HinSchG Vorgaben einfach und effizient umsetzen mit dem Parlabox Hinweisgebersystem
cookiebox logo
Demo vereinbaren
Kostenlos starten
cookiebox logo
Content Delivery Network

UNPKG

Content Delivery Network
data processing services
UNPKG Logo
UNPKG
UNPKG ist ein Content Delivery Network
  • Sitz: Betreiber in den USA
  • Kategorie: Content Delivery Network
  • Rechtsgrundlage: Einwilligungspflichtig
Inhalt des Beitrags

Was ist UNPKG?

UNPKG ist ein öffentlich zugängliches Content Delivery Network (CDN), das speziell dafür entwickelt wurde, Dateien aus dem npm-Paketregister direkt über eine URL bereitzustellen. Entwickler können damit JavaScript-Bibliotheken und andere webfähige Dateien aus npm ohne lokale Installation in Webseiten oder Webanwendungen einbinden.

UNPKG funktioniert vollständig URL-basiert. Jede Datei eines npm-Pakets kann über einen einfachen Link geladen werden. Die Plattform wird über das globale CDN-Netzwerk von Cloudflare betrieben und ermöglicht so eine schnelle und skalierbare Auslieferung von Ressourcen weltweit – ohne eigene Server oder BuildProzesse.

Warum wird UNPKG verwendet?

UNPKG wird häufig von Webentwicklern und Open-Source-Projekten verwendet. Die wichtigsten Gründe sind:

  • Schneller Zugriff auf npm-Pakete: Entwickler können JavaScript-Bibliotheken ohne lokale Installation direkt über das CDN einbinden.
  • Einfaches Prototyping: Bei der schnellen Erstellung von Demos oder Tests kann direkt auf gewünschte Pakete zugegriffen werden.
  • Keine Build-Tools notwendig: UNPKG macht es möglich, npm-Bibliotheken ohne Webpack, npm install oder Bundling zu nutzen.
  • Öffentliche Verfügbarkeit: Ideal für Schulungen, JSFiddle, CodePen, und andere browserbasierte Entwicklungsumgebungen.

Welche Daten werden verarbeitet?

Die Nutzung von UNPKG erfolgt über HTTP-Anfragen an Cloudflare-Server. Dabei werden folgende personenbezogene bzw. personenbeziehbare Daten verarbeitet:

Verbindungs- und Zugriffsdaten:

  • IP-Adresse des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • URL der angeforderten Ressource
  • Referrer (Herkunftsseite)
  • User-Agent (z. B. Browsertyp und -version, Betriebssystem)

Serverseitige Logdaten (Cloudflare):

  • Sicherheitsrelevante Informationen zur Erkennung von Angriffen
  • Geolokalisierung basierend auf IP-Adressen

Cookies oder ähnliche Technologien:

  • Können über Cloudflare eingesetzt werden (z. B. zur Lastverteilung oder für Sicherheitsfunktionen)

UNPKG selbst erhebt keine personenbezogenen Daten aktiv, jedoch erfolgt die Verarbeitung technisch über Cloudflare als Infrastrukturbetreiber.

Hast du UNPKG richtig eingebunden?

Mach den Test in unserem kostenlosen Quickscanner!

Rechtliche Grundlage für die Verarbeitung

Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TDDDG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TDDDG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

Wann besteht eine Einwilligungspflicht?

Personenbezogene Daten

Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens eine der Rechtsgrundlagen (a, b, c, d, e, oder f) des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

  • Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
  • Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)
Cookies

Gem. Art. 25 Abs. 1 TDDDG ist dann eine Einwilligung erforderlich, sobald Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

Dabei sollte man wissen, dass damit nicht nur die bekannten, auf dem Endgerät der Nutzer platzierten Cookies gemeint sind, sondern auch sogenannte Zählpixel, die es unter anderem ermöglichen, den Useragent oder das Gerät der Nutzer zu verknüpfen oder herzuleiten.

Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

Die Anforderungen an die Einwilligungsfreiheit

Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

  1. Sofern eine Datenweitergabe an Dritte stattfindet:
    • Abschluss eines Auftragsverarbeitungsvertrags (AVV) mit dem Auftragsverarbeiter (AV), sollten Daten von diesem an Dritte weitergegeben werden.
    • Der Auftragsverarbeiter nutzt die gewonnen Daten nicht für eigene Zwecke.
    • er Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an.
  2. Kein Einsatz von Cookies oder ähnlichen Techniken, die nicht unbedingt erforderlich sind.
  3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa oder in Ländern, für die ein Angemessenheitsbeschluss gemäß Artikel 45 DSGVO gilt.
  4. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung.
  5. IP-Anonymisierung („Privacy by Default)
  6. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser.
  7. Durchführung einer Interessensabwägung: Das berechtigte Interesse des Websitebetreibers muss die schützenswerten Interessen des Nutzers überwiegen.
  8. Nachweis der erfolgten Punkte 1-7 durch den Website-Betreiber
desktop icon
IP-Adresse

Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt. Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

legal icon
Server-Standort

Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

desktop icon
Firmensitz

Bei amerikanischen Unternehmen und deren Töchter ist es zusätzlich wichtig den Fakt zu berücksichtigen, dass Daten die von Töchtern erhoben werden, auch in die USA weitergeleitet und dort verarbeitet werden. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig. Sollten die Unternehmen dem derzeitigen Data Privacy Framework (DPF) zugehörig sein, heißt auch das nicht, dass jeder der vom Unternehmen zugehöriger Service unbedenklich zu nutzen ist. Erst recht nicht ohne die Zustimmung der Nutzer.

UNPKG muss Teil deiner Datenschutzerklärung sein

Jetzt eine Datenschutzerklärung kostenlos über die Testversion unseres Privacy Hubs erstellen!

Warum ist UNPKG einwilligungspflichtig?

UNPKG unterliegt der Einwilligungspflicht gemäß DSGVO, weil:

  • IP-Adressen verarbeitet und an Dritte (Cloudflare) übermittelt werden, z. B. in die USA – das gilt rechtlich als Übertragung personenbezogener Daten.
  • Einbindung externer Inhalte ohne aktive Handlung der Nutzer erfolgt, was eine vorherige informierte Einwilligung erforderlich macht.
  • Cloudflare als US-amerikanischer Dienstleister möglicherweise nicht alle Voraussetzungen für ein angemessenes Datenschutzniveau erfüllt (auch mit EU-U.S. Data Privacy Framework sind zusätzliche Maßnahmen empfohlen).
  • Website-Betreiber, die UNPKG einbinden, eine Informations- und Nachweispflicht gegenüber Nutzern haben (Art. 5, 6, 13 DSGVO).

Daher sollten Webseitenbetreiber vor der Nutzung von UNPKG sicherstellen, dass eine datenschutzkonforme Einbindung erfolgt – idealerweise durch Einholung einer ausdrücklichen Einwilligung der Nutzer über ein Consent-Management-Tool.

Fazit zur datenschutzkonformen Nutzung von UNPKG

UNPKG ist ein sehr praktisches Tool für die schnelle und einfache Einbindung von npm-Paketen in Webprojekte – besonders in der Entwicklungs- und Prototyping-Phase. Für den produktiven Einsatz auf öffentlichen Webseiten ist jedoch Vorsicht geboten:

Unternehmen und Website-Betreiber müssen sicherstellen, dass:

  • Nutzer über die Datenverarbeitung durch Dritte (Cloudflare) informiert werden,
  • eine gültige Einwilligung (z. B. über ein Consent-Banner) vor dem Laden von UNPKG-Inhalten eingeholt wird,
  • Alternativen wie lokales Hosting oder europäische CDN-Anbieter in Betracht gezogen werden, wenn keine Einwilligung eingeholt werden soll.
UNPKG Logo

Du wünschst weitere Infos zum Privacy Hub oder unseren Beratungsleistungen?

Erich Panihin

Erich Panihin

CEO & Head of Product

sales@cookiebox.pro
Telefon:
Kostenlos testen
Preise & Pakete
Pakete & Preise
Kostenlos testen
cookiebox logo