Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Auth0

Was macht Auth0?

Identitäts- und Authentifizierungsplattform von Okta mit Login-Flows, JWT-Token, MFA, Social Login und einer EU-Deployment-Region (Frankfurt).

Was ist Auth0?

Auth0 ist eine Identitäts- und Authentifizierungsplattform des Unternehmens Okta, die Entwicklern die Implementierung sicherer Anmeldesysteme ermöglicht. Auth0 bietet Login-Flows, Multi-Faktor-Authentifizierung (MFA), Social Login (Google, Facebook, Apple), machine-to-machine-Token, Single Sign-On (SSO) sowie umfangreiche Verwaltungsfunktionen für Nutzeridentitäten. Auth0 ist als EU-Region (Frankfurt, AWS eu-central-1) verfügbar.

Welche personenbezogenen Daten verarbeitet Auth0?

Auth0 speichert: E-Mail-Adresse oder Telefonnummer (bei passwortlosem Login), Passwort-Hash, Anmelde-Zeitstempel, IP-Adressen, User-Agent, Social-Profildaten (bei Social Login: Name, E-Mail, Profilbild, Social-ID) sowie anwendungsspezifische User-Metadaten. Es sollten nur die für die Authentifizierung notwendigen Attribute gespeichert werden.

DSGVO-Rechtsgrundlage für Auth0

Die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) ist die richtige Rechtsgrundlage für die Kernfunktion der Authentifizierung: Nutzer können ohne sie nicht auf ihr Konto zugreifen. Eine gesonderte Einwilligung für die Kernauthentifizierung ist nicht erforderlich. Für optionale Funktionen wie Analytics oder Verhaltensauswertung von Anmeldedaten können andere Rechtsgrundlagen gelten.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

EU-Region und Datenübertragung

Auth0 bietet eine EU-Tenant-Region (Frankfurt, AWS eu-central-1). Bei Auswahl dieser Region verbleiben alle Nutzerdaten und Authentifizierungsvorgänge innerhalb der EU, sodass SCC für primäre Datenflüsse entfallen. Ohne EU-Region werden Daten standardmäßig in die USA übertragen. Okta ist unter dem EU-US-Datenschutzrahmen (DPF) zertifiziert. Der Abschluss des Okta-Auftragsverarbeitungsvertrags (AVV) ist verpflichtend.

Praktische Schritte zur DSGVO-Konformität

EU-Region beim Anlegen des Auth0-Tenants auswählen. Okta-AVV unterzeichnen (erhältlich über Oktas Rechtsdokumentation). Gespeicherte Nutzerattribute auf das notwendige Minimum beschränken. Löschanfragen über die Auth0 Management API (DELETE /api/v2/users/{id}) verarbeiten. Log-Streaming für längere Aufbewahrungsfristen konfigurieren, sofern für Auditzwecke erforderlich. Datenschutzerklärung um Auth0, verarbeitete Datenkategorien und Social-Login-Anbieter ergänzen.

GDPR consent category

Essenziell

Websites using Auth0 must obtain user consent under GDPR regulations.

Legal basisContract performance (Art. 6(1)(b)) for authentication and identity management as a core part of the service relationship. Auth0 processes the minimum personal data necessary to authenticate users (email, password hash, session token). No consent required for core authentication.

Risk levelmedium

Applicable regulationsGDPR, SCCs for US deployments. Auth0 EU region eliminates SCCs for EU-deployed tenants.

DPIA considerations

DSFA empfehlenswert bei Verarbeitung besonderer Datenkategorien oder bei großangelegter Authentifizierungsverarbeitung. Risiken: Protokollierung von IP-Adressen und Gerätedaten, Social-Login-Datenflüsse, US-Datenübertragung ohne EU-Region. Okta-AVV und ggf. SCC erforderlich.

Sample consent text

Die Authentifizierung auf dieser Plattform erfolgt über Auth0 (Okta). Dabei werden Ihre Anmeldedaten und Sitzungsdaten zur Bereitstellung des Dienstes verarbeitet. Dies ist zur Vertragserfüllung erforderlich und bedarf keiner gesonderten Einwilligung.

Technical details

Tracking methodIdentity and authentication platform, login flows, JWT tokens, session management, MFA, social login, machine-to-machine tokens

Server locationUnited States with EU deployment region option (Frankfurt)

Data transferred outside the EUAuth0 (acquired by Okta) is a US-based identity platform. An EU deployment region (Frankfurt) is available for customers who require EU data residency. Standard deployments process authentication data on US infrastructure requiring SCCs. Auth0/Okta provides a GDPR-compliant DPA.

Third-party domains contacted

auth0.comcdn.auth0.comeu.auth0.com

Cookies placed

Name	Type	Duration	Purpose
auth0	persistent	7 days	Auth0 session cookie maintaining the authenticated user session across page loads

Auth0 ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Rechtsgrundlage gilt für die Auth0-Authentifizierung?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO). Die Authentifizierung ist zur Bereitstellung des Dienstes notwendig: Nutzer können ohne sie nicht auf ihr Konto zugreifen. Für die Kernauthentifizierung ist keine gesonderte Einwilligung erforderlich.

Bietet Auth0 eine EU-Deployment-Region an?

Ja. Auth0 stellt eine EU-Tenant-Region (Frankfurt, AWS eu-central-1) bereit. Diese wird beim Anlegen des Auth0-Tenants ausgewählt. Bei dieser Konfiguration verbleiben alle Nutzerdaten und Authentifizierungsvorgänge innerhalb der EU, sodass SCC für primäre Datenflüsse entfallen.

Welche personenbezogenen Daten speichert Auth0?

Auth0 speichert: E-Mail-Adresse oder Telefonnummer (bei passwortlosem Login), Passwort-Hash, Anmelde-Zeitstempel, IP-Adressen, User-Agent, Social-Profildaten (bei Social Login) sowie anwendungsspezifische Nutzer-Metadaten. Gespeicherte Attribute sollten auf das für die Authentifizierung Notwendige begrenzt werden.

Wie bearbeite ich DSGVO-Löschanfragen für Auth0-Nutzer?

Nutzen Sie den Auth0 Management API-Endpunkt DELETE /api/v2/users/{id}, um einen Nutzer zu löschen. Dadurch werden Nutzerprofil, Anmeldedaten und Metadaten entfernt. Für eine vollständige Löschung löschen Sie auch die zugehörigen Protokolle über die Auth0 Logs API. Beantworten Sie Anfragen innerhalb von 30 Tagen.

Verursacht Auth0 Social Login (Google, Facebook) DSGVO-Komplikationen?

Ja. Social Login überträgt Daten vom Social-Anbieter an Auth0: Name, E-Mail, Profilbild, Social-ID. Diese Daten stellen eine Übertragung personenbezogener Daten vom Social-Anbieter dar. Social-Login-Anbieter sind in der Datenschutzerklärung offenzulegen. Die eigenen Nutzungsbedingungen des jeweiligen Anbieters regeln dessen Datenverarbeitung.

Benötige ich einen AVV mit Auth0 oder Okta?

Ja. Unterzeichnen Sie den Okta-Auftragsverarbeitungsvertrag (AVV), der Auth0 als Okta-Produkt abdeckt. Er ist über Oktas Rechtsdokumentation erhältlich. Für EU-Region-Tenants prüfen Sie, ob der AVV Ihre spezifische Deployment-Konfiguration abdeckt.

Wie lange bewahrt Auth0 Anmeldeprotokolle auf?

Auth0 bewahrt Protokolle standardmäßig 2 Tage (Free), 7 Tage (Developer Pro) oder 30 Tage (Enterprise) auf. Konfigurieren Sie Log-Streaming, um Protokolle für längere Aufbewahrungsfristen in eigenen Speicher zu exportieren. Löschen Sie Protokolle, sobald sie für Sicherheits- oder Compliance-Zwecke nicht mehr benötigt werden.

Ist Auth0 DSGVO-konform?

Ja. Auth0 bzw. Okta ist DSGVO-konform: AVV, EU-Deployment-Region, APIs für Betroffenenrechte sowie SOC2- und ISO-27001-Zertifizierungen sind vorhanden. EU-Region-Tenants eliminieren US-Übertragungsbedenken. Okta ist außerdem unter dem EU-US-Datenschutzrahmen (DPF) zertifiziert.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note