Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
KIT CMS ist ein selbst gehostetes Content Management System für redaktionelle, Corporate und E-Commerce Websites. Im Standard schreibt die Plattform nur unbedingt erforderliche Session und CSRF Cookies, doch in Produktivumgebungen werden meist optionale Analyse, Social und Marketing Module aktiviert, die der ePrivacy Einwilligungspflicht unterliegen. Die Datenschutzlage hängt also davon ab, welche Module der Verantwortliche aktiviert.
KIT CMS ist ein selbst gehostetes Content Management System, das redaktionelle, Corporate und E-Commerce Websites antreibt. Es läuft als serverseitige PHP Anwendung auf einer vom Herausgeber gewählten Infrastruktur. Die Kernplattform bietet Content Modeling, rollenbasierte Redaktion, mehrsprachige Templates und einen Plugin Marktplatz. Da die Software auf der Kunden Infrastruktur installiert ist, kontrolliert ausschließlich der Website Verantwortliche die personenbezogenen Datenflüsse, nicht ein Drittanbieter.
Im Standard schreibt KIT CMS lediglich ein Session Cookie (typisch PHPSESSID oder ein umbenanntes Pendant) und ein CSRF Token Cookie zum Schutz von Formularübermittlungen. Diese Cookies laufen mit dem Schließen des Browsers oder nach kurzer Inaktivität ab. Sie enthalten außer der Sitzungs ID keine personenbezogenen Daten und sind ohne serverseitigen Zustand wertlos. Werden Kommentar Module, Mitgliederbereiche, Analyse Widgets oder Social Plugins installiert, können zusätzliche Cookies und Identifier inklusive Drittanbieter Tracker geschrieben werden.
Die Session und CSRF Cookies von KIT CMS sind nach Artikel 5 Absatz 3 ePrivacy Richtlinie und Erwägungsgrund 66 unbedingt erforderlich, da sie für die Erbringung des ausdrücklich vom Nutzer gewünschten Dienstes benötigt werden. Sie dürfen ohne Einwilligung gesetzt werden. Die Datenschutzerklärung muss dennoch nach Artikel 13 und 14 DSGVO Zweck und Laufzeit beschreiben. Jedes optionale Modul, das Analyse, Werbung, Social oder Personalisierungs Cookies auslöst, erfordert eine über eine Consent Management Plattform eingeholte Einwilligung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Wenn die Anwendung auf EU Infrastruktur betrieben wird, erfolgen keine Übermittlungen außerhalb des EWR. Hosten Sie KIT CMS in Russland oder einem anderen Land ohne Angemessenheitsbeschluss, müssen Sie eine Transfer Impact Assessment durchführen, Standardvertragsklauseln mit dem Hoster schließen und ergänzende Maßnahmen dokumentieren. Viele Herausgeber, die EU Publikum bedienen, wählen daher EU Hosting (OVH, Hetzner, Scaleway) und erläutern dies klar in der Datenschutzerklärung.
Listen Sie alle aktiven Module in Datenschutzerklärung und Verarbeitungsverzeichnis. Versehen Sie das Session Cookie mit Secure und HttpOnly, setzen Sie SameSite=Lax sowie kurze Ablaufzeiten. Blockieren Sie alle optionalen Analyse, Social und Werbe Module hinter einer Consent Management Plattform wie FlowConsent. Führen Sie regelmäßige Tag Scans durch, um sicherzustellen, dass Drittanbieter Skripte erst nach Einwilligung laden. Dokumentieren Sie die Hosting Region, den Backup Standort und die Rechtsgrundlage jeder Verarbeitung.
Websites using KIT CMS must obtain user consent under GDPR regulations.
DPIA considerations
KIT CMS als reines Content Management mit unbedingt erforderlichen Cookies ist in der Regel risikoarm. Eine DSFA wird relevant, wenn großvolumige Mitgliederbereiche, verhaltensbasierte Personalisierung, Drittwerbung Module oder ein Hosting in einem Land ohne Angemessenheitsbeschluss aktiviert werden. Dokumentieren Sie aktivierte Module, Datenflüsse und die Rechtsgrundlage jeder Verarbeitung.
Sample consent text
Diese Website nutzt KIT CMS. Standardmäßig werden nur unbedingt erforderliche Cookies gesetzt, um Ihre Sitzung aktiv zu halten und vor Angriffen durch Cross Site Request Forgery zu schützen. Zusätzliche Analyse, Social oder Marketing Cookies erfordern Ihre ausdrückliche Einwilligung und können jederzeit über den Cookie Einstellungen Link geändert werden.
Third-party domains contacted
kit-cms.rukit-cms.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| PHPSESSID | first_party | Session | Stores the session identifier so that visitor server side state (cart, login status, language) is preserved across requests. |
| csrf_token | first_party | Session | Stores a per session token used to validate form submissions and protect against Cross Site Request Forgery attacks. |
| kit_lang | first_party | 1 year | Stores the language preference selected by the visitor so that subsequent visits load the correct localised version. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Standardmäßig setzt die Plattform ein Session Cookie (typisch PHPSESSID oder ein umbenanntes Pendant) sowie ein CSRF Token Cookie. Beide sind First Party, laufen mit dem Schließen des Browsers oder nach kurzer Inaktivität ab und enthalten nur eine zufällige serverseitige ID ohne personenbezogene Daten.
Nein. Die Session und CSRF Cookies fallen unter die Ausnahme für unbedingt erforderliche Cookies nach Artikel 5 Absatz 3 ePrivacy Richtlinie und Erwägungsgrund 66, da sie für die Erbringung des ausdrücklich vom Nutzer gewünschten Dienstes benötigt werden. Optionale Analyse, Werbe oder Social Module benötigen eine Einwilligung.
Authentifizierung, Sitzungsverwaltung und Auslieferung der Inhalte stützen sich auf Vertragserfüllung nach Artikel 6 Absatz 1 lit. b DSGVO oder berechtigte Interessen nach Artikel 6 Absatz 1 lit. f. Mitgliederregistrierung beruht auf Vertrag oder berechtigtem Interesse, Marketing Module verlangen eine Einwilligung nach Artikel 6 Absatz 1 lit. a.
KIT CMS ist selbst gehostet, der Verantwortliche wählt die Hosting Region. Es gibt keine eingebaute Übermittlung in die USA. Wird die Anwendung in Russland oder einem anderen Land ohne Angemessenheitsbeschluss betrieben, müssen Sie sich auf Standardvertragsklauseln und eine Transfer Impact Assessment stützen.
Für eine Basis Implementierung ist eine DSFA selten zwingend. Aktivieren Sie jedoch großvolumige Mitgliederbereiche, verhaltensbasierte Personalisierung oder Werbe Integrationen, oder hosten Sie außerhalb des EWR, dann werden die Schwellen des Artikels 35 DSGVO häufig überschritten. Dokumentieren Sie die Kriterien der WP29 Leitlinien.
Versehen Sie jedes Cookie mit Secure und HttpOnly sowie SameSite=Lax, hosten Sie wenn möglich in der EU, listen Sie aktive Module in der Datenschutzerklärung, blockieren Sie optionale Tracker hinter einer Consent Management Plattform wie FlowConsent und prüfen Sie Ihre Tags regelmäßig. Schließen Sie mit jedem Plugin Anbieter einen Auftragsverarbeitungsvertrag.
Verbreitete Open Source Alternativen sind WordPress, Drupal, TYPO3 (in Deutschland sehr populär), Joomla und Strapi für Headless Setups. Jede hat unterschiedliche Cookie Verhaltensweisen und Modul Ökosysteme, prüfen Sie deren Standard Datenschutz Verhalten vor einer Migration.
Listen Sie Session und CSRF Cookies als unbedingt erforderlich, dokumentieren Sie die Hosting Region und ergänzen Sie eigene Einträge für jedes optionale Modul, das zusätzliche Cookies setzt. Bieten Sie einen klaren Cookie Einstellungen Link im Footer und dokumentieren Sie die Speicherdauer des Einwilligungsnachweises.