Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cloudflare Turnstile ist ein kostenloses, CAPTCHA-freies Bot-Erkennungsservice von Cloudflare, das Nutzer durch unsichtbare Proof-of-Work-Challenges, Browser-Signale und Verhaltensanalyse verifiziert, ohne sichtbare CAPTCHA-Rätsel zu präsentieren. Es ist datenschutzfreundlich konzipiert: keine persistenten Tracking-Cookies, keine Werbedaten-Weitergabe und minimale Verarbeitung personenbezogener Daten. Berechtigtes Interesse unterstützt seine Nutzung für Sicherheitszwecke ohne Einwilligung, was es zu einer der DSGVO-freundlichsten CAPTCHA-Alternativen macht.
Cloudflare Turnstile ist der kostenlose CAPTCHA Ersatz, den Cloudflare 2022 eingeführt hat. Statt Nutzer Verkehrsschilder anklicken zu lassen, führt Turnstile eine Reihe nicht interaktiver JavaScript Challenges (Private Access Tokens, Browser Integritätsprüfungen, Verhaltenssignale) aus und liefert ein Token, das das Backend des Publishers über challenges.cloudflare.com/turnstile/v0/siteverify verifiziert. Das Produkt positioniert sich als privacy first Alternative zu Google reCAPTCHA: keine Google oder Cloudflare Werbe Cookies, schlankes JavaScript Widget und möglichst lokale Verifikation im Browser.
Im unsichtbaren Standardmodus schreibt Turnstile keinen Cookie auf der Publisher Domain. Das Widget Skript (challenges.cloudflare.com/turnstile/v0/api.js) legt nur einen transienten Nonce im sessionStorage ab, um Replays innerhalb derselben Seite zu erkennen. Wenn der Besucher eine verwaltete oder interaktive Challenge bestehen muss, kann Cloudflare cf_chl_persist auf .cloudflare.com (Drittanbieter, 1 Stunde) und cf_chl_rc_n auf der Publisher Domain (First Party, 1 Stunde) setzen, um die erfolgreiche Lösung zu speichern. Diese Cookies sind unbedingt erforderlich für den Sicherheitsdienst.
Turnstile stützt sich auf das berechtigte Interesse des Publishers am Schutz von Formularen, Logins und APIs vor Bots, Scraping und Credential Stuffing (Art. 6(1)(f) DSGVO). Die CNIL Empfehlung zu Cookies und die EDSA Leitlinien 2/2023 zu Art. 5(3) ePrivacy erkennen eine Einwilligungsausnahme für Cookies und Speicherzugriffe an, die für einen vom Nutzer ausdrücklich angeforderten Sicherheitsdienst unbedingt erforderlich sind. Turnstile fällt unter diese Ausnahme, solange der Publisher die Signale nicht für Marketing oder Analyse weiterverwendet. Der Grundsatz der Datenminimierung (Art. 5(1)(c) DSGVO) ist gewahrt, da kein persistenter Besucher Identifikator entsteht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare Inc. ist in den USA ansässig und seit dem 1. August 2023 unter dem EU US Data Privacy Framework zertifiziert. Challenge Signale werden über das globale Anycast Netzwerk verarbeitet, das die USA einschließt, auch wenn der Besucher sich mit einem europäischen Edge Standort verbindet. Cloudflare Enterprise oder Business Kunden können mit Regional Services die Datenebene auf die europäische Region beschränken und Rohsignale innerhalb der EU halten. Der Cloudflare AVV enthält die EU Standardvertragsklauseln (Modul 2) und wird mit der Annahme der Cloudflare AGB automatisch abgeschlossen.
Beschränken Sie Turnstile auf echte Anti Bot Zwecke; geben Sie den Score nicht in Marketing Analyse Tools weiter. Dokumentieren Sie Cloudflare als Auftragsverarbeiter im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung. Aktivieren Sie Regional Services EU nur, wenn strikte Datenresidenz erforderlich ist. Prüfen Sie den konfigurierten Action Mode (managed, nicht interaktiv, unsichtbar), damit die Nutzerfriktion verhältnismäßig bleibt. Kombinieren Sie Turnstile mit Rate Limiting und WAF Regeln, um die Anzahl ausgelöster Challenges zu reduzieren. Aktualisieren Sie den AVV jährlich und prüfen Sie die aktive DPF Zertifizierung auf dataprivacyframework.gov.
Privacy first Alternativen sind Friendly Captcha (deutsch, DSGVO konform entwickelt), hCaptcha (mit Privacy Pass), Altcha (Open Source Proof of Work) und MTCaptcha. Google reCAPTCHA bleibt am verbreitetsten, setzt aber Verhaltens Cookies auf doubleclick.net und ist in den meisten Fällen mit der Sicherheitsausnahme nicht vereinbar.
Websites using Cloudflare Turnstile must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für Turnstile in der Regel nicht erforderlich: es handelt sich um eine Sicherheitsmaßnahme, die nur Browser Signale verarbeitet. Dokumentieren Sie Rechtsgrundlage und Datenfluss zu Cloudflare.
Sample consent text
Wir setzen Cloudflare Turnstile ein, einen privacy first CAPTCHA Ersatz, um Bots zu erkennen und unsere Formulare zu schützen. Turnstile führt im Hintergrund eine nicht interaktive JavaScript Challenge in Ihrem Browser aus; es werden keine Werbe Cookies gesetzt und kein Verhaltensprofil erstellt. Signale wie Ihre IP Adresse, Ihr User Agent und die Challenge Timings werden über das globale Cloudflare Netzwerk einschließlich der USA auf Grundlage des EU US Data Privacy Framework und der EU Standardvertragsklauseln verarbeitet. Da Turnstile zum Schutz dieser Website gegen Betrug unbedingt erforderlich ist, läuft er unter der Sicherheitsausnahme nach §25 Abs. 2 Nr. 2 TTDSG ohne Einwilligung.
Third-party domains contacted
challenges.cloudflare.comchallenges.cloudflare.comcloudflare.comcloudflare.comstatic.cloudflareinsights.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | persistent | 30 minutes | Cloudflare Turnstile clearance cookie confirming successful human verification — no advertising or tracking purpose |
| cf_clearance | First party (Cloudflare, optional) | 30 minutes | Set only when the protected resource also uses Cloudflare Bot Management. Confirms the visitor has passed the bot challenge for the current session. |
| __cf_chl_* | First party (Cloudflare) | Few seconds | Short lived challenge cookie used to coordinate the Turnstile challenge in the browser. Removed immediately after the challenge completes. |
Cloudflare Turnstile ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Im Allgemeinen nicht. Turnstile verarbeitet minimale technische Daten zu Sicherheitszwecken ohne persistente Tracking-Cookies oder Werbedaten-Weitergabe. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) ist eine geeignete Rechtsgrundlage für den Einsatz von Bot-Schutzlösungen.
Ja. Turnstile präsentiert keine sichtbaren Rätsel wie Bildauswahlen oder Textdekodierungen. Es analysiert Browser-Signale, JavaScript-Ausführung und Geräteattestation im Hintergrund. Die meisten Nutzer werden verifiziert, ohne überhaupt von Turnstile zu wissen.
Turnstile erhebt minimale technische Daten: Browser-Typ und -Einstellungen, HTTP-Header, IP-Adresse (kurzzeitig zur Risikoberechnung), Gerätezeitzone und grundlegende Interaktionssignale. Es werden keine persistenten Identifikatoren oder Tracking-Cookies gesetzt.
Cloudflare ist ein US-amerikanisches Unternehmen, betreibt aber EU-basierte Points of Presence. Für viele EU-Nutzer wird die Verifizierung in EU-Rechenzentren verarbeitet. Cloudflare hat sich nach dem EU-US Data Privacy Framework zertifiziert und stellt SCCs im Rahmen seines DPA bereit.
Ja. Cloudflare Turnstile bietet einen kostenlosen Tarif für bis zu einer Million Anfragen pro Monat. Für höhere Volumina sind kostenpflichtige Pläne verfügbar. Es gibt keine versteckten Kosten für die Grundfunktionalität.
Erstellen Sie ein kostenloses Cloudflare-Konto und registrieren Sie Ihre Domain für Turnstile. Fügen Sie das Turnstile-Skript in Ihren HTML-Header ein. Platzieren Sie das Widget in Ihrem Formular. Validieren Sie serverseitig das Turnstile-Token über die Cloudflare-API. Akzeptieren Sie Cloudflares DPA in Ihren Kontoeinstellungen.
Beide sind GDPR-freundlichere Alternativen zu Google reCAPTCHA. Turnstile ist vollständig unsichtbar und kostenlos, ohne Werbedaten-Weitergabe. hCaptcha kann sichtbare Rätsel anzeigen, bietet jedoch Monetarisierungsoptionen für Websitebetreiber. Für maximale Datenschutzkonformität ohne Nutzerreibung ist Turnstile in der Regel die bessere Wahl.
Erwähnen Sie Turnstile im Abschnitt über Sicherheitsmaßnahmen Ihrer Datenschutzerklärung: Beschreiben Sie den Zweck (Schutz vor Bot-Anfragen), die verarbeiteten Daten (minimale technische Daten), die Rechtsgrundlage (berechtigtes Interesse) und den Dienstanbieter (Cloudflare Inc., USA, zertifiziert unter dem EU-US Data Privacy Framework).
Standardmäßig keine. Turnstile arbeitet cookielos und nutzt nur kurzlebige Browser Signale. Ein cf_clearance Cookie kann erscheinen, wenn die geschützte Ressource auch Cloudflare Bot Management einsetzt; Turnstile selbst benötigt es nicht.
Nein. Turnstile ist eine Sicherheitstechnologie, die für die Erbringung des gewünschten Dienstes erforderlich ist (Erwägungsgrund 30 ePrivacy, Erwägungsgrund 49 DSGVO). Es darf wie jedes Anti Bot CAPTCHA vor der Einwilligung geladen werden. CNIL und AEPD teilen diese Einschätzung.
Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) zum Schutz eines Dienstes vor automatisiertem Missbrauch, Betrug, Credential Stuffing, Scraping und Spam. Konkret und verhältnismäßig.
Cloudflare, Inc. ist in den USA ansässig. Die meisten Challenges werden im nächstgelegenen Edge Knoten ausgewertet, oft in Europa. Übermittlungen in die USA sind durch das EU US Data Privacy Framework und EU SCCs im Cloudflare DPA abgedeckt.
In der Regel nicht. Turnstile ist eine Sicherheitsmaßnahme, die nur kurzlebige Browser Signale verarbeitet. Dokumentieren Sie die Rechtsgrundlage im Verzeichnis nach Art. 30 DSGVO.
Auf Formularen/Aktionen mit realem Bot Risiko einsetzen. Als Sicherheitsmaßnahme dokumentieren. Cloudflare DPA unterzeichnen. Serverseitig validieren. Explicit oder Managed Render Mode bevorzugen, um Transparenz für die Nutzer zu wahren.
Privacy First Alternativen: Friendly Captcha (Deutschland), Anubis (Open Source), MTCaptcha (Spanien), Hcaptcha (Schweiz), Procaptcha (UK), Capy Puzzle Captcha (Japan), Geetest (China). Für vollständiges Bot Management: Datadome (Frankreich), Reblaze.
Kein Pflichteintrag, da cookielos. Erwähnen Sie Cloudflare Turnstile im Sicherheitsteil der Datenschutzerklärung: Zweck (Bot Abwehr), Rechtsgrundlage (berechtigtes Interesse Sicherheit), Auftragsverarbeiter (Cloudflare), Transfer (EU US Data Privacy Framework + SCCs).