Sucuri und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Sucuri ein, leitet er sämtliche Aufrufe seiner Webseite über die Sucuri Website Firewall (WAF), die Anfragen auf Angriffe und Bot-Verhalten prüft, verdächtige Anfragen blockiert und legitime Anfragen an den Origin-Server weiterleitet. Diese Seite zeigt Webseitenbetreibern in Deutschland, welche Daten Sucuri nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet, welche Zwecke und Rechtsgrundlagen typischerweise einschlägig sind und welche Pflichtangaben zu Sucuri in die Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Sucuri

Sucuri ist ein US-amerikanischer Anbieter von Website-Security-Services, insbesondere einer Web Application Firewall (WAF), DDoS-Schutz, Malware-Scanning und Incident-Response. Die Sucuri Website Firewall wird typischerweise als Reverse-Proxy eingebunden: Der Webseitenbetreiber konfiguriert seine DNS-Einträge so, dass alle Anfragen an seine Webseite zunächst über die Sucuri-Cloud-Infrastruktur geleitet werden. Sucuri prüft die Anfragen, blockiert verdächtige Anfragen, beschleunigt die Auslieferung über CDN-Funktionen und reicht legitime Anfragen an den Origin-Server weiter.

Diese Seite konzentriert sich auf die Integrations-Funktion Sucuri Website Firewall als Reverse-Proxy (WAF, DDoS-Schutz, CDN). Andere Sucuri-Funktionen (Server-side Malware-Scanner, Incident Response, Sucuri SiteCheck) sind nicht Gegenstand dieser Darstellung und im Einzelfall durch den Webseitenbetreiber separat zu prüfen.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Sucuri

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu Betroffenenrechten und Aufsichtsbehörde tool-bezogen bestimmte Mindestinhalte. Für den Einsatz von Sucuri sind das insbesondere:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO),
• bei berechtigten Interessen die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland übermittelt werden (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO),
• bei nicht direkt erhobenen Daten zusätzlich die Kategorien der Daten (Art. 14 Abs. 1 lit. d DSGVO).

Es ist nicht erforderlich, Sucuri mit einem eigenen Textbaustein in der Datenschutzerklärung aufzuführen, auch wenn diese Praxis weit verbreitet ist. Die „Textbaustein-pro-Tool"-Methode hat sich als schlechte Manier etabliert: Sie führt zu langen, redundanten Texten, macht die Datenschutzerklärung schwer pflegbar und steht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO eher entgegen. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, CDN, Web Application Firewall …) beschreibt und Sucuri lediglich in einem Anhang Empfänger benennt. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Sucuri

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters die Sucuri, Inc., mit Sitz in 100 South Charles Street, Suite 1100, Baltimore, MD 21201, USA. Sucuri gehört zur GoDaddy-Unternehmensgruppe; Konzernmuttergesellschaft ist die GoDaddy Inc.

Sucuri, Inc. bzw. die GoDaddy-Konzerngesellschaften sind nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework (DPF) zertifiziert; der Status ist unter https://www.dataprivacyframework.gov/s/participant-search zu verifizieren. Ergänzend kommen EU-Standardvertragsklauseln zum Einsatz.

Die Datenschutzhinweise von Sucuri sind abrufbar unter https://sucuri.net/privacy/, die GoDaddy-Datenschutzhinweise unter https://www.godaddy.com/legal/agreements/privacy-policy. Informationen zum Auftragsverarbeitungsvertrag (Data Processing Addendum) und zu Subprozessoren stellt Sucuri bzw. GoDaddy im Compliance- bzw. Trust-Bereich bereit.

D. Datenverarbeitung durch Sucuri – Ablauf in Schritten

E. Erhobene Daten beim Einsatz von Sucuri

Im Zusammenhang mit Sucuri werden nach den öffentlich zugänglichen Angaben des Anbieters typischerweise IP-Adresse, Zeitstempel, aufgerufene URL, Referrer, User-Agent, Statuscode der Serverantwort, übertragene Datenmenge sowie sicherheits- und betrugsrelevante Signale verarbeitet.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Zeitstempel, URL, Referrer, User-Agent, Statuscode der Serverantwort, übertragene Datenmenge.
• Endgeräte-Daten: Gerätetyp und Betriebssystem, soweit aus dem User-Agent ableitbar.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: aus der IP-Adresse abgeleiteter Standort auf Stadt- oder Gemeindeebene.
• Technische Telemetriedaten: Ladezeiten, Datenvolumen, technische Fehlermeldungen.

F. Nutzungszwecke beim Einsatz von Sucuri

Webseitenbetreiber nutzen Sucuri typischerweise zur Absicherung der Webseite gegen Angriffe (insbesondere DDoS, SQL-Injection, Cross-Site-Scripting), zur Bot-Erkennung und -Filterung, zur Beschleunigung der Inhaltsauslieferung über CDN-Funktionen und zur Erkennung kompromittierter Server-Inhalte (Malware).

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: technische Auslieferung der Webseite, Caching und Performance-Optimierung.
• Sicherheit und Missbrauchsschutz: Erkennen, Verhindern und Beenden von Angriffen (z. B. DDoS), Bot- und Spam-Abwehr, Web Application Firewall, Erkennung von Malware.
• Allgemeine Produktverbesserung: Auswertung aggregierter Performance- und Sicherheitsdaten zur Optimierung der eigenen Infrastruktur.
• Compliance: Einhaltung gesetzlicher Sicherheitsanforderungen.

G. Rechtsgrundlagen beim Einsatz von Sucuri

In einem ersten Schritt ist Sucuri einer Tool-Kategorie zuzuordnen: Es handelt sich im Schwerpunkt um ein Tool aus den Kategorien Serverbetrieb/Hosting und CDN, ergänzt um Funktionen einer Web Application Firewall.

In einem zweiten Schritt kommen folgende Rechtsgrundlagen typischerweise in Betracht:

• Für WAF, DDoS-Schutz und CDN-Funktionen: berechtigte Interessen an Funktionsbereitstellung, Sicherheit, Missbrauchsschutz, Effizienz und Rechtsausübung nach Art. 6 Abs. 1 lit. f DSGVO.
• Für technisch erforderliche Cookies oder Speicherzugriffe zur Sicherheits- und Sitzungssteuerung: regelmäßig § 25 Abs. 2 Nr. 2 TDDDG (Erforderlichkeitsausnahme), sofern der Speicherzugriff zur Bereitstellung des ausdrücklich vom Nutzer gewünschten Dienstes (sichere Webseite) unbedingt erforderlich ist.

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Konfiguration und den eingesetzten Sucuri-Funktionen ab und ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Sucuri

• AVV/DPA: Sucuri bzw. GoDaddy stellt ein Data Processing Addendum bereit; der Abschluss ist beim Einsatz durch deutsche Webseitenbetreiber regelmäßig zwingend.
• Drittlandtransfer / DPF: Sucuri, Inc. bzw. GoDaddy-Konzerngesellschaften sind nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert; ergänzend werden EU-Standardvertragsklauseln eingesetzt. Dass Sucuri ein global verteiltes Netzwerk betreibt, kann zu Datenverarbeitungen in Drittländern führen.
• Subprozessoren: Eine Liste ergibt sich aus den Sucuri- bzw. GoDaddy-Compliance-Unterlagen.
• Captcha- und Challenge-Funktionen: Bei aktivierten Captcha- oder Challenge-Funktionen kann Sucuri zusätzlich Klick- und Interaktionsdaten erfassen; die rechtliche Einordnung ist im Einzelfall zu prüfen.
• Einstellungen für den Webseitenbetreiber: Empfehlenswert ist der Abschluss des DPA, eine bewusste Konfiguration der aktivierten Sucuri-Funktionen sowie eine Aufnahme von Sucuri im Anhang Empfänger der Datenschutzerklärung.
• Quellenhinweis: Die Angaben beruhen auf öffentlich zugänglichen Veröffentlichungen des Anbieters und ersetzen keine Einzelfallprüfung.

I. Häufige Fragen zu Sucuri und Datenschutz

J. Fazit zu Sucuri

Beim Einsatz von Sucuri leitet der Webseitenbetreiber sämtliche Aufrufe seiner Webseite über die Sucuri Website Firewall, die Angriffe abwehrt und Inhalte beschleunigt ausliefert. Vertragspartner ist die Sucuri, Inc. mit Sitz in den USA; die Konzernmutter (GoDaddy-Gruppe) ist nach den öffentlich zugänglichen Angaben unter dem EU-US Data Privacy Framework zertifiziert. Zentrale Pflichten sind der Abschluss eines Auftragsverarbeitungsvertrags, eine bewusste Konfiguration der eingesetzten Sucuri-Funktionen und die Aufnahme von Sucuri im Anhang Empfänger der Datenschutzerklärung.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Sucuri einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Empfehlenswert ist ein strukturierter, themenorientierter Ansatz, der Tools nach Themenblöcken (Serverbetrieb, CDN, Web Application Firewall) übergreifend erklärt und nur im Anhang Empfänger die einzelnen Dienstleister wie Sucuri nennt. Genau diese Methodik verfolgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com