Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Einbettbares JavaScript Login Widget des Okta Tochterunternehmens Auth0 mit konfigurierbarer Anmelde, Registrierungs und MFA Oberfläche, das Sitzungscookies zur Authentifizierung setzt.
Auth0 Lock ist das einbettbare JavaScript Widget von Auth0, das heute zu Okta gehört. Es zeigt in einer Website oder Single Page Application eine konfigurierbare Anmelde, Registrierungs und MFA Oberfläche. Über OAuth 2.0 und OpenID Connect verbindet es sich mit einem Auth0 Tenant, der Credential Storage, MFA, Anomalieerkennung und soziale Föderation übernimmt.
Sobald eine Sitzung besteht, setzt Auth0 mehrere Cookies auf der Tenant Domain (auth0, did, did_compat, auth0_compat) und gegebenenfalls ein State Cookie auf der App Origin beim OAuth Callback. Das Widget erhebt zudem Gerätesignale, IP, User Agent und Geolokalisierungs Hinweise zur Anomalie und Bot Erkennung.
Authentifizierungs Cookies, die zur Erbringung des vom Nutzer gewünschten Anmeldedienstes unbedingt erforderlich sind, sind nach TTDSG und DSGVO einwilligungsfrei. Gerätefingerprinting, Profiling durch Anomalieerkennung und persistente Identifier über die Sitzung hinaus unterliegen dagegen der Einwilligungspflicht. Eine transparente Information zu jedem Cookie ist Pflicht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Auth0 Tenants können in US, EU, AU oder JP gehostet werden, doch Okta Inc. bleibt als US Auftragsverarbeiter für Anomalieerkennung, Telemetrie und globalen Support zuständig. Transfers stützen sich auf Standardvertragsklauseln, das EU US Data Privacy Framework und Binding Corporate Rules. Ein EU Tenant reduziert die laufenden Transfers spürbar, eliminiert sie aber nicht.
Pinnen Sie den Tenant für europäische Nutzer auf die EU Region, schließen Sie den Okta Auftragsverarbeitungsvertrag, aktivieren Sie Custom Domains für First Party Cookies, deaktivieren Sie optionale Marketing Analyse und dokumentieren Sie Attack Protection und Anomalieerkennung im Verzeichnis der Verarbeitungstätigkeiten.
Websites using Auth0 Lock must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA empfiehlt sich, wenn Auth0 die primäre Identitätsschicht eines reichweitenstarken Dienstes bildet, wenn MFA biometrische oder Telemetriedaten verarbeitet oder wenn der Tenant in den USA liegt und europäische Nutzer betreut. Bewerten Sie das Profiling durch Anomalieerkennung, die Speicherdauer der Protokolle und etwaige Social oder Enterprise Connections.
Sample consent text
Wir nutzen Auth0 Lock von Okta für Registrierung, Anmeldung und Mehrfaktor Authentifizierung. Strikt erforderliche Sitzungscookies werden automatisch gesetzt. Mit Ihrer Einwilligung verarbeiten wir zusätzliche Gerätesignale, um verdächtige Aktivitäten zu erkennen.
Third-party domains contacted
*.auth0.com*.eu.auth0.com*.us.auth0.comcdn.auth0.comcdn.eu.auth0.comsentry.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| auth0 | HTTP cookie | Session | Stores the Auth0 single sign on session for the tenant domain after a successful login. |
| did | HTTP cookie | 1 year | Device identifier used by Auth0 for attack protection, anomaly detection and bot detection. |
| did_compat | HTTP cookie | 1 year | Same device identifier issued without the SameSite attribute for legacy browser compatibility. |
| auth0_compat | HTTP cookie | Session | Legacy SSO session cookie used by older browsers that do not handle SameSite=None correctly. |
| a0_state | HTTP cookie | 10 minutes | Stores the OAuth state and nonce values during the authorization code callback to prevent CSRF. |
| _legacy_auth0.is.authenticated | localStorage | Persistent | Used by auth0-spa-js to mark a returning user as authenticated for silent token renewal flows. |
Auth0 Lock ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Auth0 setzt Sitzungscookies auf der Tenant Domain (auth0, did, did_compat, auth0_compat) sowie optional State und Nonce Cookies auf der App Origin beim OAuth Callback. Mit Custom Domains bleiben diese Cookies First Party.
Sitzungscookies, die zur Authentifizierung unbedingt nötig sind, sind nach TTDSG und DSGVO einwilligungsfrei. Gerätefingerprinting, Anomalieerkennung und persistente geräteübergreifende Identifier benötigen Einwilligung.
Vertragserfüllung (Art. 6(1)(b) DSGVO) deckt Registrierung und Login. Anomalieerkennung und Angriffsschutz stützen sich auf berechtigtes Interesse (Art. 6(1)(f) DSGVO), optionale Analysen erfordern Einwilligung (Art. 6(1)(a) DSGVO).
Ja. Selbst bei EU Tenant verarbeitet Okta Inc. in den USA Anomalieerkennung, Telemetrie und Support. Transfers stützen sich auf Standardvertragsklauseln, das EU US Data Privacy Framework und Binding Corporate Rules.
Eine DSFA empfiehlt sich für reichweitenstarke Dienste, biometrische MFA und Tenants in den USA, die EU Nutzer bedienen. Dokumentieren Sie Profiling, Protokollaufbewahrung, Attack Protection und Social oder Enterprise Connections.
Wählen Sie die EU Region, aktivieren Sie Custom Domains, schließen Sie den Okta AVV, integrieren Sie nicht notwendige Funktionen erst nach Einwilligung, konfigurieren Sie die Protokollaufbewahrung und deaktivieren Sie optionale Marketing Analyse im Tenant.
EU basierte Identity Provider sind unter anderem Keycloak (Self Hosted, Open Source), Ory, FusionAuth (selbst hostbar), Frontegg sowie Managed Services wie Microsoft Entra External ID oder Curity mit EU Hosting.
Ergänzen Sie einen Eintrag zu Auth0 Lock, listen Sie die Sitzungscookies (auth0, did, did_compat, auth0_compat), Zwecke (Authentifizierung, Attack Protection, Anomalieerkennung), Speicherdauer, US Transfers und verlinken Sie Okta Datenschutzerklärung und AVV.