Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Payload CMS

Was macht Payload CMS?

Payload CMS ist ein quelloffenes, selbst gehostetes Headless-CMS, das standardmäßig nur ein einziges Authentifizierungs-Cookie setzt. Bei Self-Hosting verbleiben alle Daten auf eigenen Servern.

Was ist Payload CMS?

Payload CMS ist ein quelloffenes, TypeScript-basiertes Headless-CMS, das selbst gehostet oder auf eigener Cloud-Infrastruktur betrieben wird. Es wurde für Entwickler konzipiert und bietet eine flexible API, ein integriertes Admin-Panel sowie umfangreiche Anpassungsmöglichkeiten für Inhaltsstrukturen. Da Payload CMS keinen eigenen Cloud-Dienst erzwingt, liegt die vollständige Kontrolle über Datenspeicherung und Infrastruktur beim Betreiber.

Welche Cookies setzt Payload CMS standardmäßig?

In der Standardkonfiguration setzt Payload CMS genau einen Cookie: payload-token, ein HTTP-only-Cookie, das ein JWT für die Authentifizierung im Admin-Panel speichert. Dieser Cookie wird nur für eingeloggte Administratoren und Redakteure gesetzt, nicht für normale Website-Besucher. Er ist technisch notwendig für den Betrieb des CMS und unterliegt daher nicht der Einwilligungspflicht nach der ePrivacy-Richtlinie.

DSGVO-Anforderungen: Wann ist eine Einwilligung nötig?

Für die reine Payload-CMS-Basisinstallation ist keine Cookie-Einwilligung von Website-Besuchern erforderlich, da ausschließlich technisch notwendige Authentifizierungs-Cookies gesetzt werden. Eine Einwilligungspflicht entsteht erst, wenn zusätzliche Drittanbieter-Integrationen wie Analytics-Plugins, Werbe-Tags oder Social-Media-Embeds eingebunden werden. In diesem Fall muss eine CMP konfiguriert werden, die diese Skripte kontrolliert.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenspeicherung und Drittlandübermittlungen

Bei einer Self-Hosted-Deployment auf EU-Servern verbleiben alle Inhaltsdaten, Nutzerdaten und Logs auf der eigenen Infrastruktur des Betreibers. Es findet keine Drittlandübermittlung statt. Optionales Telemetrie-Reporting an Payload-Server kann in der Konfiguration deaktiviert werden. Bei Hosting auf US-Cloud-Diensten wie AWS US oder Vercel gelten die entsprechenden Übermittlungsanforderungen der DSGVO.

Empfehlungen für eine DSGVO-konforme Payload-CMS-Nutzung

Hosten Sie Payload CMS auf EU-Infrastruktur (z. B. Hetzner, OVH, AWS EU-Rechenzentren). Deaktivieren Sie optionales Telemetrie-Reporting in der Konfigurationsdatei. Konfigurieren Sie Feldzugriffskontrollen, um den Zugriff auf personenbezogene Daten zu beschränken. Implementieren Sie Soft-Delete oder Anonymisierung für DSGVO-Löschungsanfragen. Dokumentieren Sie das CMS im Verarbeitungsverzeichnis mit Zweck, Datenkategorien und Aufbewahrungsfristen.

GDPR consent category

Sonstige

Websites using Payload CMS must obtain user consent under GDPR regulations.

Legal basisThe payload-token authentication cookie is strictly necessary for admin panel functionality and does not require consent under ePrivacy rules. If the website operator adds analytics, marketing, or other tracking integrations on top of Payload CMS, those would require their own consent mechanisms. Anonymous telemetry can be opted out of.

Risk levellow

Applicable regulationsGDPR, ePrivacy Directive, CCPA, VCDPA

DPIA considerations

Eine DSFA ist bei Standard-Deployments von Payload CMS nicht erforderlich, da kein Besuchertracking stattfindet. Nur bei Zusatzmodulen mit Tracking-Funktion wird eine DSFA nötig.

Sample consent text

Payload CMS setzt ausschließlich technisch notwendige Cookies. Es ist keine Cookie-Einwilligung für die CMS-Basisinstallation erforderlich.

Technical details

Tracking methodNo visitor tracking by default. Payload CMS uses a single HTTP-only authentication cookie (payload-token) based on JWT for admin panel and application authentication. Optional anonymous telemetry can be disabled. No analytics, marketing, or third-party tracking cookies are set by the CMS itself.

Server locationSelf-hosted: data is stored wherever the operator deploys the application (any hosting provider, any country). Payload Cloud: US-based managed hosting. The CMS framework itself does not transmit data to Payload CMS, Inc. servers (except optional anonymous telemetry).

Cookieless tracking availableYes

Third-party domains contacted

payloadcms.comcloud.payloadcms.com

Cookies placed

Name	Type	Duration	Purpose
payload-token	first-party	Configurable (default: session-based, typically 1-2 hours)	HTTP-only authentication cookie storing a JWT. Used for admin panel access and application-level user authentication. Classified as strictly necessary. Protected against XSS attacks. Cookie name prefix is customisable via Payload configuration.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Payload CMS?

Payload CMS setzt standardmäßig genau einen Cookie: payload-token, ein HTTP-only-Cookie, das ein JWT für die Authentifizierung im Admin-Panel speichert. Dieser Cookie wird nur für eingeloggte Administratoren gesetzt, nicht für normale Website-Besucher, und ist technisch notwendig.

Ist eine Einwilligung für die Nutzung von Payload CMS erforderlich?

Nein, nicht für die reine CMS-Basisinstallation. Der payload-token-Cookie ist technisch notwendig für den CMS-Betrieb und unterliegt nicht der Einwilligungspflicht nach ePrivacy. Eine Einwilligungspflicht entsteht erst, wenn Drittanbieter-Plugins mit Tracking-Funktion eingebunden werden.

Was ist die Rechtsgrundlage für Payload CMS nach DSGVO?

Für den Authentifizierungs-Cookie gilt berechtigtes Interesse oder Vertragserfüllung, da er für den sicheren Betrieb des CMS unerlässlich ist. Für die Verarbeitung von Inhaltsdaten ist der Betreiber selbst Verantwortlicher und wählt die Rechtsgrundlage je nach Verarbeitungszweck.

Überträgt Payload CMS Daten in die USA?

Bei Self-Hosting auf eigener Infrastruktur nicht. In einer selbst gehosteten Deployment verbleiben alle Daten auf den Servern des Betreibers. Optionale Telemetrie an Payload-Server kann in der Konfiguration deaktiviert werden. Bei Hosting auf US-Cloud-Diensten wie AWS US gelten entsprechende DSGVO-Übermittlungsanforderungen.

Ist eine DSFA für Payload CMS erforderlich?

Für Standard-Deployments von Payload CMS ist eine DSFA in der Regel nicht erforderlich, da kein Besuchertracking stattfindet. Sie wird nur nötig, wenn Zusatzmodule mit Tracking-Funktion eingebunden werden oder besondere Kategorien personenbezogener Daten verarbeitet werden.

Wie implementiere ich DSGVO-Compliance mit Payload CMS?

Hosten Sie auf EU-Infrastruktur und deaktivieren Sie optionale Telemetrie in der Konfigurationsdatei. Konfigurieren Sie Feldzugriffskontrollen, implementieren Sie Soft-Delete für DSGVO-Löschungsanfragen und dokumentieren Sie das CMS im Verarbeitungsverzeichnis mit Zweck und Aufbewahrungsfristen.

Welche datenschutzfreundlichen Alternativen gibt es zu Payload CMS?

Weitere selbst hostbare, datenschutzfreundliche Headless-CMS-Optionen sind: Strapi (Open Source, Node.js), Directus (Open Source, API-first), Contentful (mit EU-Datenspeicherung auf Enterprise-Plänen) und Ghost (selbst hostbar, fokussiert auf Publishing).

Wie aktualisiere ich meine Datenschutzerklärung für Payload CMS?

Ihre Datenschutzerklärung sollte den payload-token-Cookie als technisch notwendig, zweckgebunden für die Authentifizierung und sitzungsbasiert oder konfigurierbar in der Laufzeit ausweisen. Für externe Website-Besucher ist kein Cookie-Banner-Eintrag nötig, da der Cookie nur für Administratoren gesetzt wird.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note