Cloudflare und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Cloudflare ein, leitet er sämtliche Aufrufe seiner Webseite über die globale Cloudflare-Infrastruktur. Cloudflare verarbeitet dabei Webserver-Protokolldaten, blockiert verdächtige Anfragen, beschleunigt die Auslieferung von Inhalten und schützt die Webseite vor Angriffen wie DDoS-Attacken. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten Cloudflare nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und welche Pflichtangaben dazu in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Cloudflare

Cloudflare ist ein US-amerikanischer Anbieter von Content-Delivery-Network-, DDoS-Schutz-, Web Application Firewall- und Sicherheits-Services. Setzt ein Webseitenbetreiber Cloudflare ein, werden DNS-Anfragen für seine Domain so konfiguriert, dass sämtliche Aufrufe zunächst über die Cloudflare-Infrastruktur (das „Edge-Netzwerk") geleitet werden. Cloudflare prüft die Anfragen, blockiert verdächtige Anfragen, liefert zwischengespeicherte Inhalte (Bilder, CSS, JavaScript) aus dem nächstgelegenen Rechenzentrum aus und reicht legitime Anfragen an den Origin-Server des Webseitenbetreibers weiter.

Diese Seite konzentriert sich auf die typische Integrations-Funktion Cloudflare als Reverse-Proxy (CDN, DDoS-Schutz, Web Application Firewall, Bot-Management). Cloudflare bietet darüber hinaus weitere Funktionen (Cloudflare Workers, Cloudflare Stream, Cloudflare Zero Trust, Cloudflare R2), die hier nicht primär behandelt werden und im Einzelfall durch den Webseitenbetreiber separat zu prüfen sind. Auch Cloudflare Web Analytics, das eine eigenständige Analyse-Komponente ist, wird hier nicht behandelt.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Cloudflare

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von Cloudflare sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Cloudflare mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, CDN, Captcha …) beschreibt und Cloudflare lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Cloudflare

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Cloudflare Germany GmbH, Rosental 7, c/o Mindspace, 80331 München, Deutschland, oder die Cloudflare, Inc., mit Sitz in 101 Townsend Street, San Francisco, CA 94107, USA. Welche Konzerngesellschaft im Einzelfall Vertragspartner ist, ist vom Webseitenbetreiber anhand der Bestell- und Vertragsunterlagen zu prüfen.

Die Cloudflare, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status ist unter https://www.dataprivacyframework.gov/s/participant-search verifizierbar. Ergänzend kommen EU-Standardvertragsklauseln zum Einsatz. Cloudflare bietet zudem eine „EU Data Boundary"-Konfiguration, mit der eine Datenverarbeitung innerhalb der EU bevorzugt werden kann.

Die Datenschutzhinweise von Cloudflare sind abrufbar unter https://www.cloudflare.com/privacypolicy/. Der Auftragsverarbeitungsvertrag (Data Processing Addendum) wird unter https://www.cloudflare.com/cloudflare-customer-dpa/ bereitgestellt. Eine Liste der Subprozessoren ist unter https://www.cloudflare.com/gdpr/subprocessors/ abrufbar.

D. Datenverarbeitung durch Cloudflare – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Cloudflare

Im Zusammenhang mit Cloudflare werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, User-Agent, Statuscode der Serverantwort, übertragene Datenmenge sowie sicherheits- und betrugsrelevante Signale (Bot-Indikatoren, Geräte-Fingerabdrücke, Anfragemuster) verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort, übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Technische Telemetriedaten: Ladezeiten, Datenvolumen, technische Fehlermeldungen.

Setzt der Webseitenbetreiber zusätzlich Cloudflare Turnstile (Captcha-Funktion) ein, kommen Klickpfade und Interaktionsdaten hinzu.

F. Nutzungszwecke beim Einsatz von Cloudflare

Webseitenbetreiber nutzen Cloudflare typischerweise zur sicheren und performanten Auslieferung der eigenen Webseite, zur Abwehr von DDoS-Attacken und Angriffen auf Anwendungs- und Netzwerkebene, zur Bot-Erkennung und -Filterung sowie zur Beschleunigung der Inhaltsauslieferung über das globale Edge-Netzwerk.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Auslieferung angefragter Inhalte (Caching), Funktionsbereitstellung der Webseite, Fehlererkennung und -behebung.
• Sicherheit und Missbrauchsschutz: Erkennen, Verhindern und Beenden von Angriffen (z. B. DDoS), Bot- und Spam-Abwehr, Web Application Firewall, Erkennung anomaler Anfragemuster.
• Allgemeine Produktverbesserung: Auswertung aggregierter Performance- und Sicherheitsdaten zur Optimierung der eigenen Infrastruktur.

G. Rechtsgrundlagen beim Einsatz von Cloudflare

In einem ersten Schritt ist Cloudflare einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus den Kategorien CDN und Serverbetrieb/Hosting, ergänzt um Funktionen der Kategorie Captcha (Cloudflare Turnstile) und der Web Application Firewall.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für CDN, DDoS-Schutz und Web Application Firewall: berechtigte Interessen an Funktionsbereitstellung, Sicherheit, Missbrauchsschutz, Effizienz und Rechtsausübung nach Art. 6 Abs. 1 lit. f DSGVO.
• Für technisch erforderliche Cookies oder vergleichbare Speicherzugriffe (z. B. zur Sicherheits- und Sitzungssteuerung wie das __cf_bm-Cookie): regelmäßig § 25 Abs. 2 Nr. 2 TDDDG (Erforderlichkeitsausnahme), sofern der Speicherzugriff zur Bereitstellung des ausdrücklich vom Nutzer gewünschten Dienstes (z. B. einer sicheren Webseite) unbedingt erforderlich ist.
• Soweit Cloudflare Turnstile mit Tracking-Komponenten oder Cloudflare Web Analytics eingesetzt werden, ist zusätzlich § 25 Abs. 1 TDDDG und ggf. eine Statistik- oder Marketing-Einwilligung in Betracht zu ziehen.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Konfiguration und den eingesetzten Cloudflare-Funktionen ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Cloudflare

• AVV/DPA: Cloudflare stellt unter https://www.cloudflare.com/cloudflare-customer-dpa/ ein Data Processing Addendum bereit; der Abschluss ist beim Einsatz durch deutsche Webseitenbetreiber regelmäßig zwingend.
• Drittlandtransfer / DPF: Cloudflare, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden EU-Standardvertragsklauseln eingesetzt. Cloudflare bietet eine „EU Data Boundary"-Konfiguration an, mit der die Verarbeitung innerhalb der EU bevorzugt werden kann.
• Subprozessoren: Eine Liste ist unter https://www.cloudflare.com/gdpr/subprocessors/ abrufbar.
• Cookies / __cf_bm: Cloudflare setzt zur Bot-Abwehr Cookies wie __cf_bm. Diese gelten nach den öffentlich zugänglichen Angaben des Anbieters regelmäßig als notwendige Sicherheits-Cookies; die rechtliche Einordnung im Einzelfall (insbesondere die Reichweite der Erforderlichkeitsausnahme nach § 25 Abs. 2 TDDDG) ist gleichwohl umstritten.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist eine bewusste Konfiguration der aktivierten Cloudflare-Funktionen, eine Aktivierung der EU Data Boundary, soweit verfügbar, sowie der Abschluss des DPA.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Cloudflare und Datenschutz

J. Fazit zu Cloudflare

Beim Einsatz von Cloudflare leitet der Webseitenbetreiber sämtliche Aufrufe seiner Webseite über die globale Cloudflare-Infrastruktur. Vertragspartner ist regelmäßig die Cloudflare Germany GmbH oder die Cloudflare, Inc.; die Konzernmutter Cloudflare, Inc. ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, die Aktivierung der EU Data Boundary, soweit verfügbar, und eine bewusste Konfiguration der eingesetzten Cloudflare-Funktionen.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Cloudflare einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Serverbetrieb, CDN, Captcha …) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Cloudflare nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com