Woopra und Datenschutz – Was in die Datenschutzerklärung gehört

Woopra ist eine Cloud-basierte Customer-Journey-Analytics-Plattform des US-amerikanischen Unternehmens Woopra Inc. Das Tool erfasst und analysiert digitale Nutzungsdaten auf Websites und in Web-Apps. Wer Woopra einsetzt, muss dies und die damit verbundenen Datenverarbeitungen transparent in der Datenschutzerklärung offenlegen – einschließlich Hinweisen auf Drittlandtransfer, Rechtsgrundlagen und Betroffenenrechte.

A. Zweck und Funktionsweise von Woopra

Woopra ist eine Cloud-basierte Customer-Journey-Analytics-Plattform des US-amerikanischen Unternehmens Woopra Inc. Das Tool erfasst und analysiert digitale Nutzungsdaten auf Websites und in Web-Apps. Der Funktionsumfang umfasst:

• Event-Tracking: Erfassung einzelner Nutzerhandlungen wie Klicks, Formulareingaben, Seitenaufrufe
• User-Profile: Zusammengefasste Nutzerdaten mit Verhaltensmustern und Präferenzen
• Segmentierung: Einteilung von Nutzern in Gruppen basierend auf Eigenschaften und Verhalten
• Funnel-Analyse: Verfolgung von Konversionsschritte und Abbrüchen
• Retention-Metriken: Analyse der Nutzerbindung und Wiederkehr

Zur Erfassung wird üblicherweise ein JavaScript-Snippet in den Website-Quellcode eingebunden oder SDKs für Mobile-Apps verwendet. Woopra verarbeitet alle erfassten Daten auf Servern in den USA.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Woopra

Wer Woopra einsetzt, muss die damit verbundenen Datenverarbeitungen transparent in der Datenschutzerklärung offenlegen. Erforderlich sind:

1. Name und Anschrift des Anbieters (Woopra Inc.)
2. Art und Umfang der verarbeiteten Daten (Events, Profile, Klickpfade, Geräte- und Browserinfos, Standortdaten)
3. Zweck der Verarbeitung (Analyse, Optimierung, Profilbildung)
4. Rechtsgrundlage (meist Einwilligung gemäß § 25 TDDDG oder DSGVO Art. 6 Abs. 1 lit. a)
5. Hinweis auf Drittlandtransfer in die USA
6. Angaben zu Betroffenenrechten (Auskunft, Berichtigung, Löschung, Widerspruch, Beschwerde)

C. Anbieter von Woopra

Woopra wird betrieben von:

Woopra Inc.
303 Twin Dolphin Drive
Redwood City, CA 94065, USA

Verantwortlicher für die Datenverarbeitung ist Woopra Inc. als Auftragsverarbeiter im Sinne von DSGVO Art. 28. Die Datenschutzerklärung von Woopra findet sich unter woopra.com/privacy. Für alle Fragen zur Datenverarbeitung und zur Geltendmachung von Betroffenenrechten können sich Nutzer direkt an Woopra wenden.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Woopra erhobene Daten

Woopra erfasst eine breite Palette an Nutzungsdaten. Diese lassen sich in folgende Klassen einteilen:

Webserver-Protokolldaten

• IP-Adressen (teilweise anonymisiert)
• Zugriffszeitpunkte
• Verweisdaten (Referrer)

Klickpfade und Nutzungsverhalten

• Seitenaufrufe
• Verweildauer
• Scrolltiefe
• Klickpositionen
• Formulareingaben

Endgeräte-Daten

• Betriebssystem
• Geräteklasse (Desktop/Mobile/Tablet)
• Gerätehersteller

Browser-Informationen

• Browsertyp und Version
• Plugin-Status
• Bildschirmauflösung

Standortdaten

• Grobe geografische Standortbestimmung (auf Länder-/Stadtniveau)
• Bestimmung auf Grundlage der IP-Adresse

Conversion-Ereignisse

• Zielkonversionen
• Einkäufe
• Registrierungen (sofern konfiguriert)

Nutzerprofile

• Zusammengefasste Profile mit Segmentzugehörigkeit
• Verhaltensmustern und Präferenzen
• ggf. Verknüpfung mit anderen Online-Identifiern

F. Nutzungszwecke

Woopra wird für folgende Zwecke eingesetzt:

1. Allgemeine Produktverbesserung: Analyse der Website-Nutzung, Identifikation von Engpässen und Optimierungspotenzialen
2. Nutzerprofile-Erstellung: Zusammenfassung von Nutzerdaten in Profilen für besseres Verständnis von Nutzergruppen
3. Nutzer-individuelle Produktverbesserung: Personalisierung von Website-Inhalten und Funktionen basierend auf Nutzerprofilen
4. Marketing und Retargeting: Mögliche Verwendung von Woopra-Daten für zielgerichtete Werbeanzeigen (je nach Konfiguration und Drittanbieter-Integrationen)
5. Rechtsverfolgung und Sicherheit: Woopra nutzt Daten auch zur Erkennung von Missbrauch und Sicherheitsverstößen

G. Rechtsgrundlagen für Woopra

Die Verarbeitung von Nutzungsdaten durch Woopra erfordert eine Rechtsgrundlage. In der EU und Deutschland:

Tracking-Cookie / Einwilligung
Das Woopra-Script setzt üblicherweise Cookies oder nutzt Local-Storage zur Nutzer-Wiederkennung. Dies ist gemäß § 25 TDDDG und DSGVO Art. 6 Abs. 1 lit. a nur mit vorheriger Einwilligung zulässig (z. B. über ein Cookie-Consent-Banner).

Drittland USA ohne DPF
Die USA werden durch die Europäische Kommission nicht als angemessen bewertet. Daher müssen zusätzliche Gewährleistungen geschaffen werden – typischerweise durch Standard Contractual Clauses (SCC) oder ähnliche Transfermechanismen.

Verantwortungsverhältnis
Der Webseitenbetreiber ist Verantwortlicher (DSGVO Art. 6), Woopra ist Auftragsverarbeiter (DSGVO Art. 28) – ein Auftragsverarbeitungsvertrag (AVV/DPA) muss vorliegen.

H. Besonderheiten und Hinweise zu Woopra

• Auftragsverarbeitungsvertrag (DPA): Woopra stellt ein DPA zur Verfügung; der Webseitenbetreiber sollte dieses vor Inbetriebnahme abschließen
• Data Processing Framework (DPF): Die USA haben keinen DPF-Schutz im Sinne des Schrems-II-Urteils; SCC oder ähnliche Garantien sind notwendig
• Opt-Out-Möglichkeiten: Woopra bietet Opt-Out-Links und -Cookies an; diese sollten in der Datenschutzerklärung erwähnt werden
• Datenspeicherdauer: Woopra speichert Daten standardmäßig nach konfigurierten Aufbewahrungsrichtlinien; die konkrete Dauer sollte dokumentiert werden
• Internationale Transfers: Datentransfers können über SCC oder andere Transfermechanismen gewährleistet werden
• Subprozessoren: Woopra kann Subunternehmer einsetzen; diese sollten im DPA aufgelistet sein

I. Häufig gestellte Fragen (FAQ)

J. Fazit und nächste Schritte

Woopra ist ein mächtiges Analyse-Tool für Customer Journeys – aber nicht ohne datenschutzrechtliche Anforderungen. Webseitenbetreiber müssen die Datenverarbeitung transparent kommunizieren, eine Einwilligung einholen und einen DPA mit Woopra abschließen. Der Drittlandtransfer in die USA erfordert eine rechtssichere Dokumentation.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com