Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Buy Me a Coffee ist eine US Plattform, mit der Creator einmalige Trinkgelder, monatliche Mitgliedschaften und kostenpflichtige Beiträge über ein einbettbares Widget annehmen können. Das button.js Skript und der Embed iFrame werden von buymeacoffee.com und Cloudflare geladen, setzen funktionale und Analyse Cookies und leiten Zahlungen über Stripe und PayPal. Da der Embed nicht zwingend nötig ist und Daten in die USA übermittelt, sollten EU Anbieter ihn erst nach Einwilligung laden und die internationale Übermittlung dokumentieren.
Buy Me a Coffee, oft BMC abgekürzt, ist eine US Creator Plattform, eingetragen als Buy Me a Coffee Inc. in San Francisco, Kalifornien. Creator (Autoren, Illustratoren, Podcaster, Open Source Maintainer) richten eine öffentliche Seite ein und betten entweder einen gelben Buy Me a Coffee Button oder ein erweitertes Widget in ihre eigene Website ein. Besucher können einmalige Trinkgelder geben, Monatsmitglieder werden, kostenpflichtige Beiträge kaufen oder Extras wie den Zugang zu einer privaten Community bezahlen.
BMC betreibt die öffentliche Seite, den Zahlungsfluss, Supporter Nachrichten und das Dashboard. Zahlungen laufen über Stripe (Standard in den meisten Ländern) oder PayPal. Die Website des Creators muss nur das button.js Skript laden oder ein iFrame einbinden; alles andere passiert auf buymeacoffee.com.
Wenn der BMC Button oder das Widget auf einer Drittseite eingebunden ist, lädt button.js von cdnjs.buymeacoffee.com. Sobald das iFrame zu buymeacoffee.com geöffnet wird, setzen Cloudflare Bot Management Cookies (__cf_bm, _cfuvid) und BMC Funktionscookies (_bmc_session, CSRF Token) auf der Domain buymeacoffee.com. Klickt der Supporter, lädt ein Checkout iFrame Stripe.js oder das PayPal SDK, die eigene Cookies setzen (m, __stripe_mid, __stripe_sid, paypal_*).
BMC nutzt auf seiner Domain Analyse Tools, üblicherweise Google Analytics 4, Microsoft Clarity, HubSpot und Segment. Diese Cookies werden nicht auf der Creator Domain gesetzt, betreffen aber Besucher, die über den Embed zu buymeacoffee.com gelangen.
Das Einbinden des BMC Widgets greift in Art. 5(3) ePrivacy bzw. § 25 TTDSG: Das iFrame setzt Cookies, die nicht strikt notwendig sind, um einen vom Nutzer ausdrücklich angeforderten Dienst zu erbringen. Das Widget lädt auf jeder Seite, auf der es eingebunden ist, bevor der Besucher aktiv wird. Das Laden ohne Einwilligung ist daher in Deutschland, Frankreich, Spanien, Italien und den meisten EU Staaten unzulässig.
Sobald der Supporter aktiv klickt, um Trinkgeld zu senden oder Mitglied zu werden, beruht die Zahlungsabwicklung auf Vertragserfüllung (Art. 6(1)(b) DSGVO) und auf Stripe oder PayPal als separaten Auftragsverarbeitern. Der Creator bleibt Verantwortlicher für die im BMC Dashboard sichtbaren Supporter Daten.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bei EU Traffic sollte der BMC Embed bis zur Einwilligung mindestens für die funktionale Kategorie blockiert sein. Üblich ist ein statischer gelber Platzhalter, der bei Klick die BMC Seite in einem neuen Tab öffnet, solange keine Einwilligung vorliegt. Alternativ leiten Sie nur per Direktlink auf buymeacoffee.com/Ihrname und verzichten ganz auf den Embed.
Die gesamte BMC Verarbeitung läuft auf AWS US Regionen. Das BMC DPA enthält die EU Standardvertragsklauseln und verweist auf das EU US Data Privacy Framework. Stripe ist für EU Kunden in Irland niedergelassen, überträgt aber unter SCC in die USA. PayPal Luxembourg verarbeitet EU Zahlungsdaten unter eigener DPF Zertifizierung.
Eine TIA ist sinnvoll für Creator mit hohem Volumen und sollte US Überwachungsgesetze (FISA 702, EO 12333) und Restrisiken trotz DPF berücksichtigen.
BMC DPA unterzeichnen. BMC als Drittanbieter im CMP eintragen und Embed an funktionale Einwilligung koppeln. Buy Me a Coffee, Stripe und PayPal in Datenschutzerklärung und Verzeichnis nach Art. 30 nennen. Übermittlung in die USA mit SCC und DPF dokumentieren. Zugriff auf Supporter Nachrichten und Zahlungsmetadaten im BMC Dashboard auf berechtigte Personen beschränken.
Websites using Buy Me a Coffee must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für ein einfaches BMC Widget auf einer privaten Seite in der Regel nicht erforderlich. Sie kann relevant werden, wenn Creator große Supporter Basen verwalten (tausende zahlende Mitglieder) und das Widget mit umfangreichem Analytics kombinieren.
Sample consent text
Wir nutzen Buy Me a Coffee (Buy Me a Coffee Inc., USA) für Trinkgelder und Mitgliedschaften. Das Widget setzt funktionale und Analyse Cookies, öffnet ein iFrame zu buymeacoffee.com und leitet Zahlungen über Stripe und PayPal. Übermittlungen in die USA sind durch Standardvertragsklauseln und das EU US Data Privacy Framework abgedeckt.
Third-party domains contacted
buymeacoffee.comwww.buymeacoffee.comcdnjs.buymeacoffee.comimg.buymeacoffee.comjs.stripe.comq.stripe.comm.stripe.comwww.paypal.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| __cf_bm | third_party | 30 minutes | Cloudflare bot management cookie set on buymeacoffee.com to distinguish legitimate users from bots. Strictly necessary to deliver the widget but considered third party from the integrating site's perspective. |
| _cfuvid | third_party | Session | Cloudflare visitor identifier used to apply rate limits to bot mitigation rules on buymeacoffee.com. |
| _bmc_session | third_party | 2 weeks | BMC functional session cookie on buymeacoffee.com used to keep a supporter logged in and to remember the in progress checkout. |
| _bmc_csrf | third_party | Session | CSRF protection token for BMC API calls during the tip or membership flow. |
| __stripe_mid | third_party | 1 year | Stripe machine identifier used for fraud prevention during the BMC checkout. |
| __stripe_sid | third_party | 30 minutes | Stripe session identifier used for fraud detection during the BMC checkout. |
| m | third_party | 2 years | Stripe device fingerprint cookie used for risk scoring on payment forms. |
| paypal_* | third_party | Up to 3 years | PayPal authentication and risk cookies loaded if the supporter chooses PayPal at checkout. |
Buy Me a Coffee verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Beim Laden des BMC iFrames werden Cloudflare Bot Management Cookies __cf_bm und _cfuvid auf buymeacoffee.com gesetzt, dazu BMC Funktionscookies (_bmc_session, CSRF Token, Auth Token bei eingeloggten Supportern). Beim Checkout lädt Stripe.js oder das PayPal SDK weitere Cookies (__stripe_mid, __stripe_sid, m, paypal_*) auf den jeweiligen Domains.
Ja. Das Widget setzt nicht strikt notwendige Cookies vor jeder Nutzerinteraktion, daher fordert Art. 5(3) ePrivacy bzw. § 25 TTDSG eine vorherige Einwilligung. Den Embed im CMP bis zur Einwilligung blocken oder den Embed durch einen statischen Button mit Link zur BMC Seite im neuen Tab ersetzen.
Einwilligung (Art. 6(1)(a) DSGVO und Art. 5(3) ePrivacy) für Widget und Cookies. Vertragserfüllung (Art. 6(1)(b) DSGVO) für die Abwicklung von Trinkgeld oder Mitgliedschaft. Rechtliche Pflicht (Art. 6(1)(c)) für die steuerliche Aufbewahrung der erhaltenen Zahlungen.
Ja. BMC ist in den USA registriert und hostet alle Daten auf AWS US Regionen. EU und UK Supporter Daten werden in die USA übermittelt unter EU Standardvertragsklauseln und dem EU US Data Privacy Framework. Stripe und PayPal nutzen eigene Übermittlungsmechanismen.
In der Regel nicht für eine kleine Creator Seite mit einfachem BMC Widget. Relevant kann sie werden, wenn BMC mit umfangreichem Analytics, Profiling und E Mail Marketing für dieselbe Zielgruppe kombiniert wird.
BMC DPA unterzeichnen, Widget im CMP an funktionale Einwilligung koppeln, Platzhalter nutzen, BMC, Stripe und PayPal in Datenschutzerklärung und Verzeichnis nach Art. 30 listen, US Übermittlung mit SCC und DPF dokumentieren und Supporter Nachrichten nicht in öffentlichen Dashboards exponieren.
EU freundliche Alternativen: Ko fi (UK), Liberapay (Frankreich, gemeinnützig), Patreon (USA), Tipeee (Frankreich), Steady (Deutschland) und direkte Stripe Checkout / Payment Links. EU Optionen punkten bei Transferrisiko und lokalen Zahlungsmitteln.
Buy Me a Coffee, Cloudflare, Stripe und PayPal in der Cookie Erklärung mit Kategorien und Laufzeiten als Drittanbieter führen. In der Datenschutzerklärung Embed, iFrame zu buymeacoffee.com, US Übermittlung mit SCC und DPF sowie die Rolle von Stripe und PayPal als separate Auftragsverarbeiter beschreiben.