Zum Inhalt springen
CASOON

DSGVO-konformer Einsatz von Cloudflare – Ein Überblick

Cloud Native

Wie sich Cloudflare rechtssicher und datenschutzkonform in der EU einsetzen lässt.

Aktualisiert 16. April 2026
11 Minuten
DSGVO-konformer Einsatz von Cloudflare – Ein Überblick
#Cloudflare #DSGVO #Datenschutz #Sicherheit
SerieCloudflare Platform
Teil 5 von 11

Cloudflare ist einer der bekanntesten Anbieter für Content Delivery Networks (CDN), DDoS-Schutz und Web-Sicherheit – und wird auf Millionen von Websites weltweit eingesetzt. Doch wenn personenbezogene Daten im Spiel sind, stellt sich sofort die Frage: Ist Cloudflare mit der DSGVO vereinbar?

Die gute Nachricht: Ja, Cloudflare kann DSGVO-konform verwendet werden – wenn bestimmte Bedingungen erfüllt sind. In diesem Artikel erfährst du, worauf du achten musst, was Datenschutzbeauftragte empfehlen und welche Schritte notwendig sind, um Cloudflare rechtssicher zu integrieren.

Was ist das Problem?

Cloudflare ist ein US-amerikanisches Unternehmen. Damit fällt es unter den US CLOUD Act, der theoretisch Behördenzugriffe auf personenbezogene Daten erlaubt – auch dann, wenn diese Daten von EU-Nutzern stammen.

Das allein wäre ein Verstoß gegen die DSGVO – wäre da nicht ein Bündel an rechtlichen und technischen Schutzmechanismen, das Cloudflare mittlerweile anbietet.

So sorgt Cloudflare für DSGVO-Konformität

1. Auftragsverarbeitungsvertrag (AV-Vertrag) + Standardvertragsklauseln

Cloudflare stellt einen Data Processing Addendum (DPA) bereit – das ist der Auftragsverarbeitungsvertrag (AV-Vertrag) nach Art. 28 DSGVO, den jeder Cloudflare-Nutzer abschließen sollte. Er enthält die Standardvertragsklauseln (SCCs) der EU als anerkannte rechtliche Grundlage für Datenübermittlungen in die USA. Die aktuelle Version ist 6.4 (wirksam ab 3. April 2026) und gilt automatisch für bestehende Verträge – spezifische Änderungsdetails gegenüber der Vorversion sind nicht öffentlich dokumentiert. Es empfiehlt sich, die Aktualität des eigenen AV-Vertrags im Cloudflare-Dashboard zu prüfen.

2. EU-US Data Privacy Framework (DPF)

Seit 2023 ist Cloudflare außerdem nach dem EU-US Data Privacy Framework zertifiziert. Das schafft eine zusätzliche rechtliche Grundlage zur Datenübertragung – anerkannt von der EU-Kommission.

Mehr zum DPF bei Cloudflare

3. Technische Sicherheitsmaßnahmen

Cloudflare setzt auf ein hohes Sicherheitsniveau:

  • TLS-Ende-zu-Ende-Verschlüsselung
  • DDoS-Abwehr
  • Firewall & Bot-Schutz
  • IP-Anonymisierung via IP-Truncation: IPv4 auf die ersten zwei Blöcke gekürzt (z. B. 192.168.x.x), IPv6 auf die ersten 48 Bits – aktivierbar unter Analytics & Logs → Security Events
  • Zertifizierungen: ISO 27001, ISO 27701, ISO 27018, BSI C5 u.v.m.

ISO 27701 (Datenschutz-Managementsystem) und ISO 27018 (Schutz personenbezogener Daten in der Cloud) wurden 2025 erweitert und sind direkt relevant für Art. 32 DSGVO: Sie dokumentieren, dass technische und organisatorische Maßnahmen systematisch umgesetzt und auditiert werden.

Cloudflare-eigenes Tracking deaktivieren

Wer Cloudflare DSGVO-konform betreiben will, muss auch das cloudflare-eigene Tracking im Blick haben. Standardmäßig bietet Cloudflare eigene Analyse-Funktionen an (Cloudflare Web Analytics, Browser Integrity Check, Cloudflare Insights-Skript). Diese verarbeiten Verbindungsdaten und können personenbezogene Daten enthalten.

Meine Empfehlung: Cloudflare-Tracking im Dashboard deaktivieren, sofern du es nicht aktiv nutzt. Das reduziert die verarbeiteten Daten und vereinfacht die Begründung in deiner Datenschutzerklärung erheblich.

  • Cloudflare Web Analytics: Im Dashboard unter „Analytics & Logs” prüfen und ggf. deaktivieren
  • Rocket Loader: Kann externes JavaScript-Verhalten beeinflussen – nur aktivieren, wenn wirklich nötig
  • Cloudflare Insights-Skript: Falls manuell eingebunden, aus dem HTML entfernen

Je weniger Tracking aktiv ist, desto weniger Datenverarbeitung musst du rechtlich absichern.

Cloudflare Zaraz: Tracking datenschutzfreundlicher gestalten

Wer Web-Analytics oder Google Analytics benötigt, dem empfehle ich Cloudflare Zaraz als Alternative zur klassischen client-seitigen Script-Einbindung.

Zaraz leitet Tracking-Anfragen über die Cloudflare Edge – statt dass der Browser des Nutzers direkt mit Google-Servern kommuniziert. Das hat einen spürbaren Effekt auf den Datenschutz: Die Roh-IP des Nutzers und andere Browser-Fingerprint-Daten erreichen Google nicht direkt.

Wichtiger Hinweis für Google Analytics 4 via Zaraz:

Im Zaraz-Dashboard gibt es bei der GA4-Komponente eine Einstellung namens „Audience”. Diese sollte auf deaktiviert (false) gesetzt werden. Ist Audience aktiv, werden die gesammelten Daten von Google auch für Remarketing und Zielgruppensegmentierung genutzt – das wäre aus DSGVO-Sicht schwer zu rechtfertigen.

Mit deaktiviertem Audience-Flag werden Seitenaufrufe und Events zwar erfasst, aber Google verwendet diese Daten nicht explizit für Werbe-Targeting. Das macht GA4 via Zaraz zu einer pragmatischen Lösung.

Einschränkung: Diese Konfiguration ist nicht offiziell von Google bestätigt. Ich halte sie für deutlich DSGVO-freundlicher als die direkte GA4-Einbindung – aber sie ist keine vollständige rechtliche Absicherung. Wer auf der sicheren Seite sein will, kombiniert das mit einem Cookie-Consent-Banner, der § 25 TDDDG (ehemals TTDSG) entspricht, und der entsprechenden Datenschutzerklärung.

Was sagen Datenschutzbeauftragte dazu?

Datenschutzbeauftragte (DSB) betonen, dass der Websitebetreiber selbst verantwortlich ist – Cloudflare stellt zwar die Werkzeuge bereit, aber die korrekte Umsetzung liegt beim Betreiber. Das bedeutet: Ein AV-Vertrag muss abgeschlossen, die Datenschutzerklärung aktualisiert und die technische Konfiguration so gewählt werden, dass möglichst wenig personenbezogene Daten verarbeitet werden. Bei sensiblen Daten empfehlen DSBs zusätzlich eine Datenschutz-Folgenabschätzung.

DSBs empfehlen in vielen Fällen auch, Cloudflare nur mit Einwilligung per Cookie-Banner zu laden – insbesondere wenn personenbezogene Daten ohne ausreichende Pseudonymisierung verarbeitet werden.

Mögliche Risiken

  • US-Zugriffsrechte: Auch mit SCCs und DPF besteht ein Restrisiko, dass US-Behörden auf personenbezogene Daten zugreifen könnten.
  • Reverse Proxy: Cloudflare verarbeitet bei vollständigem Einsatz sämtlichen Traffic, inkl. personenbezogener Daten.
  • Fehlkonfiguration: Ohne Datenschutzbewusstsein kann Cloudflare zu viele Daten speichern oder übertragen.

Deshalb ist die Begleitung durch einen DSB empfehlenswert – insbesondere bei größeren Websites, Online-Shops oder sensiblen Angeboten (z. B. Gesundheitsdaten).

Perspektive: DSGVO-Konformität ist möglich – bei richtiger Umsetzung

Cloudflare bietet heute umfassende technische und rechtliche Werkzeuge, um DSGVO-konform eingesetzt zu werden. Aber: Die Verantwortung liegt nicht bei Cloudflare, sondern beim Websitebetreiber.

Wer den AV-Vertrag abschließt, die Datenschutzerklärung anpasst, Cloudflare-eigenes Tracking reduziert und Third-Party-Scripts über Zaraz mit sinnvollen Einstellungen routet, kann Cloudflare ohne DSGVO-Ärger nutzen.

Checkliste: DSGVO-konformer Einsatz von Cloudflare

  • DPA / AV-Vertrag mit Cloudflare abgeschlossen (inkl. SCC)
  • Datenschutzerklärung aktualisiert
  • TLS-Verschlüsselung aktiviert
  • Logging-Einstellungen geprüft
  • IP-Truncation in Firewall / Web Analytics aktiviert (IPv4 auf /16, IPv6 auf /48)
  • Cloudflare-eigenes Tracking (Web Analytics, Insights-Skript) deaktiviert oder bewusst aktiviert
  • Bei Zaraz + Google Analytics: Audience auf false gesetzt
  • Nur notwendige Daten verarbeitet
  • Einsatz ggf. im Cookie-Consent-Banner geregelt
  • DSB eingebunden

Workers und DSGVO: Zusätzliche Fallstricke

Wer Cloudflare nicht nur als CDN, sondern auch mit Workers, Workers AI oder Vectorize betreibt, muss über die CDN-Konfiguration hinaus denken.

Worker-Ausführungsregion: Ohne explizite Konfiguration entscheidet Cloudflare nach Latenz, wo ein Worker läuft — das kann außerhalb der EU sein. EU-only Ausführung erfordert die Data Localization Suite oder explizite Region-Einschränkung über cf-worker-execution-region. Smart Placement (Performance-Optimierung) sollte bei EU-Pflicht deaktiviert werden.

KV ist global verteilt: Workers KV repliziert Daten weltweit. Personenbezogene Daten in KV — auch gecachte Inhalte oder Session-Daten — sind ohne Data Localization Suite nicht auf die EU beschränkt.

Workers Secrets: Verschlüsselt gespeichert, aber ebenfalls global, nicht EU-only by default.

Für KI-spezifische DSGVO-Fragen (Workers AI, Vectorize, R2 im RAG-Kontext) gibt es einen eigenen Artikel in der Serverless-AI-Serie.

Das Dilemma bei vollständiger Cloudflare-Integration

Ein praktisches Problem bleibt: Wird Cloudflare als Reverse Proxy für die gesamte Website eingesetzt, ist eine Einwilligung vor der ersten Datenverarbeitung technisch kaum umsetzbar. Bereits beim ersten Seitenaufruf – noch bevor ein Cookie-Banner erscheinen kann – verarbeitet Cloudflare die IP-Adresse und weitere Verbindungsdaten des Nutzers.

In der Praxis argumentieren viele Websitebetreiber daher mit einem berechtigten Interesse an Sicherheit und DDoS-Schutz (Art. 6 Abs. 1 lit. f DSGVO). Diese Argumentation ist jedoch rechtlich nicht abschließend geklärt. Bisher sind keine Bußgelder speziell für diesen Anwendungsfall bekannt – das bedeutet allerdings nicht, dass die Rechtslage eindeutig ist.

Das EuGH-Urteil C-511/21 (2025) hat IP-Adressen erneut als personenbezogene Daten bestätigt und unterstreicht, dass ihre Verarbeitung durch einen Reverse Proxy einer Rechtsgrundlage bedarf — Einwilligung oder berechtigtes Interesse. Wer sich auf berechtigtes Interesse stützt, sollte das in einer Interessenabwägung dokumentieren. Ob sich das mit der geplanten ePrivacy-Reform ändert, beleuchtet der nächste Abschnitt.

Wie sich der Rechtsrahmen entwickelt – zugunsten von Cloudflare?

Die bisherige Betrachtung zeigt vor allem, wie Cloudflare sich an EU-Recht anpasst. Die interessantere Frage ist die andere: Bewegt sich der Rechtsrahmen selbst auf Dienste wie Cloudflare zu?

Digital Omnibus und ePrivacy-Reform: Die EU-Kommission hat mit dem Digital Omnibus ausdrücklich das Ziel formuliert, die Einwilligungspflicht für technisch notwendige Verarbeitung zu lockern. Konkret: Berechtigtes Interesse soll als Rechtsgrundlage für Cookies und ähnliche Technologien ausreichen, wenn Sicherheits- oder Funktionszwecke vorliegen. Tritt das in Kraft, wäre der Reverse-Proxy-Betrieb mit Cloudflare rechtlich deutlich einfacher zu begründen — ohne Cookie-Banner-Konstruktionen für infrastrukturelle Datenverarbeitung. Frühester Zeitpunkt: 2027.

EU-US Data Privacy Framework: Das DPF von 2023 ist stabiler als seine Vorgänger Safe Harbor und Privacy Shield. Die EU-Kommission hat es nach umfassender Verhandlung erlassen; ein erneuter Kippeffekt ist möglich, aber politisch auf beiden Seiten weniger gewollt als zuvor. Solange das DPF Bestand hat, ist die Datenübermittlung in die USA für Cloudflare auf solider rechtlicher Basis — kein Behelf, sondern ein anerkannter Mechanismus.

Pragmatismus in der Aufsichtspraxis: Europäische Datenschutzbehörden unterscheiden zunehmend zwischen strukturell problematischen Diensten (z. B. unkontrolliertes Tracking, Profiling) und infrastruktureller Verarbeitung mit klaren Zweckbindungen. Cloudflare — mit AV-Vertrag, DPF-Zertifizierung, IP-Truncation und konfigurierbarem Logging — fällt in eine andere Risikokategorie als Werbenetzwerke. Das zeigt sich darin, dass bisher keine Aufsichtsbehörde gezielt gegen CDN-Betreiber mit korrekt abgeschlossenen Verträgen vorgegangen ist.

Was sich nicht ändert: Der US CLOUD Act bleibt. Behördlicher Zugriff auf Daten bei US-Unternehmen ist rechtlich möglich, auch wenn er praktisch selten ist. Eine vollständige Auflösung dieses Spannungsfelds hängt von transatlantischen Verhandlungen ab, nicht von Cloudflares Compliance-Arbeit. Für Betreiber mit besonders schutzwürdigen Daten — Gesundheit, Justiz, kritische Infrastruktur — bleibt das ein echter Ausschlussgrund.

Die Richtung stimmt: Sowohl Cloudflare als auch der europäische Rechtsrahmen bewegen sich aufeinander zu. Das macht den Einsatz heute pragmatisch vertretbar — und könnte ihn in zwei bis drei Jahren für viele Anwendungsfälle ohne nennenswerte Einschränkungen möglich machen.

Warum ich Cloudflare nutze

Cloudflare hat sich in den letzten Jahren von einem reinen CDN- und Proxy-Anbieter zu einer umfassenden Edge-Plattform entwickelt. Neue Funktionen werden durchdacht eingeführt und erweitern das Angebot kontinuierlich – ohne dass bestehende Integrationen darunter leiden.

Ich nutze Cloudflare, weil die Plattform technologisch dort ist, wo ich mit meinen Projekten hin möchte. Das gesamte Angebot ist darauf ausgerichtet, Best Practices für kleine bis mittelgroße Projekte zu ermöglichen.

Die Bedenken hinsichtlich Datenschutz und Abhängigkeit teile ich. Der eigentliche Fehler liegt jedoch woanders: Kein europäischer Dienst fügt sich so nahtlos in Serverless-Architekturen ein wie Cloudflare.

Deutsche Behörden verzichten konsequent auf Cloudflare und setzen stattdessen auf souveräne Lösungen wie die Deutsche Verwaltungscloud oder Anbieter wie Myra Security. Das ist nachvollziehbar – für staatliche Stellen gelten besondere Anforderungen an Datenhoheit und Unabhängigkeit vom US CLOUD Act. Für kleine und mittelständische Unternehmen sieht die Realität jedoch anders aus: Europäische Alternativen sind oft deutlich teurer oder bieten nicht denselben Funktionsumfang. Cloudflare hingegen stellt viele Basisfunktionen kostenlos zur Verfügung – ein Argument, das für Unternehmen mit begrenztem Budget schwer wiegt.

Es fehlt an einem vergleichbaren europäischen Angebot. Die DSGVO-Regeln zu lockern oder den US CLOUD Act zu tolerieren, kann maximal eine Übergangslösung sein.

Quellen