ProvenExpert und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber ProvenExpert ein, verarbeitet er beim Aufruf des eingebundenen Bewertungssiegels Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen und grobe Standortdaten der Webseitenbesucher zum Zweck der Anzeige des Siegels und der Außendarstellung von Bewertungen, regelmäßig auf Grundlage einer Drittanbieter-Inhalte-Einwilligung oder eines berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO). Diese Seite erläutert kompakt, welche Daten ProvenExpert beim eingebundenen Siegel verarbeitet, wie die Verarbeitungsrollen einzuordnen sind und was zu ProvenExpert in die Datenschutzhinweise einer Webseite gehört. Die Darstellung beruht auf den öffentlich zugänglichen Angaben des Anbieters und ersetzt keine Einzelfallprüfung.

A. ProvenExpert – Zweck und Funktionsweise

ProvenExpert ist eine in Deutschland betriebene Bewertungsplattform der Expert Systems AG mit Sitz in Berlin. Webseitenbetreiber – häufig Dienstleister, Handwerksbetriebe, Agenturen und B2B-Unternehmen – sammeln dort Kundenbewertungen und können die zusammengefasste Bewertung als sogenanntes Bewertungssiegel oder „Premium-Siegel" nach außen darstellen.

ProvenExpert hat über das reine Plattform-Konto hinaus mehrere Funktionsbereiche: das Erfassen und Veröffentlichen von Bewertungen, den Versand von Bewertungseinladungen an Kunden des Webseitenbetreibers, die Aggregation von Bewertungen aus anderen Portalen sowie verschiedene Marketing- und Analyse-Funktionen im ProvenExpert-Konto. Diese Toolseite konzentriert sich auf die für den Datenschutz besonders relevante Integrations-Funktion: das Einbinden des Bewertungssiegels auf der Webseite des Webseitenbetreibers per JavaScript-Snippet oder iframe von www.provenexpert.com. Andere Funktionen (Bewertungsanfragen-Versand, Profil im ProvenExpert-Verzeichnis, Backend-Tools) bleiben hier außen vor und sind ggf. gesondert in der Datenschutzerklärung zu adressieren.

Beim Aufruf einer Webseite mit eingebundenem ProvenExpert-Siegel baut der Browser des Besuchers eine direkte Verbindung zu Servern von ProvenExpert auf und lädt von dort das Siegel-Skript, Bilder und ggf. weitere Inhalte. Erst dadurch wird das Siegel sichtbar und interaktiv. Dieser direkte Server-Kontakt ist datenschutzrechtlich der entscheidende Punkt: Mit dem Aufruf werden zwangsläufig Verbindungsdaten – insbesondere die IP-Adresse des Besuchers – an ProvenExpert übertragen.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von ProvenExpert

Die DSGVO verlangt von Webseitenbetreibern eine Datenschutzerklärung, die neben allgemeinen Angaben (Verantwortlicher, Rechte der betroffenen Personen, Aufsichtsbehörde) toolbezogen bestimmte Pflichtangaben enthält. In Bezug auf den Einsatz von ProvenExpert gehören dazu insbesondere die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei einer Interessenabwägung die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Empfänger-Kategorien (Art. 13 Abs. 1 lit. e DSGVO), Hinweise zu etwaigen Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO) sowie Speicherdauer bzw. Kriterien dafür (Art. 13 Abs. 2 lit. a DSGVO). Werden Daten – wie beim Bewertungssiegel teils – nicht beim Betroffenen direkt erhoben, sondern beim Browser-Request automatisch erfasst, kommen ergänzend die Anforderungen aus Art. 14 DSGVO in Betracht.

Diese Pflichtangaben sind nachfolgend für ProvenExpert aufgeschlüsselt – damit Webseitenbetreiber erkennen, welche Bausteine in eine Datenschutzerklärung gehören, wenn das Bewertungssiegel auf der eigenen Webseite eingebunden ist.

In der Praxis hat sich allerdings eingebürgert, in der Datenschutzerklärung für jedes einzelne Tool einen eigenen Textbaustein aufzunehmen – auch für ProvenExpert. Diese „Textbaustein-pro-Tool"-Manier führt zu langen, juristisch vorformulierten Texten, die sich inhaltlich immer wiederholen, schwer pflegbar sind und für Nutzer kaum lesbar bleiben. Sachgerechter ist ein themenorientierter Ansatz, der gleichartige Verarbeitungen (Serverbetrieb, Drittanbieter-Inhalte, Newsletter, Tracking, Verkauf …) übergreifend beschreibt und konkrete Dienstleister – darunter ProvenExpert – lediglich in einem Anhang Empfänger auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von ProvenExpert

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben:

• Expert Systems AG
• Quedlinburger Straße 1, 10589 Berlin, Deutschland
• Sitzland: Deutschland (EU)
• Registergericht: Amtsgericht Berlin-Charlottenburg, HRB 188499 B
• Kontakt Datenschutz: privacy@provenexpert.com
• Datenschutzhinweise: provenexpert.com/de-de/datenschutzbestimmungen
• Impressum: provenexpert.com/de-de/impressum

Da Expert Systems AG ihren Sitz in Deutschland und damit innerhalb der EU hat, fällt eine direkte Datenübermittlung in ein unsicheres Drittland im Sinne des Art. 44 ff. DSGVO mit ProvenExpert als Hauptempfänger zunächst nicht an. Nach den Datenschutzhinweisen des Anbieters setzt Expert Systems AG jedoch Subdienstleister ein (u. a. Google Cloud Platform als Hosting-Anbieter), bei denen der Webseitenbetreiber im Einzelfall prüfen sollte, ob und in welchem Umfang Daten in Drittländer übermittelt werden und welche Garantien (insbesondere EU-Standardvertragsklauseln, EU-US Data Privacy Framework) hierfür greifen.

D. Datenverarbeitung bei ProvenExpert – Ablauf in Schritten

E. Erhobene Daten beim ProvenExpert-Bewertungssiegel

Beim Einbinden des ProvenExpert-Siegels auf einer Webseite werden nach den öffentlich zugänglichen Angaben des Anbieters insbesondere folgende Daten verarbeitet: die IP-Adresse des Besuchers, Datum und Uhrzeit des Aufrufs, die URL der einbettenden Seite (Referrer), Informationen zum verwendeten Browser und Betriebssystem sowie technische Metadaten der Anfrage. Je nach konkreter Siegel-Variante können zusätzlich Cookies oder ähnliche Technologien zum Einsatz kommen.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der ProvenExpert-Server bei jeder Anfrage vom Endgerät des Nutzers erhält, insbesondere IP-Adresse des Internetanschlusses, Datum, Uhrzeit und Zeitzone der Anfrage, URL des angefragten Inhalts (Skript, Bild, Datei des Siegels), die Adresse der einbettenden Seite (Referrer), Informationen zum verwendeten Browser, Betriebssystem und Gerät sowie ergänzende technische Metadaten wie Statuscode der Serverantwort und übertragene Datenmenge.
• Endgeräte-Daten: Angaben zum Endgerät des Nutzers, z. B. Gerätetyp, Betriebssystem, Bildschirmauflösung und -größe, Ausrichtung des Geräts.
• Browserinformationen: Informationen über den verwendeten Browser, z. B. Browsername, Browserversion und ggf. installierte Erweiterungen.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter grober Standort des Nutzers auf Stadt- oder Gemeindeebene.

Werden bei einzelnen Siegel-Varianten Cookies gesetzt, kommen weitere Datenarten (z. B. Klickpfade auf der eigenen Seite, Interaktionsdaten mit dem Siegel) in Betracht. Der Webseitenbetreiber sollte das konkret eingesetzte Siegel-Snippet prüfen.

F. Nutzungszwecke des Webseitenbetreibers beim Einsatz von ProvenExpert

Der Webseitenbetreiber bindet das ProvenExpert-Bewertungssiegel ein, um das eigene Bewertungs-Niveau sichtbar darzustellen, Vertrauen bei Webseitenbesuchern aufzubauen und Conversion-Raten (z. B. Anfragen, Bestellungen) zu erhöhen. Die mit dem Aufruf des Siegels verbundene Datenverarbeitung dient zudem der technisch ordnungsgemäßen Auslieferung des Siegels sowie der Sicherheit und dem Missbrauchsschutz auf Seiten von ProvenExpert.

Die Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Funktionalität des Bewertungssiegels auf der Webseite, einschließlich Darstellung von Bewertungs-Informationen, interaktiver Elemente und ggf. Verlinkung zum ProvenExpert-Profil; sowie Fehlererkennung, Fehlerbehebung und Fehlervermeidung.
• Sicherheit und Missbrauchsschutz: Erkennen, Verhindern und Beenden von Angriffen auf die Infrastruktur von ProvenExpert, z. B. DDoS-Attacken, Spam- und Bot-Abwehr.
• Allgemeines Marketing: Außendarstellung der Bewertungs- und Reputations-Kennzahlen des Webseitenbetreibers gegenüber Webseitenbesuchern – Werbe- und Vertrauensfunktion gegenüber dem allgemeinen Publikum, ohne Personalisierung.
• Allgemeine Produktverbesserung: Anpassung der Online-Dienste auf Basis aggregierter Aufruf- und Nutzungszahlen des Siegels, z. B. zur Bewertung der Conversion-Wirkung des Siegels.

Bei dem Versand von Bewertungsanfragen an Bestandskunden über ProvenExpert tritt zusätzlich der Zweck Kommunikation sowie ggf. Allgemeines Marketing hinzu; dieser Funktionsbereich ist gesondert in der Datenschutzerklärung zu adressieren.

G. Rechtsgrundlagen für ProvenExpert in der Datenschutzerklärung

Das ProvenExpert-Bewertungssiegel fällt in die Kategorie Drittanbieter-Inhalte (Bewertungen) – also in eine Tool-Kategorie, bei der durch das Einbinden des Siegels eine direkte Verbindung des Browsers zu einem Drittserver entsteht, vergleichbar mit eingebetteten Karten, Videos oder Schriften.

Für diese Kategorie kommen typischerweise folgende Rechtsgrundlagen in Betracht:

• Drittanbieter-Inhalte-Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, sofern Cookies oder vergleichbare Endgeräte-Zugriffe erfolgen) – häufig über das Consent-Management-Tool eingeholt; das Siegel wird erst nach Einwilligung geladen.
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wenn keine Cookies oder Endgeräte-Zugriffe stattfinden, die nach § 25 TDDDG einwilligungspflichtig wären, mit Interessen an Werbung, Effizienz und Geschäftssteuerung (Außendarstellung der Bewertungs-Reputation, schlanke Einbindung).

Beim Versand von Bewertungs-Anfragen über ProvenExpert an die eigenen Kunden des Webseitenbetreibers wird je nach Konstellation zusätzlich auf berechtigte Interessen an Werbung und Verbesserung sowie auf das wettbewerbsrechtliche Privileg des § 7 Abs. 3 UWG (Direktwerbung an Bestandskunden für eigene ähnliche Waren oder Dienstleistungen) abgestellt; bei abweichenden Konstellationen ist eine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 2 UWG) erforderlich.

Die zutreffende Rechtsgrundlage hängt davon ab, welche konkrete Siegel-Variante eingebunden ist, ob Cookies gesetzt werden und in welchem Setup ProvenExpert für Bewertungs-Anfragen genutzt wird. Sie ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu ProvenExpert

• Vorteil EU-Sitz: Vertragspartner ist mit Expert Systems AG eine deutsche Aktiengesellschaft mit Sitz in Berlin. Eine Drittlandübermittlung unmittelbar zum Vertragspartner findet daher regelmäßig nicht statt. Subdienstleister (z. B. Google Cloud) können dennoch zu Drittlandbezügen führen – Garantien (SCC, ggf. EU-US Data Privacy Framework) sind im Einzelfall zu prüfen.
• Verantwortlichkeitsrolle: Hinsichtlich der eigenen Plattform und der vom Anbieter selbst veranlassten Verarbeitungen handelt Expert Systems AG nach den öffentlich zugänglichen Angaben als eigenständig Verantwortliche. Für Verarbeitungen, die der Webseitenbetreiber initiiert und steuert (insbesondere Versand von Bewertungs-Anfragen an die eigenen Kunden), kommt eine Auftragsverarbeitung nach Art. 28 DSGVO in Betracht; der Abschluss eines AVV und dessen Anwendungsbereich sind beim Anbieter zu prüfen und zu dokumentieren.
• Subprozessoren: Nach den Datenschutzbestimmungen setzt Expert Systems AG u. a. Google Cloud Platform für Hosting, Stripe und PayPal für Zahlungen sowie HubSpot und CleverReach für Marketing-/E-Mail-Funktionen ein. Für die Bewertungs-Siegel-Auslieferung selbst ist insbesondere der Hosting-Subprozessor relevant.
• Cookies und Consent-Banner: Setzt das ProvenExpert-Siegel Cookies oder vergleichbare Endgeräte-Zugriffe, ist nach § 25 Abs. 1 TDDDG eine Einwilligung erforderlich; das Siegel sollte dann erst nach Einwilligung über das Consent-Management-Tool geladen werden.
• Außendarstellung der Bewertungen: Unabhängig vom Datenschutz sind wettbewerbs- und lauterkeitsrechtliche Vorgaben an die Darstellung von Kundenbewertungen (Transparenz nach §§ 5, 5b UWG) zu beachten.
• Unklarheiten zum konkreten Datenumfang: Die öffentlich zugänglichen Datenschutzbestimmungen von ProvenExpert sind hinsichtlich der genauen Datenflüsse beim eingebundenen Siegel nicht abschließend granular. Im Zweifel sind die genauen Datenarten und Fristen direkt beim Anbieter zu erfragen und ergänzend in der Datenschutzerklärung zu adressieren.

I. ProvenExpert FAQ

J. Fazit zu ProvenExpert und Call-to-Action

ProvenExpert mit Sitz in Berlin ist – datenschutzrechtlich – ein vergleichsweise gut greifbares Tool: Vertragspartner ist eine deutsche Aktiengesellschaft, eine direkte Übermittlung in unsichere Drittländer findet beim Vertragspartner selbst nicht statt, und die Funktion „Bewertungssiegel" lässt sich klar in die Kategorie der Drittanbieter-Inhalte einordnen. Datenschutzrelevant ist vor allem, dass beim Aufruf des Siegels eine direkte Verbindung des Browsers zu Servern von ProvenExpert entsteht und dabei Webserver-Protokolldaten, Endgeräte-Daten, Browserinformationen und grobe Standortdaten anfallen.

Es ist für den Webseitenbetreiber meist wenig sinnvoll, für ProvenExpert einen eigenen, separaten Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der gleichartige Verarbeitungen (z. B. „Drittanbieter-Inhalte / Bewertungen", „Serverbetrieb", „Newsletter", „Tracking") übergreifend erklärt und ProvenExpert nur im Anhang Empfänger als konkreten Dienstleister benennt. Genau dieser Methodik folgt der matterius-Generator.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com