Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
AWS Identity Service für Registrierung, Anmeldung, Mehr Faktor Authentifizierung, Passwort Wiederherstellung und Föderation mit sozialen oder Unternehmens Identity Providern in Web und Mobile Apps.
Amazon Cognito ist der Identity Service von AWS. User Pools dienen zur Registrierung und Authentifizierung von Endnutzern per E Mail, Telefon, Social Login (Google, Facebook, Apple, SAML, OIDC), Multi Faktor Authentifizierung und Passwort Wiederherstellung; Identity Pools vergeben temporäre AWS Credentials, damit eine App AWS APIs im Namen des Nutzers aufrufen kann.
Cognito verarbeitet Kontoattribute (E Mail, Telefon, Custom Claims), Passwörter, MFA Secrets, OAuth und OIDC Tokens, IP Adressen, Geräte Fingerprints (bei aktivierter Advanced Security) sowie Login Aktivität. Die Hosted UI setzt First Party Cookies auf der Auth Domain (XSRF Token, Session Cookie), und die Client App speichert ID, Access und Refresh Tokens typischerweise in Cookies oder Browser Storage.
Cookies und Tokens, die den Nutzer angemeldet halten, sind technisch notwendig im Sinne von Art. 5(3) ePrivacy Richtlinie und § 25 Abs. 2 TTDSG und benötigen keine vorherige Einwilligung. AWS handelt als Auftragsverarbeiter über das AWS Data Processing Addendum, das Standardvertragsklauseln und das EU US Data Privacy Framework umfasst. Erweiterte Sicherheitsfunktionen (adaptive Authentifizierung, Kompromittierungsprüfung) führen Risiko Profiling durch und müssen in der Datenschutzerklärung erläutert werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Für die reine Authentifizierung mit Cognito ist keine Einwilligung erforderlich. Wenn der Login Flow Social Federation Widgets lädt, die Tracking Cookies setzen (Google, Facebook, Apple), ist eine Einwilligung nötig, und die Nutzer müssen darüber informiert werden, dass ihr Login an den Drittanbieter weitergegeben wird.
User Pools und Identity Pools liegen in der von Ihnen gewählten AWS Region. Um Drittlandtransfers zu reduzieren, wählen Sie eu west 1 (Irland), eu central 1 (Frankfurt), eu west 3 (Paris), eu south 1 (Mailand), eu north 1 (Stockholm) oder eu west 2 (London). Administrative Metadaten, Support und Betriebs Telemetrie können dennoch von AWS Personal in den USA unter SCC und EU US Data Privacy Framework verarbeitet werden.
Schließen Sie den AWS DPA, wählen Sie eine EU Region, erzwingen Sie eine starke Passwort Policy und MFA, setzen Sie sinnvolle Token Lebensdauern, regeln Sie Admin Aktionen über IAM Rollen, protokollieren Sie CloudTrail und Cognito Events, dokumentieren Sie die Betroffenenrechte Workflows (Export, Löschung via AdminDeleteUser) und führen Sie eine DSFA durch, sobald Advanced Security oder eine umfangreiche Identitätsverarbeitung aktiv sind.
Websites using Amazon Cognito must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen, wenn Cognito für umfangreiche Authentifizierung eingesetzt wird, wenn besondere Kategorien (Gesundheit, öffentliche Verwaltung) verarbeitet werden, wenn mehrere externe Identity Provider eingebunden werden oder wenn die erweiterten Sicherheitsfunktionen Geräte und IP Risiken profilieren.
Sample consent text
Wir setzen Amazon Cognito (Amazon Web Services) ein, um Benutzerkonten, Anmeldung und Authentifizierung zu verwalten. Die Authentifizierungs Cookies und Tokens sind technisch notwendig, damit Sie angemeldet bleiben. Wenn Sie sich über einen Drittanbieter anmelden (Google, Facebook, Apple), kann dieser Ihre Kennungen nach seinen eigenen Bedingungen erhalten.
Third-party domains contacted
auth.<region>.amazoncognito.comcognito-idp.<region>.amazonaws.comcognito-identity.<region>.amazonaws.comamazoncognito.comamazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| XSRF-TOKEN | http | Session | CSRF protection for the Cognito Hosted UI login forms. |
| cognito-fl | http | Session | Flag cookie used by the Hosted UI to track multi step login flows. |
| csrf-state | http | 10 minutes | Stores the state parameter used during OAuth and federation flows to prevent replay attacks. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.idToken | http | 1 hour (configurable) | Stores the OpenID Connect ID token issued to the authenticated user. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.accessToken | http | 1 hour (configurable) | Stores the OAuth 2.0 access token used to call protected APIs. |
| CognitoIdentityServiceProvider.<clientId>.<sub>.refreshToken | http | 30 days (configurable, up to 10 years) | Allows the client to obtain new access and ID tokens without re authentication. |
| CognitoIdentityServiceProvider.<clientId>.LastAuthUser | http | Persistent | Stores the username of the last user signed in on this device. |
Amazon Cognito ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Die Hosted UI setzt XSRF-TOKEN, csrf-state und ein Flow Cookie auf der eigenen Domain auth.<region>.amazoncognito.com. Nach erfolgreicher Anmeldung speichert die Client App ID, Access und Refresh Tokens, typischerweise als CognitoIdentityServiceProvider.* Cookies oder im Browser Storage.
Nein für die Authentifizierung selbst: Session Cookies und Tokens sind technisch notwendig. Ja für jeden Social Login Button, der die SDKs von Google, Facebook oder Apple mit eigenen Tracking Cookies lädt, und ja, wenn die Advanced Security ein Verhaltensprofil über das Sicherheitserforderliche hinaus erstellt.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) deckt Kontoanlage, Anmeldung und Passwortverwaltung. Art. 6 Abs. 1 lit. f (berechtigtes Interesse) deckt Betrugsprävention, Missbrauchsabwehr und Sicherheits Logs. Einwilligung (Art. 6 Abs. 1 lit. a) ist für optionale Föderation erforderlich, die Daten an Dritte weitergibt.
Kundendaten verbleiben in der gewählten AWS Region. Administrative Metadaten, Support und Telemetrie können von AWS Personal in den USA verarbeitet werden, abgesichert durch Standardvertragsklauseln und das EU US Data Privacy Framework gemäß AWS DPA.
Eine DSFA wird empfohlen (und kann nach Art. 35 DSGVO Pflicht werden) für umfangreiche Identitätsverarbeitung, Identitäten im öffentlichen Sektor, sensible Branchen (Gesundheit, Finanzen) oder wenn adaptive Authentifizierung und risikobasiertes Profiling aktiv sind.
Wählen Sie eine EU AWS Region, schließen Sie den AWS DPA, erzwingen Sie MFA, begrenzen Sie die Token Lebensdauer, regeln Sie Admin Zugriff über IAM Rollen, protokollieren Sie über CloudTrail, bieten Sie Workflows für Betroffenenrechte (Export, AdminDeleteUser) und beschränken Sie die erfassten Benutzerattribute auf das Nötigste.
Andere Identity Provider sind Auth0, Okta Customer Identity, Microsoft Entra External ID, Keycloak (selbst gehostet), FusionAuth, Ory Hydra/Kratos, Clerk, WorkOS und Supabase Auth. Jeder Anbieter hat ein eigenes Profil bezüglich Datenresidenz, Preis und Integration.
Führen Sie einen Cookie Scan auf den Auth und Callback Seiten durch, listen Sie die technisch notwendigen Cognito Cookies (XSRF-TOKEN, csrf-state, Token Speicherung), markieren Sie sie als First Party auf Ihrer Auth Domain und dokumentieren Sie alle Drittanbieter Cookies für Social Login, die bei Nutzeraktion geladen werden.