AB Tasty und Datenschutz – Was in die Datenschutzerklärung gehört

AB Tasty ist eine Experimentation- und Personalisierungsplattform für A/B-Testing, Multivariate-Tests und Feature-Management. Webseitenbetreiber integrieren das System über einen JavaScript-Tag und verwenden es zur Optimierung von Nutzerreisen durch datengestützte Experimente. Für deutsche Websites und Datenschutzerklärungen ist eine fundierte Auseinandersetzung mit den Verarbeitungsprozessen, der Rechtsgrundlage und den Pflichtangaben erforderlich.

A. Zweck und Funktionsweise von AB Tasty

AB Tasty ist eine Digital-Experience-Optimization-Plattform, die drei Funktionsbereiche vereint: klassisches A/B-Testing (auch: Multivariate-Testing, Split-URL-Tests), Personalisierung und Feature-Management via Feature-Flags.

A/B-Testing und Personalisierung: Websitebetreiber definieren Zielgruppen, Testgruppen und Varianten ihrer Website oder Anwendung. AB Tasty bestimmt für jeden Besucher, welche Variante dieser sieht, und misst Interaktionen und Conversions. Der Unterschied zur klassischen Webanalyse (z.B. Google Analytics): AB Tasty zeigt verschiedenen Nutzergruppen unterschiedliche Inhalte und misst gezielt, welche Variante besser performt – also nicht nur, was Nutzer tun, sondern wie sie auf verschiedene Änderungen reagieren.

Feature-Flags und Rollouts: AB Tasty ermöglicht es, neue Funktionen kontrolliert an einen Teil der Nutzer auszurollen (Progressive Rollout) oder für bestimmte Segmente verfügbar zu machen.

JavaScript-Integration: Um zu funktionieren, wird ein JavaScript-Tag auf der Website eingebunden. Dieser Tag lädt automatisch beim Seitenaufruf und kommuniziert mit AB Tastys Servern. Der Tag speichert Daten lokal im Browser (Cookie oder Local Storage) und sendet Informationen an die Datensammlung-Endpunkte von AB Tasty (z.B. ariane.abtasty.com).

B. Pflichtangaben in der Datenschutzerklärung

Nach Art. 13 Abs. 1 DSGVO (oder Art. 14 für nicht direkt erhobene Daten) müssen Verantwortliche Betroffene umfassend informieren. Für AB Tasty und ähnliche Tracking-Tools sind folgende Pflichtangaben zentral:

• Identität und Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a): der Webseitenbetreiber selbst
• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c): Ausspielen von Testvarianten, Messung von Conversions, Erstellung von Nutzerprofilen zur Personalisierung
• Rechtsgrundlage (Art. 13 Abs. 1 lit. e): oft Art. 6 Abs. 1 lit. a (Einwilligung, insofern Cookies im Spiel sind), in Einzelfällen Art. 6 Abs. 1 lit. b oder f
• Empfänger/Auftragsverarbeiter (Art. 13 Abs. 1 lit. e): AB Tasty SAS (Frankreich) als Auftragsverarbeiter, ggf. Subprozessoren (AWS, Google Cloud)
• Speicherdauer und Löschung (Art. 13 Abs. 1 lit. e): z.B. Cookie-Dauer (oft 365 Tage), Speicherdauer auf Servern, automatische Löschung
• Betroffenenrechte (Art. 13 Abs. 2 lit. a–f): Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch, automatisierte Entscheidungsfindung

Ein bloßer Textbaustein aus Cookie-Plugins oder Muster-Datenschutzerklärungen ist nicht ausreichend, da diese oft zu generisch sind und nicht die spezifischen Datenflüsse und Konfigurationen der Website berücksichtigen.

C. Anbieter

Name und Adresse:

• AB Tasty SAS
• 8 Rue Sainte-Cécile, 75009 Paris, Frankreich
• Registernummer: Paris B 518 685 540
• USt-IdNr.: FR92518685540
• E-Mail (Datenschutz): dpo@abtasty.com
• Telefon: +33 (0)1 84 17 87 52
• Website: https://www.abtasty.com

Jurisdiktion und Datenschutz: AB Tasty SAS ist ein in Frankreich (EWR) ansässiges Unternehmen. Als Auftragsverarbeiter unterliegt es der DSGVO. Frankreich ist ein EWR-Land; es gibt daher keine Bedenken bezüglich eines Drittlandtransfers zu AB Tasty selbst. Allerdings kann AB Tasty Subprozessoren (z.B. AWS mit Rechenzentren außerhalb der EU) einsetzen.

Privacy Policy und Dokumentation:

• Allgemeine Privacy Policy: https://www.abtasty.com/privacy-policy/
• GDPR-Compliance: https://www.abtasty.com/gdpr-compliant/
• Customer Personal Data Processing: https://www.abtasty.com/customer-personal-data-processing/
• Technische Dokumentation (Cookies, Consent): https://docs.abtasty.com/

D. Datenverarbeitung – Ablauf

E. Erhobene Daten

AB Tasty erhebt eine Kombination technischer, Verhaltens- und Profil-Daten:

• Besucher-Identifikation (gehashed): Eindeutige Visitor-ID (16 Zeichen, gehashed), um Besucher über mehrere Seitenaufrufe zu erkennen
• Netzwerk-Daten: IP-Adresse des Besuchers; laut AB Tasty werden diese sofort gelöscht und nicht persistent gespeichert
• Zeitstempel: Datum und Uhrzeit von Seitenaufrufen und Ereignissen
• Seitenaufrufe und Navigation: URL der besuchten Seite, Referrer, Page-Path
• Klickpfade: Welche Elemente der Besucher angeklickt hat (falls Action-Tracking aktiviert)
• Geräte- und Browser-Informationen: Geräteart (Desktop, Tablet, Mobil), Betriebssystem, Browser-Name, Browser-Version, Screen-Größe
• Grobe Standortdaten: Aus der IP-Adresse abgeleitete Location (Region, Land)
• Segment-Zuordnung: AB Tasty weist Besucher Segmenten zu (z.B. „Premium-Nutzer", „Neuer Besucher") auf Basis von Verhaltensregeln oder First-Party-Daten
• Test- und Varianten-Zuordnung: Welche Test-ID und welche Variante der Besucher sieht
• Conversion-Ereignisse: Vordefinierte Ziel-Events (z.B. Kauf, Newsletter-Anmeldung, Download)
• Interaktionsdaten: Scrollverhalten, Verweildauer, Engagement-Metriken
• Ggf. Custom-Events: Websitebetreiber können beliebige Events (z.B. „Video gestartet", „Formular eingeleitet") tracken

Hinweis: Diese Daten werden dem Auftragsverarbeiter AB Tasty bereitgestellt; der Websitebetreiber bleibt der Verantwortliche und bestimmt, welche Daten erhoben und zu welchem Zweck sie verarbeitet werden.

F. Nutzungszwecke

AB Tasty verarbeitet die Daten zu folgenden Zwecken:

• Funktionsbereitstellung: Ausspielen der korrekten Test-Variante an den richtigen Besucher; technisches Funktionieren von Experimenten und Feature-Flags
• Allgemeine Produktverbesserung: Auswertung und Analyse der Test-Ergebnisse, um UX und Konversionsrate zu optimieren
• Nutzerprofil-Erstellung: Automatische Segmentierung von Besuchern auf Basis ihres Verhaltens oder von First-Party-Daten, z.B. zum Erreichen bestimmter Zielgruppen in zukünftigen Tests
• Nutzerindividuelle Produktverbesserung: Personalisierte Inhalte, Empfehlungen oder Angebote basierend auf den Nutzerprofilen
• Sicherheit und Betriebsstabilität: Überwachung und Verbesserung der Plattformsicherheit
• Ggf. Consent-Management: Speicherung und Verwaltung von Consent-Status für 13 Monate

Websitebetreiber sollten in ihrer Datenschutzerklärung präzisieren, welche dieser Zwecke sie konkret nutzen und welche Segment-Kriterien sie einsetzen.

G. Rechtsgrundlagen

Die Rechtsgrundlage(n) für die Verarbeitung hängen von der konkreten Konfiguration ab:

Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG): Sobald AB Tasty Cookies setzt (was in der Regel der Fall ist), sind diese nach dem Telemediengesetz (TDDDG, früher TTDSG) in Deutschland nicht technisch notwendig. Das bedeutet: Für einen Cookie-basierten Track von Besucher-ID, Klickpfaden und Conversions ist Einwilligung erforderlich. Diese Einwilligung muss vor dem Setzen des Cookies eingeholt werden (Opt-in-Prinzip). Ein Cookie-Banner mit „Akzeptieren"-Button ist daher obligatorisch.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – Ausnahmefall: In seltenen Fällen könnte ein Websitebetreiber argumentieren, dass A/B-Testing zum Betrieb und zur Verbesserung seiner Website notwendig ist und daher unter berechtigte Interessen fällt. Diese Sichtweise wird in der Praxis sehr kritisch bewertet und ist nicht die Regel. Besser: explizite Einwilligung einholen.

Vertragserfüllung (Art. 6 Abs. 1 lit. b) – ggf. B2B: Für B2B-Kontext (z.B. wenn eine Agentur das AB Tasty für einen Kunden einsetzt) könnte Vertragserfüllung relevant sein, aber auch hier muss der Endbesucher einwilligen.

Fazit für die Praxis: Die sichere und am häufigsten anzuwendende Rechtsgrundlage ist Einwilligung.

H. Besonderheiten und Hinweise

Auftragsverarbeitung und Datenverarbeitungsvertrag (AVV): AB Tasty fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Websitebetreiber als Verantwortlicher muss mit AB Tasty einen schriftlichen Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA) abschließen. Dieser sollte u.a. folgende Inhalte haben:

• Verarbeitungsgegenstand und -umfang
• Art, Kontext, Umfang und Zwecke der Verarbeitung
• Zusicherung technischer und organisatorischer Maßnahmen (Standard Contractual Clauses, Verschlüsselung, Zugriffskontrolle)
• Regelungen zu Subprozessoren

Die DPA kann bei AB Tasty angefordert werden (dpo@abtasty.com). Die Standardverträge sind oft auf der Website verfügbar oder werden auf Anfrage bereitgestellt.

Drittlandtransfer und Subprozessoren: AB Tasty selbst sitzt in Frankreich (EWR), hat aber Subprozessoren:

• AWS: Betreibt Infrastruktur in mehreren Regionen weltweit, teils außerhalb der EU (z.B. USA). Für Transfers in die USA gelten die Standard Contractual Clauses (SCCs) bzw. ggf. nationale Anpassungen.
• Google Cloud: Ähnlich, mit weltweiten Rechenzentren.

Der Websitebetreiber sollte sich informieren, in welchen Regionen seine Daten gespeichert werden. Im schlimmsten Fall können Daten in die USA übertragen werden, was eine zusätzliche rechtliche Bewertung (EU-US Data Privacy Framework, SCCs) erfordert.

Cookie-Consent-Integration und Consent-Mode: AB Tasty bietet verschiedene Consent-Optionen:

• Consent-basiert: Der Tag wartet, bis der Nutzer dem Cookie zugestimmt hat, bevor er vollständig initialisiert wird.
• Consent-Mode: Die Cookie-Richtlinie kann so konfiguriert werden, dass AB Tasty erst nach Consent reagiert und vorher nicht alle Funktionen nutzt.

Der Websitebetreiber sollte sein Cookie-Banner (z.B. Consentmanager, Cookiebot, OneTrust) so konfigurieren, dass AB Tasty-Cookies unter die Kategorie „Marketing" oder „Statistiken" fallen und erst nach Einwilligung gesetzt werden.

Opt-Out und Datenschutzeinstellungen: AB Tasty bietet Nutzern ein Opt-Out-Fenster / Opt-Out-iFrame, über das sie ihre Teilnahme an Tests ablehnen können. Dies sollte dokumentiert oder verlinkt sein. Zudem können Besucher verlangen, dass ihre Daten gelöscht werden (Art. 17 GDPR).

IP-Adressen: AB Tasty teilt mit, dass IP-Adressen nicht gespeichert, sondern sofort gelöscht werden. Dies ist datenschutzfreundlich, schränkt aber Funktionen (z.B. Geo-Targeting) ein. Der Websitebetreiber sollte versuchen zu klären, ob und wie lange IP-Adressen vorübergehend vorliegen.

I. Häufige Fragen zu AB Tasty und Datenschutz

J. Fazit

AB Tasty ist ein mächtiges Werkzeug für datengestützte Optimierung, erfordert aber eine sorgfältige Datenschutzdokumentation. Die wichtigsten Punkte für die Datenschutzerklärung sind:

1. Identität von AB Tasty SAS (Paris, Frankreich) und Kontaktdaten (dpo@abtasty.com)
2. Konkrete Zwecke: A/B-Testing, Personalisierung, Segment-Erstellung – nicht nur „Analyse"
3. Erhobene Daten: Visitor-ID, Klickpfade, Device-Daten, Conversion-Events – präzise aufzählen
4. Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a + § 25 Abs. 1 TDDDG)
5. Auftragsverarbeiter und AVV: AB Tasty als Processor, schriftlicher DPA erforderlich
6. Speicherdauer: Cookie-Lebensdauer (z.B. 365 Tage), Consent-Speicherung (13 Monate)
7. Betroffenenrechte: Auskunft, Berichtigung, Löschung, Opt-Out-Möglichkeiten
8. Subprozessoren: AWS und Google Cloud, ggf. Drittlandtransfer in die USA (SCCs prüfen)
9. Cookie-Consent: Integration mit Cookie-Banner und Consent-Management-System

Ein pauschaler Textbaustein ist nicht ausreichend – der themenorientierte und Website-spezifische Ansatz ist rechtlich sauberer und transparenter.