Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
StackPath war ein Content Delivery Network und eine Edge-Plattform, die eine Web Application Firewall und Bot-Schutz bot, um Websites zu beschleunigen und abzusichern. Es setzte eigene Sicherheits- und Lastverteilungscookies, vor allem wenn eine Anfrage eine Aufgabe wie ein Captcha auslöste. Wichtig ist, dass StackPath sein CDN und seine WAF im November 2023 eingestellt und 2024 den Betrieb vollständig beendet hat, wobei Akamai und Gcore Teile der Technologie übernommen haben. Dieser Leitfaden dient als Referenz und als Hilfe für Betreiber, die es noch entfernen und zu einem aktiven Anbieter wechseln müssen.
StackPath war ein Content Delivery Network und eine Edge-Plattform, die Websites half, schneller zu laden und geschützt zu bleiben, indem Inhalte von Standorten nahe am Besucher ausgeliefert wurden. Neben dem Caching bot es eine Web Application Firewall und Bot-Schutz, die Anfragen am Rand prüften und verdächtigen Datenverkehr blockieren, drosseln oder herausfordern konnten. Der aktuelle Status muss klar genannt werden, denn StackPath stellte sein CDN und das alte Highwinds-CDN im November 2023 ein, beendete gleichzeitig seine WAF und stellte 2024 den gesamten Betrieb ein. Akamai übernahm ausgewählte CDN-Vermögenswerte und Gcore die Technologie zum Schutz von Webanwendungen und APIs, doch der StackPath-Dienst selbst ist nicht mehr verfügbar. Diese Seite dient daher als Referenz und als Leitfaden für Betreiber, die StackPath noch entfernen und zu einem unterstützten Anbieter wechseln müssen. Es als aktive Integration zu behandeln wäre unzutreffend.
Während des Betriebs konnte die StackPath Web Application Firewall eine Reihe eigener Cookies setzen, meist in Fällen wie einer Captcha- oder JavaScript-Aufgabe oder wenn Lastverteilung angewandt wurde. Zu den dokumentierten WAF-Cookies gehörten Namen wie sp_lit, sbtsck, SPC, SPLB, cnfc, pvstr, DGCC und ähnliche Werte für Handshake-, Aufgaben- und Routingzwecke. Das Cookie sbtsck war beispielsweise mit der Captcha- und Handshake-Verarbeitung verbunden und in der Regel kurzlebig. Als CDN- und Edge-Sicherheitsschicht verarbeitete StackPath auch Anfragemetadaten wie IP-Adresse, User-Agent und Anfrageheader, um seine Sicherheitsregeln anzuwenden. Diese Werte können personenbezogene Daten sein, da sie einen Besucher identifizieren oder herausgreifen können. Da der Dienst eingestellt ist, werden keine neuen Cookies gesetzt, doch hinterlassene Verweise sollten bereinigt werden.
Als StackPath im Einsatz war, waren die verarbeiteten Anfragemetadaten und Sicherheitscookies personenbezogene Daten im Sinne der DSGVO, und StackPath handelte als Auftragsverarbeiter für den Website-Betreiber, der Verantwortlicher blieb. Content Delivery und Netzsicherheit sind anerkannte berechtigte Interessen nach Artikel 6(1)(f), sodass diese Grundlage die Verarbeitung tragen konnte, sofern eine Abwägung dokumentiert war. Die ePrivacy-Richtlinie galt gesondert für die Cookies, da das Speichern und Lesen von Informationen auf einem Gerät grundsätzlich eine Einwilligung erfordert, sofern es nicht für einen ausdrücklich gewünschten Dienst unbedingt erforderlich ist. Unbedingt erforderliche Sicherheits- und Lastverteilungscookies gelten oft als ausgenommen, während alles Weitergehende eine Einwilligung benötigt. Da der Dienst beendet ist, ist die aktive ePrivacy-Frage für StackPath weitgehend gegenstandslos, doch dieselbe Analyse muss nun für den Ersatzanbieter durchgeführt werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
In der Vergangenheit stuften viele Betreiber die StackPath Sicherheits- und Lastverteilungscookies als unbedingt erforderlich ein und luden sie ohne vorherige Einwilligung, mit der Begründung, sie schützten und lieferten die gewünschte Website. Diese Position war nur tragfähig, wenn die Cookies tatsächlich auf Sicherheit und Routing beschränkt und nicht für andere Zwecke weiterverwendet wurden. Mit der Einstellung des Dienstes ist die praktische Aufgabe eine andere, denn Ihre Consent-Management-Plattform sollte StackPath nicht mehr als aktiven Anbieter führen. Sie sollten StackPath-Einträge aus Ihrem Cookie-Banner und Ihrem Cookie-Inventar entfernen und den Ersatzanbieter mit einer zutreffenden Einstufung hinzufügen. Falls noch StackPath-Cookies durch veraltete Konfiguration ausgeliefert werden, behandeln Sie das als zu behebenden Fehler und nicht als beizubehaltende Kategorie.
StackPath war ein US-Unternehmen mit Sitz in Dallas, Texas, und betrieb ein globales Edge-Netz, sodass Datenverkehr europäischer Besucher in den USA und an Edge-Standorten in anderen Regionen verarbeitet werden konnte. Übermittlungen in die USA während des Betriebs hätten einen geeigneten Mechanismus wie die Standardvertragsklauseln oder später das EU US Data Privacy Framework erfordert. Da der Dienst eingestellt ist, betrifft die aktive Übermittlungsfrage nun den Ersatzanbieter und nicht StackPath. Als Verantwortlicher sollten Sie Ihr Verzeichnis aktualisieren, um StackPath zu entfernen, den Übermittlungsmechanismus des neuen Anbieters bestätigen und für diesen Anbieter eine Folgenabschätzung der Übermittlung durchführen, wenn Ihr Risikoansatz dies verlangt. Klare Aufzeichnungen dieses Übergangs helfen, die Rechenschaftspflicht nachzuweisen.
Prüfen Sie zunächst, ob StackPath noch irgendwo in Ihrer Infrastruktur referenziert wird, einschließlich DNS-Einträgen, CNAME-Einträgen, Edge-Konfiguration und Tag-Managern. Migrieren Sie zu einem unterstützten Anbieter für Content Delivery und Sicherheit wie Akamai, Cloudflare, Fastly oder Gcore und prüfen Sie, dass der Datenverkehr nun korrekt geroutet wird. Entfernen Sie StackPath-Cookies, -Skripte und -Anbietereinträge aus Ihrem Cookie-Banner, Ihrer Cookie-Richtlinie und Ihrem Verzeichnis von Verarbeitungstätigkeiten. Führen Sie eine neue Abwägung des berechtigten Interesses und bei Bedarf eine Folgenabschätzung der Übermittlung für den neuen Anbieter durch und schließen Sie dessen Auftragsverarbeitungsvertrag ab. Aktualisieren Sie Datenschutzerklärung und Cookie-Richtlinie, um den aktuellen Anbieter statt StackPath widerzuspiegeln. Überwachen Sie schließlich verbliebene StackPath-Cookies und entfernen Sie diese, damit Ihre veröffentlichte Dokumentation der Realität entspricht.
Websites using StackPath must obtain user consent under GDPR regulations.
DPIA considerations
Da StackPath eingestellt wurde, ist die dringlichste Datenschutzaufgabe die Migration und nicht eine laufende Bewertung. Wo der Dienst noch referenziert wurde, sollte eine gezielte Prüfung bestätigen, dass StackPath-Cookies und die DNS- oder Edge-Konfiguration vollständig entfernt wurden und der Datenverkehr nun über einen unterstützten Anbieter läuft. Für den aktiven Ersatz kann eine Datenschutz-Folgenabschätzung angebracht sein, wenn er groß angelegte Bot-Abwehr oder Verhaltensanalyse anwendet, und sollte Erforderlichkeit, Speicherung und internationale Übermittlungen abdecken. Historische Verzeichnisse von Verarbeitungstätigkeiten sollten aktualisiert werden, um festzuhalten, dass StackPath kein Auftragsverarbeiter mehr ist.
Sample consent text
Diese Website nutzte zuvor das StackPath Content Delivery Network und die Web Application Firewall, die Sicherheitscookies auf Ihrem Gerät setzen konnten, um die Website zu schützen und zu beschleunigen. StackPath wurde eingestellt, bitte beachten Sie daher den in diesem Hinweis genannten aktuellen Anbieter.
Third-party domains contacted
stackpathcdn.comstackpathdns.comstackpath.comhwcdn.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sp_lit | first party security | Session to short lived | Set by the StackPath web application firewall during security checks to help verify the visitor and apply protection rules. Set only when the service was active. |
| sbtsck | first party security | Approximately 1 day | Associated with captcha and handshake handling in the StackPath WAF to confirm a visitor passed a challenge. |
| SPLB | first party functional | Session | Load balancing cookie used by the StackPath edge to route a visitor consistently to a backend during their session. |
| SPC | first party security | Session to short lived | StackPath WAF cookie used as part of bot protection and request validation when a security action was triggered. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Während des Betriebs konnte die StackPath Web Application Firewall eigene Cookies wie sp_lit, sbtsck, SPC, SPLB, cnfc und pvstr setzen, vor allem bei Captcha- oder JavaScript-Aufgaben und zur Lastverteilung. Das Cookie sbtsck war mit der Captcha- und Handshake-Verarbeitung verbunden und meist kurzlebig. Da StackPath eingestellt ist, werden keine neuen Cookies gesetzt, doch alte sollten aus veralteter Konfiguration entfernt werden.
Als StackPath lief, behandelten Betreiber die Sicherheits- und Lastverteilungscookies oft als unbedingt erforderlich nach der ePrivacy-Ausnahme und luden sie ohne Einwilligung, sofern sie auf Sicherheit und Routing beschränkt waren. Alles Weitergehende erforderte eine Einwilligung. Da der Dienst eingestellt ist, besteht die aktuelle Aufgabe darin, StackPath aus Ihrem Banner zu entfernen und stattdessen den Ersatzanbieter zu bewerten.
Content Delivery und Netzsicherheit sind anerkannte berechtigte Interessen nach Artikel 6(1)(f), die die Verarbeitung von StackPath in der Regel mit einer dokumentierten Abwägung trugen. Die ePrivacy-Richtlinie regelte die Cookies gesondert. StackPath handelte als Auftragsverarbeiter für den Website-Betreiber, der Verantwortlicher blieb.
Ja. StackPath war ein US-Unternehmen mit Sitz in Dallas und betrieb ein globales Edge-Netz, sodass europäischer Datenverkehr in den USA und anderen Regionen verarbeitet werden konnte. Diese Übermittlungen erforderten einen Mechanismus wie die Standardvertragsklauseln oder das EU US Data Privacy Framework. Die Übermittlungsfrage betrifft nun Ihren Ersatzanbieter.
Da StackPath eingestellt ist, hat die Migration Vorrang vor einer neuen Bewertung des eingestellten Dienstes. Eine gezielte Prüfung sollte bestätigen, dass StackPath vollständig entfernt wurde. Eine Datenschutz-Folgenabschätzung kann für den aktiven Ersatz angebracht sein, wenn er groß angelegte Bot-Abwehr oder Verhaltensanalyse anwendet.
Bestätigen Sie, dass StackPath nicht mehr in DNS, CNAME-Einträgen, Edge-Konfiguration oder Tag-Managern referenziert wird, und migrieren Sie dann zu einem unterstützten Anbieter wie Akamai, Cloudflare, Fastly oder Gcore. Entfernen Sie StackPath-Cookies und -Anbietereinträge aus Ihrem Banner und Ihrem Verzeichnis und dokumentieren Sie den Ersatz mit eigener Rechtsgrundlage und eigenem Übermittlungsmechanismus.
Nach der Abschaltung gehören zu den gängigen Alternativen Akamai, das die StackPath-CDN-Vermögenswerte übernahm, Cloudflare, Fastly und Gcore, das die StackPath-Technologie zum Schutz von Webanwendungen und APIs übernahm. Wählen Sie nach Ihren Anforderungen an Leistung, Sicherheit, Hosting-Region und Datenresidenz.
Entfernen Sie die StackPath-Cookies und die Anbieterbeschreibung aus Ihrer Cookie-Richtlinie und ersetzen Sie sie durch den aktuellen Anbieter. Führen Sie die Sicherheitscookies des neuen Anbieters, ihren Zweck und ihre Laufzeit auf und nennen Sie, wo Daten verarbeitet werden und welcher Übermittlungsmechanismus gilt. Prüfen Sie dann, dass keine verbliebenen StackPath-Cookies vorhanden sind, damit die Richtlinie zutrifft.