Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Nginx ist ein quelloffener Hochleistungs Webserver, Reverse Proxy und Load Balancer, urspruenglich von Igor Sysoev entwickelt und heute von F5 Networks gepflegt. Nginx ist einer der am haeufigsten eingesetzten Internet Bausteine und treibt ueber 30 Prozent der oeffentlichen Websites. Aus Datenschutzsicht ist Nginx Server Software: es setzt keine Cookies auf dem Client, schreibt aber Zugriffslogs mit IP, URLs, User Agent und Referer, die nach DSGVO personenbezogene Daten sind.
Nginx ist ein quelloffener Hochleistungs Webserver, Reverse Proxy, Load Balancer, Mailproxy und HTTP Cache. Er wurde 2004 von Igor Sysoev geschrieben, um das C10K Problem zu loesen (zehntausend gleichzeitige Verbindungen auf einem Server), und wird heute von Nginx Inc. gepflegt, einer Tochter von F5 Networks. Nginx betreibt ueber 30 Prozent der oeffentlichen Websites und ist in Container Umgebungen weit verbreitet (der Nginx Ingress Controller ist einer der am haeufigsten genutzten Kubernetes Ingresses). Wichtig: Nginx ist Server Software, sie laeuft auf der eigenen Infrastruktur des Betreibers und sendet standardmaessig keine Daten an Nginx Inc. oder F5.
Nginx setzt selbst keine Client Cookies. Die Cookies, die im Browser des Besuchers erscheinen, stammen von Anwendungsbackends (Express, Django, Rails, PHP) hinter Nginx oder von Drittanbieter Tags im HTML. Was Nginx produziert, sind Zugriffslogs: das Combined Format protokolliert standardmaessig IP, Zeitstempel, HTTP Methode und URI, Statuscode, Anzahl gesendeter Bytes, Referer und User Agent. Diese Logs sind personenbezogene Daten nach DSGVO, da die IP in den meisten Kontexten einer Person zuordenbar ist. Error Logs ergaenzen Request Zeilen, die je nach Konfiguration Query String Parameter oder POST Daten und damit personenbezogene Daten enthalten koennen.
Da Nginx weder Informationen auf dem Endgeraet des Besuchers speichert noch von dort liest, greift Art. 5 Abs. 3 ePrivacy Richtlinie (Cookie Einwilligung) auf Nginx selbst nicht. Die Server Logs unterliegen der DSGVO und stuetzen sich auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f: der Betrieb einer Website umfasst das Recht, Zugriffe fuer Sicherheit, Betrugsabwehr, Fehlersuche und Laststeuerung zu protokollieren. CNIL und BfDI Leitfaeden akzeptieren Aufbewahrungsfristen von 6 bis 12 Monaten fuer Sicherheits Investigationen, kuerzere Fristen werden bevorzugt, laengere benoetigen dokumentierte Begruendung. Wo eine sektorale Pflicht (Telekommunikation, Finanzen, Geldwaeschegesetz) laenger fordert, ergaenzt Art. 6 Abs. 1 lit. c.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Nginx so konfigurieren, dass IPs anonymisiert werden, wo der Anwendungsfall es zulaesst. Gaengiges Muster: ein eigenes log_format definieren, das das letzte IPv4 Oktett bzw. die letzten 80 IPv6 Bits maskiert, und die access_log Direktive auf nutzerseitigen Servern auf dieses Format setzen, waehrend Admin Endpunkte die volle IP behalten. log_format so anpassen, dass Query Strings auf Routen mit Tokens oder personenbezogenen Daten weggelassen werden. access_log off; fuer statische Assets, die keinen Audit benoetigen. Logs ueber logrotate mit der dokumentierten Aufbewahrungsfrist drehen. Werden Logs an ein externes SIEM geliefert, muss dieses SIEM im Verarbeitungsverzeichnis stehen und der Transfermechanismus dokumentiert sein.
Nginx selbst transferiert keine Daten. Die Lokalisierung der Infrastruktur entscheidet, welches Transferregime gilt. EU Hosting (OVH, Scaleway, Hetzner, Ionos usw.) haelt Nginx Logs in der EU. AWS, Google Cloud und Azure bieten EU Regionen, der Betreiber sollte zudem die CLOUD Act Exposition pruefen, sobald der Cloud Anbieter US Sitz hat. F5 Networks (Nginx Plus, kommerzieller Support) hat eine eigene Datenschutzerklaerung mit US Transfermechanismen (SCC, EU US Data Privacy Framework); dies ist nur relevant, wenn kommerzielles Nginx gekauft wird.
Erwaehnen, dass ein Webserver (Nginx) Zugriffsdaten fuer Sicherheit und Betrieb protokolliert, die Datenkategorien (IP, Anforderungs URL, User Agent, Referer), die Rechtsgrundlage (berechtigtes Interesse, ggf. rechtliche Verpflichtung), die Aufbewahrungsfrist und die Empfaenger (Hoster, ggf. SIEM, Sicherheitspartner). Nginx muss in der Regel nicht namentlich genannt werden, die Verarbeitung muss aber dokumentiert sein. Nginx erscheint nicht im Cookie Banner, weil es keine Cookies setzt.
Websites using Nginx must obtain user consent under GDPR regulations.
DPIA considerations
Nginx selbst benoetigt keine DSFA, weil es Server Infrastruktur Software ist. Die Zugriffslogs benoetigen jedoch Aufmerksamkeit: (1) das Default Combined Format enthaelt die vollstaendige IP, ein personenbezogenes Datum nach DSGVO; (2) die Aufbewahrungsfrist ist auf das fuer Sicherheit und Betrieb Notwendige zu begrenzen (typisch 30 bis 90 Tage fuer Sicherheits Investigation, laenger nur mit dokumentierter Begruendung); (3) IP Anonymisierung kann auf Nginx Ebene konfiguriert werden (eigenes log_format mit Maskierung des letzten Oktetts), wenn Sicherheitsanforderungen es zulassen; (4) Logs koennen von nachgelagerten Tools (Splunk, Elastic, Datadog) verarbeitet werden, die eigene Datenschutzimplikationen mitbringen; (5) wenn Nginx als Reverse Proxy vor Cookie setzenden Backends laeuft, sind diese Cookies eigenstaendig zu bewerten, nicht als Nginx Cookies. Eine DSFA wird in der Regel fuer die uebergeordnete Logging und Sicherheitsarchitektur benoetigt, nicht fuer Nginx selbst.
Sample consent text
Wir betreiben Nginx als Webserver und Reverse Proxy auf eigener Infrastruktur. Nginx setzt keine Cookies auf Ihrem Geraet. Wie jeder Webserver schreibt es Zugriffslogs mit Ihrer IP Adresse, der angeforderten Seite, dem Browsertyp und der verweisenden Seite. Diese Logs dienen dem Betrieb der Site, der Untersuchung von Sicherheitsvorfaellen und der Erfuellung gesetzlicher Aufbewahrungspflichten. Logs werden [XX] Tage aufbewahrt und anschliessend geloescht oder anonymisiert; Sie haben auf Anfrage ein Auskunftsrecht zu Ihren protokollierten Daten.
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Nein. Nginx selbst setzt oder liest keine Cookies auf dem Endgeraet des Besuchers. Die im Browser sichtbaren Cookies stammen von Anwendungsbackends hinter Nginx oder von Drittanbieter Tags im HTML. Konfiguriert der Betreiber Nginx so, dass es Cookies setzt (proxy_set_header, add_header), sind diese eigenstaendig zu bewerten.
Nein. Da Nginx weder Informationen auf dem Endgeraet speichert noch von dort liest, greift Art. 5 Abs. 3 ePrivacy Richtlinie (Cookie Einwilligung) auf Nginx nicht. Die Server Logs unterliegen der DSGVO und stuetzen sich auf berechtigtes Interesse fuer Sicherheit und Betrieb.
Berechtigtes Interesse nach Art. 6 Abs. 1 lit. f, gerechtfertigt durch Sicherheit, Betrugspraevention, Fehlersuche und Lastsicherung. Wo ein Sektorgesetz Aufbewahrung verlangt (Telekommunikation, Finanzen, Geldwaeschegesetz), greift Art. 6 Abs. 1 lit. c zusaetzlich. Die Aufbewahrungsfrist ist auf das Notwendige zu begrenzen, typisch 30 bis 90 Tage fuer Sicherheitszwecke.
Von Nginx aus nicht. Nginx ist Open Source Software, die dort laeuft, wo der Betreiber sie hostet. Nutzt er einen US Cloud Anbieter, gilt der Hosting Transfer (zu bewerten fuer den Cloud Anbieter, nicht fuer Nginx). F5 Networks vertreibt kommerzielles Nginx; bei Nginx Plus oder kommerziellem Support gelten die F5 Datenschutzerklaerung und SCC fuer dieses Verhaeltnis.
Fuer Nginx allein ist eine DSFA in der Regel nicht erforderlich, da es Server Infrastruktur ist. Sie kann fuer die uebergeordnete Logging und Sicherheitsarchitektur noetig sein, wenn Logs fuer Betrugserkennung, Verhaltensanalyse oder Hochrisikoprofiling genutzt oder in Drittlandsysteme exportiert werden. Nginx im Verarbeitungsverzeichnis mit Log Kategorien, Aufbewahrung und Empfaengern auffuehren.
Eigenes log_format definieren, das IPs anonymisiert (letztes IPv4 Oktett oder die letzten 80 IPv6 Bits maskieren). Query Strings auf Routen mit Tokens weglassen. access_log off; fuer statische Assets. Logs mit logrotate aggressiv rollen. Request Bodies standardmaessig nicht loggen. error_log Niveau in der Produktion eng halten. Logs nur an SIEMs schicken, die im Verarbeitungsverzeichnis stehen.
Weitere Open Source Webserver und Reverse Proxies: Apache HTTP Server, Caddy (automatisches HTTPS, EU freundlich), HAProxy (Load Balancer), Traefik (Cloud Native, EU Herkunft) und Envoy (moderner Proxy). Alle erzeugen aehnliche Zugriffslogs mit denselben DSGVO Erwaegungen. Wichtiger als die Software ist die Hosting und Log Architektur.
Nginx gehoert nicht auf den Cookie Banner, da es keine Cookies setzt. In der Datenschutzerklaerung erwaehnen, dass die Website von einem Webserver (Nginx) ausgeliefert wird, der Zugriffsdaten fuer Sicherheit und Betrieb protokolliert, die Datenkategorien, Rechtsgrundlage, Aufbewahrungsfrist und Empfaenger nennen. Nginx muss nicht namentlich benannt werden, sofern keine Transparenz zur Tech Stack erwuenscht ist.