Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Neos CMS

Was macht Neos CMS?

Neos ist ein selbst gehostetes Open Source Enterprise CMS mit Fokus auf redaktioneller Flexibilität, strukturierten Inhalten und DSGVO konformer Veröffentlichung.

Was Neos CMS ist

Neos ist ein in PHP geschriebenes Open Source Content Management System, das in Europa weit verbreitet zum Einsatz kommt: für Konzern Websites, Magazine, Intranets und Multi Site Netzwerke. Die Plattform ist selbst gehostet, der Betreiber wählt also Hosting Region, Datenbank Standort und Server Stack selbst. Europäische Verlage betreiben Neos häufig in Deutschland, den Niederlanden oder Frankreich, wodurch personenbezogene Daten standardmäßig im Europäischen Wirtschaftsraum bleiben.

Cookies und Daten von Neos

In einer Standardkonfiguration setzt Neos nur eine geringe Zahl technisch notwendiger Cookies. Eine PHP Session ID hält die Sitzung im Redaktions Backend und in eingeloggten Mitgliederbereichen aufrecht. Ein CSRF Token Cookie schützt Formulare vor Cross Site Request Forgery. Das Frontend lädt von sich aus weder Drittanbieter Tags noch Fingerprinting Bibliotheken oder Analytics Skripte.

DSGVO und ePrivacy

Streng notwendige Session und Sicherheits Cookies erfordern keine vorherige Einwilligung gemäß Artikel 5(3) der ePrivacy Richtlinie. Sie können auf Grundlage des berechtigten Interesses nach Artikel 6(1)(f) DSGVO eingesetzt werden. Sobald Neos um Analytics, A/B Tests, eingebettete Videos, Social Plugins oder Marketing Module erweitert wird, unterliegen diese Komponenten der Einwilligungspflicht und müssen bis zur Zustimmung des Besuchers blockiert bleiben.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung und Konfiguration

Für eine reine Editorial Site reicht eine Datenschutzerklärung, die Session und CSRF Cookies beschreibt. Für eine Site mit Analytics oder Drittdiensten integrieren Sie eine Consent Management Platform, die diese Skripte vor der Einwilligung blockiert, und speichern den Einwilligungsnachweis serverseitig oder in einem First Party Cookie. Redakteurs Konten gelten als Beschäftigtendaten und sind durch starke Authentisierung und begrenzte Aufbewahrung von Aktivitätsprotokollen zu schützen.

Datentransfers und Hosting

Da Neos selbst gehostet ist, kommt es nur dann zu Drittlandtransfers, wenn der Betreiber einen Hoster außerhalb der EU wählt, einen CDN mit US PoPs ohne ausreichende Garantien einsetzt oder Drittdienste wie US Analytics oder externe Schriftarten einbindet. Wer im EWR bleiben will, wählt einen EU Hoster, hostet Schriftarten und Assets lokal und dokumentiert jeden Auftragsverarbeiter im Verzeichnis von Verarbeitungstätigkeiten.

Praktische Compliance Schritte

Dokumentieren Sie Neos Cookies in der Cookie Richtlinie, listen Sie installierte Pakete mit personenbezogener Datenverarbeitung auf, konfigurieren Sie Ihre CMP so, dass nicht essenzielle Skripte vor der Einwilligung blockiert werden, beschränken Sie Redakteurs Zugriffe nach dem Least Privilege Prinzip und prüfen Sie installierte Plugins regelmäßig, damit kein Tracking Pixel unbemerkt geladen wird.

GDPR consent category

Sonstige

Websites using Neos CMS must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Art. 6(1)(f) GDPR) for strictly necessary session and CSRF cookies; consent (Art. 6(1)(a)) required if optional analytics or third party modules are added

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, BDSG (DE), TTDSG (DE), LGPD

DPIA considerations

Eine DSFA ist für eine Standard Neos Installation, die nur Session und CSRF Cookies setzt, in der Regel nicht erforderlich. Sie wird relevant, sobald der Betreiber Analytics, Marketing, Profiling oder KI Module hinzufügt, wenn Neos große Mengen personenbezogener Daten wie Mitgliederbereiche speichert oder wenn Inhalte außerhalb der EU gehostet werden.

Sample consent text

Diese Website wird mit der Open Source Plattform Neos CMS betrieben. Es werden ausschließlich technisch notwendige Session und Sicherheits Cookies gesetzt, damit die Seite funktioniert. Tracking oder Marketing Cookies werden erst nach Ihrer Einwilligung im Cookie Banner geladen.

Technical details

Tracking methodServer-side rendered HTML pages with optional client-side JavaScript modules; sessions managed via PHP session cookies and CSRF tokens

Server locationSelf-hosted (operator chosen): commonly Germany or other EU data centres for European deployments

Third-party domains contacted

neos.iodocs.neos.iopackagist.org

Cookies placed

Name	Type	Duration	Purpose
Neos_Flow_Session	Strictly necessary	Session	Maintains the editor or member session in the Neos backend and on protected frontend pages.
TYPO3_Flow_CSRF_Token	Strictly necessary	Session	Stores an anti CSRF token used to validate form submissions in the Neos editorial interface.
NEOS_PREVIEW_MODE	Strictly necessary	Session	Remembers the editor preview mode chosen for previewing unpublished content.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Neos CMS standardmäßig?

Eine Standard Neos Installation setzt nur ein PHP Session Cookie, das Redakteure im Backend angemeldet hält, sowie ein Anti CSRF Token Cookie, das Formulare schützt. Analytics oder Werbe Cookies werden nicht gesetzt, sofern der Betreiber kein entsprechendes Paket installiert.

Brauche ich für eine Neos Website eine Einwilligung?

Nein. Die standardmäßigen Session und Sicherheits Cookies sind technisch notwendig und können auf das berechtigte Interesse nach DSGVO gestützt werden. Eine Einwilligung wird nur erforderlich, wenn Sie Analytics, A/B Tests, Marketing oder Drittanbieter Einbettungen in Neos hinzufügen.

Was ist die Rechtsgrundlage für Datenverarbeitung in Neos?

Das berechtigte Interesse, Art. 6(1)(f) DSGVO, deckt die streng notwendigen Cookies und den Redaktionsprozess ab. Redakteurs Konten werden auf Grundlage des Vertrags mit dem Betreiber verarbeitet, hinzugefügte Analyse oder Marketing Module benötigen eine Einwilligung nach Art. 6(1)(a).

Übermittelt Neos Daten in die USA?

Von sich aus nicht. Neos ist selbst gehostet und speichert Daten dort, wo der Betreiber es festlegt. Drittlandtransfers entstehen nur, wenn ein Hoster außerhalb der EU, ein US CDN oder Drittdienste eingesetzt werden, die Daten in die USA senden.

Brauche ich eine DSFA für Neos CMS?

Eine DSFA ist für eine reine Content Installation in der Regel nicht erforderlich. Sie wird angemessen, sobald Neos große Mitgliederbereiche hostet, hinzugefügte Module Nutzer profilieren oder Inhalte über Anbieter außerhalb des EWR ausgespielt werden.

Wie setze ich Neos Compliance korrekt um?

Verwenden Sie einen EU Hoster, hosten Sie Schriftarten und Assets lokal, dokumentieren Sie Session und CSRF Cookies in Ihrer Datenschutzerklärung und integrieren Sie eine CMP, die alle nicht essenziellen Skripte vor der Einwilligung blockiert. Halten Sie Redakteurs Konten nach dem Least Privilege Prinzip und rotieren Sie Zugangsdaten regelmäßig.

Welche Alternativen gibt es zu Neos CMS?

Andere selbst hostbare CMS mit ähnlichem Datenschutzprofil sind TYPO3, Drupal, Statamic, Strapi und Directus. Jedes hat eigene Standard Cookies, die vor einem Umstieg geprüft werden sollten.

Wie aktualisiere ich meine Cookie Richtlinie nach einem Neos Deployment?

Listen Sie die streng notwendigen Session und CSRF Cookies mit Zweck und Laufzeit auf, nennen Sie installierte Neos Pakete, die zusätzliche Cookies einführen, benennen Sie Ihren Hosting Anbieter und aktualisieren Sie die Richtlinie, sobald Sie Analytics, Marketing oder Einbettungen ergänzen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note