Adobe Analytics und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Adobe Analytics zur Website-Analyse und Nutzerverhalten-Verfolgung ein, verarbeitet er umfangreiche Verhaltensdaten, Ereignisse und Nutzer-Identifizierer zum Zweck der Website-Optimierung, Leistungsmessung und Geschäftsintellligenz auf Basis von Einwilligung und/oder berechtigten Interessen. Adobe Analytics fungiert als Auftragsverarbeiter im Sinne von DSGVO Art. 28. Der Webseitenbetreiber ist alleiniger Verantwortlicher für die Datenverarbeitung und trägt die volle Rechenschaftspflicht. Adobe hat sich zum Data Privacy Framework (DPF) und Standard Contractual Clauses (SCCs) verpflichtet, was Datenübermittlungen in die USA regelt. Ein Auftragsverarbeitungsvertrag (AVV) mit Adobe ist zwingend erforderlich. Die vorliegende Anleitung erklärt Adobes Rolle, die Datenverarbeitung und die Anforderungen an DSGVO-Konformität. Stand: 2026-04-22.

A. Zweck und Funktionsweise von Adobe Analytics

Adobe Analytics ist eine Enterprise-Analytics-Plattform, mit der Webseitenbetreiber Website-Besucherdaten erfassen, analysieren und reporting können. Es ermöglicht tiefgreifende Einblicke in Nutzerverhalten, Nutzer-Journeys, Conversion-Pfade und Website-Performance.

Zentrale Funktionen:

1. Datenerfassung via AppMeasurement (JavaScript-Tracking-Code): Der AppMeasurement-Code wird in die Website eingebettet und erfasst umfassend Nutzerdaten: Seitenkontakte, Klicks, Konversionen, Nutzer-Attribute, technische Daten, und ggf. auch benutzerdefinierte Variablen, die der Webseitenbetreiber definiert.

2. Nutzer-Identifikation (Visitor ID und Experience Cloud ID): Adobe Analytics generiert anonyme Visitor-IDs zur Verfolgung von Nutzer-Journeys über mehrere Website-Besuche hinweg. Mit der Experience Cloud ID (ECID) können Nutzer auch über verschiedene Adobe-Produkte (Analytics, Target, Audience Manager) hinweg identifiziert werden.

3. Reporting und Dashboards: Adobe Analytics bietet umfassende Auswertungen: Traffic-Analysen, Conversion-Trichter, Kohortenanalysen, Attribution-Modellierung, und Echtzeit-Reporting.

4. Data Warehouse und Export: Webseitenbetreiber können Rohdaten exportieren und für BI-Zwecke oder Integration mit anderen Systemen nutzen.

5. Prädiktive Analytik und Machine Learning: Adobe Analytics nutzt ML-Modelle zur Vorhersage von Nutzerverhalten und automatischer Anomalie-Erkennung.

Unterschied zu Google Analytics: Adobe Analytics ist eine Premium-Enterprise-Lösung mit tieferem Tracking, erweiterten Attribution-Modellen, und erweiterten Datenexport-Optionen. Google Analytics ist kostenlos und einsteigerfreundlicher. Datenschutzrechtlich sind beide als Auftragsverarbeiter-Szenarien zu behandeln.

B. Pflichtangaben in der Datenschutzerklärung zu Adobe Analytics

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Adobe Analytics folgende Angaben machen:

• Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c)
• Rechtsgrundlagen (Art. 13 Abs. 1 lit. d)
• Berechtigte Interessen, sofern diese Grundlage ist (Art. 13 Abs. 1 lit. d)
• Kategorien von Empfängern (Art. 13 Abs. 1 lit. e) – hier: Adobe Systems Software Ireland Limited als Auftragsverarbeiter
• Speicherdauer oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
• Drittlandtransfers und Schutzgarantien (Art. 13 Abs. 1 lit. f)

Ein zentraler Punkt: Die Datenschutzerklärung muss klar machen, dass Adobe Auftragsverarbeiter ist und dass Datenübermittlungen in die USA erfolgen (ggf. mit Verweis auf DPF oder SCCs).

Besserer Ansatz: Ein zentral erklärtes Kapitel zu Zwecken und Rechtsgrundlagen, eine Empfängertabelle, die Adobe als Auftragsverarbeiter ausweist, und ein Hinweis auf den DPF-Status und die Verfügbarkeit des AVV.

C. Anbieter von Adobe Analytics: Adobe Systems Software Ireland Limited

Juridische Basis (europäische Entität):

• Vollständiger Name: Adobe Systems Software Ireland Limited
• Anschrift: 4-6 Riverwalk, Citywest Business Campus, Dublin 24, D24 AV70, Irland
• Sitzland: Irland (Europäischer Wirtschaftsraum)
• Mutterkonzern: Adobe Inc. (USA)
• Rolle: Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28

Alternative Kontaktperson für US-Datenverarbeitung: Bei Datenübermittlungen in die USA kann Adobe Inc. (USA) die Daten auch direkt verarbeiten. In diesem Fall ist Adobe Inc. ebenfalls Auftragsverarbeiter unter Vertrag.

Data Privacy Framework (DPF) und Datenübermittlungen: Adobe Inc. und ihre Tochtergesellschaften (inkl. Marketo Inc., Magento/X-commerce Inc., Workfront Inc.) haben sich zum EU-US Data Privacy Framework verpflichtet und sind zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO).

Datenschutzerklärung: https://www.adobe.com/de/privacy/policy.html

Auftragsverarbeitungsvertrag (AVV/DPA): Adobe stellt einen Standard-Datenverarbeitungsvertrag (DPA) zur Verfügung. Dieser ist über die Adobe-Webseite oder direkt im Kundenkonto abrufbar, typischerweise unter:

• https://www.adobe.com/go/tou-dpa
• Oder direkt in den Vertragsdokumenten: https://www.adobe.com/content/dam/cc/de/legal/terms/enterprise/pdfs/DPA-DE.pdf

Der DPA enthält auch Standard Contractual Clauses (SCCs) als zusätzliche Sicherungsmaßnahme für Datenübermittlungen in die USA.

D. Datenverarbeitung durch Adobe Analytics – Ablauf

E. Erhobene Daten beim Einsatz von Adobe Analytics

Adobe Analytics erfasst umfangreiche Website- und Nutzerdaten:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, HTTP-Header (User-Agent, Referrer, Accept-Language), Request-Timestamp, Zeitzone, Geolocation (auf IP-Basis)
• Klickpfade und Navigation: Besuchte Seiten (Page-Name, Page-URL mit Parametern), Seiten-Hierarchie, interne Suchen, angeklickte Links, Download-Aktivitäten, Video-Interaktionen
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Mobile), Betriebssystem, Betriebssystem-Version, Bildschirmauflösung, Bildschirmgröße, Netzwerk-Typ (WiFi, Mobilfunk)
• Browserinformationen: Browser-Name, Browser-Version, Cookies (Adobe-Cookies, Third-Party-Cookies), Local Storage, JavaScript-Aktivierung, Plug-ins
• Conversion- und Geschäftsereignisse: Produktansichten, Warenkorb-Vorgänge (Addition, Entfernung, Anzeige), Käufe mit Transaktion-Details (Order-ID, Wert, Währung, Produktklasse, Menge, Rabatt), Lead-Erfassung, Content-Download, Video-Views, ggf. auch Dauer und Engagement
• Benutzer-Profildaten: Experience Cloud ID (ECID), Visitor ID (Seriennummer), ggf. auch kundendefinierten Nutzer-IDs oder CRM-IDs (wenn vom Webseitenbetreiber gesendet), Kundensegmente (wenn definiert)
• Technische Telemetriedaten: Page-Load-Zeit, Server-Response-Zeit, Fehlermetriken, JavaScript-Fehler, API-Latenzen
• Benutzerdefinierte Variablen: Der Webseitenbetreiber kann zusätzlich eigene Daten definieren und über Adobe Analytics senden (z.B. Artikel-ID, Kategorie, Nutzer-Segment, interne Nutzer-ID)

F. Nutzungszwecke beim Einsatz von Adobe Analytics

Adobe gibt an, dass Analytics-Daten zu folgenden Zwecken verarbeitet werden:

• Website-Analyse und Leistungsmessung: Analyse von Traffic-Trends, Nutzer-Demografie, Geographic-Verteilung, Gerätenutzung, Browser-Verteilung
• Conversion-Tracking und Attribution: Verfolgung von Conversions und Multi-Touch-Attribution (Bestimmung, welche Touchpoints zu Conversions beitragen)
• Nutzersegmentierung und Audience-Erstellung: Bildung von Nutzer-Segmenten auf Basis von Verhalten (z.B. „hochwertige Kunden", „Abbrecher", „Wiederholungskäufer")
• Website-Optimierung und A/B-Testing: (falls Adobe Target integriert) Testen von Website-Varianten zur Optimierung von Conversion-Rates
• Personalisierung: (falls integriert) Anzeige personalisierter Inhalte auf Basis von Nutzer-Segmenten
• Anomalie-Erkennung und Alerts: Automatische Erkennung ungewöhnlicher Trends und Benachrichtigungen
• Geschäftsintellligenz und Benchmarking: Vergleich der Leistung gegen Industrie-Benchmarks (mit Zustimmung des Webseitenbetreibers)
• Sicherheit und Missbrauchserkennung: Erkennung verdächtiger oder betrügerischer Aktivitäten

G. Rechtsgrundlagen für Adobe Analytics

Rechtsgrundlage hängt vom Umfang und Zweck ab:

1. Analytik ohne Personenidentifizierung (nur aggregierte Daten): Berechtigte Interessen des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) können eine Grundlage sein: Website-Optimierung, Geschäftsplanung, technische Verbesserung. Dies erfordert eine Interessensabwägung und ist transparent zu kommunizieren.

2. Analytik mit Personenidentifizierung (Visitor IDs, Custom User IDs): Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO kann erforderlich sein, insbesondere wenn Nutzer über mehrere Besuche hinweg identifiziert werden oder benutzerdefinierte Nutzer-IDs (z.B. aus CRM) mit Analytics-Daten verbunden werden. Dies ist eine konservativere, aber rechtlich sicherere Positionierung.

3. Datenübermittlung in die USA: Bei DPF-Zertifizierung: Art. 45 DSGVO (Angemessenheitsbeschluss). Die Daten müssen zu einem DPF-zertifizierten Unternehmen übermittelt werden. Zusätzlich bietet Adobe SCCs (Standard Contractual Clauses) als zusätzliche Sicherungsmaßnahme.

Praktischer Tipp: Eine konservative Positionierung ist: Analytics-Cookies erfordern Einwilligung (ähnlich wie Marketing-Cookies), oder zumindest eine transparente Kommunikation der berechtigten Interessen. Dies reduziert Rechtsrisiken und ist nutzerfreundlicher.

H. Besonderheiten und Hinweise zu Adobe Analytics

1. Auftragsverarbeiter-Status ist klar Adobe Analytics ist eine klare Auftragsverarbeiter-Konstellation. Adobe verarbeitet Daten im Auftrag des Webseitenbetreibers, nicht als eigenständiger Verantwortlicher.

2. Datenverarbeitungsvertrag (DPA) ist Pflicht Ein formaler DPA ist eine zwingende Voraussetzung. Adobe stellt einen Standard-DPA zur Verfügung, der auch Standard Contractual Clauses (SCCs) enthält. Der Webseitenbetreiber muss diesen abrufen und aufbewahren.

3. DPF-Zertifizierung und Datenübermittlung in die USA Adobe Inc. ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Der Status sollte regelmäßig überprüft werden.

4. Subprozessoren und Transparenz Der DPA sollte eine aktuelle Liste genehmigter Subprozessoren enthalten. Der Webseitenbetreiber hat das Recht, von Subprozessoren-Änderungen informiert zu werden und gegebenenfalls Einspruch zu erheben.

5. Datensicherung und Encryption Adobe bietet verschiedene Sicherheitsmaßnahmen: SSL/TLS-Encryption für Datentransfer, Verschlüsselung in Ruhe (je nach Konfiguration), Multi-Faktor-Authentifizierung für Account-Zugang, regelmäßige Security-Audits.

6. Experience Cloud ID (ECID) und Cross-Domain-Tracking Die ECID ermöglicht Nutzer-Verfolgung über mehrere Adobe-Produkte hinweg (Analytics, Target, Audience Manager) und sogar über mehrere Domains. Dies erhöht die Reichweite des Trackings und erfordert transparente Kommunikation in der Datenschutzerklärung.

7. Datenexport und Data Warehouse Webseitenbetreiber können Daten aus Adobe Analytics exportieren und für BI-Zwecke oder externe Analysen nutzen. Dies ist zulässig, der Webseitenbetreiber wird aber zur Verantwortlichen für diese exportierten Daten und muss eigene Sicherungsmaßnahmen treffen.

8. Cookies und Nutzer-Kontrolle Adobe Analytics setzt typischerweise First-Party-Cookies (z.B. „s_vi", „s_ecid"). Bei Einsatz von Consent-Management-Plattformen (CMPs) sollte das Cookie-Banner transparent über Adobe-Cookies berichten und Nutzer-Kontrollen anbieten.

I. FAQ zu Adobe Analytics

J. Fazit und Empfehlung zu Adobe Analytics

Adobe Analytics ist eine leistungsstarke Enterprise-Webanalyse-Lösung mit tiefgreifenden Tracking- und Analysefunktionen. Datenschutzrechtlich ist die Struktur klar: Adobe fungiert als Auftragsverarbeiter, der Webseitenbetreiber ist alleiniger Verantwortlicher.

Die kritischen Anforderungen sind: (1) ein formaler Datenverarbeitungsvertrag (DPA) mit Adobe, (2) transparente Kommunikation in der Datenschutzerklärung über die Datenverarbeitung in die USA und die Sicherungsmaßnahmen (DPF, SCCs), und (3) klarheit über die Rechtsgrundlage (berechtigte Interessen vs. Einwilligung).

Eine Datenschutzerklärung kann Adobe Analytics integriert darstellen (nicht als isolierter Absatz), mit expliziter Nennung als Auftragsverarbeiter, Hinweis auf den DPA, und Information über Datenübermittlung und Schutzmaßnahmen. Eine DSFA (Datenschutz-Folgenabschätzung) ist empfohlen, insbesondere bei großen Datenmengen oder sensiblen Kategorien.