, dass Tracking Cookies auf cachebaren Pfaden entfernt werden, IPs anonymisiert werden, und Query Strings auf token tragenden Routen aus Logs ausgeschlossen werden. Bei Varnish Enterprise oder Controlled Edge das Varnish Software DPA unterzeichnen. Varnish gehoert nicht in den Cookie Banner, da es keine Cookies setzt, kann aber in der Tech Stack Sektion der Datenschutzerklaerung erwaehnt werden.

GDPR consent category

Sonstige

Websites using Varnish must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (GDPR Art. 6(1)(f)) for server access logs and cache operations, justified by performance, security and operational stability. ePrivacy Directive Art. 5(3) does not apply because Varnish does not read or write information on the client device.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (only for cookies that the operator chooses to set or pass through via VCL, not Varnish itself), German TTDSG, French CNIL guidance on server logs

DPIA considerations

Varnish benoetigt selbst keine DSFA, da es serverseitige Caching Software ohne Client Tracking ist. Seine Logs (varnishlog, varnishncsa) protokollieren Eintraege mit IP, URLs und Statuscodes, also personenbezogene Daten nach DSGVO. Erwaegungen: (1) Cache Logs haben kuerzere Aufbewahrungshorizonte als vollstaendige Anwendungslogs, da sie der Cache Optimierung dienen, 7 bis 30 Tage sind typisch; (2) Request URLs koennen Tokens oder personenbezogene Daten in Query Strings tragen, was bei Aufbewahrung und Zugriff zu beruecksichtigen ist; (3) Varnish kann ueber VCL Cookies auf der Anfrage und Antwort entfernen, was ein datenschutzfreundlicher Default ist; (4) Varnish Software AS sitzt in der EU (Norwegen HQ), was die Schrems II Exposition fuer Enterprise Kunden begrenzt; (5) der Cache speichert Antwortkoerper in Shared Memory und kann kurzzeitig personenbezogene Daten enthalten, was als operatives berechtigtes Interesse gilt.

Sample consent text

Wir setzen Varnish Cache als HTTP Beschleuniger und Reverse Proxy auf unserer Infrastruktur ein. Varnish setzt keine Cookies auf Ihrem Geraet. Wie jeder HTTP Intermediary schreibt es Zugriffslogs mit Ihrer IP, der angeforderten Seite, Headern und dem Antwortcode. Diese Logs dienen der Performance Optimierung, Sicherheits Investigation und Betriebsstabilitaet unter unserem berechtigten Interesse. Logs werden [XX] Tage aufbewahrt und danach anonymisiert oder geloescht.

Technical details

Tracking methodServer side HTTP accelerator and reverse proxy cache. Varnish sits between the client and the origin server, caches HTTP responses according to its VCL (Varnish Configuration Language) rules and serves cached content directly without hitting the backend. It does not set any client side cookie or pixel of its own. Like any HTTP intermediary it generates request logs (varnishlog, varnishncsa) containing IP addresses, request URLs and headers.

Server locationOperator controlled. Varnish is open source software (Varnish Cache) that runs wherever the operator hosts it. Varnish Software AS (Norway, Sweden, Germany) offers Varnish Enterprise and the Varnish Controlled Edge SaaS, with EU data residency available.

Cookieless tracking availableYes

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt Varnish Cookies?

Nein. Varnish setzt oder liest keine Cookies auf dem Endgeraet. Es kann Cookies in Anfrage und Antwort weiterleiten oder per VCL entfernen, diese Cookies gehoeren aber den Anwendungsbackends hinter Varnish.

Ist eine Einwilligung fuer Varnish erforderlich?

Nein. Da Varnish weder Informationen auf dem Endgeraet speichert noch von dort liest, greift Art. 5 Abs. 3 ePrivacy Richtlinie nicht. Cache und Zugriffslogs unterliegen der DSGVO und stuetzen sich auf berechtigtes Interesse.

Welche Rechtsgrundlage gilt fuer Varnish Verarbeitungen?

Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f, gerechtfertigt durch Caching fuer Performance, Sicherheit und Stabilitaet und durch Log Aufbewahrung fuer Tuning und Betrieb.

Uebertraegt Varnish Daten in die USA?

Varnish Cache als Open Source transferiert keine Daten. Das Hosting bestimmt das Transferregime. Varnish Software AS, das kommerzielle Unternehmen, sitzt in Norwegen (DSGVO konform anerkannt) mit Bueros in Schweden und Deutschland.

Brauche ich eine DSFA fuer Varnish?

Eine DSFA ist fuer Varnish selbst nicht erforderlich. Sie kann fuer die uebergeordnete Cache und Logging Architektur noetig sein, wenn Logs fuer fortgeschrittene Sicherheitsanalytik genutzt oder in Drittlandsysteme exportiert werden.

Wie konfiguriere ich Varnish datenschutzfreundlich?

Das Default VCL Verhalten beibehalten, Cookies auf cachebaren GET Pfaden zu entfernen. varnishncsa mit eigenem log_format konfigurieren, das IPs anonymisiert und Query Strings auf token tragenden Routen weglaesst. Logs ueber logrotate mit kurzer Aufbewahrung (7 bis 30 Tage) drehen. Session IDs nicht im Cache Key.

Welche Alternativen gibt es zu Varnish?

Andere HTTP Cache Schichten und Reverse Proxies: Nginx (proxy_cache), Apache (mod_cache), Squid, Traefik, HAProxy, Caddy. Cloud CDNs (Cloudflare, Fastly, Akamai, Bunny.net, EdgeOne) bringen eigene Datenschutz und Residenz Erwaegungen mit.

Wie aktualisiere ich Cookie oder Datenschutzhinweise?

Varnish gehoert nicht in den Cookie Banner, da es keine Cookies setzt. In der Datenschutzerklaerung koennen Sie erwaehnen, dass die Site einen HTTP Cache und Reverse Proxy fuer Performance und Stabilitaet nutzt, die Rechtsgrundlage, Datenkategorien, Aufbewahrung und Empfaenger nennen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note