Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Craft CMS ist ein selbst gehostetes kommerzielles PHP Content Management System von Pixel & Tonic, das fuer redaktionelle Websites konzipiert ist und bei Hosting in der EU eine hervorragende DSGVO Vertraeglichkeit bietet.
Craft CMS ist ein kommerzielles Content Management System, geschrieben in PHP und basierend auf dem Yii Framework. Es wurde 2013 von Pixel & Tonic, Inc. ins Leben gerufen, einem Unternehmen mit Sitz in Bend, Oregon, USA. Die Plattform richtet sich an professionelle redaktionelle Websites und wird von Digitalagenturen, insbesondere in Europa, breit fuer inhaltsreiche Unternehmensseiten, Magazine und Markenpublikationen eingesetzt. Craft CMS wird unter einer kommerziellen Lizenz in drei Stufen vertrieben: Solo (kostenlos fuer persoenliche oder Einzelnutzer Projekte), Pro (kostenpflichtig, mehrere Benutzer) und Enterprise (individuell). Dasselbe Unternehmen bietet Craft Commerce, eine E Commerce Erweiterung, sowie Craft Cloud, einen verwalteten Hosting Dienst auf Basis von DigitalOcean.
Im Auslieferungszustand verarbeitet Craft CMS ausschliesslich Daten, die mit der Backend Administration zusammenhaengen. Es speichert Administrator und Redakteurkonten (E Mail, gehashtes Passwort, Name, optionale Profilfelder), die von diesen Nutzern erstellten Inhalte sowie grundlegende Sitzungsinformationen fuer authentifizierte Administrationsanfragen. Das CMS setzt einige wenige unbedingt erforderliche Cookies fuer den Verwaltungsbereich: ein CSRF Token zum Schutz vor Cross Site Request Forgery, eine Session ID fuer angemeldete Benutzer und ein optionales persistentes Authentifizierungscookie, wenn die Funktion Angemeldet bleiben verwendet wird. Die oeffentliche Website erhaelt von Craft selbst keinerlei Tracking Cookies, und es gibt keine integrierte Analytik, Telemetrie oder Besucherprofile.
Craft CMS kann auf jeder Infrastruktur installiert werden, die PHP und eine kompatible Datenbank unterstuetzt. Der Verantwortliche behaelt damit die volle Freiheit ueber Hosting Region und Datenresidenz. Europaeische Agenturen betreiben Craft haeufig bei EU Anbietern wie Hetzner, OVH, Scaleway oder Combell, um sicherzustellen, dass personenbezogene Daten innerhalb des Europaeischen Wirtschaftsraums verbleiben. Alternativ bietet Pixel & Tonic Craft Cloud an, eine schluesselfertige verwaltete Hosting Plattform auf Basis von DigitalOcean, die die Auswahl einer Region einschliesslich EU Standorten ermoeglicht. Unabhaengig vom Hosting kommunizieren die Lizenzaktivierung und der optionale Plugin Store mit Systemen von Pixel & Tonic in den USA; diese Vorgaenge betreffen Lizenzschluessel und Software Metadaten, nicht personenbezogene Daten von Besuchern.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Aus DSGVO Sicht zaehlt der Craft CMS Kern zu den datenschutzfreundlichsten Mainstream Loesungen ueberhaupt. Es gibt keine Tracking Cookies, keine Drittanbieter Netzwerkaufrufe auf der oeffentlichen Seite, und der Verantwortliche kann den gesamten Datenfluss in der EU halten. Die anwendbaren Rechtsgrundlagen fuer die von Craft tatsaechlich verarbeiteten Daten sind die Vertragserfuellung (Art. 6 Abs. 1 lit. b DSGVO) fuer das administrative Verhaeltnis zu Redakteuren sowie das berechtigte Interesse (Art. 6 Abs. 1 lit. f DSGVO) fuer die Absicherung des Backends. Das Bild aendert sich, sobald die Website Drittdienste einbindet wie Google Analytics, Meta Pixel, eingebettete YouTube oder Vimeo Player, Marketingformulare oder einen Tag Manager: jeder davon kann einen Consent Banner nach ePrivacy Richtlinie und eine dokumentierte Rechtsgrundlage erfordern. Auch Plugins aus dem Craft Plugin Store koennen den Verarbeitungsumfang erweitern, jede Ergaenzung sollte daher geprueft werden.
Um Craft CMS vollstaendig konform zu betreiben: waehlen Sie eine EU Hosting Region oder eine Craft Cloud EU Region; schliessen Sie einen Auftragsverarbeitungsvertrag mit dem Hoster; dokumentieren Sie den Lizenzaustausch mit Pixel & Tonic als ergaenzende Verarbeitung; fuehren Sie ein Inventar der installierten Plugins und der von ihnen verarbeiteten Daten; setzen Sie eine Consent Management Plattform fuer alle im Frontend hinzugefuegten Drittskripte ein; konfigurieren Sie sichere Cookie Attribute (Secure, HttpOnly, SameSite) auf Administrations Cookies; aktivieren Sie Backups und ein Incident Response Verfahren; und aktualisieren Sie die Datenschutzerklaerung, sodass sie die tatsaechlichen Datenfluesse einschliesslich Hosting Region und Unterauftragsverarbeitern widerspiegelt.
Wenn die Seite Craft Commerce einsetzt, vergroessert sich der Verarbeitungsumfang erheblich. Kundenkonten, Bestellhistorie, Rechnungs und Lieferadressen werden in derselben Datenbank gespeichert. Die Zahlungsabwicklung wird in der Regel an Dritte wie Stripe, PayPal, Mollie oder Adyen ausgelagert, die jeweils als unabhaengige Verantwortliche oder Auftragsverarbeiter handeln und in der Datenschutzerklaerung benannt werden muessen. Marketingfunktionen (Abandoned Cart E Mails, Transaktionsbenachrichtigungen) koennen eine gesonderte Einwilligung erfordern. Eine dedizierte DSFA wird empfohlen, wenn Craft Commerce im grossen Massstab oder fuer sensible Produktkategorien eingesetzt wird.
Websites using Craft CMS must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist fuer eine Standard Craft CMS Installation in der Regel nicht erforderlich, da der CMS Kern nur essenzielle Cookies fuer die administrative Authentifizierung und den CSRF Schutz setzt und keine Analytik oder Telemetrie enthaelt. Der Pruefumfang sollte sich auf die vom Kunden gewaehlte Hosting Umgebung (selbst gehostete Infrastruktur oder Craft Cloud Region), installierte Plugins, die moeglicherweise Drittdienste hinzufuegen, Frontend Integrationen wie Analytik, eingebettete Videos oder Marketingformulare sowie das Craft Commerce Modul beziehen, falls dieses fuer E Commerce eingesetzt wird. Dokumentieren Sie die Hosting Region, das Plugin Inventar und alle beteiligten Auftragsverarbeiter.
Sample consent text
Fuer den Craft CMS Kern ist kein Consent Banner erforderlich, da nur unbedingt notwendige Cookies fuer das administrative Backend gesetzt werden. Wenn Ihre Website Analytik, Werbung, eingebettete Videos oder andere Tracking Technologien ergaenzt, implementieren Sie eine konforme Consent Management Plattform, die solche Skripte erst nach ausdruecklicher Einwilligung laedt.
Third-party domains contacted
craftcms.complugins.craftcms.comelliptic.iopackagist.orgCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| CRAFT_CSRF_TOKEN | Strictly necessary | Session | Cross site request forgery (CSRF) protection token used by the Craft CMS administration panel to validate form submissions and AJAX requests originating from authenticated users. |
| CraftSessionId | Strictly necessary | Session | Administrative session identifier used to maintain the authenticated state of editors and administrators in the Craft CMS control panel. Not set on visitors who do not log in to the back end. |
| CraftAuthorization | Strictly necessary | Up to 14 days (configurable, only when remember me is enabled) | Persistent authentication cookie set when an administrator checks the remember me option at login, allowing the back end to recognise the user across sessions without requiring a fresh password entry. Duration is configurable via the userSessionDuration setting in Craft CMS. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Nein. Der Craft CMS Kern setzt nur unbedingt erforderliche Cookies fuer den Verwaltungsbereich: CRAFT_CSRF_TOKEN zum Schutz vor Cross Site Request Forgery, CraftSessionId fuer authentifizierte Admin Sitzungen und ein optionales CraftAuthorization Cookie, wenn die Funktion Angemeldet bleiben aktiviert ist. Die oeffentliche Website erhaelt von Craft selbst keine Tracking, Analytik oder Marketing Cookies. Jegliches Tracking im Frontend stammt aus Integrationen, die Sie hinzufuegen (Analyse Skripte, eingebettete Videos, Marketing Pixel), nicht vom CMS.
Nicht fuer den CMS Kern. Die von Craft gesetzten Cookies sind unbedingt erforderlich und fallen unter die Ausnahme von Art. 5 Abs. 3 der ePrivacy Richtlinie; ein Banner ist daher nicht erforderlich. Ein Consent Banner wird notwendig, sobald Sie im Frontend nicht essenzielle Technologien wie Google Analytics, Werbepixel, eingebettete Social Media Player, Marketingformulare oder andere Drittanbieter Tags hinzufuegen.
Fuer das administrative Backend sind die einschlaegigen Rechtsgrundlagen der DSGVO die Vertragserfuellung (Art. 6 Abs. 1 lit. b) fuer das Verhaeltnis zu Redakteuren und Administratoren sowie das berechtigte Interesse (Art. 6 Abs. 1 lit. f) zur Absicherung der Plattform vor Angriffen. Wenn Sie auf der oeffentlichen Seite ueber Formulare oder Konten Besucherdaten erheben, identifizieren Sie eine spezifische Rechtsgrundlage (Einwilligung, Vertrag oder berechtigtes Interesse) und dokumentieren Sie diese im Verzeichnis von Verarbeitungstaetigkeiten.
Das haengt vollstaendig vom gewaehlten Hosting ab. Da Craft CMS selbst gehostet wird, entscheiden Sie, wo die Anwendung laeuft: Waehlen Sie einen EU Anbieter (Hetzner, OVH, Scaleway, Combell etc.) oder eine EU Region von Craft Cloud, dann verbleiben Besucherdaten in der EU. Der einzige systematische ausgehende Datenfluss in die USA ist die Lizenzvalidierung und die Plugin Store Kommunikation mit Pixel & Tonic, die Lizenzschluessel und Software Metadaten betrifft, nicht personenbezogene Daten von Webseitenbesuchern.
Eine DSFA ist fuer eine Standardinstallation in der Regel nicht erforderlich, da der CMS Kern nur administrative Daten mit geringem Risiko verarbeitet. Eine DSFA wird angemessen, wenn Craft Commerce im grossen Massstab eingesetzt wird, wenn sensible Daten verarbeitet werden (Gesundheit, Biometrie, grosse Nutzergemeinschaften), wenn Drittanbieter Plugins Profilbildung oder umfangreiches Tracking einfuehren oder wenn das Frontend viele Marketing und Analyse Dienste integriert.
Hosten Sie Craft auf einer EU Infrastruktur oder einer EU Region von Craft Cloud, schliessen Sie einen Auftragsverarbeitungsvertrag mit dem Hoster, fuehren Sie ein aktuelles Plugin Inventar, setzen Sie die Attribute Secure, HttpOnly und SameSite auf Administrations Cookies, implementieren Sie eine Consent Management Plattform fuer alle Drittskripte im Frontend, dokumentieren Sie den Lizenzaustausch mit Pixel & Tonic, aktivieren Sie automatische Backups, definieren Sie ein Incident Response Verfahren und spiegeln Sie all dies in einer klaren Datenschutzerklaerung wider.
Vergleichbare selbst gehostete CMS Loesungen sind Kirby (flat file, deutscher Hersteller), Statamic (Laravel basiert, flat file oder Datenbank), ExpressionEngine (PHP, lange etabliert), ProcessWire (Open Source PHP) und Wagtail (Python, Django basiert) fuer klassische CMS Anwendungen. Fuer Headless Ansaetze bieten sich Sanity, Storyblok oder Strapi an. Viele teilen die Staerken von Craft CMS: volle Kontrolle ueber die Hosting Region und minimales Standard Tracking.
Listen Sie die unbedingt erforderlichen Cookies des Backoffice auf (CRAFT_CSRF_TOKEN, CraftSessionId und CraftAuthorization bei aktivierter Angemeldet bleiben Funktion), erlaeutern Sie, dass sie nur fuer administrative Authentifizierung und CSRF Schutz dienen, und stellen Sie klar, dass sie bei Besuchern, die sich nicht am Backend anmelden, nicht gesetzt werden. Ergaenzen Sie im selben Dokument alle Frontend Cookies, die von Integrationen oder Plugins eingefuehrt werden, mit Zweck, Dauer und Rechtsgrundlage.