Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cloudflare Stream ist eine verwaltete Plattform für Video-Hosting, -Encoding und -Auslieferung, betrieben von Cloudflare Inc. Betreiber laden Videos hoch, Cloudflare transkodiert sie automatisch nach HLS/DASH und liefert sie über einen First-Party-Iframe-Player aus dem weltweiten Cloudflare-CDN aus. Standardmäßig findet kein seitenübergreifendes Werbetracking statt, jedoch werden IP-Adressen für Routing und einfache Wiedergabeanalysen verarbeitet und einige Betriebs-Cookies auf der Player-Domain gesetzt.
Cloudflare Stream ist ein SaaS-Videodienst von Cloudflare Inc. mit Sitz in San Francisco. Betreiber laden ihre Quelldateien über das Dashboard oder die API hoch, Cloudflare transkodiert sie in mehrere HLS- und DASH-Qualitäten, und Zuschauer erhalten die Streams aus dem nächstgelegenen der mehr als 300 Cloudflare-Edge-Rechenzentren. Standard-Einbettung ist ein First-Party-Iframe auf iframe.cloudflarestream.com oder customer-<accountId>.cloudflarestream.com; fortgeschrittene Betreiber können auch den Open-Source-Stream-Player oder einen beliebigen HLS-kompatiblen Player nutzen. Jede Wiedergabe öffnet zahlreiche HTTPS-Anfragen, die die Zuschauer-IP, die Segment-URL und den User-Agent transportieren – allesamt personenbezogene Daten im Sinne von Art. 4(1) DSGVO.
Auch ohne integrierte Werbe-Tracker setzt das Iframe Cloudflares Standard-CDN-Cookies auf cloudflarestream.com: __cf_bm für Bot-Management, cf_clearance nach einem CAPTCHA-Challenge und gelegentlich _cfuvid für Besucheranalysen. Artikel 5(3) der ePrivacy-Richtlinie verlangt eine vorherige, informierte Einwilligung für jede Speicherung oder jeden Zugriff auf Informationen im Endgerät des Nutzers, sofern dies nicht für den ausdrücklich angeforderten Dienst unbedingt erforderlich ist. Da das Iframe vom Betreiber – nicht vom Besucher – initiiert wird, behandeln EU-Aufsichtsbehörden (BfDI, EDPS, CNIL) die Einbettung und ihre Cookies grundsätzlich als zustimmungspflichtig, außer bei einem Click-to-Load-Muster.
Mit der Cloudflare Data Localisation Suite (Regional Services, Customer Metadata Boundary, Geo Key Manager) können Videoauslieferung, Schlüsselmaterial und Kundenmetadaten auf die EU beschränkt werden, was Transfers in die USA stark reduziert. Für Stream wird die Lokalisierung als Regional-Services-Add-on angeboten und muss pro Zone aktiviert werden. Ohne diese Option können Segmente und Logs je nach Standort des Zuschauers von US-, UK- oder APAC-Edges ausgeliefert werden. Betreiber mit Schrems-II-Bedenken sollten die Data Localisation Suite mit dem Auftragsverarbeitungsvertrag (Art. 28) und den bereits eingebundenen EU-Standardvertragsklauseln kombinieren.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Cloudflare Inc. handelt als Auftragsverarbeiter für den Betreiber. Das öffentlich verfügbare Data Processing Addendum wird für zahlende Kunden automatisch einbezogen und verweist auf die neuen EU-SCC (2021/914) Modul 2, das UK IDTA-Addendum sowie die Schweizer Anpassungen. Cloudflare ist zudem unter dem EU-US Data Privacy Framework selbstzertifiziert, das ein ergänzendes Transferinstrument darstellt. Dennoch sollten Betreiber ein Transfer Impact Assessment (TIA) durchführen, das FISA Section 702 und EO 12333 abdeckt, da Cloudflare Inc. nach US-Recht als ''electronic communication service provider'' gilt.
Die Stream-API liefert Video-Analytik: Wiedergabeminuten, eindeutige Zuschauer, Länderverteilung und Fehlerquoten – abgeleitet aus Serverlogs und dem Playback-Cookie. Mit signierten URLs kann eine userId eingespielt werden, was zu einem Pseudonym wird und das Risikoprofil erhöht. Betreiber müssen dies im Verzeichnis von Verarbeitungstätigkeiten dokumentieren, Cloudflare im Cookie-Banner und in der Datenschutzerklärung benennen und Betroffenenrechte (Auskunft, Löschung) berücksichtigen; Cloudflare stellt einen Privacy-Kontakt und einen EU-Vertreter benannt.
Um die US-Exposition zu reduzieren, lohnt sich der Blick auf Vimeo OTT (USA, Privacy-Modus), Bunny Stream (Slowenien, EU by design), Mux Video (USA, entwicklerorientiert), MediaCMS oder PeerTube für vollständiges Self-Hosting und Föderation, oder OVH/Scaleway-Objektspeicher kombiniert mit einem selbst betriebenen Video.js- oder Plyr-Player. Die richtige Wahl hängt vom Zuschauervolumen, der Kritikalität der EU-Residenz und benötigten Features (Live, DRM, Echtzeit-Analytik) ab.
Websites using Cloudflare Stream must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist empfehlenswert, wenn Cloudflare Stream auf Seiten für Minderjährige, auf sensiblen Inhalten (Gesundheit, politische Meinungen) oder mit signierten Benutzer-IDs in der Wiedergabeanalyse eingesetzt wird. Zu dokumentieren: verarbeitete Daten (IP, ungefährer Standort, User-Agent, Wiedergabe-Events, optionale signierte User-ID), Rechtsgrundlage (Einwilligung für das Laden des Iframes und den Playback-Cookie), Unterauftragsverarbeiter (Cloudflare-Rechenzentren weltweit), Transferinstrument (SCC + EU-US-DPF, optional Data Localisation Suite), Aufbewahrungsdauer (Rohlogs typischerweise <30 Tage, aggregierte Statistiken länger), Betroffenenrechte sowie Restrisiken aus Schrems II und FISA 702.
Sample consent text
Diese Seite enthält ein Video, das von Cloudflare Stream (Cloudflare Inc., USA) bereitgestellt wird. Beim Start der Wiedergabe werden Ihre IP-Adresse, Ihr User-Agent und Wiedergabe-Events zur Auslieferung und für aggregierte Statistiken an Cloudflare übertragen, und es kann ein kleiner Playback-Cookie auf Ihrem Gerät gespeichert werden. Klicken Sie auf „Akzeptieren", um das Video zu laden und der Verarbeitung zuzustimmen, oder auf „Ablehnen", um es blockiert zu lassen.
Third-party domains contacted
cloudflarestream.comcustomer-<accountid>.cloudflarestream.comvideodelivery.netiframe.cloudflarestream.comupload.cloudflarestream.comcloudflareinsights.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cf_clearance | http | 1 year | Set by Cloudflare after a successful CAPTCHA / Managed Challenge to indicate that the visitor has cleared the bot check and may continue to access the protected resource (including the Stream player). Persistent HttpOnly cookie scoped to the Cloudflare-protected domain. |
| __cf_bm | http | 30 minutes | Cloudflare bot management cookie used to distinguish between humans and automated traffic on requests to the Stream player domain. Strictly operational in Cloudflare's view; EU regulators may still require consent when set by a third-party iframe. |
| _cfuvid | http | Session | Cloudflare visitor cookie used for rate limiting and aggregated visitor analytics. Set on a per-session basis when Stream is delivered through certain Cloudflare features. Not set on every deployment. |
Cloudflare Stream verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
In den meisten EU-Einsätzen ja. Der Standard-Iframe-Player auf cloudflarestream.com lädt automatisch, setzt mindestens einen Cloudflare-CDN-Cookie (__cf_bm und ggf. _cfuvid) und überträgt die IP-Adresse des Zuschauers an Cloudflare Inc. Artikel 5(3) der ePrivacy-Richtlinie verlangt eine vorherige Einwilligung für jede nicht zwingend erforderliche Speicherung auf dem Endgerät, und EU-Aufsichtsbehörden behandeln einen automatisch geladenen Drittanbieter-Iframe als zustimmungspflichtig. Ein Click-to-Load-Muster mit klarem Hinweis ist die empfohlene Standardlösung; ein vollständig cookieloser Modus ist nicht out-of-the-box verfügbar.
Ohne die Data Localisation Suite werden Originale auf Cloudflares globalem Anycast-Netzwerk (300+ Rechenzentren in 100+ Ländern, einschließlich der USA) gespeichert und Segmente dort zwischengespeichert. Die Auslieferung erfolgt vom nächstgelegenen Edge zum Zuschauer. Mit dem Stream-Regional-Services-Add-on lassen sich Verarbeitung und Speicherung auf die EU beschränken; Customer Metadata Boundary hält Logs und Metadaten in der EU. Diese Konfiguration sollten EU-Betreiber bevorzugen, wenn Transfers in die USA problematisch sind.
Die häufigsten Cookies auf der Player-Domain sind __cf_bm (Bot-Management, ca. 30 Minuten), cf_clearance (CAPTCHA-Clearance, bis zu einem Jahr, nur nach einem Challenge gesetzt) und gelegentlich _cfuvid (Besucherstatistiken, Session). Cloudflare betrachtet __cf_bm als strikt erforderlich; viele EU-Behörden bestreiten dies, wenn der Cookie von einem Drittanbieter-Iframe statt von der First-Party-Domain gesetzt wird. Behandeln Sie sie standardmäßig als zustimmungspflichtig, sofern Ihr Datenschutzbeauftragter dies nicht schriftlich anders bewertet.
Ja. Cloudflare veröffentlicht ein Data Processing Addendum (DPA) nach Artikel 28 DSGVO, das für zahlende Kunden automatisch in den Vertrag einbezogen wird. Es bindet die EU-Standardvertragsklauseln (Modul 2, Verantwortlicher-zu-Auftragsverarbeiter) für Drittland-Transfers, das UK IDTA-Addendum und die Schweizer DSG-Anpassungen ein. Cloudflare Inc. ist zudem unter dem EU-US Data Privacy Framework selbstzertifiziert, das als ergänzendes Transferinstrument dient. Betreiber sollten dennoch ein Transfer Impact Assessment durchführen, da Cloudflare nach US-Recht als 'electronic communication service provider' im Sinne der FISA 702 gilt.
Standardmäßig liefert Stream Kennzahlen pro Video: Wiedergabeminuten, eindeutige Zuschauer, Anteil angesehen, Land und Wiedergabefehler. Sie werden aus Serverlogs (IP, User-Agent, Segment-URLs) und dem Playback-Cookie abgeleitet. Beim Einsatz signierter URLs mit userId-Claim wird dieser pseudonyme Identifikator den Wiedergabeereignissen zugeordnet und ist über die Stream-API abrufbar. Es gibt standardmäßig kein First-Party-Werbeprofil, keinen seitenübergreifenden Identifikator und keine Anbindung an Werbe-Ökosysteme.
Weitgehend ja, aber nur durch Aktivierung der Data Localisation Suite (Regional Services für Stream, Customer Metadata Boundary, Geo Key Manager) auf den betroffenen Zonen, was ein kostenpflichtiges Add-on ist. In dieser Konfiguration verbleiben Videoverarbeitung, Schlüsselmaterial und Metadaten in der EU. Cloudflare Inc. bleibt jedoch ein US-Unternehmen unter US-Recht; ein verbleibendes Schrems-II-Risiko ist im Transfer Impact Assessment zu dokumentieren und gegen die vorhandenen technischen und vertraglichen Schutzmaßnahmen abzuwägen.
Vimeo OTT bietet einen Do-not-track-Modus, ist aber in den USA ansässig. Bunny Stream wird aus Slowenien betrieben und speichert standardmäßig in EU-Regionen, was die Schrems-II-Konformität erleichtert. Mux Video ist US-amerikanisch und entwicklerorientiert mit ähnlichen Transferbedenken wie Cloudflare. PeerTube und MediaCMS sind quelloffene Self-Hosting-Optionen, die volle Kontrolle bieten, aber operativen Aufwand erfordern (Encoding, Skalierung, Monitoring). Cloudflare Stream liegt dazwischen: Verwalteter Komfort und globales CDN, aber ernsthafte und konfigurierbare Transferrisiken.
Eine DSFA durchführen, die Datenkategorien, Zwecke, Aufbewahrungsfristen und Risiken abdeckt. Verzeichnis von Verarbeitungstätigkeiten und Datenschutzerklärung aktualisieren, um Cloudflare Inc. als Auftragsverarbeiter, das verwendete Transferinstrument (SCC + DPF, ggf. EU-Residenz) und die vom Player gesetzten Cookies zu nennen. Das Cookie-Banner so konfigurieren, dass Cloudflare Stream bis zur Einwilligung blockiert wird, idealerweise mit einem Click-to-Load-Platzhalter. Das TIA dokumentieren, wo möglich die Data Localisation Suite aktivieren und den Nachweis der DPA-Annahme aufbewahren.