Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cloudflare Turnstile ist ein kostenloses, CAPTCHA-freies Bot-Erkennungsservice von Cloudflare, das Nutzer durch unsichtbare Proof-of-Work-Challenges, Browser-Signale und Verhaltensanalyse verifiziert, ohne sichtbare CAPTCHA-Rätsel zu präsentieren. Es ist datenschutzfreundlich konzipiert: keine persistenten Tracking-Cookies, keine Werbedaten-Weitergabe und minimale Verarbeitung personenbezogener Daten. Berechtigtes Interesse unterstützt seine Nutzung für Sicherheitszwecke ohne Einwilligung, was es zu einer der DSGVO-freundlichsten CAPTCHA-Alternativen macht.
Cloudflare Turnstile ist ein kostenloses, CAPTCHA-freies Bot-Erkennungsservice, das Cloudflare 2022 als datenschutzfreundliche Alternative zu Google reCAPTCHA eingeführt hat. Statt Nutzern visuelle Rätsel zu präsentieren, nutzt Turnstile nicht-intrusive JavaScript-Challenges, Browser-Signal-Analyse und Proof-of-Work-Verfahren, um Menschen unsichtbar zu verifizieren. Die meisten Nutzer bestehen die Turnstile-Verifizierung ohne jede sichtbare Interaktion, was zu einer besseren Nutzererfahrung führt.
Turnstile ist von Grund auf datenschutzfreundlich konzipiert. Es setzt keine persistenten Tracking-Cookies. Es erstellt keine Nutzerprofile über verschiedene Websites hinweg. Es teilt keine Signale mit Werbeplattformen. Cloudflare nutzt Private Access Tokens (PAT), wo unterstützt, und ermöglicht Apple- und Google-Geräteattestation ohne Identifizierung des spezifischen Geräts. Das Ergebnis ist zuverlässige Bot-Erkennung bei minimaler Exposition personenbezogener Daten.
Die minimale Datenverarbeitung und das Fehlen von Werbedaten-Sharing machen das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) zu einer gut begründeten Rechtsgrundlage für den Einsatz von Turnstile. Im Gegensatz zu reCAPTCHA, das wegen Googles Werbedatennutzung DSGVO-Unsicherheit schafft, ist der Anwendungsbereich von Turnstile klar auf Sicherheit beschränkt. Cloudflare stellt einen DSGVO-konformen AVV bereit, der Turnstile über seine Standard-Unternehmenskonditionen abdeckt. Eine Einwilligung der Nutzer ist für den Einsatz von Turnstile in der Regel nicht erforderlich.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare ist ein US-amerikanisches Unternehmen, betreibt jedoch ein globales Anycast-Netzwerk mit zahlreichen EU-basierten Points of Presence. Challenge-Anfragen werden über das nächstgelegene Cloudflare-Rechenzentrum verarbeitet, was für viele europäische Nutzer eine EU-basierte Verarbeitung bedeutet. Cloudflare hat sich nach dem EU-US Data Privacy Framework zertifiziert und stellt SCCs im Rahmen seines DPA bereit, was internationale Datentransfers abdeckt.
Registrieren Sie sich für Cloudflare Turnstile (kostenloser Tarif verfügbar). Fügen Sie das Turnstile-Skript und Widget zu Ihren Formularen hinzu. Akzeptieren Sie den Cloudflare-AVV, der Turnstile abdeckt. Dokumentieren Sie das berechtigte Interesse für Bot-Prävention in Ihrem VVT. Offenbaren Sie Turnstile in Ihrer Datenschutzerklärung mit Angabe von Zweck (Bot-Prävention), minimaler Datenverarbeitung und Cloudflare-Infrastruktur. Für Turnstile selbst ist kein Eintrag im Cookie-Einwilligungsbanner erforderlich.
Websites using Cloudflare Turnstile must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für Standard-Deployments von Cloudflare Turnstile in der Regel nicht erforderlich. Der Privacy-by-Design-Ansatz, das Fehlen persistenter Cookies und die fehlende Werbedaten-Weitergabe machen es zu einem Niedrigrisiko-Service.
Sample consent text
Diese Website nutzt Cloudflare Turnstile, um Formulare vor Bots zu schützen. Turnstile verifiziert, dass Sie ein Mensch sind, mithilfe datenschutzfreundlicher Browser-Signale ohne Cookies oder Tracking. Minimale technische Daten werden auf Basis des berechtigten Interesses zu Sicherheitszwecken verarbeitet.
Third-party domains contacted
challenges.cloudflare.comcloudflare.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | persistent | 30 minutes | Cloudflare Turnstile clearance cookie confirming successful human verification — no advertising or tracking purpose |
Cloudflare Turnstile ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Im Allgemeinen nicht. Turnstile verarbeitet minimale technische Daten zu Sicherheitszwecken ohne persistente Tracking-Cookies oder Werbedaten-Weitergabe. Das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) ist eine geeignete Rechtsgrundlage für den Einsatz von Bot-Schutzlösungen.
Ja. Turnstile präsentiert keine sichtbaren Rätsel wie Bildauswahlen oder Textdekodierungen. Es analysiert Browser-Signale, JavaScript-Ausführung und Geräteattestation im Hintergrund. Die meisten Nutzer werden verifiziert, ohne überhaupt von Turnstile zu wissen.
Turnstile erhebt minimale technische Daten: Browser-Typ und -Einstellungen, HTTP-Header, IP-Adresse (kurzzeitig zur Risikoberechnung), Gerätezeitzone und grundlegende Interaktionssignale. Es werden keine persistenten Identifikatoren oder Tracking-Cookies gesetzt.
Cloudflare ist ein US-amerikanisches Unternehmen, betreibt aber EU-basierte Points of Presence. Für viele EU-Nutzer wird die Verifizierung in EU-Rechenzentren verarbeitet. Cloudflare hat sich nach dem EU-US Data Privacy Framework zertifiziert und stellt SCCs im Rahmen seines DPA bereit.
Ja. Cloudflare Turnstile bietet einen kostenlosen Tarif für bis zu einer Million Anfragen pro Monat. Für höhere Volumina sind kostenpflichtige Pläne verfügbar. Es gibt keine versteckten Kosten für die Grundfunktionalität.
Erstellen Sie ein kostenloses Cloudflare-Konto und registrieren Sie Ihre Domain für Turnstile. Fügen Sie das Turnstile-Skript in Ihren HTML-Header ein. Platzieren Sie das Widget in Ihrem Formular. Validieren Sie serverseitig das Turnstile-Token über die Cloudflare-API. Akzeptieren Sie Cloudflares DPA in Ihren Kontoeinstellungen.
Beide sind GDPR-freundlichere Alternativen zu Google reCAPTCHA. Turnstile ist vollständig unsichtbar und kostenlos, ohne Werbedaten-Weitergabe. hCaptcha kann sichtbare Rätsel anzeigen, bietet jedoch Monetarisierungsoptionen für Websitebetreiber. Für maximale Datenschutzkonformität ohne Nutzerreibung ist Turnstile in der Regel die bessere Wahl.
Erwähnen Sie Turnstile im Abschnitt über Sicherheitsmaßnahmen Ihrer Datenschutzerklärung: Beschreiben Sie den Zweck (Schutz vor Bot-Anfragen), die verarbeiteten Daten (minimale technische Daten), die Rechtsgrundlage (berechtigtes Interesse) und den Dienstanbieter (Cloudflare Inc., USA, zertifiziert unter dem EU-US Data Privacy Framework).