Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Directus

Was macht Directus?

Directus ist ein Open Source Headless CMS und eine Datenplattform, die auf jeder SQL Datenbank aufsetzt. Inhalte werden über REST und GraphQL APIs bereitgestellt und eine moderne Admin Oberfläche ist enthalten. Directus kann selbst gehostet auf der eigenen Infrastruktur betrieben werden (in der EU oder anderswo) oder als Directus Cloud genutzt werden, dem Managed Angebot auf Google Cloud Platform mit wählbarer Region. Die selbst gehostete Variante setzt keine Tracker von Drittanbietern und ist eine der datenschutzfreundlichsten CMS Optionen für Organisationen, die volle Kontrolle über die Datenresidenz nach DSGVO benötigen.

Was Directus ist

Directus ist ein Open Source Headless CMS und eine Datenplattform, die 2004 gegründet wurde und heute von Monospace Inc. mit Teams in Brooklyn (USA) und Bordeaux (Frankreich) entwickelt wird. Es verbindet sich mit jeder SQL Datenbank (PostgreSQL, MySQL, MariaDB, SQLite, MS SQL) und verwandelt bestehende Tabellen in eine vollwertige Admin Oberfläche mit REST und GraphQL APIs. Directus wird unter einer Business Source License veröffentlicht, die nach einer Frist in Open Source übergeht, und die meisten Teams nutzen es selbst gehostet in Containern auf eigener Infrastruktur. Mit Directus Cloud ist auch ein Managed Angebot auf Google Cloud Platform verfügbar, bei dem die Hosting Region gewählt werden kann, einschließlich europe west.

Welche Daten Directus im Browser speichert

Standardmäßig setzt Directus nur technische Cookies, die für den Betrieb der Admin Oberfläche unbedingt erforderlich sind. Die wichtigsten Cookies sind directus_session_token (ein kurzlebiges JWT zur Authentifizierung des Redakteurs), directus_refresh_token (zur Ausstellung neuer Access Tokens, übliche Laufzeit 7 Tage) und directus_session_id (für das Tracking der Session in der Admin App). Es sind keine Analytics, Werbe oder Drittanbieter Tracker im Produkt enthalten. Öffentliche Besucher einer auf Directus basierenden Website erhalten kein Directus Cookie, da sie nur die öffentliche API konsumieren, die keine Browser Session benötigt.

Selbst gehostet vs Directus Cloud unter der DSGVO

Wenn Sie Directus selbst hosten, sind Sie alleiniger Verantwortlicher und alleiniger Betreiber der Daten, was die DSGVO Analyse stark vereinfacht: die Daten bleiben in der von Ihnen gewählten Datenbank, in der von Ihnen gewählten Region, bei den von Ihnen vertraglich gebundenen Anbietern. Bei Directus Cloud tritt Monospace Inc. als Auftragsverarbeiter und Google Cloud als Unterauftragsverarbeiter auf. Sie können eine europäische Region wählen, um die Daten im EWR zu halten, und sich für etwaige weitere Übermittlungen auf die EU SCC stützen. Diese Flexibilität ist der Hauptgrund, warum Directus häufig als DSGVO freundliche Alternative zu US lastigen SaaS CMS Plattformen gewählt wird.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Optionen zur regionalen Datenresidenz

Bei selbst gehosteten Installationen hängt die Datenresidenz vollständig davon ab, wo die Container und die Datenbank laufen. Viele Teams betreiben Directus bei europäischen Hostern wie Scaleway, OVHcloud, Clever Cloud, Hetzner oder in den EU Regionen von AWS, Azure und Google Cloud. Für Directus Cloud wählt der Kunde bei der Projekterstellung eine Google Cloud Region, einschließlich europe west für europäische Datenresidenzanforderungen. Der Speicher für hochgeladene Dateien kann auf jedes S3 kompatible Bucket umgeleitet werden, sodass europäische Kunden Medien auch bei Directus Cloud in rein europäischem Objektspeicher ablegen können.

Integration mit Frontend Frameworks

Directus wird häufig mit modernen Frontends wie Next.js, Nuxt, SvelteKit, Astro oder Remix kombiniert, die die Inhalte über die REST oder GraphQL API zur Buildzeit oder bedarfsgerecht abrufen. Da das Frontend keine Directus Session benötigt, erhalten Besucher der öffentlichen Website niemals Directus Cookies und benötigen keinen Consent Banner für das CMS selbst. Der Banner muss nur die Analytics, Werbe oder Chat Tools abdecken, die das Frontend zusätzlich einbindet.

Praktische Compliance Schritte für selbst gehostete Installationen

Um eine selbst gehostete Directus Installation konform zu halten, dokumentieren Sie Hoster und Region in Ihrem Verzeichnis von Verarbeitungstätigkeiten, beschränken Sie den Admin Zugang über SSO oder starke Passwörter plus Multi Faktor Authentifizierung, aktivieren Sie rollenbasierte Zugriffskontrolle, um den Zugriff auf personenbezogene Daten zu begrenzen, konfigurieren Sie Backups mit angemessener Aufbewahrungsfrist und rotieren Sie die geheimen Admin Schlüssel regelmäßig. Nehmen Sie Directus und seine Unterauftragsverarbeiter (Hoster, Objektspeicher, E Mail Anbieter) in Ihre Datenschutzerklärung auf und denken Sie daran, dass die Directus Cookies unbedingt erforderlich sind: sie benötigen keine vorherige Einwilligung, sondern lediglich eine klare Erwähnung in der Cookie Richtlinie.

GDPR consent category

Sonstige

Websites using Directus must obtain user consent under GDPR regulations.

Legal basisPerformance of contract (Art. 6(1)(b) GDPR) for back office authentication and content management; legitimate interest (Art. 6(1)(f) GDPR) for security and operations

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive (Cookie Law)

DPIA considerations

Ein selbst gehostetes Directus löst selten allein eine DSFA aus, da es nur die Backoffice Authentifizierung und Inhalte verwaltet. Eine DSFA kann jedoch erforderlich sein, wenn Directus sensible Inhalte speichert (Art. 9 DSGVO), öffentliche Dienste in großem Maßstab betreibt oder mit Analytics, KI oder Marketingmodulen kombiniert wird. Für Directus Cloud dokumentieren Sie die Hosting Region, den Unterauftragsverarbeiter Google Cloud und den internationalen Übermittlungsmechanismus (SCC und TIA), wenn eine Region außerhalb des EWR gewählt wird.

Sample consent text

Directus wird als Backoffice zur Verwaltung der Inhalte dieser Website eingesetzt. Es werden ausschließlich technische Cookies gesetzt, die unbedingt erforderlich sind, damit Redakteure angemeldet bleiben und die Admin Oberfläche funktioniert. Directus setzt keine Analyse oder Werbecookies.

Technical details

Tracking methodSelf hosted application (open source) or Directus Cloud (managed SaaS, optional regions)

Server locationSelf hosted (anywhere) or Directus Cloud on Google Cloud (EU region available)

Cookieless tracking availableYes

Third-party domains contacted

*.directus.appmarketing.directus.iodirectus.cloud

Cookies placed

Name	Type	Duration	Purpose
directus_session_token	HTTP cookie (first party)	Session (short lived JWT, typically 15 minutes)	Strictly necessary access token (JWT) used by the Directus admin interface to authenticate the signed in editor on each API request.
directus_refresh_token	HTTP cookie (first party)	7 days (configurable)	Strictly necessary refresh token used by the Directus admin interface to obtain a new access token without forcing the editor to sign in again.
directus_session_id	HTTP cookie (first party)	Session	Strictly necessary identifier used by the Directus admin app to bind UI state and CSRF protection to the current authenticated session.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Directus?

Directus setzt ausschließlich technische Session Cookies in der Admin Oberfläche: directus_session_token (kurzlebiges JWT zur Authentifizierung der Redakteure), directus_refresh_token (zur Ausstellung neuer Access Tokens, übliche Laufzeit 7 Tage) und directus_session_id (verwendet von der Admin App). Es werden keine Analytics, Werbe oder Drittanbieter Cookies von Directus gesetzt. Endnutzer einer öffentlichen Website, die die Directus API konsumiert, erhalten keine Directus Cookies.

Ist für die Nutzung von Directus eine Einwilligung erforderlich?

Für ein selbst gehostetes Directus ist keine vorherige Einwilligung erforderlich, da die gesetzten Cookies im Sinne von Art. 5(3) ePrivacy Richtlinie unbedingt erforderlich für den Betrieb des Backoffice sind. Für Directus Cloud gilt für die Cookies selbst die gleiche Logik, allerdings müssen Sie in Ihrer Datenschutzerklärung über den Auftragsverarbeiter (Monospace Inc.) und den Unterauftragsverarbeiter (Google Cloud) informieren. Besucher der öffentlichen Website sind nicht betroffen, da sie Directus Cookies nie sehen.

Was ist die Rechtsgrundlage für die Nutzung von Directus?

Die Rechtsgrundlage ist die Vertragserfüllung nach Art. 6(1)(b) DSGVO für die Authentifizierung der Redakteure und die Inhaltsverwaltung, kombiniert mit dem berechtigten Interesse nach Art. 6(1)(f) DSGVO für Sicherheit, Überwachung und Betrieb. Wenn Directus personenbezogene Daten speichert, die von Endnutzern übermittelt werden (Formulare, Kommentare, Profile), muss der Verantwortliche zusätzlich zur für Directus selbst genutzten Rechtsgrundlage eine eigene Rechtsgrundlage für diese Verarbeitung benennen.

Überträgt Directus Daten außerhalb der EU?

Ein selbst gehostetes Directus überträgt von sich aus keine Daten; der Verantwortliche entscheidet, wo die Anwendung und die Datenbank laufen. Directus Cloud läuft auf Google Cloud Platform und lässt den Kunden eine Region wählen; die Auswahl einer europäischen Region (zum Beispiel europe west) hält die Daten im EWR. Wird eine US Region gewählt, werden Übermittlungen durch die Standardvertragsklauseln nach Art. 46(2)(c) DSGVO geregelt und ein Transfer Impact Assessment ist erforderlich.

Ist für Directus eine DSFA erforderlich?

Eine DSFA wird selten allein durch Directus ausgelöst, wenn es nur die Backoffice Authentifizierung und gewöhnliche redaktionelle Inhalte verwaltet. Sie wird erforderlich, wenn Directus besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO speichert, einen öffentlichen Dienst in großem Maßstab betreibt oder mit Analytics, KI oder Marketingmodulen kombiniert wird, die das Risikoprofil verändern. Für Directus Cloud in einer US Region sollte die TIA zu internationalen Übermittlungen in der DSFA dokumentiert werden.

Wie setze ich Directus datenschutzkonform um?

Wählen Sie eine Hosting Region im EWR (eigenes Rechenzentrum, europäischer Hoster oder europe west auf Directus Cloud), aktivieren Sie SSO oder starke Passwörter plus Multi Faktor Authentifizierung, beschränken Sie die Rollen auf das notwendige Minimum, konfigurieren Sie Backups mit angemessener Aufbewahrungsfrist, protokollieren Sie Admin Aktionen, rotieren Sie die geheimen Schlüssel und nehmen Sie Directus sowie alle Unterauftragsverarbeiter in Ihr Verzeichnis von Verarbeitungstätigkeiten und in Ihre Datenschutzerklärung auf.

Welche datenschutzfreundlichen Alternativen zu Directus gibt es?

Weitere Open Source Headless CMS, die in der EU selbst gehostet werden können, sind Strapi, Payload CMS und Keystone. Verwaltete Alternativen mit EU Hosting Optionen sind Storyblok (CDN in der EU) und Hygraph (EU Region). Sanity und Contentful sind in den USA ansässig und erfordern eine sorgfältige Übermittlungsanalyse, während WordPress die am weitesten verbreitete monolithische Option bleibt. Directus wird häufig gewählt, wenn Teams ein Headless Modell auf einer bestehenden SQL Datenbank wünschen.

Muss ich Directus in meiner Cookie Richtlinie erwähnen?

Ja, wenn Directus für Personen zugänglich ist, die die Admin Oberfläche erreichen. Listen Sie die drei Session Cookies (directus_session_token, directus_refresh_token, directus_session_id) in der Kategorie unbedingt erforderlich mit Zweck und ungefährer Laufzeit auf und erklären Sie, dass sie keiner vorherigen Einwilligung unterliegen. Wenn die öffentliche Website die Admin Oberfläche nicht nutzt und die API nur serverseitig konsumiert, müssen Sie die Cookies nicht erwähnen, da sie nie im Browser der Besucher gesetzt werden.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note