Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Yandex.Cloud CDN ist das Content Delivery Network des russischen Anbieters Yandex, primär für Russland und die GUS, mit erheblichen Folgen für Datentransfers europäischer Websites.
Yandex.Cloud CDN ist das Content Delivery Network des russischen Anbieters Yandex. Es liefert statische und dynamische Ressourcen über Edge Points of Presence aus und wird vor allem für Websites genutzt, die auf Russland und russischsprachige Märkte ausgerichtet sind. Wenn eine europäische Website ihren Datenverkehr über dieses CDN leitet, läuft jede Anfrage eines europäischen Besuchers zuerst über einen Yandex Edge Knoten, bevor der Inhalt ausgeliefert wird.
Yandex.Cloud CDN benötigt für den Betrieb keine Cookies. Der Edge verarbeitet jedoch IP Adresse, Anfrage URL, User Agent und Referrer, um Inhalte auszuliefern und Cache und Sicherheitsregeln anzuwenden. Betriebslogs können zu Analyse und Missbrauchszwecken aufbewahrt werden. Sichtbare Cookies stammen vom Ursprungsserver, nicht vom CDN.
Russland besitzt keinen Angemessenheitsbeschluss nach DSGVO. Die Übermittlung personenbezogener Daten europäischer Besucher über Yandex.Cloud CDN ist daher ein Drittlandtransfer im Sinne von Kapitel V der Verordnung. Die Schrems II Rechtsprechung verlangt SCC, eine Transfer Impact Assessment und ergänzende Maßnahmen, sobald das Empfängerland keinen Angemessenheitsbeschluss hat und weitreichende Zugriffsbefugnisse für Sicherheitsbehörden vorsieht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Angesichts des Transferprofils ist für eine EU Site eine ausdrückliche, informierte Einwilligung vor dem Routing über Yandex PoPs der sicherste Weg. Kombinieren Sie diese Einwilligung mit SCC, die mit Yandex.Cloud abgeschlossen sind, und dokumentieren Sie die Bewertung, die den Transfer rechtfertigt. Verweigert der Besucher die Zustimmung, weichen Sie auf ein EU CDN wie Cloudflare mit EU only Routing, BunnyCDN oder Akamai mit EU Traffic Settings aus.
Das russische Bundesgesetz 152 FZ über personenbezogene Daten und mehrere Gesetze zum Zugriff von Sicherheitsdiensten begrenzen die Wirksamkeit ergänzender Maßnahmen erheblich. Ende zu Ende Verschlüsselung zwischen Besucher und Origin reduziert die Exposition der Nutzlast, aber die am Edge sichtbare IP und die Anfragemetadaten werden vor Ort verarbeitet. Mehrere europäische Datenschutzaufsichten warnen seit 2022 vor dem Routing von EU Traffic über russische Infrastruktur.
Für europäische Zielgruppen sollten Sie ein EU CDN vorziehen. Falls Yandex.Cloud CDN unverzichtbar ist, beschränken Sie es auf bestimmte Regionen, schließen Sie SCC ab, erstellen und archivieren Sie eine TIA, dokumentieren Sie den Transfer in der Datenschutzerklärung und holen Sie eine eindeutige Einwilligung ein, bevor die erste Anfrage den Edge erreicht. Überprüfen Sie das Setup jährlich und nach jeder relevanten Änderung der russischen Gesetzgebung.
Websites using Yandex.Cloud CDN must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird dringend empfohlen. Yandex.Cloud CDN leitet IP Adressen, User Agents und Anfragemetadaten über Points of Presence, die größtenteils außerhalb des EWR liegen, einschließlich Russland, das keinen Angemessenheitsbeschluss besitzt. Bewerten Sie das Transferrisiko, dokumentieren Sie die abgeschlossenen SCC und prüfen Sie, ob die ergänzenden Maßnahmen ausreichen oder ein EU CDN vorzuziehen ist.
Sample consent text
Diese Website nutzt Yandex.Cloud CDN, um Inhalte schneller auszuliefern. Dabei werden Ihre IP Adresse und Anfragemetadaten an Yandex Server übermittelt, die sich in Russland befinden können. Mit Ihrer Zustimmung willigen Sie in diesen Transfer in ein Land ohne Angemessenheitsbeschluss der Europäischen Kommission ein.
Third-party domains contacted
yandex.cloudcdn.yandexcloud.netstorage.yandexcloud.netmc.yandex.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| yandexuid | Functional / Tracking | 10 years | A long lived Yandex visitor identifier that may appear on pages also using Yandex Metrica or Yandex.Auth alongside the CDN. |
| _ym_uid | Analytics | 1 year | Yandex Metrica visitor identifier that frequently coexists with Yandex.Cloud CDN deployments. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Yandex.Cloud CDN setzt selbst keine Client Cookies. Cookies, die auf einer über das CDN ausgelieferten Seite erscheinen, stammen vom Ursprungsserver oder von in der Seite eingebundenen Drittdiensten.
Für europäische Besucher ja. Auch ohne Cookies stellt das Senden von IP und Anfragemetadaten an eine in Russland betriebene Infrastruktur einen Drittlandtransfer dar und erfordert eine informierte Einwilligung neben SCC und einer Transfer Impact Assessment.
Die streng notwendige Auslieferung und Sicherheit stützt sich auf das berechtigte Interesse nach Art. 6(1)(f) DSGVO. Der internationale Transfer nach Russland, das keinen Angemessenheitsbeschluss hat, erfordert eine Einwilligung nach Art. 6(1)(a) und eine Ausnahme nach Art. 49 oder geeignete Garantien aus Kapitel V.
Ja. Die meisten Yandex.Cloud Points of Presence liegen in Russland und der GUS. IP Adressen, Anfrage URLs und User Agents europäischer Besucher werden dort verarbeitet, was nach DSGVO einen Drittlandtransfer darstellt.
Ja. Die Kombination aus Drittlandtransfer, umfangreicher Verarbeitung von Besuchermetadaten und dem Risiko russischer Zugriffsbefugnisse überschreitet die Schwellen des WP248 und der nationalen Aufsichten. Eine DSFA und eine dokumentierte TIA werden erwartet.
Schließen Sie SCC ab, führen Sie eine TIA durch, konfigurieren Sie das CDN so, dass Logs begrenzt werden, erzwingen Sie TLS, beschränken Sie das CDN auf nicht sensible Assets, koppeln Sie es an Ihre CMP, dokumentieren Sie den Transfer und sehen Sie einen EU CDN Fallback bei Ablehnung der Einwilligung vor.
EU freundliche Optionen sind Cloudflare mit EU only Routing, BunnyCDN, Fastly mit EWR Endpoints, KeyCDN, Akamai mit EU Traffic Settings oder selbst gehostete Edge Server in EU Rechenzentren.
Ergänzen Sie einen klaren Abschnitt in der Datenschutzerklärung, der darauf hinweist, dass Traffic über Yandex Points of Presence außerhalb des EWR, einschließlich Russland, geleitet wird. Listen Sie die am Edge verarbeiteten Metadaten Kategorien auf, nennen Sie die getroffenen Garantien und verlinken Sie auf den Consent Mechanismus, der dieses Routing steuert.