Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Contentful ist ein in Berlin gegründetes Headless Content Management System, das weltweit von Unternehmen genutzt wird, um strukturierte Inhalte an Websites, mobile Apps und vernetzte Geräte auszuspielen. Redakteure pflegen Inhalte in der Contentful Web App, Entwickler konsumieren sie über GraphQL oder REST APIs. Contentful fungiert überwiegend als Backend, sodass der Consent Fußabdruck im Besucherbrowser minimal ist. Die Plattform verarbeitet jedoch Redakteursdaten und Content Metadaten auf ihrer EU oder US Infrastruktur.
Contentful ist ein in Berlin ansässiges Headless Content Management System und gilt als Referenz der API First CMS Kategorie. Redakteure definieren Content Modelle, pflegen Einträge und referenzieren reichhaltige Assets in der Web App unter app.contentful.com. Entwickler konsumieren die Inhalte anschließend über die GraphQL Content API, die REST Content Delivery API oder die Preview API und rendern sie in einem Next.js, Nuxt, Astro oder nativen Mobile Frontend. Die CMS Schicht sitzt damit hinter der öffentlichen Website, und Besucher interagieren mit Contentful in der Regel nur indirekt.
Contentful speichert drei Kategorien von Daten: Redakteurs Kontoinformationen (Name, E Mail, Organisation, Rollenzuweisungen, API Keys), Inhaltseinträge und von Redakteuren hochgeladene Assets (einschließlich personenbezogener Daten, die bewusst in Beiträge eingebunden werden, etwa Autorenfotos oder Testimonial Zitate), sowie Betriebstelemetrie der Content APIs. Das öffentliche Frontend erhält in der Regel keine Contentful Cookies, die Admin App unter app.contentful.com setzt jedoch Session Cookies, Anti CSRF Tokens und begrenzte Analyse Cookies (auf Segment Basis) zur Authentifizierung der Redakteure und für Product Analytics.
Die Contentful GmbH ist Auftragsverarbeiter für die Inhaltseinträge und Redakteurskonten ihrer Kunden und Verantwortlicher für eng begrenzte Konto , Abrechnungs und Product Analytics Zwecke. Da das öffentliche Frontend keine Contentful Skripte im Besucherbrowser lädt, wird die ePrivacy Einwilligungspflicht für Endnutzer in der Regel nicht ausgelöst. Rechtsgrundlage für die backendseitige Inhalteauslieferung ist berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Redakteurs Daten in app.contentful.com werden auf Basis der Contentful Auftragsverarbeitungsvereinbarung und der Kundenbeziehung verarbeitet.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Contentful Produktions Spaces können auf AWS in eu-central-1 (Frankfurt), us-east-1 (Northern Virginia) oder ap-southeast-1 (Singapur) gehostet werden, mit einem CDN in weiteren Regionen. Auch bei EU Spaces können Supportteams und Monitoring Infrastruktur in den USA auf Metadaten zugreifen. Übermittlungen stützen sich auf das Contentful Auftragsverarbeitungs Addendum, die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO und das EU US Data Privacy Framework, ergänzt durch TLS 1.3 in der Übertragung, Verschlüsselung im Ruhezustand, ISO 27001, SOC 2 Typ II und HIPAA Kontrollen für Kunden im Gesundheitswesen.
Schließen Sie das Contentful Auftragsverarbeitungs Addendum ab, wählen Sie einen EU Produktions Space, wenn EU Residenz erforderlich ist, konfigurieren Sie Zugriffskontrollen und Single Sign On für Redakteure und definieren Sie Aufbewahrungsregeln für Inhaltsversionen und hochgeladene Assets. Führen Sie Contentful im Verzeichnis von Verarbeitungstätigkeiten, nennen Sie die Contentful GmbH und die AWS Hosting Region in der Datenschutzerklärung und prüfen Sie, welche Integrationen (Algolia, Segment, Salesforce, OpenAI) Besucherdaten über Contentful Webhooks oder App Actions weiterleiten können.
Websites using Contentful must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für eine öffentliche Website, die Contentful zur Auslieferung von Marketing oder Produktinhalten nutzt, in der Regel nicht erforderlich. Eine DSFA wird empfohlen, wenn Contentful zur Verwaltung personalisierter Inhalte für identifizierte Besucher genutzt wird, wenn regulierte Branchen bedient werden (Finanzdienstleistungen, Gesundheit, öffentlicher Sektor) oder wenn Integrationen mit Adobe Real Time CDP, Segment oder Salesforce personenbezogene Daten in die Content Schicht einspielen.
Sample consent text
Diese Website ist mit Contentful aufgebaut, einem Headless CMS der Contentful GmbH (Deutschland) auf AWS Infrastruktur. Contentful verarbeitet die Inhalte, die Sie auf diesen Seiten sehen. Es werden keine Marketing oder Analyse Cookies von Contentful selbst gesetzt. Redaktionelle Funktionen in Ihrem Administratorkonto unterliegen einer separaten Auftragsverarbeitungsvereinbarung.
Third-party domains contacted
contentful.comapp.contentful.comcdn.contentful.compreview.contentful.comimages.ctfassets.netassets.ctfassets.netvideos.ctfassets.netCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _contentful_session | Strictly necessary (admin only) | Session | Set inside app.contentful.com for authenticated editors. Maintains the admin login session and is not present on public websites built with Contentful. |
| ajs_anonymous_id | Analytics (admin only, after consent) | 12 months | Set inside app.contentful.com when the Segment based product analytics is loaded. Used to attribute editor actions to a pseudonymous user. Not present on the public website. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Nein. Auf einer mit Contentful gebauten öffentlichen Website werden Inhalte serverseitig oder zum Build Zeitpunkt gerendert, der Besucherbrowser lädt keine Contentful Skripte. Contentful setzt Cookies ausschließlich in app.contentful.com (der Redaktions Admin) zur Authentifizierung, CSRF Absicherung und für begrenzte Product Analytics.
Bei der typischen Headless Nutzung (Server Side Rendering, Static Site Generation, Backend API Aufrufe) ist keine Besucher Einwilligung erforderlich, da nichts auf dem Endgerät gespeichert oder ausgelesen wird. Eine Einwilligung wird nötig, sobald Contentful mit Experimenten, Personalisierung oder Analyseskripten kombiniert wird, die Kennungen im Browser ablegen.
Für die backendseitige Inhalteauslieferung ist die Rechtsgrundlage berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Für Redakteurskonten und Kundensupport stützt sich die Verarbeitung auf die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO und auf die Contentful Auftragsverarbeitungsvereinbarung. Personenbezogene Daten, die bewusst in Einträge eingefügt werden, übernehmen die vom Kunden gewählte Rechtsgrundlage.
Contentful schließt über das Auftragsverarbeitungs Addendum die EU Standardvertragsklauseln nach Art. 46 Abs. 2 lit. c DSGVO ab, bestätigt die Teilnahme am EU US Data Privacy Framework und bietet EU Produktions Spaces in AWS eu-central-1 an. Ergänzende Maßnahmen umfassen TLS 1.3, Verschlüsselung im Ruhezustand, ISO 27001, SOC 2 Typ II, HIPAA Kontrollen und eng begrenzte Zugriffe auf Kundendaten.
Eine DSFA ist für eine typische Informations oder Marketing Website nicht erforderlich. Eine DSFA wird empfohlen, wenn Contentful zur Auslieferung personalisierter Inhalte an identifizierte Besucher genutzt wird, wenn der Kunde in einer regulierten Branche tätig ist (Finanzdienstleistungen, Gesundheit, öffentlicher Sektor) oder wenn Integrationen personenbezogene Daten über Webhooks oder App Actions in Drittsysteme weitergeben.
Schließen Sie das Contentful Auftragsverarbeitungs Addendum ab, wählen Sie einen EU Produktions Space wenn EU Residenz erforderlich ist, aktivieren Sie Single Sign On für Redakteure, konfigurieren Sie feingranulare Rollen und Audit Logs, definieren Sie Aufbewahrungsregeln für Inhaltsversionen und Assets, dokumentieren Sie Contentful als Auftragsverarbeiter im Verzeichnis von Verarbeitungstätigkeiten und prüfen Sie jede aus der EU herausführende Integration.
Europäische oder selbst gehostete Alternativen sind Storyblok (Österreich), Hygraph (Berlin), Sanity (Norwegen, US Auslieferung), Strapi (Frankreich, self hosted oder Strapi Cloud), Payload CMS (Open Source, self hosted), Directus (Open Source, self hosted) und Magnolia (Schweiz). Die richtige Wahl hängt von Content Modellierung, EU Residenz Anforderungen und Developer Experience ab.
Führen Sie die Contentful GmbH als Auftragsverarbeiter der Content Delivery Infrastruktur auf, erläutern Sie, dass die öffentliche Website keine Contentful Cookies im Besucherbrowser lädt, weisen Sie darauf hin, dass die Admin Oberfläche (app.contentful.com) eigene Cookies für authentifizierte Administratoren setzt, und verlinken Sie die Contentful Datenschutzerklärung. Für Endnutzer ist in der Regel kein Cookie Eintrag erforderlich.