Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Contentstack

Was macht Contentstack?

Contentstack ist ein Enterprise Headless CMS der Contentstack LLC. Die Content Delivery API liefert JSON ohne Cookies bei Besuchern aus, wodurch die öffentliche Auslieferungsschicht bei Auswahl der EU Stack Region DSGVO konform ist. Die Editor Authentifizierung in app.contentstack.com nutzt strikt notwendige Session Cookies.

Was Contentstack ist und wie es Inhalte ausliefert

Contentstack ist ein Enterprise Headless Content Management System, das 2018 von der Contentstack LLC gegründet wurde. Redakteure legen Einträge in Content Types über die Webanwendung app.contentstack.com an. Veröffentlichte Einträge werden als JSON über die Content Delivery API (cdn.contentstack.io) auf Basis von Akamai ausgeliefert. Das Frontend, in beliebigen Frameworks geschrieben, ruft das JSON serverseitig oder über einen JavaScript Client ab und rendert das HTML. Die Auslieferungsschicht ist zustandslos und benötigt keine Cookies im Besucher Browser.

Cookies und Identifikatoren bei Besuchern

Die öffentliche Contentstack Content Delivery API setzt keine Cookies bei Besuchern. Auf der Editor Seite setzt app.contentstack.com Session, XSRF TOKEN und Tracking Cookies, um eingeloggte Nutzer zu authentifizieren und vor Cross Site Request Forgery zu schützen. Die Marketing Website contentstack.com setzt Analyse Cookies (Google Analytics, HubSpot, LinkedIn Insight Tag), die auf contentstack.com beschränkt sind und niemals zu den Kunden Websites gelangen, die die Content Delivery API nutzen.

DSGVO und ePrivacy Implikationen

Da die öffentliche Contentstack Auslieferung keine Identifikatoren auf dem Endgerät des Besuchers ablegt, ist nach Artikel 5(3) der ePrivacy Richtlinie keine vorherige Einwilligung erforderlich. Artikel 6(1)(f) DSGVO (berechtigtes Interesse) deckt die begrenzten Anfrage Metadaten an der Akamai Edge. Die Contentstack LLC agiert als Auftragsverarbeiter nach Artikel 28 DSGVO mit einer im Dashboard verfügbaren AV Vereinbarung. Die Session Cookies in app.contentstack.com sind strikt notwendig und fallen nicht unter die Einwilligungspflicht.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datentransfers und Schrems II

Erstellen Sie für europäische Projekte den Stack in einer EU Region (Azure Westeuropa oder GCP EU). Bei Auswahl einer EU Region bleibt der redaktionelle Inhalt und die Quelle der Content Delivery API innerhalb des EWR. Akamai Cache Knoten sind global, was akzeptabel ist, da nur das veröffentlichte JSON zwischengespeichert wird. Die Anwendung app.contentstack.com wird aus den USA betrieben, und der Kundenzugriff darauf stellt einen durch Standardvertragsklauseln und das EU US Data Privacy Framework abgedeckten Transfer dar. Brand Studio, Lytics CDP und Personalize Add ons können zusätzliche Daten in den USA verarbeiten.

Praktische Compliance Schritte

Wählen Sie bei der Anlage eine EU Stack Region, da Regionen später nicht migriert werden können. Unterzeichnen Sie die Contentstack AV Vereinbarung und dokumentieren Sie den Auftragsverarbeiter im VVT mit Region, Zweck und Verweis auf die AV Vereinbarung. Aktivieren Sie SSO und MFA für Redakteurskonten. Verwenden Sie Delivery Tokens, die auf eine einzige Umgebung beschränkt sind, für Ihr öffentliches Frontend, veröffentlichen Sie niemals Management Tokens clientseitig. Steuern Sie alle über Contentstack injizierten Drittanbieter Tracker über eine Consent Management Plattform.

GDPR consent category

Sonstige

Websites using Contentstack must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(f) GDPR (legitimate interest) for content delivery via the Content Delivery API. Strictly necessary cookies are used in app.contentstack.com for editor authentication. No consent required for the public delivery.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, DSGVO, RGPD, LSSI, Schrems II, EU US Data Privacy Framework when the US region is selected

DPIA considerations

Eine DSFA ist für die öffentliche Auslieferungsschicht von Contentstack in der Regel nicht erforderlich, wenn die EU Region genutzt wird. Sie ist sinnvoll bei Integration mit Personalize, Lytics CDP oder Brand Studio, wenn besondere Datenkategorien in Einträgen gespeichert werden oder wenn die US Region für europäische Besucher genutzt wird. Dokumentieren Sie die Regionsauswahl, die AV Vereinbarung mit Contentstack LLC und die Zugriffskontrollen für die Editor Anwendung.

Sample consent text

Diese Website verwendet Contentstack zur Auslieferung redaktioneller Inhalte. Die Contentstack Content Delivery API setzt keine Cookies bei Besuchern. Für die öffentliche Auslieferung ist keine Einwilligung erforderlich. Authentifizierungs Cookies gelten nur für Redakteure, die in app.contentstack.com angemeldet sind.

Technical details

Tracking methodEnterprise headless CMS delivered via Content Delivery Network and REST/GraphQL Content APIs over HTTPS. The frontend fetches JSON without setting any cookies on visitors. Editors log into app.contentstack.com which uses session and CSRF cookies for authentication.

Server locationContentstack LLC, headquartered in San Francisco, California. The platform offers multiple data centers including North America (Azure us east, AWS us east 1), Europe (Azure Western Europe / Amsterdam), Australia (Azure Australia East) and the GCP based gcp-na-1 and gcp-eu-1 regions. Akamai CDN serves the content globally.

Cookieless tracking availableYes

Data transferred outside the EUFor European projects, Contentstack offers an EU stack region (Azure Western Europe) and a GCP EU region (gcp-eu-1, Belgium). When these EU regions are selected the stored content and the Content Delivery API stay in the EEA. The corporate app and support tools may still route through the United States. Akamai edge servers are global. Standard Contractual Clauses cover the residual transfers.

Third-party domains contacted

contentstack.comapp.contentstack.comcdn.contentstack.ioeu-cdn.contentstack.comimages.contentstack.ioazure-eu-images.contentstack.com

Cookies placed

Name	Type	Duration	Purpose
connect.sid	first-party (app.contentstack.com)	Session	Editor session cookie that authenticates a logged in user in the Contentstack web application. Strictly necessary, not set on the public website.
XSRF-TOKEN	first-party (app.contentstack.com)	Session	Anti CSRF token used by the Contentstack app to protect state changing requests. Strictly necessary, only present in the editor interface.
_ga	third-party (marketing site only)	2 years	Google Analytics identifier used on contentstack.com (marketing site). Does not appear on customer websites that consume the Content Delivery API.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt Contentstack Cookies bei Website Besuchern?

Nein. Die öffentliche Content Delivery API liefert JSON ohne Cookies. Cookies werden auf app.contentstack.com (Editor Anwendung) für Session, XSRF Schutz und Tracking gesetzt und auf contentstack.com (Marketing Website) für Analytics, aber keines davon gelangt auf Kundenseiten, die die Content Delivery API nutzen.

Ist für Contentstack eine Einwilligung nach DSGVO und ePrivacy erforderlich?

Für die öffentliche Auslieferung ist keine Einwilligung erforderlich, da keine Identifikatoren auf dem Endgerät des Besuchers gespeichert werden. Die strikt notwendigen Editor Cookies auf app.contentstack.com sind nach Artikel 5(3) ePrivacy von der Einwilligung befreit. Eine Einwilligung gilt nur für Drittanbieter Tracker in Ihrem Frontend.

Welche Rechtsgrundlage gilt für die Verarbeitung mit Contentstack?

Artikel 6(1)(f) DSGVO (berechtigtes Interesse) deckt die begrenzten Anfrage Metadaten an der Akamai CDN Edge. Die Contentstack LLC ist als Auftragsverarbeiter nach Artikel 28 DSGVO dokumentiert, die AV Vereinbarung ist im Dashboard verfügbar.

Überträgt Contentstack Daten in die USA?

Die Inhaltsspeicherung bleibt im EWR, wenn eine EU Stack Region gewählt wird (Azure Westeuropa oder GCP EU). Die app.contentstack.com Editor Anwendung wird aus den USA betrieben, ihr Zugriff als Redakteur stellt einen Transfer dar, der durch SCCs und das EU US Data Privacy Framework abgedeckt ist. Brand Studio, Lytics CDP und Personalize Add ons können zusätzliche Daten in den USA verarbeiten.

Ist eine DSFA für Contentstack erforderlich?

Eine DSFA ist für eine öffentliche redaktionelle Installation in der Regel nicht erforderlich, wenn eine EU Region verwendet wird. Sie ist sinnvoll, wenn Contentstack mit Personalize, Lytics CDP, großen nutzergenerierten Inhalts Workflows kombiniert wird oder wenn sensible Daten in Einträgen gespeichert werden.

Wie binde ich Contentstack DSGVO konform ein?

EU Stack Region bei Anlage wählen, Contentstack AV Vereinbarung unterzeichnen, Auftragsverarbeiter im VVT dokumentieren, SSO und MFA für Redakteure aktivieren, Delivery Tokens auf eine Umgebung beschränken, niemals Management Tokens clientseitig veröffentlichen und Drittanbieter Skripte, die über Inhalte injiziert werden, über eine Consent Management Plattform steuern.

Welche Alternativen zu Contentstack gibt es?

Alternativen im Enterprise Headless CMS Bereich sind Storyblok (Österreich), Contentful (Deutschland), Sanity (Norwegen), Strapi Cloud Enterprise (Frankreich), Sitecore XM Cloud, Adobe Experience Manager und Optimizely Content Cloud.

Wie aktualisiere ich die Cookie Richtlinie für Contentstack?

Listen Sie Contentstack als Auftragsverarbeiter für Inhalte in Ihrer Datenschutzerklärung mit der EU Stack Region, Zweck, Verweis auf die AV Vereinbarung und einem Hinweis auf den US Transfer für die Editor Anwendung auf. Die öffentliche Website muss Contentstack nicht im Cookie Banner aufführen, da bei Besuchern keine Cookies gesetzt werden.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note