Cloudflare Bot Management ist aus Datenschutzsicht eine klare Sache: kein Cookie-Banner nötig, keine Tracking-Cookies, keine Formulardaten. Der einzige Haken ist, dass alle Besucherzugriffe auf deine Website über Cloudflare-Server laufen – und die stehen in den USA. Das zieht einen Pflicht-Eintrag in der Datenschutzerklärung und einen Vertrag mit Cloudflare nach sich.
Überblick
Was ist Cloudflare Bot Management?
Cloudflare Bot Management ist ein Sicherheitsdienst von Cloudflare, Inc., der automatisierten Datenverkehr – also Bots – erkennt und blockiert, bevor er deine Website erreicht. Der Dienst schaltet sich als unsichtbare Schutzschicht vor deine Website: Jeder Seitenaufruf läuft zuerst über Cloudflare-Server, die entscheiden, ob es sich um einen echten Besucher oder einen Bot handelt.
Cloudflare Bot Management – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Keine zustimmungspflichtigen Cookies – nur technisch notwendige Sicherheits-Cookies. |
| Externe Verbindungen | 🔴 | Alle Besucherzugriffe laufen über Cloudflare-Server – infrastrukturbedingt, kein Cookie-Banner nötig, aber DSE-Eintrag erforderlich. |
| Datenschutzerklärung | 🔴 | Cloudflare muss als Dienstleister in der Datenschutzerklärung genannt werden. |
| Drittlandtransfer | 🔴 | Daten werden standardmäßig auch auf US-Servern verarbeitet. |
| Auftragsverarbeitung | 🔴 | Cloudflare verarbeitet Besucherdaten in deinem Auftrag – ein Vertrag ist erforderlich. |
| Benutzereingaben | 🟢 | Cloudflare Bot Management verarbeitet keine Formulareingaben oder eingegebenen Daten. |
Datenverarbeitung
Welche Daten verarbeitet Cloudflare Bot Management?
Cloudflare Bot Management agiert als Zwischenstation: Jede Anfrage an deine Website läuft zuerst zu Cloudflare, wird dort analysiert und dann entweder an deinen Server weitergeleitet oder geblockt. Dabei verarbeitet Cloudflare die IP-Adresse des Besuchers, den Zeitstempel des Zugriffs, den Browser-Typ und weitere technische Verbindungsdaten.
Die IP-Adresse ist nach europäischem Datenschutzrecht ein personenbezogenes Datum – der Dienst verarbeitet also Besucherdaten in deinem Auftrag. Cloudflare speichert diese Daten auf eigenen Servern, die sich weltweit verteilen – darunter auch in den USA.
Cookies
Setzt Cloudflare Bot Management Cookies?
Cloudflare Bot Management setzt zwei Cookies, die beide technisch notwendig sind und keine Zustimmung im Cookie-Banner brauchen. Der Cookie __cf_bm ist für den laufenden Betrieb des Bot-Schutzes notwendig – er enthält verschlüsselte Informationen zur Bot-Erkennung und läuft nach 30 Minuten Inaktivität ab.
Der Cookie _cfuvid wird nur dann gesetzt, wenn du in deinem Cloudflare-Konto eine sogenannte Rate-Limiting-Rule mit der Option zur Unterscheidung von Besuchern hinter gemeinsamen IP-Adressen aktiviert hast. Dieser Cookie läuft nach Ende der Sitzung ab.
Beide Cookies sind technisch notwendig und brauchen keine Zustimmung im Cookie-Banner. Sie sollten aber in deiner Datenschutzerklärung erwähnt werden, da sie IP-Adressdaten verarbeiten.
Externe Verbindungen
Baut Cloudflare Bot Management externe Verbindungen auf?
Jeder Aufruf deiner Website geht zuerst an Cloudflare-Server – das ist keine optionale Funktion, sondern das Prinzip des Dienstes. Cloudflare läuft als Infrastruktur-Schicht vor deiner Website: Besucher verbinden sich technisch mit Cloudflare, nicht direkt mit deinem Hosting.
Diese Verbindung zu Cloudflare-Servern ist für den Betrieb deiner Website in dieser Konfiguration notwendig und kann nicht durch deinen Cookie-Banner blockiert werden. Denn es geschieht noch bevor deine Website samt Cookie-Banner angezeigt wird. Cloudflare muss jedoch in deiner Datenschutzerklärung als Dienstleister genannt werden.
Nutzt du Cloudflare Bot Management auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Cloudflare Bot Management gibt.
Benutzereingaben
Verarbeitet Cloudflare Bot Management Formulardaten?
Cloudflare Bot Management verarbeitet keine Formulardaten oder eingegebenen personenbezogenen Daten deiner Website-Besucher. Der Dienst analysiert ausschließlich technische Verbindungsdaten – also wer wann welche Seite aufruft, nicht was jemand in ein Formular einträgt. Für diesen Punkt gibt es nichts zu tun.
Drittlandtransfer
Werden Daten durch Cloudflare Bot Management in die USA übertragen?
Cloudflare Bot Management überträgt Besucherdaten standardmäßig auch in die USA, da Cloudflare, Inc. dort seinen Hauptsitz hat und einen Teil der Infrastruktur betreibt. Cloudflare ist im EU-US Data Privacy Framework zertifiziert – das ist eine Vereinbarung zwischen der EU und den USA, die unter bestimmten Bedingungen erlaubt, Daten dorthin zu übermitteln.
Cloudflare hat außerdem Standardvertragsklauseln in seinem Vertrag verankert, was einen zusätzlichen rechtlichen Rahmen für den Transfer schafft. Wer Besucherdaten ausschließlich innerhalb der EU verarbeiten möchte, kann das über Cloudflares kostenpflichtige Data Localization Suite einschränken – das ist jedoch eine Enterprise-Option und für die meisten kleinen Website-Betreiber nicht relevant.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Cloudflare?
Cloudflare verarbeitet die IP-Adressen und Verbindungsdaten deiner Website-Besucher in deinem Auftrag – dafür ist ein Auftragsverarbeitungsvertrag erforderlich. Cloudflare stellt diesen Vertrag bereit und hat ihn direkt in seine Nutzungsbedingungen integriert: Wer ein Cloudflare-Konto nutzt und die Nutzungsbedingungen akzeptiert, schließt den Vertrag damit automatisch ab.
Den genauen Vertragstext findest du unter cloudflare.com/cloudflare-customer-dpa/. Falls du Cloudflare über einen Hosting-Anbieter nutzt, der Cloudflare als Teil seines Angebots eingebunden hat, solltest du prüfen, ob dein Hosting-Anbieter diesen Vertrag in deinem Namen abgeschlossen hat oder ob du selbst ein Cloudflare-Konto benötigst.
Datenschutzerklärung
Muss Cloudflare Bot Management in die Datenschutzerklärung?
Cloudflare Bot Management muss in die Datenschutzerklärung, weil der Dienst personenbezogene Besucherdaten – insbesondere IP-Adressen – auf eigenen Servern verarbeitet, auch in den USA. Für den Eintrag brauchst du folgende Angaben:
- Zweck: Schutz der Website vor automatisiertem Bot-Traffic und DDoS-Angriffen.
- Rechtsgrundlage: Berechtigtes Interesse (sicherer und stabiler Betrieb der Website).
- Empfänger: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA.
- Drittlandtransfer: Daten können auf Servern in den USA verarbeitet werden. Cloudflare ist im EU-US Data Privacy Framework zertifiziert.
- Speicherdauer: Laut Cloudflare werden Logs standardmäßig bis zu 24–72 Stunden gespeichert.
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Cloudflare – Schutz vor schädlichem Bot-Traffic
Diese Website nutzt Dienste von Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA. Cloudflare läuft als Sicherheitsschicht vor dieser Website und analysiert eingehenden Datenverkehr, um automatisierte Angriffe und Bot-Traffic zu erkennen und zu blockieren. Dabei verarbeitet Cloudflare technische Verbindungsdaten der Website-Besucher, insbesondere IP-Adressen, Zeitstempel, Browser- und Gerätedaten. Cloudflare setzt für diesen Zweck technisch notwendige Cookies (
__cf_bm, ggf._cfuvid), die keine Zustimmung erfordern.Die Rechtsgrundlage für die Nutzung ist das berechtigte Interesse am sicheren und stabilen Betrieb der Website. Cloudflare kann Daten auf Servern in den USA verarbeiten. Cloudflare ist im EU-US Data Privacy Framework zertifiziert, das die Datenübermittlung in die USA unter bestimmten Bedingungen erlaubt. Mit Cloudflare wurde ein Auftragsverarbeitungsvertrag abgeschlossen. Weitere Informationen: cloudflare.com/privacypolicy.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Cloudflare Bot Management?
Eine funktional gleichwertige Alternative, die Bot-Schutz auf Infrastrukturebene ohne US-Datentransfer bietet und dabei ohne technische Vorkenntnisse einrichtbar ist, gibt es nicht.
Vergleichbare Dienste wie Sucuri (GoDaddy, USA) oder Imperva haben ebenfalls US-Transfers. Europäische Anbieter wie Myra Security (Deutschland) richten sich an Unternehmenskunden mit entsprechenden Budgets und sind für kleine WordPress-Websites nicht praktikabel.
Wer keinen dedizierten Bot-Schutz auf Infrastrukturebene benötigt, kann prüfen, ob einfachere Schutz-Plugins wie All-In-One Security (AIOS) für seinen Anwendungsfall ausreichen – das Plugin läuft lokal ohne US-Transfer und bietet Login-Schutz, Firewall-Regeln und IP-Sperren, ersetzt Cloudflare Bot Management allerdings nicht vollständig.
Fehler
Häufige Datenschutz-Fehler mit Cloudflare Bot Management
Der häufigste Fehler ist, Cloudflare als „nur technische Infrastruktur“ zu betrachten und deshalb keinen Eintrag in der Datenschutzerklärung zu setzen. Cloudflare verarbeitet personenbezogene Besucherdaten – ein Eintrag ist Pflicht.
Ein weiterer typischer Fehler: kein Auftragsverarbeitungsvertrag mit Cloudflare. Wer Cloudflare aktiv nutzt, sollte prüfen, ob er bei der Kontoeinrichtung die Nutzungsbedingungen akzeptiert hat, die den Vertrag einschließen. Wer Cloudflare über seinen Hosting-Anbieter nutzt, ohne selbst ein Cloudflare-Konto zu haben, sollte beim Hosting-Anbieter nachfragen, ob der Vertrag bereits abgedeckt ist.
Schließlich: Der Cookie __cf_bm taucht manchmal in Cookie-Bannern als „Marketing“ oder „Analytics“ auf – das ist falsch. Er ist technisch notwendig und gehört nicht in die Zustimmungspflicht-Kategorie.
DSGVO-Check
Woran erkennst du, ob Cloudflare Bot Management auf deiner Website aktiv ist?
Cloudflare Bot Management verrät sich durch einen bestimmten Cookie. Schau in den Browser-Entwicklertools (F12 → „Application“ → „Cookies“) oder in einem Cookie-Test-Tool nach dem Cookie __cf_bm. Wenn dieser Cookie gesetzt wird, läuft deine Website über Cloudflares Bot-Schutz.
Falls die Rate-Limiting-Funktion aktiv ist, kann zusätzlich der Cookie _cfuvid auftauchen. Ein Datenschutz-Scan kann dir diese Prüfung abnehmen und zeigen, welche Cookies auf deiner Website tatsächlich aktiv sind.
Quellen und weiterführende Links
- Cloudflare Bot Management – offizielle Produktseite
- Cloudflare Bot Solutions – offizielle Dokumentation
- Cloudflare Cookies – Dokumentation zu allen gesetzten Cookies
- Cloudflare Data Processing Addendum (AVV)
- Cloudflare und DSGVO – Trust Hub
- Cloudflare Datenschutzerklärung
Hast du Cloudflare Bot Management auf deiner Website?
Prüfe kostenlos, ob es auf deiner Website Datenschutz-Probleme rund um Cloudflare Bot Management gibt – zusammen mit allen anderen Plugins und Diensten, die bei dir aktiv sind.