Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Storyblok ist ein Headless CMS mit Sitz in Linz, Österreich. Die öffentliche Content Delivery API liefert JSON per HTTPS aus, ohne Cookies bei Besuchern zu setzen, sodass die Auslieferung DSGVO konform ohne Einwilligung erfolgt. Cookies erscheinen nur im Visual Editor, den eingeloggte Redakteure verwenden, niemals bei anonymen Seitenbesuchern.
Storyblok ist ein Headless Content Management System, das 2017 in Linz, Österreich, gegründet wurde. Redakteure gestalten Seiten in einem Visual Editor und der veröffentlichte Inhalt wird als JSON über eine Content Delivery API bereitgestellt. Das Frontend, das mit beliebigen Frameworks wie Next.js, Nuxt, Astro oder Hugo aufgebaut sein kann, ruft dieses JSON server oder clientseitig ab und rendert das HTML. Da die öffentliche Auslieferungsschicht eine zustandslose REST und GraphQL API ist, schreibt sie keine Cookies in den Browser des Besuchers und verhält sich wie ein normaler Asset Abruf.
Auf der öffentlichen Website setzt Storyblok keine Cookies. Die CDN Edge speichert lediglich Standard Anfrageprotokolle mit IP Adresse, Zeitstempel und User Agent zur Zwischenspeicherung und Missbrauchsabwehr. Cookies erscheinen nur in zwei spezifischen Kontexten: Wenn ein Redakteur auf app.storyblok.com eingeloggt ist, identifiziert ein Session Cookie den Benutzer. Wenn die Visual Editor Vorschau geladen wird, öffnet das Bridge Skript app.storyblok.com/f/storyblok-v2-latest.js ein iframe in der Live Vorschau, um Click to Edit zu ermöglichen. Dieser Vorschaumodus ist nur für Redakteure und wird anonymen Besuchern nicht angezeigt.
Da die öffentliche Storyblok API keine Identifikatoren auf dem Endgerät des Besuchers ablegt, erfordert Artikel 5(3) der ePrivacy Richtlinie (umgesetzt im deutschen TTDSG, im französischen LCEN, im spanischen LSSI) keine vorherige Einwilligung. Artikel 6(1)(f) DSGVO (berechtigtes Interesse) deckt die begrenzte Verarbeitung der Besucher IP an der CDN Edge zur Auslieferung und Sicherheit. Die Storyblok GmbH agiert als Auftragsverarbeiter für die Speicherung redaktioneller Inhalte, und eine standardmäßige Auftragsverarbeitungsvereinbarung nach Artikel 28 ist im Storyblok Dashboard verfügbar.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Storyblok bietet zwei Liefer Regionen. Die EU Region läuft auf AWS Frankfurt und stellt Inhalte aus dem Europäischen Wirtschaftsraum bereit, wodurch das Projekt von einer Schrems II Analyse für den Auslieferungspfad befreit ist. Die US Region läuft auf AWS Virginia und erfordert Standardvertragsklauseln sowie eine Bewertung der US Überwachungsgesetze (FISA 702, Executive Order 12333). Für europäische Projekte empfehlen wir, bei der Anlage des Spaces immer die EU Region auszuwählen, da eine spätere Änderung nur durch Export und Reimport der Inhalte möglich ist.
Dokumentieren Sie Storyblok im Verzeichnis der Verarbeitungstätigkeiten (VVT) mit Zweck, EU Region und Asset CDN (Cloudflare). Unterzeichnen Sie die AV Vereinbarung aus dem Dashboard. Sichern Sie Redakteurskonten mit Single Sign On oder Zwei Faktor Authentifizierung. Wenn Sie Drittanbieter Skripte (Google Analytics, Meta Pixel, Video) über Storyblok Komponenten einbinden, gelten für diese Skripte eigene Einwilligungspflichten, die Ihr Consent Management Tool steuern muss. Die Storyblok Auslieferung selbst bleibt außerhalb dieses Scopes. Schützen Sie die Visual Editor Vorschau URL hinter Authentifizierung, damit Bridge Cookies niemals auf anonymen Besuchern gesetzt werden.
Websites using Storyblok must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz Folgenabschätzung (DSFA) ist für die öffentliche Storyblok Auslieferung in der Regel nicht erforderlich, da keine personenbezogenen Besucherdaten über die üblichen CDN Logs hinaus verarbeitet werden. Eine DSFA kann sinnvoll sein, wenn Storyblok mit Personalisierung, A/B Tests oder eingeloggten Mitgliederbereichen verbunden ist oder wenn die US Region verwendet wird. Dokumentieren Sie die Auswahl der EU Region, das Fehlen von Cookies in der Auslieferung und die Auftragsverarbeitungsvereinbarung nach Artikel 28 DSGVO mit der Storyblok GmbH.
Sample consent text
Storyblok wird verwendet, um die redaktionellen Inhalte dieser Website auszuliefern. Die Content Delivery API setzt keine Cookies und verfolgt Sie nicht. Für die öffentliche Auslieferung ist keine Einwilligung erforderlich. Wenn Sie sich in die Editorvorschau einloggen, wird ein Session Cookie zur Authentifizierung erstellt.
Third-party domains contacted
api.storyblok.comgapi.storyblok.coma.storyblok.comimg2.storyblok.comapp.storyblok.commapi.storyblok.comstoryblok.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| storyblok_session | first-party (editor app only) | Session | Authenticates a logged in editor on app.storyblok.com. Never set on the public website. |
| _storyblok_draft | first-party (preview only) | Session | Loaded inside the Visual Editor preview iframe to flag draft mode. Not present for anonymous visitors of the public website. |
| cf_clearance | third-party (Cloudflare asset CDN) | Up to 30 days | Cloudflare bot challenge cookie that may be set when assets are served through Cloudflare and a security challenge is triggered. Strictly necessary for security. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Nein. Die öffentliche Content Delivery API liefert JSON und schreibt keine Cookies in den Besucher Browser. Cookies existieren nur auf app.storyblok.com, wenn ein Redakteur eingeloggt ist, und im Visual Editor Vorschau iframe für die Inhaltsbearbeitung, das anonymen Besuchern nie angezeigt wird.
Für die öffentliche Storyblok Auslieferung ist keine Einwilligung erforderlich, da keine Identifikatoren auf dem Endgerät des Besuchers gespeichert werden. Artikel 5(3) der ePrivacy Richtlinie gilt nicht. Eine Einwilligung wird nur relevant, wenn Ihre Storyblok Komponenten Drittanbieter Tracking Skripte auf der Seite einbinden.
Artikel 6(1)(f) DSGVO (berechtigtes Interesse) deckt die begrenzte Verarbeitung von IP und Anfrage Metadaten an der CDN Edge zur Auslieferung und Missbrauchsabwehr. Die Storyblok GmbH wird gemäß Artikel 28 DSGVO als Auftragsverarbeiter mit einer unterzeichneten AV Vereinbarung dokumentiert.
Nicht für europäische Projekte, die die EU Region wählen. Die Content Delivery API läuft auf AWS Frankfurt und das Visual Editor Backend auf AWS Irland. Die US Region ist optional und löst Transfers aus, die durch Standardvertragsklauseln und das EU US Data Privacy Framework abgedeckt werden. Die Produktanalytik des Editors kann Mixpanel in den USA nutzen.
Eine DSFA ist für die öffentliche Auslieferungsschicht in der Regel nicht erforderlich, da keine personenbezogenen Daten über Standard CDN Logs hinaus verarbeitet werden. Eine DSFA ist sinnvoll, wenn Storyblok mit Personalisierung, Profiling, A/B Tests oder eingeloggten Mitgliederbereichen verbunden ist oder wenn die US Region aktiviert ist.
EU Region bei Anlage des Spaces wählen, Storyblok AV Vereinbarung unterzeichnen, Auftragsverarbeiter im Verzeichnis der Verarbeitungstätigkeiten dokumentieren, Redakteurskonten mit SSO oder 2FA absichern und alle Drittanbieter Skripte, die über Storyblok Komponenten eingebunden werden, durch Ihr Consent Management Tool steuern.
EU basierte Alternativen sind Contentful (Deutschland), Strapi Cloud (Frankreich), Hygraph (Deutschland), Sanity (Norwegen, mit EU Region) sowie selbst gehostete Optionen wie Wagtail, Directus oder Payload CMS. Die Compliance Bewertung ist ähnlich, sofern die Auslieferung cookielos ist.
Für die öffentliche Website ist keine Storyblok spezifische Cookie Erklärung nötig, wenn keine Cookies gesetzt werden. Führen Sie Storyblok in Ihrer Datenschutzerklärung als Auftragsverarbeiter für Inhalte auf, mit Zweck, EU Hosting Region, Verarbeiter Identität und Verweis auf die AV Vereinbarung. Listen Sie alle über Storyblok Komponenten eingebundenen Drittanbieter Skripte separat in Ihrer Cookie Erklärung auf.