Kissmetrics und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Kissmetrics ein, verarbeitet er nach den Angaben des Anbieters Nutzungs- und Ereignisdaten seiner Webseitenbesucher zum Zweck einer personenbezogenen Verhaltens- und Kundenanalyse auf Basis von Einwilligungen oder berechtigten Interessen. Dieser Beitrag erklärt, welche Daten Kissmetrics konkret verarbeitet, wie die Verarbeitung rechtlich einzuordnen ist und welche Angaben in die Datenschutzerklärung gehören. Die Darstellung stützt sich auf öffentlich zugängliche Angaben des Anbieters und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Kissmetrics

Kissmetrics ist eine webbasierte Analyse-Plattform, die Webseiten- und App-Betreibern nach Anbieterangaben eine personenbezogene („person-based") Verhaltensanalyse über den gesamten Customer Lifecycle ermöglicht. Die Plattform verknüpft einzelne Ereignisse (Events) eines Nutzers sitzungs- und geräteübergreifend, sobald der Nutzer anhand einer E-Mail-Adresse oder einer sonstigen User-ID identifiziert wurde. Kissmetrics ist damit kein reines Reichweitenmess-Tool, sondern adressiert ausdrücklich Conversion- und Retention-Analysen auf Einzelnutzerebene.

Die für den Webseitenbetreiber zentrale Integrations-Funktion ist das Kissmetrics-Tracking-Skript: Ein JavaScript-Snippet wird in die Webseite eingebunden und erfasst Seitenaufrufe, Events (z. B. Klicks, Käufe, Registrierungen) und Eigenschaften. Daneben bietet Kissmetrics serverseitige APIs, SDKs für Mobile-Apps sowie Integrationen mit Drittsystemen. Der vorliegende Beitrag behandelt den praxisüblichen Einsatz – die Einbindung des Tracking-Skripts in eine Webseite für Produktanalyse und Conversion-Tracking. Serverseitige Einbindungen folgen in weiten Teilen vergleichbaren rechtlichen Anforderungen, sind aber nicht eigenständig Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Kissmetrics

Die DSGVO schreibt in Bezug auf den Einsatz von Tools wie Kissmetrics neben den allgemeinen Angaben zur Datenschutzerklärung spezifische Pflichtangaben vor. Konkret zu informieren ist über die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich über die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO) sowie über etwaige Übermittlungen in unsichere Drittländer außerhalb EU/EWR (Art. 13 Abs. 1 lit. f DSGVO). Ergänzend sind die Speicherdauer bzw. die Kriterien zu ihrer Festlegung (Art. 13 Abs. 2 lit. a DSGVO) anzugeben und – soweit die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die vorgenannten Pflichtangaben werden nachfolgend für Kissmetrics aufgeschlüsselt.

Nicht erforderlich ist es, jedes einzelne Tool – auch Kissmetrics – in der Datenschutzerklärung namentlich und mit eigenem Textbaustein aufzuführen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, inhaltlich redundanten Textblöcken und macht die gesamte Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend beschreibt (Serverbetrieb, Newsletter, Tracking, Verkauf …) und konkret eingesetzte Dienstleister nur in einem Anhang auflistet. Diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Kissmetrics

Anbieter von Kissmetrics ist nach den öffentlich zugänglichen Angaben des Unternehmens die

Sandstorm Analytics, Inc. (dba Kissmetrics) Sitz: Vereinigte Staaten von Amerika

Nach öffentlich zugänglichen Informationen wurden die Assets von Sandstorm Media Inc. im Jahr 2025 durch die Kissmetrics Holding Inc. übernommen, die den Dienst unter der Marke Kissmetrics weiterführt. Die Datenschutzhinweise des Anbieters speziell für den Dienst sind abrufbar unter https://www.kissmetrics.io/privacy. Anschrift und konkrete Konzernstruktur sind vom Webseitenbetreiber anhand der aktuellen Privacy Policy und des vom Anbieter bereitgestellten Data Processing Addendum zu verifizieren.

Da der Anbieter in den USA sitzt, handelt es sich um eine Übermittlung in ein Drittland. Ob Sandstorm Analytics, Inc. oder Kissmetrics Holding Inc. aktuell nach dem EU-US Data Privacy Framework (DPF) zertifiziert sind, ist vom Webseitenbetreiber zu prüfen (DPF-Liste: https://www.dataprivacyframework.gov/s/participant-search). Die in der Vergangenheit bestehende Zertifizierung nach dem EU-US Privacy Shield ist mit dem Schrems II-Urteil des EuGH vom 16.07.2020 unwirksam geworden und ersetzt die aktuelle DPF-Zertifizierung nicht. Liegt eine DPF-Zertifizierung nicht vor, ist die Übermittlung regelmäßig auf Standarddatenschutzklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO zu stützen.

D. Datenverarbeitung bei Kissmetrics – Ablauf in Schritten

E. Von Kissmetrics erhobene Daten

Nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet Kissmetrics auf der Webseite des Betreibers insbesondere: eine Besucher-ID (zunächst anonym, später ggf. verknüpft mit einer User-ID oder E-Mail-Adresse), Seitenaufrufe, vom Webseitenbetreiber definierte Events (Klicks, Käufe, Registrierungen etc.), Event-Eigenschaften, Zeitstempel, Referrer, Endgeräte- und Browserinformationen sowie ggf. grobe Standortdaten auf Basis der IP-Adresse. Der konkrete Umfang hängt maßgeblich von der Konfiguration durch den Webseitenbetreiber ab: Kissmetrics ist so ausgelegt, dass der Webseitenbetreiber gezielt weitere Daten übergeben kann (etwa Kundenmerkmale, Transaktionsdaten).

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die bei jeder Anfrage vom Endgerät des Nutzers an die Kissmetrics-Server übermittelt werden, insbesondere IP-Adresse, Zugriffszeitpunkt, angefragte URL, Referrer und technische Metadaten.
• Klickpfade: Besuchte Seiten der Webseite einschließlich Referrer sowie angeklickte Links, aufgerufene Formulare und Funktionen, jeweils mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, insbesondere Gerätetyp, Betriebssystem und Bildschirmauflösung.
• Browserinformationen: Informationen über den verwendeten Browser, insbesondere Browsername und -version.
• Grobe Standortdaten: Anhand der IP-Adresse ggf. ermittelter grober Standort des Nutzers auf Stadt- oder Gemeindeebene.
• Nutzungskonto-Daten: Soweit der Webseitenbetreiber bei Identifizierung Nutzerkennungen (z. B. User-ID, E-Mail-Adresse) an Kissmetrics übergibt, werden diese als Identifier gespeichert und mit den Ereignisdaten verknüpft.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, insbesondere Registrierung, Warenkorberstellung, Produktkauf, Terminbuchung, Kontaktanfrage, Download oder Aufruf bestimmter Seiten.
• Nutzerprofile: Vom Webseitenbetreiber in Kissmetrics zu einem Nutzer geführte Interessen, Segmentzuordnungen, Nutzungshistorien und daraus abgeleitete Kennzahlen.

F. Nutzungszwecke von Kissmetrics

Webseitenbetreiber nutzen Kissmetrics typischerweise, um den Weg einzelner Nutzer durch ihr Produkt oder ihre Webseite personenbezogen nachzuvollziehen – vom ersten anonymen Besuch über die Registrierung bis zu wiederkehrenden Nutzungen und Käufen. Zentrale Einsatzfelder sind Funnel-Analysen, Conversion-Optimierung, Kohortenbildung, Retention-Messung und Segmentierung für personalisiertes Marketing.

Die mit dem Einsatz von Kissmetrics typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Analyse-Funktionalität, einschließlich Fehlererkennung und -vermeidung.
• Allgemeine Produktverbesserung: Generelle bedarfsgerechte Gestaltung der Webseite und Optimierung der Nutzerfreundlichkeit auf Basis aggregierter Auswertungen.
• Allgemeines Marketing: Nicht nutzerindividuelle Ausrichtung und Optimierung von Marketingmaßnahmen, insbesondere Erfolgsmessung von Werbekampagnen und Reichweitenanalyse.
• Nutzerprofil-Erstellung: Bildung von Nutzerprofilen, insbesondere Ermittlung von Interessen und Vorlieben sowie Zuordnung zu Segmenten oder Zielgruppen auf Basis der in Kissmetrics geführten Event-Historie.
• Nutzerindividuelle Produktverbesserung: Anpassung der Online-Dienste an das Verhalten des jeweiligen Nutzers, insbesondere Anzeige interessenbezogener Inhalte und Vorauswahl von Einstellungen.
• Nutzerindividuelles Marketing: Ausrichtung und Optimierung der Marketingmaßnahmen an den individuellen Interessen und dem Verhalten des jeweiligen Nutzers, insbesondere Ausrichtung von Direktmarketing (z. B. E-Mails) und Segment-basierter Werbung.

G. Rechtsgrundlagen für den Einsatz von Kissmetrics

Kissmetrics fällt in die Tool-Kategorie Tracking (Statistik und Marketing) mit ausgeprägter Komponente zur Nutzerprofil-Erstellung und zum nutzerindividuellen Marketing.

Da Kissmetrics nach Anbieterangaben Cookies im Endgerät des Nutzers setzt und den Besucher sitzungs- und geräteübergreifend wiedererkennt, greift für den Einsatz in Deutschland regelmäßig § 25 Abs. 1 TDDDG: Das Speichern von Informationen in der Endeinrichtung und der Zugriff auf dort gespeicherte Informationen sind grundsätzlich nur mit Einwilligung zulässig. Eine Ausnahme nach § 25 Abs. 2 TDDDG (unbedingte Erforderlichkeit) lässt sich für ein personenbezogenes Produkt-Analyse-Tool in der Regel nicht begründen. Als datenschutzrechtliche Rechtsgrundlage für die nachgelagerte Verarbeitung kommt daher typischerweise die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht.

Wird Kissmetrics zusätzlich für nutzerindividuelles Marketing eingesetzt (z. B. Segmentierung, Personalisierung von Werbung), ist auch dafür die Einwilligung des Nutzers nach Art. 6 Abs. 1 lit. a DSGVO regelmäßig einschlägig. Für die Identifizierung eingeloggter Nutzer im Rahmen eines Vertrags (z. B. SaaS-Konto) kann daneben Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) eine Rolle spielen. Für rein technische Teilverarbeitungen wie die Sicherung gegen Missbrauch kommen berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO an Sicherheit und Missbrauchsschutz in Betracht.

Die konkrete Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Kissmetrics

• Cookie-Einsatz und Consent: Kissmetrics setzt nach Anbieterangaben First-Party-Cookies und erkennt Nutzer über Sitzungen und Geräte hinweg. Der Einsatz in Deutschland erfordert daher regelmäßig eine wirksame Einwilligung über einen Consent-Banner.
• Verknüpfung mit identifizierenden Daten: Kissmetrics ist darauf ausgelegt, anonyme Besucher-IDs mit User-IDs oder E-Mail-Adressen zu verknüpfen. Der Webseitenbetreiber sollte prüfen, welche identifizierenden Daten tatsächlich an Kissmetrics übergeben werden und wie sich dies im Consent-Banner abbilden lässt.
• Do Not Track und Opt-Out: Kissmetrics gibt an, den Browser-Header „Do Not Track" zu respektieren und den Nutzern Opt-Out-Möglichkeiten anzubieten. Der konkrete Opt-Out-Mechanismus ist in der Privacy Policy bzw. Support-Dokumentation des Anbieters zu prüfen.
• Drittlandtransfer: Der Anbieter sitzt in den USA. Ohne DPF-Zertifizierung oder Standarddatenschutzklauseln fehlt eine tragfähige Rechtsgrundlage für die Übermittlung. Der DPF-Status ist unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen; die historische Privacy-Shield-Zertifizierung trägt die Übermittlung nicht mehr.
• Auftragsverarbeitungsvertrag (AVV/DPA): Der Anbieter stellt nach eigenen Angaben ein Data Processing Addendum bereit. Der Abschluss ist beim Einsatz des Tools regelmäßig erforderlich. Die Rolle des Anbieters (Auftragsverarbeiter) ergibt sich aus den vom Anbieter bereitgestellten Vertragsunterlagen.
• Subprozessoren: Kissmetrics gibt an, Hosting- und Infrastrukturdienstleister einzusetzen. Eine öffentliche Subprozessor-Liste ist nicht ohne weiteres verfügbar; Details können beim Anbieter unter privacy@kissmetrics.io angefragt werden.
• Einstellungen für den Webseitenbetreiber: Auswahl der zu trackenden Events und Eigenschaften, Entscheidung über die Übergabe identifizierender Daten (User-ID, E-Mail), Einbindung über einen Consent-Manager, Konfiguration von Opt-Out und Abschluss des AVV/DPA.

I. Häufige Fragen zu Kissmetrics (FAQ)

J. Fazit und Empfehlung zum Einsatz von Kissmetrics

Kissmetrics ist ein personenbezogenes Analyse- und Marketing-Tool, das Einzelnutzer über Sitzungen und Geräte hinweg wiedererkennt und typischerweise mit identifizierenden Daten des Webseitenbetreibers (User-ID, E-Mail) verknüpft wird. Aufgrund des Cookie-Einsatzes und der nutzerindividuellen Profilbildung ist in Deutschland regelmäßig eine Einwilligung nach § 25 Abs. 1 TDDDG und nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Der Sitz des Anbieters in den USA erfordert eine tragfähige Drittlandtransfer-Lösung (DPF oder Standarddatenschutzklauseln).

Für die Datenschutzerklärung gilt: Es ist regelmäßig wenig sinnvoll, für jedes einzelne Tool – und damit auch für Kissmetrics – einen eigenen, langen Textbaustein aufzunehmen. Das macht die Datenschutzerklärung unübersichtlich, inhaltlich redundant und schwer pflegbar und läuft dem Transparenzgebot des Art. 12 Abs. 1 DSGVO zuwider. Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend beschrieben; einzelne Tools wie Kissmetrics werden im Anhang Empfänger namentlich aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com