Adobe Target und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Adobe Target ein, verarbeitet er Besucherdaten zum Zweck der Personalisierung und A/B-Testing auf Basis von Einwilligung und berechtigten Interessen. Adobe Target ist ein Personalisierungs- und Testinginstrument, das Webseitenbetreibern ermöglicht, Besucher in Gruppen zu teilen und ihnen unterschiedliche Versionen von Inhalten oder Produkten zu zeigen, um Konversionsraten zu optimieren. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu Adobe Target rechtlich in die eigene Datenschutzerklärung gehören.

A. Zweck und Funktionsweise von Adobe Target

Adobe Target wird in der Regel über ein JavaScript-Snippet (Client-seitig) oder über Serveraufrufe in die Website integriert. Das Tool erfasst automatisch Daten über das Nutzerverhalten und Geräteattribute. Auf dieser Basis erstellt Adobe Target Nutzersegmente und zeigt dem Besucher automatisch eine von mehreren vordefiniert getesteten Versionen an (A/B-Test oder multivariates Testen).

Ein Webseitenbetreiber nutzt Adobe Target typischerweise, um zu optimieren, welche Produktdetailseite, welcher Checkout-Prozess, welche Headline oder welche Marketingbotschaft zu höherer Konversion führt. Adobe Target speichert Klick- und Nutzungspfade, erstellt auf Basis davon Verhaltensprofile und versendet diese an Adobe-Systeme zur Zentralverarbeitung, Profilenreichment und zum Machine-Learning-Training.

Die Integration erfolgt durch ein JavaScript-Tag oder eine Server-API. Das Tag wird entweder direkt in den HTML-Code der Website oder über einen Tag Manager (Google Tag Manager, Adobe Launch) eingebunden. Für Backend-Implementierungen werden API-Aufrufe mit Besucherkennungen gesendet.

B. Pflichtangaben in der Datenschutzerklärung zu Adobe Target

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die Zwecke der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die Rechtsgrundlagen, Art. 13 Abs. 1 lit. e die Empfänger oder Kategorien von Empfängern. Art. 13 Abs. 1 lit. f fordert, dass Drittlandtransfers (z. B. in die USA) offengelegt und begründet werden.

Hinweis: Toolspezifische Textbausteine sind problematisch. Art. 12 Abs. 1 DSGVO verlangt, dass Datenschutzerklärungen in einer klaren und verständlichen Sprache verfasst werden. Ein Textbaustein, der bloß kopiert und eingefügt wird und nur von Adobe Target spricht, zeigt nicht die konkrete Verarbeitung auf dieser Website und verstoßt gegen das Transparenzgebot. Besser: Der Webseitenbetreiber beschreibt themenorientiert (z. B. unter „Optimierung und Personalisierung"), welche Daten zu diesem Zweck verarbeitet werden, von welchen Tools und auf welcher Rechtsgrundlage.

Am Ende der Datenschutzerklärung empfiehlt sich ein Empfänger-Anhang, der alle Auftragsverarbeiter und deren Zwecke bündelt.

C. Anbieter von Adobe Target: Adobe Systems Software Ireland Limited

Juristischer Name: Adobe Systems Software Ireland Limited
Anschrift: 4-6 Riverwalk, Citywest Business Campus, Dublin 24, D24 AV82, Irland
Sitzland: Irland (Europäischer Wirtschaftsraum)
Rolle: Auftragsverarbeiter

DPF-Status: Adobe Inc. (USA) ist DPF-zertifiziert. Weitere Informationen unter https://www.adobe.com/de/privacy/policy.html

Data Processing Addendum (DPA/AVV): Adobe stellt ein DPA bereit, das Webseitenbetreiber mit Adobe abschließen müssen, bevor sie Adobe Target nutzen. Das DPA regelt die Verarbeitung personenbezogener Daten auf Weisung des Webseitenbetreibers und enthält Verpflichtungen zum Datenschutz, Subprozessoren, Datenübermittlung in Drittländer und Datensicherheit.

D. Datenverarbeitung durch Adobe Target – Ablauf

E. Erhobene Daten beim Einsatz von Adobe Target

Adobe Target erfasst automatisch eine Vielzahl von Daten über Besucher. Der Umfang kann durch den Webseitenbetreiber konfiguriert werden (z. B. welche Daten via Datenschicht übertragen werden).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
• Klickpfade: Besuchte Seiten inklusive Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
• Browserinformationen: Browsername, Browserversion, installierte Erweiterungen
• Nutzerprofile: Interessen, Präferenzen, Segmentzuordnungen, Nutzungshistorien, abgeleitete Kennzahlen
• Conversion-Ereignisse: Registrierung, Warenkorberstellung, Produktkauf, Terminbuchung, Kontaktanfrage, Download, Videoansicht, Aufruf bestimmter Seiten
• Interaktionsdaten: Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klicks
• Technische Telemetriedaten: Fehlermeldungen, Ladezeiten, Datenvolumen

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Adobe dokumentiert seine Datenerfassung in technischen Dokumentationen und dem DPA).

F. Nutzungszwecke beim Einsatz von Adobe Target

Adobe Target wird in der Regel zu folgenden Zwecken eingesetzt:

• Nutzerindividuelle Produktverbesserung: A/B-Tests, Multivariates Testen, personalisierte Inhalte, personalisierte Angebote
• Allgemeine Produktverbesserung: Optimierung auf Basis häufig aufgerufener Inhalte oder hoher Konversionsraten, Nutzungsfreundlichkeit, Geschäftsplanung
• Allgemeines Marketing: Erfolgsmessung von Kampagnen, Reichweitenanalyse, Zielgruppendefinition
• Nutzerprofil-Erstellung: Ermittlung von Interessen, Kaufverhalten, Segmenten
• Funktionsbereitstellung: Erbringung der Produktfunktionalität, Fehlererkennung/-behebung
• Sicherheit und Missbrauchsschutz: Angriffserkennung, Betrugsprävention

G. Rechtsgrundlagen für Adobe Target

Adobe Target ist ein Tracking- und Personalisierungstool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Für Cookies und ähnliche Speichertechnologien, die Adobe Target nutzt, um Besucher zu identifizieren und ihre Aktivitäten zu verfolgen, ist nach deutschem Recht eine ausdrückliche Einwilligung erforderlich. Diese muss vor dem Setzen des Cookies erfolgen und sich explizit auf Adobe Target beziehen oder zumindest auf „Optimierung und Personalisierung" oder „Marketing-Cookies".

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Soweit Adobe Target nur zur Verbesserung der Website-Funktionalität eingesetzt wird (z. B. Error-Tracking zur Fehlerbehebung), können berechtigte Interessen des Webseitenbetreibers herangezogen werden. Dies setzt eine Interessenabwägung voraus.

Hinweis: Eine Einzelfallprüfung mit rechtlicher Beratung ist notwendig, da die Grenze zwischen Funktionsbereitstellung und Profiling fließend ist.

H. Besonderheiten und Hinweise zu Adobe Target

• Cookie-Management: Adobe Target setzt selbst Cookies (z. B. mbox) und nutzt First-Party-Cookies, um Besucher zu erkennen. Der Webseitenbetreiber muss diese Cookies in der Datenschutzerklärung aufzählen.
• DPF und SCC: Adobe stützt sich für Drittlandtransfers auf die Data Privacy Framework (DPF) sowie Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte auf die DPF-Zertifizierung hinweisen.
• Subprozessoren: Adobe arbeitet mit Subprozessoren zusammen. Eine aktuelle Liste sollte mit Adobe abgestimmt werden.
• Datensicherheit: Adobe ist ISO 27001 zertifiziert und implementiert technische und organisatorische Maßnahmen (TOM).
• Opt-Out-Optionen: Besucher können Adobe Target deaktivieren. Der Webseitenbetreiber sollte einen Opt-Out-Link in der Datenschutzerklärung anbieten.

I. FAQ zu Adobe Target

J. Fazit und Empfehlungen zu Adobe Target

Adobe Target ist ein leistungsstarkes Personalisierungstool, das aber mit erheblichen Datenschutzverpflichtungen verbunden ist. Ein Webseitenbetreiber muss gewährleisten, dass Einwilligungen vorliegen, dass die Drittlandtransfers in die USA rechtlich begründet sind, und dass die Datenschutzerklärung transparent erklärt, welche Daten für welche Zwecke verarbeitet werden.

Toolspezifische Textbausteine, die bloß kopiert werden, widersprechen dem Transparenzgebot nach Art. 12 Abs. 1 DSGVO. Besser ist ein themenorientierter Ansatz, der konkret beschreibt, wie Adobe Target auf dieser Website eingesetzt wird und welche Konsequenzen das für die Besucher hat. Ein Empfänger-Anhang zur Datenschutzerklärung, der alle Auftragsverarbeiter aufzählt, schafft zusätzliche Klarheit.

Webseitenbetreiber sollten sich zudem absichern, dass mit Adobe ein vollständiges und aktuelles Data Processing Addendum (DPA) vorliegt und dass sie alle Subprozessoren kennen.