Datenschutzerklärung für Cloudflare Turnstile

(6 Bewertungen, 4.50 von 5)

Was macht Cloudflare Turnstile?

Cloudflare Turnstile ist eine Software, die überprüft, ob es sich bei Webseitenbesuchern um Menschen handelt. Dazu untersucht sie beispielsweise die IP-Adresse, getätigte Mausbewegungen und die Verweildauer der Nutzer auf der Seite. Das macht Cloudflare Turnstile zu einem unsichtbaren CAPTCHA-Ersatz. Laut dem dahinterstehenden Entwickler Cloudflare senkt das Tool die Zeit, die Webseitenbesucher sonst mit CAPTCHAS verbringen, um 91 Prozent. Der Anbieter, der sonst vor allem für sein Content Delivery Network und verteilte DNS-Dienste bekannt ist, hat seinen Hauptsitz in San Francisco in den USA. Er beschäftigt rund 2.500 Mitarbeiter.

Der Punkt "Cloudflare Turnstile" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

Darum ist Cloudflare Turnstile datenschutzrechtlich relevant

Damit Cloudflare Turnstile überprüfen kann, ob Webseitenbesucher echt sind, sucht das Tool im Hintergrund nach Signalen menschlicher Benutzer. Handelt es sich um Nutzer mit einem Endgerät von Apple mit den neuesten Versionen von macOS oder iOS, kann Turnstile über Private Access Tokens ein Gerät und damit einen User validieren, ohne – mit Ausnahme von Daten wie User-Agent und Browser-Markmalen – Nutzerdaten zu erfassen oder zu speichern. Auf diese Weise gibt das Tool keine Daten an den Anbieter Cloudflare oder andere Dritte weiter. Handelt es sich jedoch um andere Endgeräte, erhebt der CAPTCHA-Ersatz personenbezogene Daten wie IP-Adresse und gibt diese an den Anbieter in den USA weiter. Dafür müssen Seitenbetreiber Pflichten der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) erfüllen.

Cloudflare Turnstile datenschutzkonform verwenden

Um Cloudflare Turnstile datenschutzkonform einzusetzen, müssen Seitenbetreiber diese gesetzlichen Vorgaben beachten:

Datenschutzerklärung anpassen

Seitenbetreiber müssen in ihrer Datenschutzerklärung informieren, wie und warum sie Cloudflare Turnstile verwenden. Dabei sollten sie aufführen,

  • warum sie über Cloudflare Turnstile Nutzerdaten erheben,
  • welche Nutzerdaten sie erheben,
  • wie lange sie die Daten speichern,
  • warum sie die Daten an Cloudflare weitergeben,
  • welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 lit. f DSGVO) und
  • dass User der Datenerhebung jederzeit widersprechen können.

Standardvertragsklauseln abschließen

Cloudflare ist ein US-amerikanischer Anbieter. Das bedeutet für die Praxis: Für User mit Endgeräten ohne aktuelle Apple-Software benötigen Seitenbetreiber eine Rechtsgrundlage, um ihre Daten erheben und in die USA weiterleiten zu dürfen. Das ist derzeit über Standardvertragsklauseln möglich. Seitenbetreiber müssen diese mit Cloudflare abschließen. Sollten sie dem bereits nachgekommen sein, müssen sie überprüfen, ob es sich um die aktuellen Standardvertragsklauseln der EU handelt. Denn: Seit dem 27. Dezember 2022 gelten neue Klauseln, die die EU-Kommission herausgegeben hat.

Zusätzlich zu den Standardvertragsklauseln müssen Seitenbetreiber eine Risikoabschätzung vornehmen. Diese prüft und dokumentiert den Datentransfer in die USA. Seitenbetreiber sollten dabei festhalten,

  • welche Art von Daten sie an Cloudflare weiterreichen,
  • welche Datenschutzgesetze in den USA gelten und
  • ob sie weitere Maßnahmen ergreifen können, um die Nutzerdaten zusätzlich zu schützen.

Rechtsprechung zu Cloudflare Turnstile

Bisher liegt – soweit ersichtlich – keine Rechtsprechung zu Cloudflare Turnstile vor. Das Tool erhebt jedoch – je nach Endgerät der User – Userdaten und gibt diese an den Anbieter in den USA weiter. Dafür ist dieses Urteil von Bedeutung:

Europäischer Gerichtshof zum Privacy Shield

Der Europäische Gerichtshof (EuGH) kam im Sommer 2020 zu dem Schluss: Der Privacy Shield ist unwirksam. Seitdem können Seitenbetreiber diesen nicht mehr als rechtliche Grundlage verwenden, um personenbezogene Daten in die USA zu verschicken. Die Begründung des Gerichts: In den USA kommen Überwachungsprogramme zum Einsatz, die nicht auf das zwingend erforderliche Maß beschränkt sind. Zudem können sich europäische Nutzer nicht gegen einen eventuellen Missbrauch ihrer Daten wehren.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6087 Bewertungen, 4.39 von 5)