gekennzeichnet.
Cloudflare ist ein sogenanntes Content Delivery Network (CDN). Es wird häufig aus Gründen der Bequemlichkeit verwendet, aber auch, um Inhalte möglicherweise schneller zu laden. Dies ist einwilligungspflichtig, wie die aktuelle Rechtsprechung zeigt.
Cloudflare ist anfällig für Malware
Cloudflare DNS ist anfällig für Malware. Die erste der Top 100 Domänen im Cloudflare Domain Ranking , das die angeblich populärsten Domänen weltweit aus Sicht von Cloudflare darstellt.
Die Statistik auf der Cloudflare Webseite zeigt für den 03.11.2025 folgendes Bild:
An erster und dritter Stelle waren Domänen, die von Cloudflare als Malware ausgewiesen wurden. Cloudflare hatte die Namen dieser Domänen nach dem 03.11.2025 unkenntlich gemacht. Allerdings sind die Klarnamen von anderen Besuchern der Webseite gesehen worden. Die originalen Spyware-Domain-Namen sind diese:
Die TLD-Endung .st steht für São Tomé und Príncipe, ein Inselstaat im Golf von Guinea.
Die auf Rang drei genannte Domäne ist direkt als „Spam-Domäne“ erkennbar.
Soviel zum Thema Sicherheit bei Cloudflare.
Cloudflare als CDN
Ob mit Cloudflare Inhalte schneller geladen werden als bei lokaler Dateiablage oder bei Abruf von anderen Servern, möchte ich hier nicht weiter untersuchen. Es spielt hier keine wesentliche Rolle. Vielmehr geht es darum, ob Cloudflare rechtskonform genutzt werden kann. Mit der obigen Bequemlichkeitsaussage meine ich Folgendes: Viele binden lieber einen Link auf eine Datei ein, als die Datei lokal abzulegen. Die lokale Dateiablage ist oft möglich und wäre dann in sich datenschutzkonform.
Motivation für diesen Beitrag ist das folgende Urteil des OLG Köln. Es zeigt, dass Cloudflare mehr als ein reiner Kurzzeitspeicher ist. Zudem zeigt es, dass Cloudflare anscheinend nicht an der Aufklärung rechtswidriger Vorgänge durch Kunden interessiert ist.
Wie das OLG Köln am 09.10.2020 (Az.: 6 U 32/20) feststellte, haftet der Diensteanbieter Cloudflare für das bereitgestellte Content Delivery Network (CDN) mit. Inhalte, die auf dem CDN abgelegt sind und gegen Urheberrechte verstoßen, sind demnach auch Cloudflare anzulasten. Die Bedingungen des § 8 TMG zum Haftungsausschluss gälten nicht (das TMG heißt mitllerweile DDG). Insofern kann auch § 9 TMG keine Anwendung finden, der einen Haftungsausschluss für kurzzeitige Datenspeicherungen ermöglicht.
Cloudflare ist demnach vielmehr ein Diensteanbieter gemäß § 2 S. 1 Nr. 1 TMG. Denn Cloudflare beschränkt sich nicht auf die reine Übermittlung, sondern speichert unstreitig Inhalte der Webseiten ihrer Kunden auf ihren eigenen Servern zwischen.
Am 28.04.2021 hatte der Europäische Datenschutzausschuss vermeldet, dass die Portugiesische Datenschutzbehörde den Datentransfer über Cloudflare im Rahmen des Census (Volkszählung) wegen des Datentransfers in die USA ausgesetzt hatte.
Cloudflare speichert Inhalte von Kundenwebseiten nicht nur solange, wie dies zur bloßen Übermittlung erforderlich ist. Der CDN-Betreiber gilt selbst zu, die Speicherung auch deswegen vorzunehmen, um die Anzahl der Aufrufe auf die Seiten ihrer Kunden zu reduzieren. Auch die Beschleunigung von Seitenaufrufen und der Schutz von Kundenwebseiten werden als Gründe bestätigt. Insbesondere bösartige Besucher sollen blockiert werden. Von einer kurzzeitigen Datenspeicherung kann also nicht die Rede sein.
Daraus ergibt sich eindeutig, dass das Speichern auf den Servern von Cloudflare nicht allein der Übermittlung der angefragten Informationen dient. Dies ist richtig, weil Cloudflare ein sogenannter Reverse Proxy ist.
Ein CDN ist kein reiner Telekommunikationsdienst, sondern übernimmt auch wesentlich andere Aufgaben als die reine Nachrichtenübertragung. Vgl. hierzu § 3 Nr. 61 TKG.
Meine Erkenntnis.
Das Gericht nimmt an, dass Cloudflare sogenannte Spiegel-Server (Mirror) betreibe, um Informationen redundant zu halten. Dies entspricht meiner Kenntnis nach den Tatsachen.
Cloudflare betreibt DNS Resolver, um eine Domänen-Adresse in eine IP-Adresse umzuwandeln. Dies ist allerdings nicht spezifisch für ein CDN wie dieses, sondern findet immer statt.
Das Gericht stellt fest, dass Cloudflare laut Eigenwerbung Rechtsverstöße von Kunden, die Inhalte auf dem CDN ablegen, nicht verfolgen wird. Das von Cloudflare genannte Trusted Reporter Programm sei nicht glaubwürdig und wäre auch im o.g. Rechtsstreit nicht durchgesetzt worden, um die IP-Adresse eines Anbieters illegaler Inhalte mitzuteilen. Eine Sperrung illegaler Inhalte durch einen Wortfilter auf Domänenebene sei laut Cloudflare nicht möglich, was das Gericht zurecht als nicht zutreffend ansah.
Insgesamt übernimmt Cloudflare anscheinend also keine Verantwortung für gehostete Inhalte und kümmert sich auch nicht um die Klärung der Frage, ob ein Anbieter oder Inhalt rechtskonform ist oder nicht.
Damit ist eine DSGVO-konforme Nutzung des Cloudflare CDN aus meiner Sicht nicht möglich. Ein AVV jedenfalls scheidet aus. Das Vereinbaren einer gemeinsamen Verantwortlichkeit wäre Selbstmord. Geeignete Garantien (wie Corporate Binding Rules oder Standardvertragsklauseln) können nicht rechtskonform abgeschlossen werden.
Wer wissen möchte, von welchem Server mit welchem Serverstandort eine Datei abgerufen wurde, wird bei Cloudflare wahrscheinlich keine Information erhalten. Diese müsste ein Webseitenbetreiber (bzw. die verantwortliche Stelle) aber liefern können, um möglicherweise zu beweisen, dass kein Datentransfer in unsichere Drittländer stattgefunden hat.
Wenn der Server, von dem eine Datei für eine Webseite abgerufen wurde, nicht in einem unsicheren Drittland steht, muss noch die Frage beantwortet werden, wie es mit dem Anbieter selbst aussieht:
Laut Datenschutzerklärung der Cloudflare Webseite ist Cloudflare ein Unternehmen mit Sitz in den USA.
Bei meinem testweisen Abruf einer Webseite, die Cloudflare einsetzt, wurde die IP-Adresse 104.16.148.64 abgerufen. Zu dieser IP-Adresse liefert ein IP Lokationsdienst folgende Informationen (Stand: 31.03.2021):
Offenbar findet ein Datentransfer statt, der in Zusammenhang mit einem unsicheren Drittland steht. Dies ist gemäß Art. 44 DSGVO nur nach Einwilligung erlaubt. Zur Bedeutung des Eintrags:
Der Standort von Servern kann in der Regel über deren IP-Adresse nicht zuverlässig bestimmt werden. Allerdings reicht es, um in die Privacy-Shield-Problematik zu laufen, dass der Betreiber des Servers einen US-Bezug hat. Hier ist der Provider Cloudflare genannt. Cloudflare ist ein amerikanisches Unternehmen, auf dessen Daten amerikanische Geheimdienste Zugriff haben können. Dem Geheimdienst ist es egal, wo Cloudflare seine Server stehen hat. Schließlich kann über ein Terminal auf jeden Server der Welt zugegriffen werden, für den die Zugangsdaten bekannt sind. Auch europäische Töchter von Cloudflare (sofern es diese gibt) ändern daran wenig, weil die Assets in den USA liegen. Die US-Mutter ist weisungsbefugt gegenüber den EU-Töchtern. Falls dies anders wäre, müsste und könnte es die amerikanische Mutter ja nachweisen. Derartige Nachweise wurden bisher weder von Google noch von Microsoft und auch nicht von Cloudflare erbracht.
Fazit
Neueste Vorfälle zeigen, dass Cloudflare sehr sensibel auf Störungen reagiert und anscheinend leicht manipulierbar ist. Die Sicherheit dieses Dienstes, der Sicherheit garantieren soll, darf in Frage gestellt werden.
So groß der Nutzen von Cloudflare für manche auch sein mag, der Dienst darf erst nach Einwilligung eingesetzt werden. Zudem stellt sich die Frage, ob eine rechtskonforme Einwilligung eingeholt werden kann, weil die Informationspflichten aus Art. 13 DSGVO hier nur schwierig oder eventuell auch gar nicht zu erfüllen sind.
Wer Cloudflare nutzt, um eine schnellere Ladezeit seiner Webseite zu erreichen, sollte besser zuerst darauf achten, dass alle anderen lokalen Maßnahmen zur Geschwindigkeitssteigerung ausgeschöpft wurden. Beispielsweise optimieren viele ihre Bilder nicht, setzen aber ein vorgeblich superschnelles CDN ein.
Übrigens ist Akamai ein weiterer populärer CDN-Anbieter. Akamai wird von Cookiebot eingesetzt, weswegen das VG Wiesbaden Cookiebot für rechtswidrig erklärte.
Cloudflare hat das Cookie __cfduid ohne echte Begründung abgeschafft. In einem weiteren Beitrag gibt Cloudflare allerdings zu, dass weitere Cookies angeblich technisch notwendig seien (weswegen dafür sicher keine Einwilligung abgefragt wird).
Da Cloudflare an sich sehr fragwürdig erscheint, was die Einhaltung von Datenschutzregeln angeht, sehe ich das Produkt Turnstyle von Cloudflare, welches eine CAPTCHA Alternative sein soll, als nicht lohnenswert an.
Siehe auch einen Beitrag von Netzpolitik zu Cloudflare.
Kernaussagen dieses Beitrags
Cloudflare is anfällig für Malware und lässt sich leicht manipulieren.
Cloudflare ist kein einfacher Übermittler von Daten, sondern speichert Inhalte länger als nötig und ist daher für die Inhalte auf seinen Servern verantwortlich.
Die Nutzung von Cloudflare ist aus Datenschutzgründen problematisch, da das Unternehmen keine Verantwortung für illegale Inhalte übernimmt und Daten möglicherweise an US-Geheimdienste weitergegeben werden können.
Cloudflare, ein Dienst zur Beschleunigung von Webseiten, wirft Datenschutzbedenken auf und sollte nur genutzt werden, wenn alle anderen Möglichkeiten zur Geschwindigkeitssteigerung ausgeschöpft wurden.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 
Moin Herr Meffert,
können Sie ein CDN nennnen, das DSGVO-konform eingesetzt werden kann?
Ich hatte überlegt, bunnyCDN einzusetzen, die Testphase war auch sehr zufriedenstellend.
https://bunny.net/gdpr
Firmensitz und Server innerhalb der EU, es werden keine Heeader-Cookies gesetzt, ich sehe daher keine Probleme mit dem CDN-Betreiber, wie sehen Sie das?
Das von Ihnen genannte CDN kenne ich namentlich und hatte es mir vor einiger Zeit auch mal angesehen.
Für mich steht fest, dass es besser als Cloudflare ist, und womöglich auch DSGVO-konform.
EU-Firmensitz ist schon mal ein großes Plus. Muttergesellschaft in der EU wäre ein weiteres Plus (ich vermute, das ist hier gegeben).
Mehr kann ich dazu leider nicht sagen. Ich würde es aber ad hoc empfehlen, wenn ansonsten nur CloudFlare, Akamai o.ä. zur Diskussion steht.
Hallo zusammen,
vielen Dank für die Ausführungen und den Kommentar.
Mit demselben Argument (Firmensitz in DE) könnte m.E. auch Myra Security CDN
https://www.myrasecurity.com/de/content-delivery-network/global-cdn/
zumindest "datenschutzkonformer" als Cloudflare, Akamai, Amazon CloudFront o.Ä. eingesetzt werden.
Nach eigenen Angaben liegt der Myra Global CDN-Schwerpunkt in Deutschland; zudem besteht die Möglichkeit, die CDN-Auslieferung auf Deutschland zu beschränken.
Ich höre gerne eure Einschätzung hierzu!
Ja, ein deutscher Anbieter weist m.E. erfahrungsgemäß in jeder Hinsicht einen besseren Datenschutz auf als ein amerikanischer Anbieter wie Cloudflare oder Akamai.
Wenn der Serverstandort dann noch Deutschland ist, umso besser.
Cloudflare hat eine laengere Abhandlung ueber die DSGVO: https://www.cloudflare.com/de-de/gdpr/introduction/
Bei der IP Addresse nach irgendeiner geoip Datenbank zu gehen ist nur bedingt sinnvoll. Die sind nicht immer aktuell und das Land das da steht ist manchmal nur Sitz der Firma aber nicht der IP. Wenn ich die IP anpinge bekomme ich sehr kurze Zeiten. Die IP ist definitiv nicht in den USA sondern wird irgendwo in Frankfurt oder zumindest in Deutschland sein. Sinn eines CDN ist ja die Last global zu verteilen und moeglichst kurze Strecken zum Kunden zu haben. Cloudflare und jeder andere groessere CDN Anbieter haben zig Rechenzentren in Deutschland wo der Traffic terminiert wird.
Der genannte Link zeigt auf eine "Selbstverpflichtung". Diese ist effektiv ohne großen Wert. Im verlinkten Dokument sind zudem die US-amerikanischen Überwachungsgesetze thematisiert, an die sich Cloudflare halten möchte, sofern kein Ärger mit dem eigenen Land (USA) heraufbeschworen werden soll.
Jeder kann sich fragen: Was wird eine Firma aus den USA wohl mehr respektieren?
a) einheimische (USA) Überwachungsgesetze und Präsidentenverfügungen
b) DSGVO von irgendwo anders (= Europa)
Kurzfassung:
US-Anbieter = Problem
Nur eine effektive Verschlüsselung, so dass der US-Anbieter selbst keinen Zugriff auf den Schlüssel und die entschlüsselten Daten hat, können ein wirksamer Schutz sein. Das geht dummerweise mit Cloudflare nicht, weil die IP-Adresse des Nutzers nicht verschlüsselt werden kann, da diese Adresse technisch notwendig ist. Für einen Brief ohne bekannten Absender kann die Antwort eben nicht zugestellt werden.
Heißt das auch, dass ich keine Postkarte aus den USA nach Deutschland schicken darf? Die Empfängeradresse wird ja vom US-Postamt für die korrekte Zustellung verarbeitet und enthält unmittelbar personenbezogene Daten.
Am besten einen Anwalt fragen 😉
Jedenfalls lassen sich mit einer Postkarte keine Bewegungsprofile erstellen (außer, die Postkarte enthält einen GPS-Sender o.ä. und der Empfänger trägt sie nach dem Erhalt mit sich herum).
Die Analogie zur Postkarte wäre möglicherweise eine kontextlose IP-Adresse. Kontextlos = ohne Bezug zu irgend einer Internet-Aktivität. Die Adresse der Postkarte stammt ja aus einer Art (öffentlichem) Verzeichnis. Es wäre bei der Postkarte vielleicht so, als würde Google eine Nachricht an einen Nutzer schicken. Die Analogie ist nur ein erster Schuss zur Veranschaulichung und erhebt keinen Anspruch darauf, perfekt zu sein.
Zu Fastly CDN habe ich die Information von einem Webhoster erhalten, in der bei ihm verwendeten CDN-Konfiguration erfolge keine Speicherung personenbezogener Daten bei Fastly.
Halten Sie das technisch grundsätzlich für nachvollziehbar?
Das ist an sich schon möglich, jedoch nicht wirklich relevant:
Geschützt durch die DSGVO sind sämtliche Datenverarbeitungen, nicht nur die Speicherung (siehe Art. 4 Nr. 1 DSGVO).
Ferner können amerikanische Behörden und Geheimdienste jederzeit eine Ausleitung der Fastly-Daten anordnen, womit effektiv eine Speicherung stattfindet.
Ich muss hier bzgl. der IP-Adresse etwas korregieren.
Die angezeigten Daten sind die bei der IP-Registry hinterlegten "IPsubnet Besitzer".
Nur weil der IP-Inhaber laut Registry in Amerika ist, heißt es nicht, dass die IP-Adresse nach Amerika gerouted wird.
Sie haben Recht. Die Darstellung war ungenau. Ich habe unter der Angabe zur IP-Adresse/Registrierung weitere Informationen hinzugefügt. Es kommt gar nicht auf den Server-Standort an, wenn der Betreiber ein US-Unternehmen ist oder wenn ein US-Unternehmen Zugriff auf den Server haben kann (etwa Muttergesellschaft).
Der Serverstandort wäre "nur" dann wirklich relevant, wenn beispielsweise eine deutsche Firma der Betreiber des Servers wäre.
Es ist also noch einfacher als viele denken: Wo ein Server steht, ist bei Cloudflare als US-Unternehmen irrelevant. Sicher stimmen Sie mir zu: Man kann mit einem Terminal-/Shell-/SSH-Zugang auf jeden seiner Server zugreifen, egal wo diese auf diesem Planeten stehen (auch ein Zugriff auf Server auf anderen Planeten oder Flugkörpern außerhalb der Erde ist technisch möglich, sofern das irgendwann mal kommen sollte).
Somit kann der US-Geheimdienst zu Cloudflare sagen: Die DSGVO interessiert uns nicht. Wir sind hier in Amerika. Du, Cloudflare, gibst uns jetzt aufgrund dieses Beschlusses Zugang zu dem Server X, der in Europa steht. Ende der Diskussion.
Kann ich davonausgehen, dass die Datenübertragung an das US-Unternehmen Cloudfare mittlerweile als datenschutzkonform angesehen wird, da das Unternehmen im Rahmen des Data Privacy Frameworks den am 10. Juli 2023 neu verabschiedeten Angemessenheitsbeschluss erfüllt?
https://www.dataprivacyframework.gov/s/participant-search
Nein, denn es sind weitere Prüfungen erforderlich.
Zunächst muss geprüft werden, ob Cloudflare einen gültigen AVV o.ä. anbietet, der DSGVO konform ist.
Weiterhin müssen alle Auftragsverarbeiter, die Cloudflare einsetzt, geprüft werden. Dazu gehört auch eine Prüfung der Rechtslagen in den jeweiligen Ländern der Auftragsverarbeiter.
Weiterhin muss geprüft werden, ob die von Cloudflare verwendeten Cookies (sofern verwendet) und Datentransfers (sofern nicht notwendig) einwilligungsfrei sind.
Meines Wissens bietet Cloudflare inzwischen die Möglichkeit an, die Daten in Europa zu halten. Ich habe dies nicht gelesen oder überprüft, sondern nur schnell rausgesucht.
https://cf-assets.www.cloudflare.com/slt3lc6tev37/1Q4mtd7RL9I6UyCEYYsQPk/8890f186127160d81af321f6d222120a/Whitepaper_How-Cloudflare-helps-address-data-protection-and-locality-obligations-in-Europe_German_20220706.pdf
Auf den Standort von Servern kommt es letztendlich nicht an. Europa ist gut, aber nicht ausreichend. Wenn jemand aus den USA zugreifen kann, ändert ein Server in Europa die Lage kaum.
Hier habe ich es beschrieben:
https://dr-dsgvo.de/der-standort-eines-servers-und-dessen-relevanz-fuer-die-dsgvo/
Hallo, ich nutzte bisher Cloudflare primär als Web Application Firewall und DDOS Schutz. Kann mir hier jemand eine Alternative empfehlen aus Deutschland? Bis auf Myra Security hab ich nichts gefunden und die kann ich mir beim besten willen nicht leisten. MS, AWS ist für mich keine Option. CDN etc. ist mir egal. Aber meines Erachtens gibt es keine Cloudflare Alternative für den Europäischen Markt.
Vielleicht ist Link11 aus Deutschland eine Möglichkeit?
Ändert die Erklärung von 2024 https://www.cloudflare.com/de-de/privacypolicy/ irgendetwas an ihrer Einschätzung von cloudflare?
Mit besten Grüßen
Erklären kann man viel, siehe Microsoft. Was genau soll die Erklärung ändern?
Guten Tag Zusammen,
beim Einsatz unseres CDNs (zum Einen Aufgrund der Performance, aber auch Abwehr gegen Attacken) haben wir uns bisher auf das berechtigte Interesse gestützt. Nach der Entscheidung des EuGH vom 9. Jänner 2025 zeigt, dass Informationspflichten und berechtigtes Interesse eng verknüpft sind. Das Urteil – ergangen in der Rechtssache C-394/23.
Lt. Kommentar von https://www.geuer.at/2025/01/28/informationspflichten-und-berechtigtes-interesse/ muss man der Informationspflicht zum Zeitpunkt der Verarbeitung nachkommen. Wie soll das beim Laden der Website funktionieren? Wollen wir wirklich bei jedem Websitebesuch zuerst den User informieren, dass nun eine Verarbeitung durch einen CDN stattfindet? Der Informationspflicht im Cookie-Consent PopUp nachzukommen, halte ich auch für nicht richtig, da die Verarbeitung durch den CDN ja dann bereits abgeschlossen ist.
Hat irgendwer einen Praxistipp?
Es ist analog zu IP-Adressen und technisch notwendigen Cookies: Diese werden beide verarbeitet, bevor der Nutzer vernünftigerweise informiert werden kann.
Demnach kann man auch davon ausgehen, dass Datenverarbeitungen, die im berechtigten Interesse sind (oder durch andere Rechtsgrundlage legitimiert sind), stattfinden können, bevor der Nutzer die Chance hat, darüber informiert zu sein.