Zum Inhalt springen
konfora
Bot-Schutz / Captcha

Cloudflare Turnstile & DSGVO: die datensparsame reCAPTCHA-Alternative im Check

Cloudflare Turnstile ist die Captcha-Alternative von Cloudflare und will Bots ohne Verhaltensprofile und meist ohne sichtbare Rätsel erkennen. Damit gilt Turnstile als datensparsamer als Google reCAPTCHA. Cloudflare ist allerdings ein US-Anbieter — beim Laden werden technische Daten wie die IP-Adresse übertragen, weshalb der Einsatz dokumentiert sein sollte.

Kostenlos prüfenBeispiel-Report ansehen

Das Risiko

  • Auch datensparsame Captchas laden extern und übertragen technische Daten wie die IP-Adresse an den Anbieter.
  • Cloudflare ist ein US-Anbieter — je nach Konfiguration kann eine Übertragung in ein Drittland stattfinden.
  • Turnstile verzichtet nach Anbieterangaben auf Verhaltensprofile — die Einbindung sollte dennoch in der Datenschutzerklärung genannt und vertraglich (AVV) abgesichert sein.

Wie konfora das erkennt

konfora erkennt Cloudflare Turnstile an seinen Lade-Requests und ordnet es der Kategorie Bot-Schutz / Captcha zu. Erkannt werden:

  • challenges.cloudflare.com/turnstile
  • challenges.cloudflare.com/cdn-cgi

Was im Report steht

  • Ein Befund „Cloudflare Turnstile“ mit standardmäßiger Severity Hinweis.
  • Belege: die kontaktierten Hosts, Beispiel-Request-URLs, die Anzahl passender Requests und das Vendor-Land (US).
  • Ein Soll-Ist-Hinweis, falls Turnstile technisch erkannt, aber in der Datenschutzerklärung nicht genannt ist.

Typische Maßnahmen

  • Binde Turnstile nur dort ein, wo es gebraucht wird — etwa an Formularen statt seitenweit.
  • Nenne Cloudflare Turnstile und den Anbieter in deiner Datenschutzerklärung.
  • Prüfe, ob ein Auftragsverarbeitungsvertrag (AVV) mit Cloudflare besteht, und kläre die Datenflüsse mit DSB oder Kanzlei.

Grenzen der automatischen Prüfung

Der Check macht technische Hinweise sichtbar und hilft beim Priorisieren. Er ist kein Rechtsgutachten, keine Vollständigkeitsgarantie und ersetzt keine fachkundige Prüfung durch eine Datenschutzbeauftragte oder eine Kanzlei.

  • konfora erkennt das Laden von Turnstile, nicht den konkreten Widget-Modus oder die Cloudflare-Konfiguration.
  • Ob zusätzlich eine Einwilligung nötig ist, bleibt eine rechtliche Einzelfallfrage.
Prüfbereich · Bot-Schutz / Captcha

konfora prüft als einen von 16 Bereichen automatisiert, welche Dienste deine Seite lädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Den schnellen, kostenlosen ersten Eindruck bekommst du im Schnellcheck. Der Report als PDF liegt bei 14,99 € (Einmalkauf, kein Abo); den Zugang bekommst du per Magic-Link an deine E-Mail.

Kostenlos prüfenReport ansehen

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.