Cloudflare Turnstile läuft unsichtbar im Hintergrund – kein Bilderrätsel, kein Klick auf Ampeln, kein nerviges Kästchen. Trotzdem löst es beim Seitenaufruf eine Verbindung zu Cloudflare-Servern in den USA aus und überträgt dabei Besucherdaten. Das macht Turnstile aus Datenschutzsicht zu einem Dienst, den du in deiner Datenschutzerklärung nennen und mit einem Vertrag absichern musst.
Überblick
Was ist Cloudflare Turnstile?
Cloudflare Turnstile ist ein kostenloser Bot-Schutz von Cloudflare, Inc. Er ersetzt klassische CAPTCHAs und prüft im Hintergrund, ob ein Seitenbesucher ein Mensch oder ein automatisiertes Programm ist. Du kannst Turnstile in Kontaktformulare, Login-Seiten oder andere Bereiche deiner WordPress-Website einbinden.
Cloudflare Turnstile – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Turnstile setzt keine Cookies. |
| Externe Verbindungen | 🔴 | Verbindung zu Cloudflare-Servern bei jedem Seitenaufruf mit Turnstile. |
| Datenschutzerklärung | 🔴 | Eintrag für Cloudflare Turnstile erforderlich. |
| Drittlandtransfer | 🔴 | Datenübertragung in die USA, keine exklusive EU-Verarbeitung garantiert. |
| Auftragsverarbeitung | 🔴 | Vertrag mit Cloudflare ist Pflicht. |
| Benutzereingaben | 🟢 | Turnstile läuft automatisch, keine Formulareingaben werden weitergeleitet. |
Datenverarbeitung
Welche Daten verarbeitet Cloudflare Turnstile?
Cloudflare Turnstile beginnt seine Analyse automatisch, sobald ein Besucher eine Seite aufruft, auf der das Widget eingebunden ist. Es laufen dann im Hintergrund kleine Prüfroutinen im Browser ab – ohne dass der Besucher etwas davon merkt oder irgendetwas tun muss.
Diese Prüfungen übermitteln mehrere Datenpunkte an Cloudflare: die IP-Adresse des Besuchers, den Browser-Typ und die Browserversion, technische Verbindungsdaten sowie weitere Signale über das Gerät und das Browser-Verhalten.
Cloudflare nutzt diese Informationen ausschließlich dafür, zu entscheiden, ob es sich um einen menschlichen Besucher oder einen Bot handelt. Für Werbung oder Tracking werden die Daten laut Cloudflare nicht verwendet.
Cookies
Setzt Cloudflare Turnstile Cookies?
Cloudflare Turnstile setzt keine Cookies. Das Widget prüft im Hintergrund technische Browser-Signale, hinterlässt dabei aber keine Cookie-Einträge im Browser des Besuchers. Du musst deinen Cookie-Banner für Turnstile nicht anpassen.
Externe Verbindungen
Baut Cloudflare Turnstile externe Verbindungen auf?
Cloudflare Turnstile lädt sein Widget-Skript von challenges.cloudflare.com und führt die gesamte Prüfung über dieselbe Adresse durch. Diese Verbindung entsteht automatisch bei jedem Seitenaufruf, sobald Turnstile auf der Seite eingebunden ist – nicht erst wenn jemand ein Formular ausfüllt.
Ohne diese Verbindung kann Turnstile keinen gültigen Prüf-Token erzeugen, und das geschützte Formular lässt sich nicht abschicken. Diese Verbindung ist für den Betrieb deines Formulars notwendig und muss nicht im Cookie-Banner blockiert werden. Sie gehört aber in deine Datenschutzerklärung.
Cloudflare Turnstile auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Werden Formulareingaben an Cloudflare übertragen?
Cloudflare Turnstile überträgt keine Formulareingaben deiner Besucher an Cloudflare. Das Widget prüft automatisch im Hintergrund, ob ein Besucher ein Mensch ist, und gibt dann einen internen Bestätigungs-Code ans Formular weiter. Was Besucher in dein Kontaktformular, Login-Formular oder andere Felder eintippen, bleibt davon unberührt.
Drittlandtransfer
Werden Daten durch Cloudflare Turnstile in die USA übertragen?
Cloudflare Turnstile überträgt Besucherdaten an Cloudflare, Inc. mit Sitz in San Francisco, USA. Cloudflare betreibt zwar auch Rechenzentren in Europa, garantiert aber nicht, dass Daten aus der Prüfung durch Turnstile ausschließlich in der EU verbleiben.
Für die Übertragung in die USA hat Cloudflare Standardverträge mit der EU abgeschlossen und ist außerdem unter dem EU-US Datentransfer-Abkommen zertifiziert – das sind die offiziellen Mechanismen, mit denen solche Übertragungen rechtlich abgesichert werden. Als Website-Betreiber musst du diesen Drittlandtransfer in deiner Datenschutzerklärung nennen.
Auftragsverarbeitung
Brauche ich einen Vertrag mit Cloudflare für Turnstile?
Cloudflare verarbeitet Besucherdaten deiner Website in deinem Auftrag, wenn Turnstile aktiv ist. Dafür ist ein Auftragsverarbeitungsvertrag mit Cloudflare gesetzlich vorgeschrieben.
Den Vertrag schließt du direkt mit Cloudflare ab: Öffne cloudflare.com/cloudflare-customer-dpa/, lies den Vertrag und bestätige ihn per Klick – das passiert automatisch, wenn du ein Turnstile-Widget im Cloudflare-Dashboard erstellst und den Nutzungsbedingungen zustimmst. Bewahre eine Kopie auf, damit du sie bei einer Prüfung durch Behörden vorlegen kannst.
Datenschutzerklärung
Muss Cloudflare Turnstile in die Datenschutzerklärung?
Cloudflare Turnstile muss in deine Datenschutzerklärung, weil Cloudflare in deinem Auftrag Besucherdaten verarbeitet und diese Daten in die USA übertragen werden. Folgende Angaben gehören in den Eintrag:
- Zweck: Bot-Schutz und Spam-Abwehr auf deiner Website
- Rechtsgrundlage: Berechtigtes Interesse (Schutz der Website vor automatisierten Angriffen)
- Empfänger: Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA
- Drittlandtransfer: Datenübertragung in die USA auf Basis von EU-Standardvertragsklauseln und EU-US Data Privacy Framework
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Cloudflare Turnstile – Bot-Schutz
Auf dieser Website setzen wir Cloudflare Turnstile ein, einen Dienst der Cloudflare, Inc., 101 Townsend St., San Francisco, CA 94107, USA. Cloudflare Turnstile prüft automatisch beim Aufruf bestimmter Seiten, ob ein Besucher ein Mensch oder ein automatisiertes Programm ist. Dazu werden technische Daten des Browsers übermittelt, darunter IP-Adresse, Browser-Typ und Verbindungsdaten.
Cloudflare verarbeitet diese Daten in unserem Auftrag auf Grundlage unseres berechtigten Interesses am Schutz unserer Website vor Spam und automatisierten Angriffen. Im Zuge der Verarbeitung können Daten in die USA übertragen werden. Cloudflare ist unter dem EU-US Data Privacy Framework zertifiziert und hat mit der EU Standardvertragsklauseln abgeschlossen. Mit Cloudflare besteht ein Auftragsverarbeitungsvertrag. Weitere Informationen zur Datenverarbeitung durch Cloudflare: cloudflare.com/turnstile-privacy-policy/
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Cloudflare Turnstile?
Eine datenschutzfreundlichere Alternative ist Friendly Captcha, ein europäischer Anbieter mit Sitz in Deutschland. Friendly Captcha nutzt ein Proof-of-Work-Verfahren, bei dem das Gerät des Besuchers ein kryptografisches Rätsel löst – ohne dass dabei Daten an US-Server übertragen werden. Die Datenverarbeitung findet in der EU statt, es gibt keine Drittlandübertragung.
Fehler
Typische Datenschutz-Fehler bei Cloudflare Turnstile
Der häufigste Fehler ist, Cloudflare Turnstile in der Datenschutzerklärung schlicht zu vergessen. Weil das Widget unsichtbar läuft, fällt es bei der Pflege der Datenschutzerklärung leicht unter den Tisch – dabei ist der Eintrag Pflicht.
Ein zweiter verbreiteter Fehler ist das Fehlen des Vertrags mit Cloudflare: Wer Turnstile nutzt, ohne diesen Vertrag abgeschlossen zu haben, verstößt gegen die DSGVO, auch wenn alles andere stimmt. Außerdem wird Turnstile manchmal versehentlich auf allen Seiten eingebunden, obwohl nur bestimmte Seiten mit einem Formular geschützt werden sollen – das weitet die Datenübertragung unnötig aus.
DSGVO-Check
So erkennst du Cloudflare Turnstile auf deiner Website
Cloudflare Turnstile verrät sich über externe Verbindungen: Öffne in deinem Browser die Entwicklertools (Taste F12) und wechsle zum Tab „Netzwerk“. Lade die Seite neu und schaue, welche Verbindungen deine Website aufbaut. Eine Anfrage an challenges.cloudflare.com ist ein sicheres Zeichen dafür, dass Cloudflare Turnstile aktiv ist. Einen vollständigen Scan aller Drittdienste auf deiner Website macht datenrein.de für dich automatisch.
Quellen und weiterführende Links
- Cloudflare Turnstile – offizielle Produktseite
- Cloudflare Turnstile – Dokumentation
- Cloudflare Turnstile Privacy Addendum
- Cloudflare Auftragsverarbeitungsvertrag (DPA)
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.