Cloudflare — DSGVO-Bewertung
Sammelt was wir zu Cloudflare als Datenverarbeiter abgeklaert haben. Trigger: NS-Migration agenticventures.de auf Cloudflare + geplanter Tunnel-Umbau fuer mcp-vf-hosted.
Ergebnis (Kurz)
Konform machbar mit Standard-Setup. Kein Risiko-Sprung gegenueber dem heute geplanten Pattern.
Was fuer uns gilt
| Punkt | Status | Detail |
|---|---|---|
| EU-US Data Privacy Framework | ✅ zertifiziert | seit 2024, Privacy-Shield-Nachfolger |
| Standard-AVV / DPA | ✅ verfuegbar | Free-Plan: DPA in ToS inkludiert; fuer Business-Setup cloudflare.com/cloudflare-customer-dpa explizit akzeptieren |
| EU-Tochter | ✅ Cloudflare Germany GmbH | Sitz Muenchen, deutscher Vertragspartner moeglich |
| EU-Edge-Routing | ✅ Default | naechstgelegener PoP = Frankfurt; strict-EU-only braucht „Data Localization Suite” (Pro-Plan, +20$/Monat) |
| Subprozessor-Pflicht | ⚠️ Pflicht-Eintrag | Cloudflare muss in den AVVs auftauchen die wir mit Kunden haben |
| TLS-Termination am Edge | ⚠️ CF sieht Klartext | Inhalt der MCP-Tool-Calls (z.B. Andres Buchhaltungsdaten) ist bei Cloudflare im Klartext sichtbar — identisch zu jedem CF-als-Edge-Setup |
| Schrems-II-Restrisiko | ⚠️ theoretisch | US-Mutter + CLOUD Act vs. DPF-Abdeckung — praktisch durch DPF abgefedert, fuer strict-Compliance-Kunden trotzdem als Punkt nennen |
Tunnel speziell
Cloudflare Tunnel (cloudflared-Sidecar) erhoeht das DSGVO-Risiko nicht gegenueber dem bereits geplanten „CF als TLS-Edge”-Setup im cloudflare-migration-guide. Datenfluss ist identisch:
claude.ai (Andre) --TLS--> Cloudflare-Edge (terminiert TLS) --TLS--> Origin
Was sich aendert ist nur die Topologie des Origin-Connects — verschluesselter Tunnel statt CNAME auf Public-Hostname. Klartext-Sichtbarkeit fuer Cloudflare ist in beiden Faellen gegeben, weil TLS am Edge terminiert.
Konkrete To-Dos (Stand 2026-05-11)
- AVV/DPA-Check: Beim Cloudflare-Account-Setup pruefen ob Free-Plan-ToS-DPA fuer unseren Use-Case reicht. Bei Zweifel: separates DPA via cloudflare.com/cloudflare-customer-dpa akzeptieren.
- Subprozessor-Eintrag bei Andre/VF: Den AVV den wir mit Vibe Factory haben um Cloudflare ergaenzen. Andre informieren — Subprozessor-Aenderung ist nach DSGVO meldepflichtig (auch wenn Frist eher informell).
- Subprozessor-Liste pflegen: Wenn wir eine zentrale Subprozessor-Uebersicht haben, dort eintragen. Siehe zugriffsmodell fuer Trust-Boundaries.
- Data Localization Suite: Erst dann notwendig wenn ein Kunde explizit strict-EU-Routing fordert (z.B. Industrie, Bank, Healthcare). Bis dahin: nicht zahlen.
Was wir bewusst NICHT tun
- Self-Hosted-Reverse-Proxy statt Cloudflare — Aufwand >> Risiko-Reduktion bei Free-Tier-DSGVO-Setup
- Strict-EU-Mode pauschal aktivieren — Pro-Plan-Kosten nicht durch Compliance-Pflicht gerechtfertigt solange kein Kunde danach fragt
Related
- anthropic-datenschutz — analoge Bewertung fuer Anthropic
- zugriffsmodell — wer kommt wie an unsere Daten
- cloudflare-capability-map — was wir mit Cloudflare bauen wollen
- cloudflare-migration-guide — laufender NS-Switch