CDNs & Datenschutz: Wenn Cloudflare & Co. Besucherdaten verarbeiten
Ein Content Delivery Network macht Websites schneller und ausfallsicherer — aber jeder Request läuft über dessen Server, und dabei sieht der Betreiber die IP-Adresse deiner Besucher. Hier liest du, was das für AVV, Drittland und externe Skript-CDNs bedeutet.
Hinter fast jeder schnellen Website steckt heute ein Content Delivery Network (CDN). Es beschleunigt das Laden, fängt Lastspitzen ab und schützt vor Angriffen — meist, ohne dass man als Betreiber groß darüber nachdenkt. Genau deshalb gerät der Datenschutz-Aspekt leicht aus dem Blick: Ein CDN steht technisch zwischen deinen Besuchern und deinem Server und verarbeitet dabei deren Daten. Dieser Beitrag ordnet neutral ein, was das bedeutet — und worauf du beim Einsatz achten kannst.
Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.
Was ist ein CDN — und warum nutzt man es?
Ein Content Delivery Network ist ein weltweit verteiltes Netz von Servern, das Inhalte deiner Website (Bilder, Skripte, Stylesheets, oft auch ganze HTML-Seiten) zwischenspeichert und von dem Standort ausliefert, der dem Besucher am nächsten ist. Bekannte Anbieter sind etwa Cloudflare, Akamai, Fastly und Amazon CloudFront.
Der Nutzen ist handfest: kürzere Ladezeiten, weil Inhalte aus der Nähe statt vom Ursprungsserver geliefert werden; höhere Ausfallsicherheit, weil das Netz Lastspitzen und Server-Ausfälle abfedert; und oft ein gewisser Schutz vor Überlastungs- und Angriffsversuchen. Aus technischer Sicht ist ein CDN deshalb für viele Seiten sinnvoll. Der Datenschutz-Aspekt steckt nicht imOb, sondern im Wie der Einbindung.
Der Datenschutz-Kern: die Besucher-IP
Damit ein CDN überhaupt antworten kann, muss der Browser deiner Besucher eine Anfrage an dessen Server schicken — und jede HTTP-Anfrage trägt die IP-Adresse des Absenders. Beim Einsatz eines CDN sieht also der CDN-Betreiber bei jedem Seitenaufruf die IP-Adresse deiner Besucher, technisch unvermeidbar. Häufig kommen weitere Verbindungsdaten hinzu (etwa User-Agent, aufgerufene URL oder Zeitstempel).
Die IP-Adresse gilt nach überwiegender Auffassung als personenbezogenes Datum, weil sich darüber — zumindest mit Zusatzwissen — ein Bezug zu einer Person herstellen lässt. Damit ist der CDN-Betreiber, der diese Daten in deinem Auftrag verarbeitet, ein Auftragsverarbeiter. Dafür sieht die DSGVO einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO vor — die meisten CDN-Anbieter stellen einen solchen bereit oder beziehen ihn in ihre AGB ein. Diesen zu schließen (bzw. seine Geltung sicherzustellen) ist ein naheliegender erster Schritt.
Hat der Anbieter Server außerhalb der EU/des EWR — was bei den großen US-Anbietern oft der Fall ist —, stellt sich zusätzlich die Drittland-Frage nach Art. 44 ff. DSGVO. Für Übermittlungen in ein Drittland braucht es eine geeignete Garantie, etwa Standardvertragsklauseln (SCCs) oder eine Zertifizierung des Anbieters unter dem EU-US Data Privacy Framework. Ob das im konkreten Fall trägt, ist eine Frage der Vertragsgestaltung und der jeweils aktuellen Rechtslage — und nichts, was sich pauschal beantworten lässt.
First-Party-CDN vs. Skript-CDN — der wichtige Unterschied
Für die Einordnung lohnt es sich, zwei Konstellationen klar zu trennen. Sie sehen technisch ähnlich aus, unterscheiden sich aber deutlich darin, wer mit den Daten in Berührung kommt.
(a) First-Party-CDN über die eigene Domain
Hier liegt deine Seite hinter einem CDN, das deine eigenen Inhalte über deine eigene Domain ausliefert — typisch für Cloudflare, Fastly oder CloudFront als vorgeschalteten Dienst. Der CDN-Betreiber handelt dabei als dein Auftragsverarbeiter, abgedeckt durch einen AVV (und, falls nötig, durch SCCs oder eine DPF-Zertifizierung). Die Datenverarbeitung ist damit vertraglich eingerahmt — du hast eine Rechtsbeziehung zu dem Dienst, der die Daten sieht.
(b) Third-Party-Skript-CDNs
Anders sieht es bei öffentlichen Skript-CDNs aus — etwa jsdelivr.net, cdnjs.cloudflare.com oder unpkg.com. Diese liefern verbreitete Bibliotheken (jQuery, Bootstrap, Icon-Sets und Ähnliches) direkt von einemfremden Server aus. Bindest du eine Bibliothek so ein, holt der Browser deiner Besucher sie bei jedem Aufruf von diesem Drittanbieter — und überträgt dabei die Besucher-IP an einen Dienst, zu dem du häufig gar keinen AVV hast. Das ist strukturell dieselbe Problematik wie bei dynamisch eingebundenen Google Fonts.
Die sauberere Lösung ist hier meist das Selbst-Hosten: Lade die benötigten Bibliotheken herunter, lege sie in dein Projekt und liefere sie über deine eigene Domain aus. Dann verlässt keine Besucher-IP deine Infrastruktur in Richtung eines unbeteiligten Dritten. Beachte beim Hosten fremder Skripte deren Lizenz — die meisten verbreiteten Bibliotheken stehen unter offenen Lizenzen, die das erlauben, aber prüfe das für jede konkrete Komponente.
Transparenz: CDNs in der Datenschutzerklärung benennen
Was Daten deiner Besucher verarbeitet, gehört transparent gemacht. Setzt du ein CDN ein, benenne den Dienst in deiner Datenschutzerklärung — wer der Anbieter ist, welche Daten (typischerweise IP-Adresse und Verbindungsdaten) zu welchem Zweck verarbeitet werden und auf welcher Grundlage. Gibt es einen Drittlandbezug, gehört auch die genutzte Garantie (SCCs, DPF) dorthin. Dasselbe gilt für eingebundene Skript-CDNs, solange du sie nutzt.
Wie prüfst du deine eigene Seite?
Du musst kein Profi sein, um einen ersten Eindruck zu bekommen, welche fremden Server deine Seite kontaktiert:
- Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu. Sieh die Liste der Anfragen durch und achte auf fremde Server wie
cdnjs.cloudflare.com,jsdelivr.netoderunpkg.com— und generell auf Asset-Domains, die nicht zu deiner eigenen Seite gehören. - Quelltext durchsuchen: Suche im HTML-Quelltext nach
cdnjs,jsdelivrundunpkg. Treffer deuten darauf hin, dass Bibliotheken direkt von einem Fremd-Server geladen werden. - Unterseiten nicht vergessen: Skripte werden oft nur auf bestimmten Templates eingebunden (Blog, Shop, Formularseiten) — prüfe mehrere Seitentypen.
Einen schnellen ersten Eindruck — welche externen Dienste deine Seite überhaupt nachlädt — bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck. Wie konfora dabei genau vorgeht und wo die Grenzen liegen, steht in der Methodik.
konfora prüft als einen von 16 Bereichen automatisiert, welche CDNs und externen Skript-Dienste deine Seite kontaktiert, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.
Der Report als PDF zeigt dir konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Er liegt bei 14,99 € (Einmalkauf, kein Abo). Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.
Kurz zusammengefasst
- Ein CDN (Cloudflare, Akamai, Fastly, CloudFront) macht Seiten schneller und ausfallsicherer — verarbeitet dabei aber bei jedem Aufruf die Besucher-IP.
- Weil die IP ein personenbezogenes Datum ist, braucht es einen AVV (Art. 28 DSGVO); bei Anbietern außerhalb der EU stellt sich die Drittland-Frage (Art. 44 ff. DSGVO, SCCs oder EU-US Data Privacy Framework).
- First-Party-CDN über die eigene Domain ist per AVV vertraglich eingerahmt; öffentliche Skript-CDNs (jsDelivr, cdnjs, unpkg) geben die Besucher-IP an einen Dritten, oft ohne AVV — Selbst-Hosten der Bibliotheken ist die sauberere Lösung.
- Eingesetzte CDNs gehören transparent in die Datenschutzerklärung; prüfen kannst du externe Dienste im Netzwerk-Tab oder im Quelltext.
Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.
Häufige Fragen
- Brauche ich für ein CDN einen Auftragsverarbeitungsvertrag (AVV)?
- In der Regel ja. Weil ein CDN bei jedem Aufruf die Besucher-IP verarbeitet — ein nach überwiegender Auffassung personenbezogenes Datum — handelt der Anbieter als Auftragsverarbeiter. Dafür sieht Art. 28 DSGVO einen AVV vor; die meisten CDN-Anbieter stellen einen bereit oder beziehen ihn in ihre AGB ein.
- Was ist der Unterschied zwischen einem First-Party-CDN und einem Skript-CDN?
- Ein First-Party-CDN (z. B. Cloudflare, Fastly oder CloudFront vor der eigenen Seite) liefert deine eigenen Inhalte über deine eigene Domain aus und ist per AVV vertraglich eingerahmt. Ein öffentliches Skript-CDN wie jsDelivr, cdnjs oder unpkg liefert Bibliotheken direkt von einem fremden Server — dabei geht die Besucher-IP an einen Dritten, zu dem du häufig gar keinen AVV hast.
- Sind jsDelivr, cdnjs und unpkg ein Datenschutzproblem?
- Sie können eines sein. Bindest du eine Bibliothek direkt über ein solches öffentliches Skript-CDN ein, lädt der Browser deiner Besucher sie bei jedem Aufruf vom Fremd-Server und überträgt dabei die IP-Adresse. Die sauberere Lösung ist meist das Selbst-Hosten: Bibliothek herunterladen, ins eigene Projekt legen und über die eigene Domain ausliefern — beachte dabei die jeweilige Lizenz.
- Spielt der Serverstandort des CDN-Anbieters eine Rolle?
- Ja. Liegen die Server außerhalb der EU/des EWR — bei großen US-Anbietern oft der Fall —, stellt sich zusätzlich die Drittland-Frage nach Art. 44 ff. DSGVO. Dann braucht es eine geeignete Garantie, etwa Standardvertragsklauseln (SCCs) oder eine Zertifizierung unter dem EU-US Data Privacy Framework. Ob das im Einzelfall trägt, ist eine Frage der Vertragsgestaltung und der aktuellen Rechtslage.
- Wie finde ich heraus, welche CDNs meine Seite nutzt?
- Öffne deine Seite, drücke F12 und sieh im Netzwerk-Tab nach fremden Asset-Domains wie cdnjs.cloudflare.com, jsdelivr.net oder unpkg.com. Zusätzlich kannst du den HTML-Quelltext nach cdnjs, jsdelivr und unpkg durchsuchen. Denk an mehrere Seitentypen, da Skripte oft nur auf bestimmten Templates eingebunden sind.