Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

IBM Carbon Design System

Was macht IBM Carbon Design System?

IBM Carbon Design System ist ein von IBM gepflegtes Open-Source-Design-System, das einsatzbereite UI-Komponenten, CSS, Icons und Webfonts für barrierefreie Weboberflächen bereitstellt. Am häufigsten wird es als statische Dateien über ein öffentliches CDN ausgeliefert oder via npm installiert und selbst gehostet. Carbon selbst setzt keine Tracking-Cookies, das Laden des Bundles von einem Drittanbieter-CDN gibt jedoch die IP-Adresse des Besuchers an den CDN-Betreiber preis und kann Fragen zu Datenübermittlungen aufwerfen.

Was das Carbon Design System ist

Das IBM Carbon Design System ist ein Open-Source-Design-System, das von IBM und einer großen Community gepflegt wird. Es bietet einen kohärenten Satz barrierefreier UI-Komponenten (Schaltflächen, Eingabefelder, Modale, Tabellen, Datenvisualisierungs-Widgets), ein CSS-Framework, Icons, Illustrationen, die Webschrift IBM Plex sowie Implementierungen für React, Angular, Vue und Web Components. Carbon wird von IBM-Produkten, Partnern und vielen Drittteams eingesetzt, die eine robuste, barrierefrei orientierte Grundlage benötigen, ohne sie selbst zu entwickeln. Es wird entweder über npm-Pakete im Build-Prozess oder über vorbereitete Bundles aus einem CDN ausgeliefert.

Daten und Cookies

Als Bibliothek setzt Carbon keine Cookies, betreibt kein Fingerprinting und sendet keine Analyseereignisse. Der einzige durch Carbon ausgelöste Datenaustausch ist die technische HTTP-Anfrage, mit der CSS-, JavaScript-, Schrift- und Icon-Dateien geladen werden, sowie die üblichen Caching-Header. Allerdings überträgt jede HTTP-Anfrage zwangsläufig die IP-Adresse des Besuchers, den User-Agent, den Referer und den Zeitstempel an den ausliefernden Server. Liegt dieser Server bei einem Drittanbieter-CDN, wird der CDN-Betreiber zum Empfänger personenbezogener Daten und kann Zugriffsprotokolle führen, eigene Analyse-Cookies setzen oder Sicherheits-Challenges anwenden.

Auswirkungen auf DSGVO und ePrivacy

Werden Carbon-Dateien auf Ihrer eigenen Infrastruktur selbst gehostet, beschränkt sich die Verarbeitung auf das unbedingt erforderliche technische Laden von Ressourcen, die Sie kontrollieren. Artikel 5 Absatz 3 ePrivacy verlangt keine Einwilligung für rein technische, für den vom Nutzer gewünschten Dienst unbedingt erforderliche Vorgänge, und das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO ist in der Regel eine vertretbare Rechtsgrundlage. Wird Carbon dagegen über ein Drittanbieter-CDN geladen, muss der Anbieter zusätzlich prüfen, ob das CDN selbst DSGVO-Anforderungen erfüllt, ob es Cookies außerhalb der Ausnahme setzt und wie es Besucher-IPs protokolliert.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübermittlungen und CDN-Wahl

Die meistgenutzten öffentlichen CDNs (unpkg über Cloudflare, jsDelivr über Fastly und Cloudflare, IBM-Endpunkte auf IBM Cloud) werden allesamt von in den USA ansässigen Betreibern mit globalem Edge-Netz betrieben. Seit dem Schrems-II-Urteil und dem Inkrafttreten des EU-US Data Privacy Framework können Übermittlungen rechtmäßig sein, wenn der Empfänger nach dem DPF zertifiziert ist; der Anbieter muss jedoch die Zertifizierung prüfen, die Übermittlung im Verarbeitungsverzeichnis dokumentieren und beurteilen, ob die am Edge protokollierte IP-Adresse auf einen identifizierbaren Besucher zurückgeführt werden kann. Selbst-Hosting von Carbon oder die Nutzung eines in der EU betriebenen Spiegels entfernt diesen Transfer vollständig.

Praktische Umsetzungsschritte

Für die meisten produktiven Websites empfiehlt sich, Carbon über npm zu installieren, mit dem Anwendungscode zu bündeln und die entstehenden Dateien aus derselben Origin wie den Rest der Website auszuliefern, hinter Ihrem üblichen CDN oder Webserver. Das beseitigt jede Carbon-spezifische Drittübermittlung und vermeidet die Abhängigkeit von externer Verfügbarkeit. Falls ein öffentliches CDN unverzichtbar ist, bevorzugen Sie eines mit dokumentierter EU-Präsenz und DPF-Zertifizierung, ergänzen Sie Subresource-Integrity-Hashes an den Script- und Link-Tags und weisen Sie das CDN in Ihrer Datenschutzerklärung aus. Carbon selbst bleibt compliance-freundlich, da es ein passives Set von UI-Primitiven ist.

GDPR consent category

Sonstige

Websites using IBM Carbon Design System must obtain user consent under GDPR regulations.

Legal basisLegitimate interest (Article 6(1)(f) GDPR) for self-hosted assets and the strictly necessary technical loading of the UI. When loaded from a third party CDN that profiles visitors or sets its own cookies, prior consent under Article 5(3) ePrivacy may become required.

Risk levellow

Applicable regulationsGDPR (EU 2016/679), ePrivacy Directive 2002/58/EC, EU US Data Privacy Framework where applicable, EDPB guidelines on third country transfers, national data protection authority guidance on CDN usage.

DPIA considerations

Eine vollständige Datenschutz-Folgenabschätzung ist für selbst gehostete Carbon-Dateien in der Regel nicht erforderlich, da sich die Verarbeitung auf die technische Auslieferung von Oberflächenelementen beschränkt und ein minimales Risiko für die betroffenen Personen darstellt. Wird Carbon von einem Drittanbieter-CDN wie unpkg oder jsDelivr geladen, sollten Sie eine dokumentierte Übermittlungs-Risikobewertung für dieses CDN durchführen, es in Ihr Verarbeitungsverzeichnis aufnehmen und prüfen, ob das CDN eigene Cookies setzt. Entscheidend ist die Wahl des CDN, nicht Carbon selbst.

Sample consent text

Diese Website nutzt das IBM Carbon Design System für die Benutzeroberfläche. Carbon wird von unseren eigenen Servern geladen und setzt keine Cookies auf Ihrem Gerät. Einige Schriftarten und Icons werden aus Leistungsgründen vom Browser zwischengespeichert. Durch die Nutzung von Carbon auf dieser Seite werden keine personenbezogenen Daten an IBM oder Dritte weitergegeben.

Technical details

Tracking methodStatic assets (CSS, JavaScript components, web fonts, icons) typically loaded from a public CDN such as unpkg, jsDelivr or IBM-hosted endpoints. No tracking cookies are set by Carbon itself, but the CDN serving the assets sees the visitor IP address, referer, user agent and timing of the request and may set its own cookies for caching or analytics.

Server locationDepends on the chosen CDN. unpkg uses Cloudflare (global edge, primarily routed via US-controlled infrastructure). jsDelivr is operated from multiple regions with Cloudflare and Fastly. IBM-hosted endpoints route through IBM Cloud, with edge presence in the US and EU.

Cookieless tracking availableYes

Data transferred outside the EUWhen Carbon assets are loaded from a US-based CDN (unpkg / Cloudflare, jsDelivr / Fastly, IBM-hosted on US edge), visitor IP and request metadata transit through US infrastructure. The EU US Data Privacy Framework provides an adequacy mechanism for certified US recipients, but each CDN must be evaluated individually. Self-hosting the assets removes this transfer entirely.

Third-party domains contacted

carbondesignsystem.comunpkg.comcdn.jsdelivr.net1.www.s81c.com

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt das Carbon Design System Cookies?

Nein. Carbon ist eine passive Bibliothek aus UI-Komponenten, CSS und Assets. Es setzt keine Cookies, betreibt keine Analyse und führt kein Fingerprinting durch. Cookies, die im Zusammenhang mit Carbon erscheinen, stammen entweder vom CDN, das die Dateien ausliefert (z. B. Sicherheits-Cookies von Cloudflare oder Fastly bei unpkg oder jsDelivr), oder von Ihrem eigenen Anwendungscode, der Carbon-Komponenten nutzt.

Brauche ich eine Einwilligung, um Carbon-Dateien zu laden?

Wenn Carbon auf Ihrer eigenen Domain selbst gehostet wird, ist für die Dateien selbst kein Consent-Banner erforderlich: Das Laden ist für die Darstellung der angeforderten Seite unbedingt erforderlich. Wird Carbon dagegen von einem Drittanbieter-CDN geladen, das Cookies setzen oder Besucher profilieren kann, sollten Sie dies zumindest in Ihrer Datenschutzerklärung offenlegen und je nach CDN unter Einwilligungsvorbehalt stellen.

Welche Rechtsgrundlage gilt für die Nutzung von Carbon?

Selbst gehostete Carbon-Ressourcen fallen unter die Ausnahme für unbedingt erforderliche Cookies nach Artikel 5 Absatz 3 ePrivacy und können sich für eventuelle Logdaten auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO stützen. Über CDN ausgeliefertes Carbon wirft eine zusätzliche Frage auf: Der CDN-Anbieter wird Empfänger, weshalb er ggf. im Verzeichnis ergänzt werden muss und bei nicht-essenziellen Cookies eine Einwilligung nach Artikel 5 Absatz 3 ePrivacy nötig wird.

Wohin reisen Carbon-Dateien bei Nutzung eines öffentlichen CDN?

Öffentliche CDNs nutzen globale Edge-Netze. unpkg läuft über Cloudflare, jsDelivr über Fastly und Cloudflare, IBM-Endpunkte über IBM Cloud. EU-Besucher werden meist von einem EU-Edge bedient, der CDN-Betreiber hat aber seinen Sitz in den USA, und Anfrageprotokolle können in andere Regionen repliziert werden. Damit ist jeder CDN ein zu prüfender Drittlandtransfer, sofern der Betreiber nicht DPF-zertifiziert ist oder Sie selbst hosten.

Ist eine DSFA für die Nutzung von Carbon erforderlich?

Eine formelle Datenschutz-Folgenabschätzung ist für selbst gehostetes Carbon nicht erforderlich, da sich die Verarbeitung auf die technische Auslieferung von UI-Ressourcen mit vernachlässigbarem Risiko für die betroffenen Personen beschränkt. Bei Nutzung eines Drittanbieter-CDN ist eine kurze Übermittlungs-Folgenabschätzung sinnvoll, eine vollständige DSFA nach Artikel 35 DSGVO ist jedoch in der Regel unverhältnismäßig.

Wie binde ich Carbon möglichst datenschutzfreundlich ein?

Installieren Sie Carbon über npm oder yarn, binden Sie es in Ihr Anwendungsbundle ein und liefern Sie alles über dieselbe Origin (oder Ihr eigenes CDN) aus. Vermeiden Sie in Produktion direkte Links zu unpkg, jsDelivr oder anderen geteilten CDNs. Pinnen Sie eine konkrete Version, liefern Sie Integrity-Hashes aus und halten Sie Abhängigkeiten aktuell. Diese Kombination beseitigt Fragen zu Drittübermittlungen und macht Carbon zu einer nahezu wirkungsfreien Abhängigkeit.

Welche Alternativen zu Carbon gibt es für europäische Projekte?

Europäische oder Open-Source-Design-Systeme ohne Drittabhängigkeiten sind unter anderem Material UI in selbst gehosteter Form, Bootstrap, Bulma, Tailwind in Kombination mit Headless-Komponenten-Bibliotheken wie Radix UI oder Headless UI. Keine davon verändert für sich genommen die DSGVO-Bilanz Ihrer Website, sofern die Dateien aus eigener Origin ausgeliefert werden. Carbon bleibt durch seinen Barrierefreiheitsfokus eine attraktive Option.

Muss ich meine Cookie-Richtlinie aktualisieren, wenn ich Carbon nutze?

Wenn Carbon selbst gehostet wird und Sie keine Drittanbieter-Dateien laden, ist nichts Spezifisches zu Carbon zu ergänzen. Laden Sie Carbon von unpkg, jsDelivr oder einem anderen Drittanbieter-CDN, nennen Sie das CDN in Cookie-Richtlinie und Datenschutzerklärung, geben Sie die übermittelten Datenkategorien (IP, Anfrage-Metadaten), das Zielland und die Rechtsgrundlage an. Überprüfen Sie diesen Eintrag bei jedem CDN-Wechsel.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note