Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Netlify

Was macht Netlify?

Netlify ist eine Cloud Plattform, die JAMstack Websites, statische und serverlose Anwendungen hostet und sie über ein globales Edge Netzwerk ausliefert, mit integriertem Continuous Deployment, Edge Functions und Formularverwaltung. Netlify wird von der Netlify Inc. in den USA betrieben. Aus DSGVO Sicht agiert Netlify überwiegend als Hosting Auftragsverarbeiter, der die IP Adressen der Besucher und Request Metadaten verarbeitet, und setzt im Standardfall keine Marketing Cookies im Browser.

Was Netlify ist und wo es in eine Website Architektur sitzt

Netlify ist einer der Pioniere im JAMstack Hosting. Es baut eine Website aus einem Git Repository, verteilt die erzeugten statischen Assets über sein globales Edge Netzwerk, betreibt Serverless und Edge Functions (Netlify Functions, Netlify Edge Functions) und bietet integrierte Dienste für Formulare, Identität und Bildoptimierung. Netlify wird breit eingesetzt für Next.js , Gatsby , Hugo , Astro , Eleventy und Nuxt Websites, sowohl für Marketing Seiten als auch für vollständige SaaS Anwendungen.

Welche Daten Netlify verarbeitet

Netlify verarbeitet die IP Adresse des Besuchers, die Request URL, die HTTP Methode, Header (User Agent, Referer, weitergeleitete Cookies), TLS Handshake Parameter, die abgeleitete Geolokalisierung und Ausführungs Metadaten, wenn Functions die Anfrage bearbeiten. Access Logs und Function Logs werden für einen definierten Zeitraum aufbewahrt. Netlify Analytics liest, sofern aktiviert, aggregierte Request Daten von den Edge Servern, ohne Cookies im Browser zu setzen. Netlify Forms speichert Formular Einsendungen im Dashboard zur Einsicht durch den Kunden.

DSGVO und ePrivacy Implikationen

Die von Netlify verarbeiteten IP Adressen sind personenbezogene Daten im Sinne der DSGVO. Netlify ist Auftragsverarbeiter für den Kunden und Verantwortlicher für eng begrenzte Betriebszwecke. Reines Hosting und CDN Auslieferung speichern keine Informationen auf dem Endgerät, daher wird die ePrivacy Einwilligungspflicht nicht ausgelöst und für das Hosting selbst ist keine ausdrückliche Einwilligung nötig. Netlify Analytics ist serverseitig und ohne Cookies konzipiert und mit berechtigtem Interesse vereinbar, muss aber in der Datenschutzerklärung genannt werden. Netlify Identity, Netlify Forms und über Netlify geladenes individuelles JavaScript können eigene Rechtsgrundlagen erfordern.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Internationale Datenübermittlungen

Netlify betreibt ein globales Edge Netzwerk mit Standorten in Europa, die Steuerebene, der Kundensupport und die Kontodaten verbleiben jedoch in den USA. Übermittlungen stützen sich auf das Netlify Auftragsverarbeitungs Addendum, die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU US Data Privacy Framework, mit TLS 1.3, Verschlüsselung im Ruhezustand, SOC 2 Typ II, ISO 27001 und HIPAA Kontrollen für Enterprise Kunden. Netlify Functions können in EU Regionen bereitgestellt werden, um den Fluss personenbezogener Daten zu begrenzen.

Praktische Schritte zur Konformität

Schließen Sie das Netlify Auftragsverarbeitungs Addendum ab, dokumentieren Sie Netlify als Auftragsverarbeiter im Verzeichnis von Verarbeitungstätigkeiten, nennen Sie Netlify Inc., das US Ziel und die SCC und DPF Schutzmechanismen in der Datenschutzerklärung und konfigurieren Sie eine kurze Aufbewahrung von Access und Function Logs. Stellen Sie Netlify Functions wenn möglich in EU Regionen bereit, schalten Sie nicht notwendige Skripte hinter eine Consent Management Plattform und prüfen Sie Netlify Forms Einsendungen auf den Umgang mit personenbezogenen Daten und deren Aufbewahrung.

GDPR consent category

Sonstige

Websites using Netlify must obtain user consent under GDPR regulations.

Legal basisLegitimate Interest (Art. 6(1)(f) GDPR) for hosting and content delivery; consent (Art. 6(1)(a) GDPR) only if Netlify Identity or third party trackers loaded through Netlify expose visitor personal data

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law), CCPA

DPIA considerations

Eine DSFA ist für eine typische Marketing oder Informationswebsite auf Netlify nicht erforderlich. Eine DSFA wird empfohlen, wenn die Anwendung systematisches Profiling betreibt, wenn Netlify Identity authentifizierte Nutzerdaten speichert, wenn Formulare sensible Daten erheben oder wenn die Website regulierte Branchen wie Gesundheit oder Finanzdienstleistungen adressiert.

Sample consent text

Diese Website wird auf Netlify gehostet, einer Cloud Plattform der Netlify Inc. (USA). Netlify leitet Ihre Anfragen über ein globales Edge Netzwerk und verarbeitet Ihre IP Adresse und Anfrage Metadaten. Mit Ihrer Einwilligung erlauben Sie diese Übermittlung an Netlify Server, auch in den USA, abgesichert durch die EU Standardvertragsklauseln und das EU US Data Privacy Framework.

Technical details

Tracking methodHosting platform: HTTP request routing through Netlify Edge Network; optional Netlify Analytics (server side, cookieless) and Netlify Functions (AWS Lambda based)

Server locationGlobal Edge Network operated by Netlify Inc. (San Francisco, USA) on top of AWS, with EU points of presence

Cookieless tracking availableYes

Data transferred outside the EUNetlify Inc. is established in the United States. Static assets are cached at edge locations worldwide and Netlify Functions execute on AWS Lambda in selected regions. Control plane, support and account data are operated from the United States. Transfers rely on the Netlify Data Processing Addendum, the EU Standard Contractual Clauses under Article 46(2)(c) GDPR and the EU US Data Privacy Framework.

Third-party domains contacted

netlify.comnetlify.appnetlifyusercontent.comnetlifycontent.com

Cookies placed

Name	Type	Duration	Purpose
_nf_uuid	Strictly necessary	1 year	Set on password protected Netlify previews. Stores a unique identifier so that the access check is not repeated on every navigation.
nf_jwt	Strictly necessary	Session or until logout	Stores the JSON Web Token issued by Netlify Identity or by Netlify access control for password protected previews.
_nf_identity_id	Functional (Netlify Identity)	1 year	Set when Netlify Identity is configured on the site. Stores a pseudonymous identifier for the authenticated user.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt Netlify Cookies auf den Geräten der Besucher?

Auf einer auf Netlify gehosteten öffentlichen Website werden standardmäßig keine Marketing oder Analyse Cookies gesetzt. Netlify kann unbedingt erforderliche Cookies auf passwortgeschützten Previews (_nf_uuid, nf_jwt) und auf der Netlify Admin Domain setzen. Netlify Identity setzt bei Nutzung ein Session Cookie (_nf_jwt) für authentifizierte Nutzer.

Ist eine Einwilligung für Netlify nach DSGVO und ePrivacy nötig?

Für Hosting und Auslieferung über Netlify ist keine Einwilligung erforderlich, da keine Informationen auf dem Endgerät gespeichert oder ausgelesen werden. Eine Einwilligung wird nötig, wenn die gehostete Anwendung selbst nicht notwendige Cookies setzt, Drittanbieter Tracker lädt oder Netlify Identity in einem öffentlichen Marketing Flow zur Authentifizierung nutzt.

Welche Rechtsgrundlage gilt für die Verarbeitung über Netlify?

Für Hosting und CDN Auslieferung ist die Rechtsgrundlage berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Für Netlify Identity ist die Rechtsgrundlage die Vertragserfüllung mit dem authentifizierten Nutzer nach Art. 6 Abs. 1 lit. b DSGVO. Netlify Analytics stützt sich, da serverseitig und ohne Cookies, ebenfalls auf berechtigtes Interesse.

Wie sind US Übermittlungen abgesichert?

Netlify schließt über sein Auftragsverarbeitungs Addendum die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO ab und bestätigt die Teilnahme am EU US Data Privacy Framework. Ergänzende Maßnahmen umfassen TLS 1.3, Verschlüsselung im Ruhezustand, SOC 2 Typ II, ISO 27001 und HIPAA Kontrollen für Enterprise Kunden sowie die Option, Netlify Functions in EU Regionen zu pinnen.

Ist eine DSFA für Netlify erforderlich?

Für eine Standard Marketing Website ist keine DSFA erforderlich. Eine DSFA wird empfohlen, wenn Netlify eine Anwendung mit systematischem Profiling hostet, wenn Netlify Identity große Mengen authentifizierter Nutzer verwaltet, wenn Netlify Forms sensible Daten erhebt oder wenn die Website regulierte Branchen bedient.

Wie setze ich Netlify DSGVO konform um?

Schließen Sie das Netlify Auftragsverarbeitungs Addendum ab, pinnen Sie Functions wenn möglich an EU Regionen, begrenzen Sie Access und Function Log Aufbewahrung, dokumentieren Sie Netlify als Auftragsverarbeiter im Verzeichnis von Verarbeitungstätigkeiten, nennen Sie Netlify Inc. und das US Ziel in der Datenschutzerklärung und schalten Sie nicht notwendige Skripte hinter eine Consent Management Plattform.

Welche europäischen Alternativen gibt es zu Netlify?

Europäische oder selbst hostbare Alternativen sind Cloudflare Pages mit EU Datenresidenz, Coolify (self hosted, Open Source), Dokku (self hosted), Scaleway Serverless (Frankreich), Clever Cloud (Frankreich), Web PaaS von OVHcloud (Frankreich) und Render mit EU Regionen. Auch das Self Hosting einer statischen Site auf einem regionalen Kubernetes Cluster ist möglich.

Wie aktualisiere ich die Cookie Richtlinie bei Netlify?

Führen Sie Netlify Inc. als Auftragsverarbeiter für Hosting auf, weisen Sie darauf hin, dass die öffentliche Website keine Netlify Cookies lädt, beschreiben Sie Netlify Analytics falls aktiviert (serverseitig, ohne Cookies), erläutern Sie, dass Daten einschließlich IP Adressen unter SCC und EU US Data Privacy Framework in die USA übermittelt werden können, und verlinken Sie die Netlify Datenschutzerklärung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note