Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Okta

Was macht Okta?

Okta ist eine der führenden Identity und Access Management Plattformen, weltweit genutzt von Unternehmen für SSO, MFA, Lifecycle Management, Federation und Customer Identity (über die Marke Auth0, ebenfalls von Okta betrieben). Sie basiert auf einem gehosteten Authentifizierungs Flow, der Session Cookies setzt und OAuth/OIDC Tokens ausstellt. Okta Tenants können in EU Cells (Frankfurt, Dublin) bereitgestellt werden, Okta, Inc. bleibt jedoch US Verantwortlicher der Plattform.

Was ist Okta

Okta ist eine globale Identity und Access Management Plattform der Okta, Inc. mit Sitz in San Francisco. Workforce Identity Cloud bietet Mitarbeitenden SSO, MFA, Lifecycle Management und Zugriffsprüfungen für Hunderte von Business Apps. Customer Identity Cloud (inkl. des 2021 übernommenen Auth0) sichert Logins für Consumer und B2B Anwendungen mit Social Login, passwortlos, Brute Force Schutz, Anomalie Erkennung und adaptiver MFA. Beide Produkte laufen über einen gehosteten Authentifizierungs Flow auf okta.com bzw. auth0.com Subdomains und zahlreiche SDKs.

Welche Daten und Cookies Okta erhebt

Okta erhebt Benutzername, Passwort (gehasht, nie im Klartext), E Mail, Telefon, MFA Faktoren (OTP Secrets, WebAuthn Keys), Geräte Fingerprint, IP, User Agent, Land, Audit Logs für jede Authentifizierung, Session und Konfigurationsänderung und beliebige Custom Claims aus dem Directory. Auf Besucherseite setzt der gehostete Sign In Flow ein sid Session Cookie und technische Cookies (DT, JSESSIONID, t) zur CSRF Abwehr. Auth0 ergänzt ein eigenes auth0 Cookie und optionale Anomalie Signale.

DSGVO und ePrivacy Folgen

Die Okta Authentifizierungs Cookies sind zwingend erforderlich für die Anmeldung am angeforderten Dienst und von der Einwilligungspflicht nach Paragraf 25 TTDSG ausgenommen. Die Verarbeitung von Credentials, MFA und Audit Logs stützt sich auf Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c für Sicherheit und Aufbewahrung) und berechtigtes Interesse zur Betrugsabwehr. Anomalie Erkennung oder Verhaltens Scoring jenseits des Notwendigen ist separat zu bewerten. Die Datenschutzerklärung muss Okta bzw. Auth0 als Auftragsverarbeiter nennen.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Ist eine Einwilligung erforderlich

Nein für die zwingend erforderlichen Authentifizierungs Cookies und Tokens. Ja für optionale Funktionen jenseits der Authentifizierung: Analytics auf der Login Seite, Marketing Widgets, einwilligungspflichtige Social Login Provider, persistente Geräteerkennung zu Marketingzwecken. Der Nutzer ist stets darüber zu informieren, dass Okta bzw. Auth0 im Login Flow eingebunden ist.

Datentransfers und Empfänger

Mit einer EU Cell (Frankfurt oder Dublin) bei der Tenant Erstellung verbleiben persistente Daten in der EU. Okta, Inc. (USA) bleibt Verantwortlicher der Plattform und greift zu Support , Sicherheits und Incident Zwecken zu. Okta ist im EU US Data Privacy Framework zertifiziert, bietet EU SCC über das Master Subscription Agreement und das Okta DPA und veröffentlicht eine regelmäßig aktualisierte Subprozessoren Liste. Auth0 folgt dem gleichen Regime. Für regulierte Branchen liefert Okta FedRAMP, ISO 27001, ISO 27018, SOC 2 Type II und HIPAA Nachweise.

Praktische Schritte zur Compliance

Wählen Sie bei der Bereitstellung eine EU Cell, schließen Sie das Okta DPA mit SCC Anhang, listen Sie Okta, Inc. und Auth0 als Empfänger in der Datenschutzerklärung mit Transfermechanismus (DPF und SCC), setzen Sie die Audit Log Speicherdauer auf das durch Sicherheits und Gesetzespflichten gerechtfertigte Minimum, beschränken Sie Admin Zugriffe per SSO und MFA und prüfen Sie Bring Your Own Key für sensible Tenants. Dokumentieren Sie die Integration im Verarbeitungsverzeichnis.

GDPR consent category

Essenziell

Websites using Okta must obtain user consent under GDPR regulations.

Legal basisContract (Art. 6(1)(b) GDPR) for authenticating the user into the customer's application, legal obligation (Art. 6(1)(c)) for security and audit logs, legitimate interest (Art. 6(1)(f)) for fraud and bot detection; consent (Art. 6(1)(a) and Art. 5(3) ePrivacy) for any optional analytics, marketing or persistent recognition features

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive, eIDAS for strong customer authentication scenarios, NIS2 for essential operators, TTDSG, LIL, DORA for regulated financial entities

DPIA considerations

Okta verarbeitet Anmeldedaten, MFA Faktoren, Audit Logs und (mit Auth0 Hooks) optionale Verhaltensattribute. Eine DSFA ist für Customer Identity Bereitstellungen im großen Maßstab (B2C Apps mit Millionen Nutzern, öffentliche Verwaltung, regulierte Branchen) empfehlenswert und sollte Cell Wahl, EU US Transfer, Audit Log Aufbewahrung und Subprozessoren abdecken.

Sample consent text

Wir nutzen Okta, um Sie an unserer Anwendung anzumelden. Authentifizierungs Cookies und Sicherheitstokens werden von Okta gesetzt. Okta wird von Okta, Inc. (USA) betrieben, unsere Tenant Daten liegen in der EU Cell.

Technical details

Tracking methodHosted authentication flow (Okta Identity Engine) with redirect or embedded widget (Okta Sign In Widget), OAuth 2.0 / OpenID Connect tokens, SAML 2.0 federation, SCIM provisioning, optional Auth0 (Okta Customer Identity) JavaScript SDKs and Universal Login

Server locationRegion selected by the customer at tenant provisioning: EU (Frankfurt, Dublin), US, AU, IN, JP cells. Okta, Inc. is headquartered in San Francisco; the Auth0 product line is operated by Okta and inherited the Auth0 EU and US regions.

Data transferred outside the EUCustomer data persists in the chosen Okta cell. Okta, Inc. (USA) operates the service globally and accesses tenant data for support, security and incident response. Okta is self certified under the EU US Data Privacy Framework, lists EU sub processors with their regions in the Okta Trust portal, and offers EU Standard Contractual Clauses through the Okta Master Subscription Agreement.

Third-party domains contacted

okta.com<tenant>.okta.com<tenant>.oktapreview.comokta-emea.comoktacdn.comauth0.com<tenant>.eu.auth0.com<tenant>.us.auth0.com

Cookies placed

Name	Type	Duration	Purpose
sid	third party	Session	Okta authenticated session cookie set after successful sign in; strictly necessary for the authenticated experience.
DT	third party	1 year	Device token used by Okta to recognise a known device during sign in and to power device based MFA policies.
JSESSIONID	third party	Session	Back end application server session cookie for the Okta sign in service.
t	third party	Session	CSRF protection token used during the Okta sign in flow.
proximity_<...>	third party	30 days	Optional Okta cookie used by Okta FastPass and proximity based authentication features.
auth0	third party	Session	Auth0 session cookie set on the Auth0 hosted login page (.auth0.com) for the duration of an authentication session.
auth0_compat	third party	Session	Compatibility session cookie used by older Auth0 SDKs when the SameSite=None policy cannot be enforced on the main auth0 cookie.

Okta ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Okta?

Okta setzt sid (Session Cookie), DT (Device Token), JSESSIONID (Backend Session) und t (CSRF) auf seiner gehosteten Authentifizierungs Domain. Diese Cookies sind zwingend erforderlich für die Anmeldung und einwilligungsfrei. Auth0 ergänzt auth0 und auth0_compat Cookies.

Brauche ich für Okta eine Einwilligung?

Nicht für die zwingend erforderlichen Authentifizierungs Cookies und Tokens. Ja für optionale Analytics oder Marketing Widgets auf der Login Seite und für Verhaltens Risikofunktionen jenseits des Notwendigen.

Welche Rechtsgrundlage gilt bei Okta?

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) für die Authentifizierung, rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) für Audit Logs nach ISO 27001, NIS2 oder eIDAS sowie berechtigtes Interesse (Art. 6 Abs. 1 lit. f) zur Betrugs und Bot Abwehr.

Werden Daten außerhalb der EU übermittelt?

Mit einer EU Cell bleiben persistente Daten in der EU. Okta, Inc. (USA) behält Support und Sicherheitszugriffe. Transfers stützen sich auf DPF Zertifizierung, EU SCC im Okta DPA und eine öffentliche Subprozessoren Liste.

Brauche ich vor dem Okta Rollout eine DSFA?

Für Workforce Identity bei kleiner Belegschaft genügt eine schlanke DSFA. Bei Customer Identity in großem Maßstab, öffentlicher Verwaltung oder regulierten Branchen erstellen Sie eine vollständige DSFA mit Cell, Transfers, Audit Logs und individuellen Risikosignalen.

Wie deploye ich Okta DSGVO konform?

EU Cell wählen, Okta DPA abschließen, SSO und MFA für Admin Zugriffe konfigurieren, Audit Log Aufbewahrung auf das gesetzlich Erforderliche begrenzen, Okta und Auth0 als Auftragsverarbeiter in der Datenschutzerklärung nennen und nicht bewertete Verhaltens Risikofunktionen deaktivieren.

Welche Alternativen zu Okta gibt es?

EU Alternativen: Ory (Deutschland), FusionAuth (Open Source US, selbst hostbar in der EU), Keycloak (Open Source, Red Hat), Microsoft Entra ID (mit EU Region), OIDC Implementierungen auf WSO2 oder Authentik. Für Customer Identity bleibt Auth0 der direkte Wettbewerber, mit EU Regionen.

Wie beschreibe ich Okta in der Cookie Richtlinie?

Listen Sie die Okta Cookies (sid, DT, JSESSIONID, t) unter Zwingend erforderlich mit Anbieter Okta, Inc. (USA), Zweck (Authentifizierung und Session Management), Dauer (Session bis wenige Stunden) und Transfermechanismus (Data Privacy Framework und SCC).

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note