Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
CookieFirst ist eine niederländische Consent Management Platform (CMP), die Websites bei der Einhaltung von DSGVO und ePrivacy Richtlinie unterstützt und Cookie Einwilligungen in über 50 Sprachen erfasst, speichert und nachweist.
CookieFirst ist eine niederländische Consent Management Platform (CMP), die seit 2018 von der CookieFirst B.V. in Amsterdam betrieben wird. Sie bündelt vier Funktionen: einen automatischen Cookie Scanner, der die Publisher Seiten wöchentlich auf Tracking Technologien prüft; ein konfigurierbares Banner mit Kategorien (notwendig, Präferenzen, Statistik, Marketing, Sozial); einen serverseitigen Audit Trail jeder erteilten, verweigerten oder geänderten Einwilligung; und einen IAB TCF 2.2 Stub, der die Einwilligung den Anbietern der Global Vendor List zur Verfügung stellt.
Das CookieFirst Widget setzt ein einziges First Party Cookie auf der Publisher Domain, cf_consent (12 Monate, konfigurierbar von 30 Tagen bis 24 Monaten). Sein Wert ist ein base64 kodiertes JSON mit den akzeptierten Kategorien, dem Zeitstempel und einer gehashten Consent ID. Ein zweites Cookie cf_consent_id speichert die eindeutige Kennung, die an den Audit Trail übertragen wird. Das Banner selbst setzt keine Drittanbieter Cookies. Bei blockierten Cookies können die localStorage Einträge cookiefirst_consent und cookiefirst_session als Fallback dienen.
CookieFirst liefert Vorlagen, die die CNIL Beratung 2020 091 und die EDSA Leitlinien 03/2022 zu Dark Patterns einhalten: Alle ablehnen Button auf gleicher visueller Ebene wie Alle akzeptieren, granulare Präferenzansicht und kein Konsens bei Scrollen. Der Publisher muss die Templates dennoch korrekt konfigurieren, da CMP Anbieter die Konformität jeder Anpassung nicht garantieren können. Der IAB TCF 2.2 Stub ist optional und kann deaktiviert werden, falls keine TCF Anbieter geladen werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
CookieFirst hostet den Audit Trail auf AWS Frankfurt (eu-central-1). Das Administrations Dashboard und der Support werden aus Amsterdam betrieben. Die Auslieferung erfolgt über Cloudflare mit Bevorzugung der europäischen Region. In der Standardkonfiguration werden keine Daten in die USA übertragen, abgesehen von beiläufigen Observability Metriken im globalen Cloudflare Netz.
Starten Sie den CookieFirst Scanner monatlich und aktualisieren Sie die Cookie Richtlinie bei jeder Änderung. Konfigurieren Sie ein klar sichtbares Alle ablehnen und einen Anpassen Button. Verknüpfen Sie jede CMP Kategorie mit den Skripten, die über Google Tag Manager, Matomo Tag Manager oder direkt im Template geladen werden. Testen Sie den Widerrufsfluss von Anfang bis Ende. Dokumentieren Sie CookieFirst als Auftragsverarbeiter im Verarbeitungsverzeichnis (Art. 30 DSGVO) und in der Datenschutzerklärung. Bewahren Sie den Consent Audit Trail mindestens 36 Monate als Nachweis gemäß Art. 7(1) DSGVO auf.
Europäische Alternativen sind Axeptio (Frankreich), Cookiebot by Usercentrics (Dänemark bzw. Deutschland), Didomi (Frankreich), Complianz (Niederlande, WordPress fokussiert), CookieYes (Indien mit EU Hosting) und das Open Source Klaro. Für TCF intensive Publisher bleiben Sourcepoint und Quantcast Choice die Referenz, allerdings unter US Eigentümerschaft.
Websites using CookieFirst must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für CookieFirst in der Regel nicht erforderlich, da die Plattform datenschutzfreundlich ist und nur die zur Einwilligungserfassung nötigen Daten verarbeitet.
Sample consent text
Diese Website nutzt CookieFirst, eine Consent Management Platform der CookieFirst B.V. in Amsterdam, um das Cookie Banner anzuzeigen und Ihre Auswahl je Kategorie zu speichern. CookieFirst legt Ihre Entscheidung in einem First Party Cookie namens cf_consent auf dieser Domain ab und führt einen verschlüsselten Audit Trail auf europäischen Servern (AWS Frankfurt). Es findet keine Datenübermittlung in Drittländer statt. Das Banner selbst benötigt keine Einwilligung, da es zur Verwaltung Ihrer Datenschutzeinstellungen unbedingt erforderlich ist.
Third-party domains contacted
consent.cookiefirst.comcookiefirst.comcdn.cookiefirst.comconsent.cookiefirst.comcdn.cookiefirst.comapi.cookiefirst.comapp.cookiefirst.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cookiefirst_consent | First party (CookieFirst) | 12 months | Stores the granular consent decision of the visitor (functional, analytics, marketing, preferences). |
| cookiefirst-id | http_cookie | 12 months | Strictly necessary first party cookie that stores a unique identifier linked to the visitor consent record so the banner is not shown again until the consent expires. |
| cookiefirst-consent | http_cookie | 12 months | Strictly necessary first party cookie that stores the granular category choices (necessary, preferences, statistics, marketing) made by the visitor. |
| cookiefirst-id | First party (CookieFirst) | 12 months | Anonymous CookieFirst identifier used to link the consent record to the proof of consent log. |
| cookiefirst_consent_string | First party (CookieFirst) | 12 months | Stores the IAB TCF 2.2 consent string when TCF is enabled. |
| cookiefirst_settings | local_storage | Persistent until cleared | Local storage key that mirrors the consent payload to enable client side conditional script loading without an additional server round trip. |
| cookiefirst-test | first_party | session | Technical cookie set briefly to detect whether the browser accepts first party cookies before storing the consent record. |
| cookiefirst_banner_state | http_cookie | Session | Strictly necessary session cookie that records whether the banner has already been displayed during the current browsing session. |
CookieFirst ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
CookieFirst setzt einen einzigen technisch notwendigen First Party Cookie namens cookiefirst-id mit einer Laufzeit von bis zu 12 Monaten sowie einen Local Storage Eintrag, der die Einwilligungsentscheidungen spiegelt. CookieFirst selbst setzt keine Werbe oder Analyse Cookies; die Plattform steuert ausschließlich die Cookies anderer Dienste auf Ihrer Website.
cookiefirst_consent (granulare Einwilligung, 12 Monate), cookiefirst-id (anonyme ID, 12 Monate) und, falls TCF aktiv, cookiefirst_consent_string. Drittanbieter Cookies setzt die CMP selbst keine.
Nein. Die von CookieFirst gesetzten Cookies fallen unter die Ausnahme für unbedingt erforderliche Speicherungen gemäß § 25 Abs. 2 TTDSG bzw. Art. 5(3) ePrivacy Richtlinie, da sie für den vom Nutzer ausdrücklich gewünschten Dienst (Speicherung seiner Cookie Entscheidung) unentbehrlich sind. Eine Einwilligung ist nur für die nachgelagerten Dienste erforderlich, die CookieFirst steuert.
Nein. Die CMP gilt als zwingend erforderlich gemäß Erwägungsgrund 30 ePrivacy. Sie darf vor jeder Entscheidung geladen werden, muss anschließend aber jedes nicht erforderliche Skript blockieren.
CookieFirst wird auf Grundlage des berechtigten Interesses gemäß Art. 6(1)(f) DSGVO eingesetzt, in Verbindung mit der gesetzlichen Pflicht aus Art. 5(3) ePrivacy und Art. 7(1) DSGVO, die Einwilligung für nicht notwendige Tracker einzuholen und nachzuweisen. Die Plattform verarbeitet nur die zum Nachweis erforderlichen Daten.
Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i. V. m. Art. 7 Abs. 1 zur Nachweispflicht) und berechtigtes Interesse (Art. 6 Abs. 1 lit. f) für die Geo IP Abfrage, die die passende Regulierung auswählt.
Nein. Digital Data Solutions B.V. hostet sämtliche Consent Records auf AWS Infrastruktur in der EU (Regionen Frankfurt und Amsterdam). Das CDN des Banner Skripts kann Cloudflare Knoten nutzen, der Consent Payload bleibt jedoch in der EU. Dadurch entfällt das Schrems II Risiko, das viele US basierte CMPs aufweisen.
Nein. CookieFirst B.V. arbeitet ausschließlich aus den Niederlanden und speichert alle Daten auf EU Infrastruktur. Keine Übermittlung außerhalb des EWR.
Eine eigenständige Datenschutz Folgenabschätzung ist in der Regel nicht erforderlich, da CookieFirst nur die für den Nachweis nötigen Daten verarbeitet (gekürzte IP, gehashte ID, Zeitstempel). Löst Ihr Gesamtsetup eine DSFA aus, sollten Sie CookieFirst dort als risikomindernde Maßnahme gegenüber Werbepixeln und Reichweitenmessung dokumentieren.
Nein. CookieFirst ist eine Privacy Enhancing Technology, die nur die für den Nachweis der Einwilligung erforderlichen Mindestdaten verarbeitet.
Platzieren Sie das CookieFirst Skript im Head vor jedem nicht notwendigen Tag, aktivieren Sie das standardmäßige Blockieren von Skripten und integrieren Sie Google Consent Mode v2 direkt im Dashboard. Ordnen Sie jeden Vendor der richtigen Kategorie zu (notwendig, Präferenzen, Statistiken, Marketing) und steuern Sie eigene Skripte über die JavaScript API CookieFirst.consent. Prüfen Sie, dass kein Tracker vor dem Klick auf Akzeptieren feuert.
Cookie Scanner starten, jedes Skript kategorisieren, Akzeptieren und Ablehnen gleich gewichten, Google Consent Mode v2 anbinden, Consent Nachweis speichern und ein persistentes Einstellungssymbol anzeigen. CMP im Verzeichnis nach Art. 30 DSGVO dokumentieren.
Complianz (Niederlande), CookieHub (Island), Klaro (Deutschland, Open Source), Cookiebot (Dänemark/Schweiz), Usercentrics (Deutschland), Axeptio (Frankreich), Didomi (Frankreich) und OneTrust (USA).
Vergleichbare CMPs sind Cookiebot, OneTrust, Iubenda, Didomi, Sourcepoint, Usercentrics, Axeptio, Klaro und CookieHub. Cookiebot und CookieHub liegen preislich und funktional am nächsten; Didomi und Sourcepoint eignen sich eher für große Publisher, da sie TCF v2.2 und granulares Vendor Management bieten.
Aktivieren Sie den automatischen Cookie Declaration Block im CookieFirst Dashboard und betten Sie ihn über das bereitgestellte Skript Tag in Ihre Datenschutzerklärung ein. CookieFirst scannt die Website monatlich (oder wöchentlich in den kostenpflichtigen Plänen) und veröffentlicht die aktualisierte Erklärung automatisch. Prüfen Sie vor jedem Release das Änderungsprotokoll, um neue Vendoren zu erkennen.
CookieFirst aktualisiert die Richtlinie automatisch auf Basis des Scanners. Planen Sie monatliche Scans und überprüfen Sie das Dokument nach Theme oder Plugin Änderungen. Veröffentlichen Sie das neue Versionsdatum und informieren Sie Nutzer bei wesentlichen Änderungen.