Cloudflare Turnstile ist datenschutzfreundlicher als viele klassische Captcha-Lösungen, aber nicht unsichtbar aus Datenschutzsicht. Der Dienst setzt keine Tracking-Cookies, verarbeitet aber technische Signale von Besuchern und bindet Cloudflare als externen Anbieter ein. Für deine Website heißt das: Datenschutzerklärung ergänzen, Drittlandtransfer beachten und den Auftragsverarbeitungsvertrag mit Cloudflare klären.
Überblick
Was ist Cloudflare Turnstile?
Cloudflare Turnstile ist ein Dienst zum Schutz vor Bots, Spam und automatisierten Angriffen. Du bindest Turnstile zum Beispiel in Kontaktformulare, Registrierungen, Logins oder andere Bereiche ein, in denen du echte Besucher von automatisierten Zugriffen unterscheiden möchtest. Im Idealfall merkt der Besucher davon kaum etwas, weil Turnstile viele Prüfungen im Hintergrund erledigt.
Cloudflare Turnstile und Datenschutz im Überblick
| Cookie-Banner | Wegen Turnstile brauchst du keinen Cookie-Banner. Die optionale Pre-Clearance setzt nur ein technisch notwendiges Sicherheitscookie. |
| Datenverarbeitung | Cloudflare Turnstile verarbeitet technische Besucherdaten, um Bots von echten Menschen zu unterscheiden. |
| Datenschutzerklärung | Cloudflare Turnstile muss in deiner Datenschutzerklärung stehen, weil Besucherdaten an Cloudflare gehen. |
| Drittlandtransfer | Cloudflare, Inc. sitzt in den USA. Damit liegt ein Drittlandtransfer vor, also eine Übermittlung in ein Land außerhalb der EU. |
| Auftragsverarbeitung | Du brauchst für Turnstile einen Auftragsverarbeitungsvertrag mit Cloudflare. |
Datenverarbeitung
Welche Daten verarbeitet Cloudflare Turnstile?
Cloudflare Turnstile verarbeitet technische Signale von Website-Besuchern, sobald du den Dienst auf deiner Website einbindest. Cloudflare nutzt diese Daten, um einzuschätzen, ob ein Zugriff von einem Menschen oder von einem Bot kommt.
Zu den relevanten Daten gehören diese Angaben:
- IP-Adresse des Besuchers
- technische Merkmale der verschlüsselten Verbindung
- Browser-Informationen
- der Turnstile-Schlüssel deiner Website
- die zugehörige Website-Herkunft
Diese Verarbeitung betrifft Besucher deiner Website, nicht nur dich als Website-Betreiber. Deshalb ist Turnstile datenschutzrelevant, auch wenn der Dienst keine klassischen Tracking- oder Marketingfunktionen erfüllt.
Drittlandtransfer
Überträgt Cloudflare Turnstile Daten in die USA?
Cloudflare Turnstile überträgt Daten an Cloudflare, Inc. in den USA. Die USA sind aus EU-Sicht ein Drittland, also ein Land außerhalb der Europäischen Union. Cloudflare regelt solche Datenübermittlungen im eigenen Data Processing Addendum für Cloudflare-Dienste.
Für deine Website bedeutet das: Du solltest Turnstile nicht nur als technischen Bot-Schutz behandeln, sondern auch als externen Dienst mit Datenübermittlung an einen US-Anbieter. Dieser Hinweis gehört in deine Datenschutzerklärung.
Cookie-Banner
Braucht Cloudflare Turnstile einen Cookie-Banner?
Cloudflare Turnstile setzt in der Standardkonfiguration keine Tracking-, Statistik- oder Marketing-Cookies. Ein Cookie-Banner ist deshalb nicht nötig, nur weil du Turnstile als Bot-Schutz nutzt.
Wenn du die Pre-Clearance-Funktion aktivierst, kann Turnstile das Cookie cf_clearance setzen. Dieses Cookie speichert, dass ein Besucher eine Sicherheitsprüfung bestanden hat, damit weitere Cloudflare-Sicherheitsprüfungen übersprungen werden können. Das ist ein technisch notwendiges Sicherheitscookie und kein Tracking-Cookie.
Wichtig ist trotzdem: Wenn dein Cookie-Banner externe Skripte blockiert, darfst du Turnstile nicht versehentlich so blockieren, dass Formulare, Logins oder Sicherheitsprüfungen nicht mehr funktionieren.
Datenschutzerklärung
Muss Cloudflare Turnstile in die Datenschutzerklärung?
Cloudflare Turnstile muss in deine Datenschutzerklärung, weil der Dienst technische Besucherdaten verarbeitet und an Cloudflare übermittelt. Besucher sollen verstehen, warum du Turnstile einsetzt, welche Daten dabei anfallen und dass Cloudflare als externer Anbieter beteiligt ist.
In deiner Datenschutzerklärung solltest du folgende Punkte abdecken:
- Name des Dienstes: Cloudflare Turnstile
- Anbieter: Cloudflare, Inc.
- Zweck: Schutz vor Bots, Spam und automatisiertem Missbrauch
- Datenarten: IP-Adresse, Browser-Informationen und weitere technische Signale
- Datenübermittlung in die USA
- Hinweis auf den Auftragsverarbeitungsvertrag mit Cloudflare
- bei Invisible Mode: Hinweis auf das Turnstile Privacy Addendum von Cloudflare
Wenn du Turnstile nur auf bestimmten Formularen oder Login-Seiten nutzt, kannst du das in der Datenschutzerklärung ebenfalls klar benennen. Das macht die Erklärung klarer und vermeidet den Eindruck, dass Turnstile pauschal auf jeder Unterseite läuft.
Auftragsverarbeitung
Brauchst du einen Auftragsverarbeitungsvertrag mit Cloudflare?
Ein Auftragsverarbeitungsvertrag ist mit Cloudflare nötig, weil Cloudflare bei der Bereitstellung von Turnstile Besuchersignale in deinem Auftrag verarbeitet. Cloudflare stellt dafür ein eigenes Data Processing Addendum für Cloudflare-Dienste bereit.
Das heißt praktisch: Wenn du Turnstile auf deiner Website einsetzt, solltest du den Vertrag mit Cloudflare abschließen oder sicherstellen, dass er bereits für dein Cloudflare-Konto gilt. Das betrifft Turnstile selbst und nicht automatisch andere Cloudflare-Dienste, die du zusätzlich nutzt.
Stolperfallen
Worauf du bei Cloudflare Turnstile besonders achten musst
Cloudflare Turnstile wirkt auf den ersten Blick harmlos, weil es ohne klassisches Captcha und ohne Tracking-Cookies auskommt. Die wichtigste Stolperfalle ist genau dieser Eindruck: Auch ohne Tracking verarbeitet Turnstile technische Besucherdaten und gehört deshalb sauber in deine Datenschutzerklärung.
Wenn du Pre-Clearance aktivierst, kann zusätzlich das Sicherheitscookie cf_clearance auftauchen. Dieses Cookie ist kein Marketing- oder Statistikcookie, sollte aber als technisch notwendiges Sicherheitscookie in deiner Cookie-Information oder Cookie-Übersicht auftauchen, wenn du solche Hinweise auf deiner Website führst.
Wenn du den Invisible Mode nutzt, bleibt Turnstile für Besucher weniger sichtbar. Gerade dann solltest du darauf achten, dass deine Datenschutzerklärung Turnstile klar nennt und nicht so tut, als gäbe es keine externe Sicherheitsprüfung.
Cloudflare Turnstile ist außerdem nicht dasselbe wie Cloudflare WAF, Cloudflare CDN, Cloudflare Bot Management oder Rate Limiting. Wenn du diese Dienste zusätzlich nutzt, musst du sie einzeln prüfen, weil sie über die reine Turnstile-Nutzung hinausgehen können.
Kostenloser Website-Scan
Prüfe deine eigene Website
Du möchtest wissen, welche Cookies, Tools und externen Verbindungen auf deiner Website auffallen? Datenrein scannt deine Website kostenlos und zeigt dir, welche Punkte du prüfen solltest.
