DSGVO Wissen
Datenschutz Website – Übersicht

SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehört

SurveyMonkey Embeds: verarbeitete Daten, DSGVO-Rechtsgrundlagen, AVV und Pflichtangaben für die Datenschutzerklärung beim Einbetten von Umfragen.

SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehört

Webseitenbetreiber bettet häufig SurveyMonkey-Umfragen mittels iFrame oder JavaScript-Widget direkt in ihre Webseite ein, um Nutzerfeedback zu sammeln. Dabei werden personenbezogene Daten der Umfrageteilnehmer an SurveyMonkey-Server übertragen – insbesondere IP-Adresse, Standortdaten, Browserinformationen und die Umfrageantworten selbst. Die Aufnahme angemessener Datenschutzhinweise in der Datenschutzerklärung ist rechtlich erforderlich und sollte transparent über die Verarbeitung, den Anbieter und die Betroffenenrechte informieren.

A. Zweck und Funktionsweise von SurveyMonkey Embeds

SurveyMonkey ist eine cloudbasierte Umfrage- und Formularverwaltungsplattform der Momentive Global Inc. (USA) mit europäischer Niederlassung SurveyMonkey Europe UC in Dublin, Irland. Die Embed-Funktion ermöglicht es Webseitenbetreibern, Umfragen direkt in ihre Webseite zu integrieren – ohne dass Nutzer die Website verlassen müssen.

Die Integration erfolgt typischerweise auf zwei Wegen:

  1. iFrame-Einbettung: Der Webseitenbetreiber bindet einen iFrame-Code ein, der auf einen SurveyMonkey-Server verweist. Der Browser lädt dabei Inhalte direkt von den SurveyMonkey-Servern.
  2. JavaScript-Widget: Ein minimalistisches JavaScript-Skript wird in die Webseite eingebunden, das die Umfrage als interaktives Element anzeigt.

Bei beiden Methoden stellt der Browser des Nutzers automatisch eine Verbindung zu SurveyMonkey-Servern her – unabhängig davon, ob der Nutzer die Umfrage tatsächlich ausfüllt. Diese Verbindung ist es, bei der personenbezogene Daten wie die IP-Adresse übertragen werden.

Hinweis: Die umfangreiche SurveyMonkey-Plattform mit Login, Dashboard und Umfrageerstellung wird hier nicht behandelt. Fokus liegt auf der Embed-Integration für Website-Besucher.

B. Pflichtangaben in der Datenschutzerklärung

Unter der EU-Datenschutz-Grundverordnung (DSGVO) müssen Webseitenbetreiber in ihrer Datenschutzerklärung transparent offenlegen, welche personenbezogenen Daten durch eingebundene Drittanbieter-Tools verarbeitet werden und unter welchen Bedingungen (Art. 13, 14 DSGVO). Das betrifft auch technische Komponenten wie JavaScript-Codes und iFrames, die automatisch personenbezogene Daten übertragen.

Folgender Inhalt sollte die Datenschutzerklärung abdecken:

  • Identität des Anbieters: Name, Adresse, Kontaktdaten
  • Art und Umfang der Datenverarbeitung: Welche Datentypen werden erfasst?
  • Zwecke der Verarbeitung: Zu welchen Zwecken nutzt der Anbieter die Daten?
  • Rechtsgrundlage: Auf Basis welcher Rechtsgrundlage findet die Verarbeitung statt?
  • Datenkategorien und Speicherdauer: Wie lange werden Daten behalten?
  • Betroffenenrechte: Wie können Nutzer ihre Rechte ausüben?
  • Drittlandtransfer: Falls Daten in die USA übertragen werden, welche Schutzmechanismen gelten?

Kritik an generischen Textbausteinen: Viele Online-Generatoren bieten pauschale Textbausteine, die nicht die spezifische Konfiguration der eigenen Umfrage abbilden. Wenn beispielsweise die Umfrage keine E-Mail-Adresse erhebt, aber der Textbaustein dies aufführt, ist die Datenschutzerklärung inhaltlich falsch und widersprüchlich. Eine maßgeschneiderte Anpassung ist notwendig.

Empfehlung

Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.

Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.

  • Kein Abo, keine versteckten Kosten
  • Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
  • Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Jetzt Datenschutzerklärung erstellen

Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.

C. Anbieter

Primärer Anbieter:

Muttergesellschaft und Datenverarbeitung:

  • Momentive Global Inc. (USA) fungiert als Mutterkonzern und ist verantwortlich für globale Datenverarbeitung
  • SurveyMonkey Inc. ist selbstzertifiziert unter dem EU-U.S. Data Privacy Framework (DPF) für Datenübertragungen in die USA
  • Der DPF-Status ist einsehbar unter https://www.dataprivacyframework.gov/s/participant-search

Rechtlicher Status: SurveyMonkey handelt als Auftragsverarbeiter für Umfragedaten, die von Website-Betreibern erhoben werden. Gleichzeitig verarbeitet SurveyMonkey personenbezogene Daten auch als eigenständiger Verantwortlicher für eigene geschäftliche Zwecke (Produktverbesserung, Sicherheit, Analytik). Diese duale Rolle sollte in der Datenschutzerklärung differenziert werden.

D. Datenverarbeitung – Ablauf

Nutzer ruft eine Webseite auf, die ein SurveyMonkey-Embed enthält. Der Browser stellt automatisch eine Verbindung zu SurveyMonkey-Servern her, um das Widget/iFrame zu laden. Dabei werden bereits technische Daten (IP-Adresse, User-Agent, Zeitstempel) übertragen – ohne dass der Nutzer die Umfrage ausfüllen muss.

SurveyMonkey speichert diese Daten in seinen Datenbanken. IP-Adressen werden in Backend-Logs nach 13 Monaten automatisch gelöscht. Umfrageantworten werden länger gespeichert, Speicherdauer ist abhängig von Plan und Konfiguration.

SurveyMonkey nutzt die Daten für zwei Zwecke: (1) um dem Website-Betreiber die Umfrageergebnisse bereitzustellen (Auftragsverarbeitung) und (2) für eigene Betriebszwecke wie Sicherheitsüberwachung, Missbrauchprävention und Produktverbesserung (eigenständige Verantwortung).

Umfrageantworten werden dem Website-Betreiber über das SurveyMonkey-Dashboard bereitgestellt. Technische Logs können potenziell an Sicherheitspartner oder Behörden weitergegeben werden (je nach Anforderung und Gerichtsbarkeit).

Umfrageantworten können vom Website-Betreiber manuell gelöscht werden. IP-Adressen in Logs werden automatisch nach 13 Monaten anonymisiert. Andere Daten unterliegen längeren Aufbewahrungszeiten.

E. Erhobene Daten

SurveyMonkey erhebt beim Laden eines Embeds mehrere Kategorien personenbezogener Daten. Der genaue Umfang hängt von der technischen Konfiguration ab. Folgende Datentypen werden typischerweise verarbeitet:

  • Webserver-Protokolldaten: IP-Adresse des anfragenden Gerätes, exakte Zeitstempel des Abrufs, HTTP-Referrer (von welcher Seite kommt der Zugriff?)
  • Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und dessen Version
  • Browserinformationen: Browser-Typ, Browser-Version, installierte Plugins
  • Grobe Standortdaten: Geografischer Standort (auf Länder/Regions-Ebene), abgeleitet aus IP-Adresse
  • Nutzer-Inhalte: Alle Antworten, die in der Umfrage gegeben werden – diese können personenbezogene Daten sein, je nach Umfragedesign (z. B. wenn Name, E-Mail oder sensible Kategorien abgefragt werden)
  • Nutzungskonto-Daten: Falls der Nutzer bei SurveyMonkey angemeldet ist, werden auch Account-Informationen mit der Antwort verknüpft

Wichtig: Der Website-Betreiber bestimmt durch die Umfragegestaltung selbst, welche sensiblen Daten erhoben werden. SurveyMonkey stellt die technische Infrastruktur bereit, trägt aber Mitverantwortung für die Einhaltung von Datenschutzprinzipien.

F. Nutzungszwecke

Die Daten werden von SurveyMonkey für folgende Zwecke verarbeitet:

  • Funktionsbereitstellung: Darstellung und Ausführung der eingebetteten Umfrage im Browser des Nutzers; technische Verarbeitung der Nutzereingaben
  • Kommunikation mit dem Website-Betreiber: Übermittlung der Umfrageergebnisse an den Kundendashboard; Reporting und Analyse der Antworten
  • Allgemeine Produktverbesserung: Verwendung anonymisierter oder aggregierter Daten zur Verbesserung des SurveyMonkey-Dienstes, zur Optimierung der Embed-Funktionalität und zur Identifizierung von Fehlern
  • Sicherheit und Missbrauchsprävention: Überwachung auf verdächtige Aktivitäten, Mehrfach-Antworten von gleicher IP-Adresse (Ballot Stuffing), Authentifizierung
  • Rechtliche Verpflichtungen: Einhaltung von Gesetzen, Behördenaufforderungen, Durchsetzung von Nutzungsbedingungen

Die Nutzung zu Analysezwecken (Punkt 3) erfolgt unter eigenständiger Verantwortung SurveyMonkeys und ist nicht Teil der Auftragsverarbeitung für den Website-Betreiber.

G. Rechtsgrundlagen

Die Rechtsgrundlagen für die Datenverarbeitung sind differenziert zu betrachten:

Beim automatischen Laden des Embeds (IP-Adresse, Browser-Daten):

  • Für die reine Funktionsbereitstellung des Widgets kann argumentiert werden, dass berechtigtes Interesse gemäß Art. 6 Abs. 1 f) DSGVO vorliegt (Website-Betreiber hat Interesse an Nutzerfeedback)
  • Falls das Embed jedoch ohne Nutzereinwilligung externe Server abfragt (was typischerweise der Fall ist), greifen § 25 TDDDG (Telemediengesetz) und ePrivacy-Richtlinie: Einwilligung erforderlich für das Setzen von Cookies oder das Verarbeiten von Terminalzugriffen

Für Umfrageantworten (Inhalte):

  • Wenn Nutzer die Umfrage freiwillig ausfüllt: Einwilligung des Umfrageteilnehmers (Art. 6 Abs. 1 a) DSGVO)
  • Falls die Umfrage als Teil eines Vertrags erforderlich ist: Vertragsdurchführung (Art. 6 Abs. 1 b) DSGVO)
  • Eigene Nutzung durch SurveyMonkey (Produktverbesserung): Berechtigtes Interesse (Art. 6 Abs. 1 f) DSGVO)

Drittlandtransfer (USA):

  • SurveyMonkey Inc. ist unter dem Data Privacy Framework zertifiziert
  • Ergänzend gelten Standard Contractual Clauses (Standardverträge) für Transfers in die USA
  • Ein DPA (Data Processing Agreement) mit SCCs ist bei Premium-Plänen verfügbar

H. Besonderheiten und Hinweise

1. Sensible Datentypen in Umfragen: Je nach Umfragedesign können Umfrageantworten sensible Daten enthalten (Gesundheit, politische Überzeugung, Gewerkschaftsmitgliedschaft, etc.). In solchen Fällen greift Art. 9 DSGVO (Verarbeitung besonderer Kategorien). Eine Einwilligung ist dann zwingend erforderlich.

2. Rolle des Website-Betreibers: Der Website-Betreiber ist selbst Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Entscheidung, SurveyMonkey einzubauen. Er muss daher selbst überprüfen, ob die rechtlichen Voraussetzungen erfüllt sind.

3. Einwilligung vs. berechtigtes Interesse: Das automatische Laden des Embeds beim Seitenaufruf ist typischerweise nicht durch berechtigtes Interesse gerechtfertigt, sondern erfordert Einwilligung (§ 25 TDDDG). Der Website-Betreiber sollte vor dem Laden des Embeds eine Einwilligung einholen – beispielsweise durch einen Cookie-Banner oder Einwilligungsmanagement (CMP).

4. Datenverarbeitungsvertrag (AVV/DPA): SurveyMonkey bietet einen Data Processing Agreement an. Dieser ist verfügbar über https://www.surveymonkey.com/mp/legal/data-processing-agreement/. Ein AVV sollte vom Website-Betreiber abgeschlossen werden, um die Auftragsverarbeitung dokumentiert abzusichern.

5. Drittlandtransfer und DPF: Die meisten europäischen Kundendaten werden auf Servern in den USA gespeichert. SurveyMonkey ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, was einen angemessenen Schutz gewährleistet. Allerdings sollte dies in der Datenschutzerklärung genannt werden.

6. Opt-Out und Nutzer-Kontrolle: Bei iFrame-Einbettung ist es schwierig, Nutzern ein echtes Opt-Out anzubieten. Technisch könnte man das Embed nur nach Einwilligung laden, was die Nutzerfreundlichkeit beeinträchtigt. Diese Spannung sollte transparent dargelegt werden.

7. Speicherdauer: IP-Adressen: max. 13 Monate Umfrageantworten: abhängig von Kundenkonfiguration, typischerweise bis zur Löschung durch den Kunden Account-Daten: so lange wie das Kundenkonto aktiv ist

I. Häufige Fragen zu SurveyMonkey Embeds und Datenschutz

J. Fazit

SurveyMonkey Embeds sind ein funktionales Feedback-Tool, das aber – wie alle Drittanbieter-Integrations – Datenschutzverantwortlichkeiten mit sich bringt. Website-Betreiber müssen transparent offenlegen, dass bei der Nutzung des Embeds personenbezogene Daten an einen US-amerikanischen Anbieter übertragen werden.

Die Datenschutzerklärung sollte nicht nur existieren, sondern maßgeschneidert sein: Ein generischer Textbaustein, der nicht die spezifische Datenerhebung der eigenen Umfrage abbildet, ist nicht ausreichend und kann im Fall von Behördenchecks oder Datenschutzbeschwerden zu Rügen führen.

Ein schriftlicher Datenverarbeitungsvertrag mit SurveyMonkey ist essentiell. SurveyMonkey stellt ein Standard-DPA mit Standard Contractual Clauses bereit, das die Legalität der Datenübertragung in die USA absichert.

Zusammengefasst: Einwilligung vor dem Laden des Embeds, DPA abschließen, Datenschutzerklärung anpassen, Betroffenenrechte ermöglichen – diese vier Schritte sind die Basis für datenschutzkonformes Embedding.

Empfehlung

Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.

Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.

  • Kein Abo, keine versteckten Kosten
  • Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
  • Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Jetzt Datenschutzerklärung erstellen

Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.

Disclaimer und Gültigkeitsstand: Dieser Artikel stellt allgemeine Informationen bereit und keine Rechtsberatung. Die Anwendbarkeit der Regelungen kann im Einzelfall variieren. Stand: April 2026.

Autorenschaft

Dr. Thomas Helbing

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com

SAP Customer Data Cloud und Datenschutz – Was in die Datenschutzerklärung gehört

Kompakte Anleitung zu SAP Customer Data Cloud (Gigya): Registrierung, Einwilligungsmanagement, verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.

Tawk.to und Datenschutz – Was in die Datenschutzerklärung gehört

Tawk.to Live-Chat: verarbeitete Daten, DSGVO-Rechtsgrundlagen, AVV und was Webseitenbetreiber in die Datenschutzerklärung aufnehmen müssen.

On this page

SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehörtA. Zweck und Funktionsweise von SurveyMonkey EmbedsB. Pflichtangaben in der DatenschutzerklärungC. AnbieterD. Datenverarbeitung – AblaufE. Erhobene DatenF. NutzungszweckeG. RechtsgrundlagenH. Besonderheiten und HinweiseI. Häufige Fragen zu SurveyMonkey Embeds und DatenschutzJ. Fazit