CDN & DSGVO
Wie steht es um die Datenschutz-Konformität von Cloudflare, BunnyCDN & Co.? Schrems II, US-Cloud-Act, AVV-Pflicht und was in die Datenschutzerklärung gehört.
Hinweis: Dieser Artikel ist eine technisch-redaktionelle Einordnung, keine Rechtsberatung. Für verbindliche Aussagen einen Fachanwalt einbinden.
Warum CDNs ein DSGVO-Thema sind
Jedes Mal, wenn ein Besucher eine Website aufruft, sendet der Browser mindestens die IP-Adresse an den auslieferenden Server. Die IP-Adresse gilt nach herrschender Auffassung als personenbezogenes Datum. Liefert ein CDN die Inhalte aus, sieht der CDN-Anbieter diese IP-Adresse – nicht nur der Website-Betreiber.
Das macht jeden CDN-Anbieter zu einem Auftragsverarbeiter nach Art. 28 DSGVO. Folge: Auftragsverarbeitungsvertrag (AVV) ist Pflicht, und die Datenverarbeitung muss in der Datenschutzerklärung dokumentiert werden.
Das Schrems-II-Problem
2020 hat der Europäische Gerichtshof das Privacy-Shield-Abkommen gekippt (Schrems II). Das hat Folgen für jeden Datentransfer in die USA, auch für CDN-Nutzung mit US-Anbietern.
Seit 2023 gibt es das EU-US Data Privacy Framework (DPF), das einen neuen Angemessenheitsbeschluss liefert – aber auch dieses wird juristisch angegriffen und ist noch nicht endgültig rechtssicher. Wer Risiko vermeiden will, setzt auf EU-Anbieter.
CDN-Anbieter im DSGVO-Schnellcheck
| Anbieter | Sitz | DSGVO-Lage |
|---|---|---|
| BunnyCDN | Slowenien (EU) | ✅ Sehr gut – EU-Unternehmen, EU-only-Pricing wählbar, sauberer AVV |
| KeyCDN | Schweiz | ✅ Gut – Schweiz hat EU-Angemessenheitsbeschluss |
| Cloudflare | USA | ⚠️ Mittel – DPF-zertifiziert, aber US-Cloud-Act-Risiko |
| AWS CloudFront | USA | ⚠️ Mittel – DPF, EU-Regionen wählbar, AVV im AWS-Standard |
| Google Cloud CDN | USA | ⚠️ Mittel – DPF, EU-Regionen wählbar |
| Azure CDN | USA | ⚠️ Mittel – DPF, EU-Regionen, Microsoft-AVV |
| Fastly | USA | ⚠️ Mittel – DPF, sauberer AVV verfügbar |
| Akamai | USA | ⚠️ Verhandelbar – Enterprise-AVV individuell |
Der Cloudflare-Sonderfall
Cloudflare wird häufig diskutiert, weil es das verbreitetste CDN ist – und damit auch das sichtbarste DSGVO-Streitthema. Argumente für Cloudflare:
- EU-PoPs vorhanden, Traffic deutscher Besucher landet meist in Frankfurt.
- Cloudflare ist DPF-zertifiziert.
- AVV nach Art. 28 DSGVO wird angeboten.
- Datenschutz-Tools wie „Bot Fight Mode" lassen sich abschalten.
Argumente gegen Cloudflare:
- US-Unternehmen → US-Cloud-Act greift theoretisch.
- Es gab Urteile (z. B. LG Köln 2022), die Cloudflare im konkreten Einzelfall als problematisch werteten – allerdings im Kontext anderer Streitthemen.
- Schrems & Co. wollen DPF zu Fall bringen.
Pragmatische Linie: Wer für deutsche Behörden oder Healthcare arbeitet, sollte EU-Anbieter bevorzugen. Für privatwirtschaftliche Sites mit Standard-Risiko ist Cloudflare in den meisten Audits durchgewunken worden – sauberer AVV, Doku in der Datenschutzerklärung, ggf. EU-only-Routing aktivieren.
Bausteine für die Datenschutzerklärung
Wer ein CDN nutzt, muss das in der Datenschutzerklärung dokumentieren. Mindestens:
- Anbieter: Name, Sitz, Anschrift.
- Verarbeitete Daten: in der Regel IP-Adresse, User-Agent, Referer, ggf. Geolocation, Cookies.
- Zweck: Auslieferung der Inhalte, Schutz vor DDoS, Performance-Optimierung.
- Rechtsgrundlage: meist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
- Drittland-Transfer: falls US-Anbieter, Hinweis auf DPF und ggf. Standardvertragsklauseln (SCC).
- AVV-Hinweis: dass ein Vertrag nach Art. 28 DSGVO geschlossen wurde.
Praxis-Tipps für DSGVO-bewusste Setups
- Wenn Wahl frei: BunnyCDN (Slowenien) oder KeyCDN (Schweiz) – minimiert die Diskussion.
- Wenn Cloudflare gesetzt ist: EU-only-Routing aktivieren (Enterprise-Feature), DPF-Status dokumentieren, sauberer AVV.
- Bei Hyperscalern (AWS, Azure, GCP): Region explizit auf EU setzen, Hyperscaler-AVV nutzen, Datenschutzerklärung penibel.
- Kein „Free-Tier ohne AVV": bei Cloudflare Free muss der AVV aktiv angefordert/akzeptiert werden – nicht automatisch.
DSGVO-freundliche CDN-Alternativen
BunnyCDN und KeyCDN sind die EU-Klassiker für rechtssichere CDN-Nutzung.
→ BunnyCDN ansehen