FoxMetrics Datenschutz – Pflichtangaben und Rechtsgrundlagen

FoxMetrics ist eine Customer Data Platform (CDP) und Web-Analytics-Lösung aus den USA, die es Webseitenbetreibern ermöglicht, Nutzerdaten zu erfassen, zu analysieren und für Personalisierung einzusetzen. Der Einsatz von FoxMetrics ist mit erheblichen datenschutzrechtlichen Anforderungen verbunden – insbesondere hinsichtlich der Rechtmäßigkeit der Datenerfassung, der Transparenzpflichten gegenüber Nutzern und des Drittlandtransfers in die USA.

Diese Anleitung zeigt auf, welche Informationen zu FoxMetrics in eine deutsche Datenschutzerklärung gehören, welche Rechtsgrundlagen einschlägig sind und worauf Verantwortliche bei der Nutzung achten müssen.

A. Zweck und Funktionsweise von FoxMetrics

FoxMetrics ist eine CDP- und Analytics-Plattform, die folgende Kernfunktionen bietet:

• Event Tracking: Erfassung von Nutzeraktionen auf Webseite und mobilen Apps (Clicks, Scrolls, Formulare, Conversions)
• User Profiling: Erstellung von Nutzerprofilen basierend auf Verhaltensmustern
• Personalisierung: Datengestützte Anpassung von Inhalten und Angeboten
• Analytik und Reporting: Auswertung von Nutzungsmustern für Geschäftsentscheidungen
• Integration mit Dritten: Anbindung an E-Mail-Systeme, CRMs und Werbenetzwerke

Die technische Integration erfolgt typischerweise über ein JavaScript-Snippet, das auf der Webseite eingebunden wird. Alternativ bietet FoxMetrics SDKs für mobile Anwendungen an. Das Snippet erfasst beim Laden der Webseite automatisch Daten des Besuchers und überträgt diese an die FoxMetrics-Server.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von FoxMetrics

Wird FoxMetrics eingesetzt, müssen Webseitenbetreiber in ihrer Datenschutzerklärung folgende Punkte transparent machen:

1. Verantwortlicher und Kontaktdaten des Betreibers
2. Name, Funktionsweise und Kontaktdaten von FoxMetrics (siehe Abschnitt C)
3. Art und Umfang der erhobenen Daten (siehe Abschnitt E)
4. Zwecke der Datenverarbeitung (siehe Abschnitt F)
5. Rechtsgrundlagen (siehe Abschnitt G)
6. Speicherdauer (vom Betreiber zu bestimmen und zu verifizieren)
7. Empfänger (FoxMetrics Inc., ggf. Subprozessoren)
8. Drittlandtransfer und Schutzmechanismen (SCC, DPF – siehe Abschnitt C)
9. Betroffenenrechte (Auskunft, Widerspruch, Löschung, Portabilität)
10. Opt-Out und Cookie-Management (siehe Abschnitt H)

C. Anbieter von FoxMetrics

Unternehmensangaben (vom Betreiber zu verifizieren):

• Name: FoxMetrics Inc. (oder zugehörige Rechtsträger)
• Sitz: USA (exakte Anschrift auf der Privacy Policy zu prüfen)
• Datenschutzkontakt: Über die FoxMetrics-Website einsehbar; ggf. privacy@foxmetrics.com (vom Betreiber zu verifizieren)

Privacy Policy und Standardvertragsklauseln:

FoxMetrics sollte eine englischsprachige Privacy Policy bereitstellen, die den Anforderungen des US-amerikanischen Datenschutzes genügt. Der genaue Link und der aktuelle Stand sind vom Webseitenbetreiber selbst auf der FoxMetrics-Website zu prüfen und zu dokumentieren.

Drittlandstatus – USA und Datenschutz-Folgenabschätzung (DSFA):

• Der Sitz von FoxMetrics in den USA bedeutet einen Drittlandtransfer nach Art. 44 ff. DSGVO.
• Der Adequacy Decision (Data Privacy Framework / DPF) hat die USA seit Dezember 2023 wieder als „angemessen" eingestuft – vom Betreiber ist jedoch zu verifizieren, ob FoxMetrics Inc. unter das DPF-Framework zertifiziert ist.
• Sofern keine DPF-Zertifizierung vorliegt, sind Standardvertragsklauseln (SCC) oder andere geeignete Garantien erforderlich.
• Der Einsatz erfordert eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO, insbesondere hinsichtlich des Drittlandtransfers und der Profilbildung.

D. Datenverarbeitung – Ablauf in Schritten

E. Von FoxMetrics erhobene Daten

FoxMetrics erfasst in der Regel folgende Datenkategorien:

Webserver-Protokolldaten

• IP-Adresse (ggf. anonymisiert – siehe Abschnitt H)
• Zugriffszeitpunkt
• Referrer (von wo aus der Nutzer kam)
• HTTP-Request-Daten (User-Agent, HTTP-Methode)

Klickpfade und Nutzerverhalten

• Aufgerufene Seiten und Verweildauer
• Klicks auf Links, Buttons oder Formulare
• Scrolltiefe
• Video-Wiedergaben, Download-Aktionen

Endgeräte-Daten

• Gerätetyp (Desktop, Smartphone, Tablet)
• Betriebssystem und -version
• Bildschirmauflösung
• Speicher und Verarbeitungskapazität (ggf.)

Browserinformationen

• Browser-Typ und -Version
• Installierte Plugins oder Extensions
• Do-Not-Track-Einstellung
• Zeitzone

Grobe Standortdaten

• Abgeleiteter Standort aus IP-Adresse (Länder-, ggf. Stadt-Level; keine genaue Geolokalisierung ohne explizite Berechtigung)

Conversion-Ereignisse und Custom Events

• Formularabsendungen
• Transaktionen
• Custom Events (je nach Implementation)

Nutzerprofile

• Eindeutige Nutzer-IDs (Cookie-basiert oder gerätebasiert)
• Persönliche Interessensprofile
• Geräte-Graphen (Verknüpfung mehrerer Geräte eines Nutzers)
• Sequenzen von Interaktionen

F. Nutzungszwecke

Die Verarbeitung durch FoxMetrics dient typischerweise folgenden Zwecken:

Allgemeine Produktverbesserung:

• Analyse der Webseite und Anwendungs-Performance
• Identifikation von Usability-Problemen
• Optimierung der Benutzerführung

Erstellung von Nutzerprofilen:

• Segmentierung von Besuchern nach Verhalten und Merkmalen
• Erkennung von wiederkehrenden Nutzern
• Cross-Device-Tracking (Verknüpfung von Geräten)

Nutzer-individuelle Produktverbesserung:

• Personalisierung von Inhalten und Angeboten
• Empfehlungssysteme
• Targeted Marketing und Retargeting

Geschäftsanalyse:

• Auswertung von Conversion-Funnels
• Attributionsanalyse (welche Touchpoints führen zu Conversions)
• Kohortenanalyse und Trend-Berichte

G. Rechtsgrundlagen für FoxMetrics

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG)

FoxMetrics-Tracking ist in den meisten Fällen eine Datenschutzerklärung allein nicht ausreichend. Zusätzlich ist eine explizite Einwilligung erforderlich, wenn:

• Das JS-Snippet auf Endgeräten Daten speichert oder ausliest (z. B. via Cookies),
• oder Informationen über Endgeräte erhoben werden (§ 25 Abs. 1 TDDDG – Telekommunikations-Telemedien-Datenschutz-Gesetz).

Die Einwilligung muss vor dem Laden des FoxMetrics-Snippets eingeholt werden (z. B. via Cookie-Consent-Banner mit benutzerfreundlicher Granularität).

2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – eingeschränkt

Eine Rechtsgrundlage auf berechtigtem Interesse ist nur in Ausnahmefällen denkbar:

• Nur für Daten, die nicht vom JS-Snippet stammen, sondern von Server-Logfiles (IP, User-Agent, Referrer).
• Die Interessenabwägung ist zu dokumentieren und kann bei Profilbildung und Tracking scheitern.
• Nicht geeignet für Cookies und Event-Tracking – hier ist Einwilligung obligatorisch.

3. Drittlandtransfer – Schutzmaßnahmen

Daten fließen in die USA. Zulässig sind:

• Data Privacy Framework (DPF): Wenn FoxMetrics zertifiziert ist – Status prüfen.
• Standard Contractual Clauses (SCC): Falls DPF nicht greift – in Datenschutzerklärung dokumentieren.
• Supplementary Measures: Ggf. zusätzliche Sicherheitsmaßnahmen nach EDPB-Leitlinien (z. B. End-to-End-Verschlüsselung, aber selten bei FoxMetrics realisiert).

Eine DSFA ist erforderlich, um diese Transfers zu evaluieren.

H. Besonderheiten und Hinweise zu FoxMetrics

• Data Processing Agreement (DPA / AVV): FoxMetrics sollte einen Standard-DPA bereitstellen, der die Anforderungen der Art. 28 DSGVO erfüllt. Dieser ist zu prüfen und ggf. anzupassen.

• DPF-Status und Zertifizierung: Vom Betreiber ist zu verifizieren, ob FoxMetrics Inc. aktuell unter dem Data Privacy Framework (DPF) zertifiziert ist (Liste: https://www.dataprivacyframework.gov/list).

• IP-Anonymisierung: Prüfen Sie, ob FoxMetrics eine Option zur Anonymisierung oder Pseudonymisierung von IP-Adressen anbietet (z. B. IP-Masking nach letztem Oktet). Dies kann die Datenschutz-Folgenabschätzung entlasten.

• Opt-Out und Cookie-Management: FoxMetrics sollte einen Opt-Out-Mechanismus oder ein Cookie-Verwaltungs-Dashboard bereitstellen. Linken Sie diesen in Ihrer Datenschutzerklärung.

• Subprozessoren: Prüfen Sie die Liste der Subprozessoren, die FoxMetrics nutzt (z. B. Cloud-Provider, Analytics-Tools). Diese müssen in der Datenschutzerklärung erwähnt oder verlinkt werden.

• Löschfrist: Legen Sie fest, wie lange FoxMetrics Daten speichert (z. B. 13 Monate). Dies ist dokumentierbar aus den Konfigurationseinstellungen von FoxMetrics.

I. Häufig gestellte Fragen

J. Fazit und nächste Schritte

FoxMetrics ist ein mächtiges Werkzeug für Analyse und Personalisierung – bleibt aber datenschutzrechtlich sensibel. Für den rechtskonformen Einsatz sind notwendig:

1. Explizite Einwilligung vor dem Laden des Snippets (Cookie-Banner)
2. Vollständige Transparenz in der Datenschutzerklärung über Umfang, Zweck und Drittlandtransfer
3. Datenschutz-Folgenabschätzung (DSFA nach Art. 35 DSGVO)
4. Data Processing Agreement zwischen Betreiber und FoxMetrics
5. Verifikation des DPF-Status und ggf. Standardvertragsklauseln
6. Regelmäßige Überprüfung der Subprozessoren und Konfigurationen

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com