Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
CFML (ColdFusion Markup Language) ist eine serverseitige Skriptsprache und Anwendungsplattform zum Erstellen dynamischer Webanwendungen, Intranets und APIs. Die beiden wichtigsten Implementierungen sind Adobe ColdFusion und die Open Source Engine Lucee. CFML ist kein Tracker: Es läuft vollständig auf der Infrastruktur des Betreibers und setzt nur technische Session Cookies (CFID, CFTOKEN, JSESSIONID), die die ePrivacy Richtlinie als unbedingt erforderlich einstuft, sodass dafür keine vorherige Einwilligung nötig ist. Datenschutzpflichten betreffen die Daten, die die auf CFML basierende Anwendung erhebt.
CFML (ColdFusion Markup Language) ist eine tag und skriptbasierte Sprache, die auf einer Java Virtual Machine läuft. Die beiden führenden Implementierungen sind Adobe ColdFusion (kommerziell) und Lucee (Open Source). Die Engine nimmt eingehende HTTP Requests entgegen, führt die CFML Seite oder Komponente aus, fragt Datenbanken über ORM oder cfquery ab und liefert HTML, JSON oder XML an den Browser zurück. Da jede CFML Ausführung serverseitig erfolgt, wird standardmäßig kein Drittanbieter Endpunkt kontaktiert und es verlassen keine Verhaltensdaten das Betreibernetz.
Standardmäßig setzt eine CFML Anwendung zwei First Party Cookies, CFID und CFTOKEN, zur Identifizierung der serverseitigen Session sowie das Standard Servlet Cookie JSESSIONID, wenn J2EE Sessions aktiv sind. Diese Cookies enthalten opake Identifikatoren, sind HttpOnly und nötig, um angemeldete Nutzer angemeldet zu halten und Formulare gegen CSRF zu schützen. Sie fallen unter die Ausnahme für unbedingt erforderliche Cookies in Art. 5 Abs. 3 ePrivacy. Jeder zusätzliche Cookie aus dem Anwendungscode (Analytics ID, AB Test Bucket, Marketing Flag) liegt in der Verantwortung des Betreibers und ist separat zu klassifizieren.
CNIL, AEPD, ICO und EDSA stufen Authentifizierungs und Sitzungs Cookies als unbedingt erforderlich ein, sodass sie ohne vorherige Einwilligung gesetzt werden dürfen, solange ihre Lebensdauer auf die Sitzung begrenzt ist und sie nicht für verhaltensbasierte Zwecke verwendet werden. Rechtsgrundlage für die zugrundeliegende Verarbeitung ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) bei angemeldeten Nutzern und das berechtigte Interesse (Art. 6 Abs. 1 lit. f) für die technische Robustheit auf öffentlichen Seiten. Die Anwendung muss diese Cookies dennoch in Datenschutzerklärung und Cookie Liste transparent ausweisen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
CFML läuft dort, wo der Betreiber die Engine deployt: On Premises Rechenzentrum, EU Cloud Region oder US Cloud Region. Die Pflichten zu internationalen Datentransfers hängen daher von der gewählten Topologie ab. Wer europäische personenbezogene Daten im EWR halten will, sollte für Anwendungsserver und Datenbank eine EU Region wählen und die Adobe Server Auto Lockdown Telemetrie oder die Lucee Nutzungsstatistiken deaktivieren, falls sie im Installationsprofil standardmäßig aktiv sind.
Damit die DSGVO Grundsätze Integrität, Vertraulichkeit und Datenminimierung gewahrt bleiben, sollten CFML Anwendungen HttpOnly, Secure und SameSite=Lax (oder Strict) auf allen Session Cookies setzen, CFID und CFTOKEN bei An und Abmeldung rotieren, Cookies auf die Anwendungsdomain begrenzen, Directory Browsing deaktivieren, CFADMIN auf interne Netze beschränken, aktuelle Adobe Sicherheitsbulletins oder Lucee Patches einspielen und Anwendungslogs ohne personenbezogene Daten betreiben.
Dokumentieren Sie CFID, CFTOKEN und JSESSIONID in der Cookie Richtlinie als unbedingt erforderliche technische Cookies. Stellen Sie sicher, dass die CFML Seite selbst vor der Einwilligung kein Drittanbieter Tag lädt. Erfassen Sie jede cfhttp, cfldap, cfmail oder REST Integration, um ausgehende Datenflüsse zu kartieren und in das Verzeichnis von Verarbeitungstätigkeiten aufzunehmen. Halten Sie CFML Server und JVM gepatcht, trennen Sie die Produktionsdatenbank durch Least Privilege Anmeldedaten ab und pseudonymisieren Sie personenbezogene Daten, die in Application oder Session Scope abgelegt werden.
Websites using CFML must obtain user consent under GDPR regulations.
DPIA considerations
Eine eigene DSFA für CFML ist nicht erforderlich, da die Engine weder automatisierte Entscheidungen noch Profiling im großen Maßstab durchführt. Eine DSFA kann jedoch für die auf CFML basierende Anwendung notwendig sein, wenn diese besondere Datenkategorien verarbeitet, Personen scort, Beschäftigte oder Besucher überwacht oder mit externen Trackern verknüpft wird. Die Bewertung sollte die Anwendungslogik, die aus CFML erreichbaren Datenspeicher (cfquery, ORM, Uploads), die Hosting Region des CFML Servers und die Zugriffskontrollen für CFADMIN sowie den Servlet Container abdecken.
Sample consent text
Unsere Website ist in CFML entwickelt und nutzt unbedingt erforderliche technische Cookies (CFID, CFTOKEN, JSESSIONID), um Ihre Sitzung und Anmeldung aufrechtzuerhalten und Formulare gegen Cross Site Request Forgery zu schützen. Diese Cookies erfordern nach den europäischen Cookie Regeln keine Einwilligung. Optionale Cookies für Analyse, Marketing oder Personalisierung werden im Cookie Banner separat aufgeführt und erst nach Ihrer ausdrücklichen Auswahl geladen.
Third-party domains contacted
www.adobe.comhelpx.adobe.comlucee.orgcfunited.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| CFID | first_party | Session (or up to 30 days when persistence is enabled) | Identifies the server side ColdFusion or Lucee session that holds variables, login state and shopping cart. Strictly necessary for the application to function. |
| CFTOKEN | first_party | Session (or up to 30 days when persistence is enabled) | Companion of CFID, validates the session integrity to prevent session hijacking. Strictly necessary technical cookie. |
| JSESSIONID | first_party | Session | Java servlet container session identifier issued when J2EE sessions are enabled in CFML. Strictly necessary for keeping authenticated users logged in. |
Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.
Standardmäßig setzt eine CFML Anwendung zwei First Party Cookies, CFID und CFTOKEN, sowie das Java Standard Cookie JSESSIONID, wenn J2EE Sessions aktiv sind. Sie speichern opake Identifikatoren, die HTTP Anfragen einer serverseitigen Session zuordnen. Lucee Installationen mit LuceeSession folgen demselben Modell unter cfid und cftoken. Der Anwendungscode kann weitere Cookies hinzufügen, die separat zu klassifizieren sind.
Nein. Es handelt sich um Sitzungs und Authentifizierungs Cookies, die nach Art. 5 Abs. 3 ePrivacy Richtlinie und EDSA Leitlinien 2/2023 zu technischen Cookies als unbedingt erforderlich gelten. Sie dürfen ohne vorherige Einwilligung gesetzt werden, sofern ihre Lebensdauer auf die Sitzung oder die legitime Persistenz der Authentifizierung begrenzt ist und sie nicht für Analytics oder Werbung wiederverwendet werden.
Die Rechtsgrundlage hängt vom Anwendungsfall ab: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bei angemeldeten Nutzern, Art. 6 Abs. 1 lit. f (berechtigtes Interesse) für Sicherheit und Integrität, Art. 6 Abs. 1 lit. c (rechtliche Verpflichtung) für Buchhaltungs oder Audit Logs. Besondere Datenkategorien benötigen eine Bedingung nach Art. 9, z. B. ausdrückliche Einwilligung oder erhebliches öffentliches Interesse.
Nicht von sich aus. CFML läuft auf der Betreiberinfrastruktur, daher entstehen Transfers nur, wenn der Betreiber eine US Cloud Region wählt oder externe Dienste einbindet. Adobe ColdFusion kann Adobe Server für Lizenzierung und Update Prüfung kontaktieren: diese Telemetrie ist zu prüfen und ggf. SCCs zu vereinbaren. Lucee ist vollständig autark und meldet nur Daten zurück, wenn die Nutzungsstatistik aktiviert wird.
Eine DSFA für die Sprache selbst ist nicht erforderlich. Eine DSFA für die in CFML entwickelte Anwendung kann notwendig sein, wenn diese systematische Überwachung im großen Maßstab durchführt, besondere Datenkategorien verarbeitet, Personen automatisch scort oder Tracking aus mehreren Quellen kombiniert, gemäß Art. 35 DSGVO und der lokalen Liste verpflichtender DSFA Fälle.
Setzen Sie HttpOnly, Secure und SameSite auf Session Cookies, rotieren Sie Session IDs bei Login, hosten Sie den CFML Server in einer EU Region für europäische Daten, patchen Sie Adobe ColdFusion oder Lucee zeitnah, beschränken Sie CFADMIN auf interne Netze, dokumentieren Sie CFID und CFTOKEN als unbedingt erforderlich und steuern Sie optionale Analyse oder Marketing Tags über eine Consent Management Plattform.
Vergleichbare Server Stacks sind Java mit Spring Boot, .NET (C#) mit ASP.NET Core, Python mit Django oder FastAPI, PHP mit Laravel oder Node.js mit NestJS. Aus Compliance Sicht verhalten sich alle Server Sprachen ähnlich: die Datenschutzposition hängt vor allem von Anwendungsdesign, Hosting Region und Cookie Strategie ab, nicht von der Sprache.
Listen Sie CFID, CFTOKEN und JSESSIONID als unbedingt erforderliche technische Cookies in der Cookie Richtlinie auf, mit Zweck (Sitzungsverwaltung, Authentifizierung), Speicherdauer (Sitzung oder Browserlebensdauer) und First Party Scope. Fügen Sie anwendungsseitige Cookies separat hinzu. Erläutern Sie transparent, dass diese unbedingt erforderlichen Cookies keine Einwilligung verlangen, und aktualisieren Sie die Richtlinie bei jeder Anwendungs Aktualisierung.