# DSGVO Wissen (/docs)



<Cards>
  <Card title="DS-GVO Art. 9" href="/docs/dsgvo-art9" />

  <Card title="Datenschutz Website – Übersicht" href="/docs/privacy-policy-website" />
</Cards>


# A. Allgemeines (/docs/dsgvo-art9/a-allgemeines)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9).

<AuthorBlock />

## Auf einen Blick [#auf-einen-blick]

Art. 9 DS-GVO sagt: Bestimmte besonders sensible Daten sind grundsätzlich verboten zu verarbeiten – außer es greift eine Ausnahme. Die Norm ist **kein Ersatz** für Art. 6 DS-GVO, sondern eine **zusätzliche Hürde**: Wer sensible Daten verarbeiten will, braucht immer beides – eine Erlaubnis nach Art. 6 **und** eine Ausnahme nach Art. 9 Abs. 2.

***

## I. Was die Norm will [#i-was-die-norm-will]

Art. 9 schützt gleich drei Dinge auf einmal:

1. **Die einzelne Person** – vor Diskriminierung und Schaden durch die Weitergabe sensibler Informationen
2. **Gruppen von Menschen** – zum Beispiel ethnische Minderheiten oder Religionsgemeinschaften, die durch Datenmissbrauch verfolgt werden könnten
3. **Die Demokratie** – weil sensible Daten in falschen Händen zur Machtkonzentration und Unterdrückung missbraucht werden können

### Wie Abs. 1–4 zusammenspielen [#wie-abs-14-zusammenspielen]

<Mermaid
  chart="flowchart LR
    A1[&#x22;Abs. 1\nGrundsätzliches Verbot&#x22;]
    A2[&#x22;Abs. 2 lit. a–j\nZehn Ausnahmen&#x22;]
    A3[&#x22;Abs. 3\nBerufsgeheimnis\nbei lit. h&#x22;]
    A4[&#x22;Abs. 4\nNationale Spielräume&#x22;]
    A1 --> A2
    A2 --> A3
    A2 --> A4
    A4 --> DE[&#x22;Nationales Recht\nz. B. GenDG,\n§§ 22–28 BDSG&#x22;]"
/>

### Verhältnis zu Art. 6 DS-GVO [#verhältnis-zu-art-6-ds-gvo]

Art. 6 DS-GVO regelt, wann personenbezogene Daten **generell** verarbeitet werden dürfen. Art. 9 kommt **zusätzlich** dazu, wenn es sich um sensible Daten handelt.

**Voraussetzungen für eine erlaubte Verarbeitung sensibler Daten:**

* **a)** Erlaubnis nach Art. 6 Abs. 1 (allgemeine Grundlage – muss immer vorliegen)
* **b)** Ausnahme nach Art. 9 Abs. 2 (spezielle Grundlage – muss zusätzlich vorliegen)

Beide müssen erfüllt sein – keiner ersetzt den anderen.

***

## II. Wie die Norm entstanden ist [#ii-wie-die-norm-entstanden-ist]

Der Gedanke, bestimmte Daten besonders zu schützen, ist nicht neu:

<Mermaid
  chart="timeline
    title Entwicklung des Sonderschutzes
    1981 : Europaratskonvention
         : Erste Kodifikation besonderer Datenkategorien
    1995 : Datenschutz-Richtlinie 95/46/EG
         : Art. 8 – Verbot mit Ausnahmen
         : Kategorien: Rasse, Politik, Religion, Gewerkschaft, Gesundheit, Sexualleben
    2016 : DS-GVO in Kraft
         : Art. 9 – Neu: genetische Daten, biometrische Daten, sexuelle Orientierung
         : Weltanschauung neu aufgenommen
         : Erweiterter Ausnahmekatalog"
/>

Gegenüber der alten EU-Richtlinie von 1995 hat die DS-GVO **drei Kategorien neu aufgenommen**: genetische Daten, biometrische Daten zur Identifizierung und Daten zur sexuellen Orientierung.

***

## III. Wo Art. 9 noch eine Rolle spielt [#iii-wo-art-9-noch-eine-rolle-spielt]

Art. 9 wirkt sich auf viele andere Regeln in der DS-GVO aus:

| Vorschrift            | Auswirkung                                                              |
| --------------------- | ----------------------------------------------------------------------- |
| Art. 22 Abs. 4        | Automatisierte Entscheidungen über sensible Daten brauchen extra Schutz |
| Art. 30 Abs. 5        | Keine Ausnahme von der Dokumentationspflicht                            |
| Art. 35 Abs. 3 lit. b | Datenschutz-Folgeabschätzung nötig bei umfangreicher Verarbeitung       |
| Art. 37 Abs. 1 lit. c | Datenschutzbeauftragter muss benannt werden                             |

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Warum gibt es überhaupt einen Sonderschutz für bestimmte Daten?**
Weil manche Daten besonders gefährlich sind: Sie verraten Dinge, die zu Diskriminierung, Verfolgung oder schwerem persönlichen Schaden führen können.

**Kann Art. 9 durch andere Regeln ersetzt werden?**
Nein. Wenn Art. 9 gilt, muss er immer zusätzlich zu Art. 6 geprüft werden – er kann nicht „umgangen" werden.

**Gilt Art. 9 auch für Daten von Verstorbenen?**
Die DS-GVO schützt grundsätzlich nur lebende Personen. Einzelne EU-Länder (wie Deutschland) können aber auch Daten Verstorbener schützen.

<CTABlock destination="website-privacy-policy-generator" />

**Weiter:** [B. Das Verarbeitungsverbot](/docs/dsgvo-art9/b-verbotstatbestand)


# B.III Die einzelnen Kategorien (/docs/dsgvo-art9/b-kategorien)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9) | [B. Das Verarbeitungsverbot](/docs/dsgvo-art9/b-verbotstatbestand)

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 1 listet die sensiblen Datenkategorien **abschließend** auf – es gibt also keine weiteren. Im Zweifel wird weit ausgelegt, weil der Schutz der Betroffenen Vorrang hat.

<Mermaid
  chart="mindmap
  root((Art. 9 Abs. 1\nKategorien))
    Identität & Herkunft
      Rassische und ethnische Herkunft
      Religiöse Überzeugungen
      Weltanschauliche Überzeugungen
    Politik & Gesellschaft
      Politische Meinungen
      Gewerkschaftszugehörigkeit
    Biologie & Körper
      Genetische Daten
      Biometrische Daten
      Gesundheitsdaten
    Intimsphäre
      Sexualleben
      Sexuelle Orientierung"
/>

***

## 1. Rassische und ethnische Herkunft [#1-rassische-und-ethnische-herkunft]

### Was ist gemeint? [#was-ist-gemeint]

„Rasse" wird hier nicht biologisch verstanden, sondern gesellschaftlich: Es geht darum, wie eine Person wahrgenommen wird oder welcher Gruppe sie sich selbst zugehörig fühlt.

Erfasst sind Daten zu:

* Nationalität, Hautfarbe, Sprache, Herkunftsregion
* Selbst- oder Fremdzuschreibungen ethnischer Identität

### Was ist nicht erfasst? [#was-ist-nicht-erfasst]

Nicht jede Angabe zur Nationalität oder Herkunft löst das Verbot aus. Entscheidend ist, ob die Daten geeignet sind, **ethnische Zugehörigkeit** zu verraten. Eine reine Staatsangehörigkeitsangabe im Reisepass reicht allein nicht – aber sie kann es werden, wenn sie in einem Profil mit ethnischen Merkmalen steht.

***

## 2. Politische Meinungen [#2-politische-meinungen]

### Was ist gemeint? [#was-ist-gemeint-1]

Alle Überzeugungen zu Politik, Staat und Gesellschaft: Parteizugehörigkeit, Wahlverhalten, politische Äußerungen in sozialen Medien, Teilnahme an Demonstrationen.

### Abgrenzung [#abgrenzung]

Überschneidungen mit weltanschaulichen Überzeugungen (→ Kategorie 3) sind möglich. Wer ein politisches Programm aus weltanschaulichen Gründen verfolgt, wird von beiden Kategorien erfasst.

***

## 3. Religiöse und weltanschauliche Überzeugungen [#3-religiöse-und-weltanschauliche-überzeugungen]

### Religion [#religion]

Alle Glaubens- und Bekenntnissysteme – egal wie weit verbreitet. Auch Religionslosigkeit (z. B. Atheismus) ist erfasst.

Typische Beispiele: Kirchensteuermerkmal, religiöse Kleiderordnung, Speiseanforderungen in der Kantine.

### Weltanschauung [#weltanschauung]

Umfassende Überzeugungen, die nicht religiös sind, aber das Leben prägen – zum Beispiel Humanismus oder Veganismus als Lebensphilosophie.

> Ob es sich um Religion oder Weltanschauung handelt, spielt für die Rechtsfolgen keine Rolle – beide werden gleich behandelt.

***

## 4. Gewerkschaftszugehörigkeit [#4-gewerkschaftszugehörigkeit]

### Was ist gemeint? [#was-ist-gemeint-2]

Mitgliedschaft in Gewerkschaften und Berufsverbänden mit gewerkschaftlicher Funktion, zum Beispiel:

* ver.di, IG Metall, DGB
* Tätigkeiten als Betriebsratsmitglied oder Gewerkschaftsvertreter
* Streikteilnahme

### Was ist nicht erfasst? [#was-ist-nicht-erfasst-1]

Arbeitgeberverbände und Berufsverbände ohne kollektivrechtliche Funktion (z. B. reine Standesorganisationen) fallen **nicht** unter Art. 9.

***

## 5. Genetische Daten [#5-genetische-daten]

### Was ist gemeint? [#was-ist-gemeint-3]

Daten zu ererbten oder erworbenen genetischen Eigenschaften einer Person – gewonnen z. B. durch DNA-Analyse, Genmutationstest oder Abstammungsanalyse.

### Besonderheit [#besonderheit]

Genetische Daten betreffen nicht nur die betroffene Person selbst, sondern auch deren Verwandte. Deshalb sind sie besonders sensibel.

Für genetische Daten darf Deutschland zusätzliche Regeln einführen (→ [D. Öffnungsklausel](/docs/dsgvo-art9/d-oeffnungsklausel)).

***

## 6. Biometrische Daten [#6-biometrische-daten]

### Was ist gemeint? [#was-ist-gemeint-4]

Mit technischen Verfahren gewonnene Daten zu körperlichen oder verhaltenstypischen Merkmalen, die eine Person eindeutig identifizieren – z. B. Fingerabdrücke, Gesichtsbilder, Stimmprofile.

### Einschränkung: Zweck der Identifizierung [#einschränkung-zweck-der-identifizierung]

Art. 9 gilt bei biometrischen Daten **nur**, wenn sie zur eindeutigen Identifizierung einer Person genutzt werden.

| Situation                                                  | Art. 9 gilt? |
| ---------------------------------------------------------- | ------------ |
| Fingerabdruck-Scanner zur Zugangskontrolle                 | Ja           |
| Gesichtserkennung in Datenbanken                           | Ja           |
| Statistische Analyse von Gesichtsformen ohne Personenbezug | Nein         |
| Stimmidentifikation                                        | Ja           |

<Mermaid
  chart="flowchart TD
    B[&#x22;Biometrische Daten&#x22;] --> F1{&#x22;Technisches Verfahren\nverwendet?&#x22;}
    F1 -->|Nein| OUT[&#x22;Kein Art. 9&#x22;]
    F1 -->|Ja| F2{&#x22;Zweck: eindeutige\nIdentifizierung?&#x22;}
    F2 -->|Nein| OUT2[&#x22;Art. 9 nicht anwendbar&#x22;]
    F2 -->|Ja| IN[&#x22;Art. 9 Abs. 1 greift&#x22;]"
/>

***

## 7. Gesundheitsdaten [#7-gesundheitsdaten]

### Was ist gemeint? [#was-ist-gemeint-5]

Alle Daten, die etwas über den körperlichen oder geistigen Gesundheitszustand einer Person verraten:

* Diagnosen, Befunde, Arztbriefe
* Krankenkassendaten und Abrechnungsdaten
* Apothekendaten (Medikamenteneinkäufe)
* Fitnessdaten, Schrittzähler (soweit gesundheitsrelevant)
* Behinderungsmerkmale, Pflegestufen

Für Gesundheitsdaten gelten zusätzlich die Sonderregeln aus Art. 9 Abs. 3 (→ [C – Gesundheitsbereich](/docs/dsgvo-art9/c-gesundheitsbereich)).

***

## 8. Sexualleben und sexuelle Orientierung [#8-sexualleben-und-sexuelle-orientierung]

### Was ist gemeint? [#was-ist-gemeint-6]

**Sexualleben:** Informationen über sexuelle Praktiken, Beziehungsformen, Beziehungspartner.

**Sexuelle Orientierung:** Die grundlegende Ausrichtung sexueller Anziehung (z. B. hetero-, homo-, bisexuell).

### Abgrenzung [#abgrenzung-1]

Das Geschlecht einer Person (männlich/weiblich) fällt nur dann unter Art. 9, wenn daraus auf die sexuelle Orientierung geschlossen werden kann – z. B. bei Angaben zur Geschlechtsidentität oder Transsexualität.

> **Praxishinweis:** In sozialen Netzwerken können Angaben zu Beziehungsstand und Partner in Verbindung mit Profilinformationen auf die sexuelle Orientierung schließen lassen – dann gilt Art. 9.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Sind die acht Kategorien eine abschließende Liste?**
Ja. Es gibt keine weiteren Kategorien. Wenn Daten nicht unter eine dieser acht Kategorien fallen, gilt Art. 9 nicht.

**Was ist, wenn ein Datum mehrere Kategorien berührt?**
Dann gelten alle betroffenen Kategorien gleichzeitig – das Schutzniveau wird dadurch nicht verändert.

**Muss ich immer wissen, welche Kategorie vorliegt?**
Ja, denn jede Kategorie kann unterschiedliche Ausnahmen haben. Es empfiehlt sich, im Zweifelsfall weit auszulegen.

**Weiter:** [C. Ausnahmen – Überblick](/docs/dsgvo-art9/c-ausnahmen)


# B. Das Verarbeitungsverbot (/docs/dsgvo-art9/b-verbotstatbestand)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9).

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 1 verbietet es, sensible Daten zu verarbeiten. Dieses Verbot gilt **abstrakt** – das heißt: Es kommt nicht darauf an, ob im Einzelfall wirklich jemand geschädigt wird. Allein der Typ der Daten reicht, um das Verbot auszulösen.

<Mermaid
  chart="flowchart TD
    A[&#x22;Sind die Daten\neine besondere Kategorie?&#x22;] -->|Ja| B[&#x22;Verarbeitungsverbot\nArt. 9 Abs. 1&#x22;]
    B --> C[&#x22;Greift eine Ausnahme?\nArt. 9 Abs. 2&#x22;]
    C -->|Ja| D[&#x22;Art. 6 Abs. 1\nauch prüfen&#x22;]
    D -->|Ja| E[&#x22;✅ Verarbeitung erlaubt&#x22;]
    D -->|Nein| F[&#x22;❌ Verboten&#x22;]
    C -->|Nein| F
    A -->|Nein| G[&#x22;Nur Art. 6 prüfen&#x22;]"
/>

***

## I. Was genau verboten ist [#i-was-genau-verboten-ist]

Das Verbot trifft alle Formen der Verarbeitung, also zum Beispiel:

* Sammeln und Speichern
* Lesen und Auswerten
* Weitergeben und Veröffentlichen
* Löschen und Vernichten

Auch das Verarbeiten von **Metadaten** ist verboten, wenn sich daraus sensible Informationen ableiten lassen.

### Was bedeutet „aus denen … hervorgehen"? [#was-bedeutet-aus-denen--hervorgehen]

Nicht jedes Datum, das zufällig etwas Sensibles enthält, löst automatisch das Verbot aus. Entscheidend ist:

* **a)** Die Daten sind geeignet, etwas Sensibles zu verraten – direkt oder durch Kombination mit anderen Daten
* **b)** Wenn der Verantwortliche den sensiblen Inhalt zielgerichtet auswertet, gilt Art. 9 zwingend

Wichtig: Der Europäische Gerichtshof hat klargestellt, dass Art. 9 auch greift, wenn die Verarbeitung **unbeabsichtigt** war – sobald die Daten objektiv geeignet sind, sensible Eigenschaften zu verraten.

***

## II. Wen das Verbot trifft [#ii-wen-das-verbot-trifft]

Das Verbot richtet sich an **Verantwortliche** – also alle, die über Zweck und Mittel der Datenverarbeitung entscheiden:

* Unternehmen und Firmen
* Behörden
* Vereine
* Arztpraxen
* Privatpersonen (soweit die DS-GVO gilt)

Auftragsverarbeiter (z. B. IT-Dienstleister) sind mittelbar betroffen, weil sie nur auf Weisung des Verantwortlichen handeln dürfen.

### Wessen Daten sind geschützt? [#wessen-daten-sind-geschützt]

Geschützt sind Daten über **lebende natürliche Personen**. Firmen oder andere Organisationen fallen nicht darunter.

### Räumlicher Geltungsbereich [#räumlicher-geltungsbereich]

Art. 9 gilt, wenn:

* **a)** der Verantwortliche oder Auftragsverarbeiter in der EU sitzt, **oder**
* **b)** es um Daten von Personen in der EU geht, denen Dienste angeboten werden oder deren Verhalten beobachtet wird

***

## III. Warum das Verbot existiert [#iii-warum-das-verbot-existiert]

<Mermaid
  chart="flowchart TD
    GR[&#x22;Grundrechte\nPrivatheit und Datenschutz&#x22;]
    GR --> I[&#x22;Schutz der einzelnen Person\nvor Diskriminierung&#x22;]
    GR --> K[&#x22;Schutz von Gruppen\nvor Verfolgung&#x22;]
    GR --> S[&#x22;Schutz der Demokratie\nvor Machtmissbrauch&#x22;]
    I & K & S --> ART9[&#x22;Art. 9 Abs. 1\nVerarbeitungsverbot&#x22;]"
/>

***

## IV. Folgen eines Verstoßes [#iv-folgen-eines-verstoßes]

### Für die betroffene Person [#für-die-betroffene-person]

| Anspruch                                     | Grundlage                    |
| -------------------------------------------- | ---------------------------- |
| Löschung der Daten                           | Art. 17 Abs. 1 lit. d DS-GVO |
| Einschränkung der Verarbeitung               | Art. 18 DS-GVO               |
| Schadensersatz (auch für seelischen Schaden) | Art. 82 DS-GVO               |

### Für den Verantwortlichen [#für-den-verantwortlichen]

<Mermaid
  chart="flowchart LR
    V[&#x22;Verstoß gegen\nArt. 9 DS-GVO&#x22;]
    V --> BG[&#x22;Bußgeld\nbis 20 Mio. EUR\noder 4 % Umsatz&#x22;]
    V --> VB[&#x22;Verarbeitungsverbot\ndurch Behörde&#x22;]
    V --> LO[&#x22;Löschanordnung\ndurch Behörde&#x22;]
    V --> SR[&#x22;Strafrechtlich\nbei Vorsatz\n§ 42 BDSG&#x22;]"
/>

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Gilt das Verbot auch, wenn ich nichts Böses vorhatte?**
Ja. Das Verbot gilt unabhängig von der Absicht – entscheidend ist, welche Art von Daten verarbeitet wird.

**Was ist ein „Verantwortlicher"?**
Jeder, der allein oder gemeinsam mit anderen entscheidet, warum und wie Daten verarbeitet werden.

**Darf ein IT-Dienstleister sensible Daten verarbeiten?**
Nur wenn ein Verantwortlicher (z. B. ein Krankenhaus) ihn dazu beauftragt und die gesetzlichen Anforderungen erfüllt sind.

**Weiter:** [B.III Die einzelnen Kategorien](/docs/dsgvo-art9/b-kategorien)


# C. Ausnahmen – Überblick (/docs/dsgvo-art9/c-ausnahmen)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9) | [B. Das Verarbeitungsverbot](/docs/dsgvo-art9/b-verbotstatbestand)

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 2 listet **zehn Ausnahmen** auf (lit. a–j), die das Verarbeitungsverbot aufheben können. Die Liste ist **abschließend**: Was nicht unter lit. a–j fällt, bleibt verboten – es gibt keine Lücken, die man kreativ füllen darf.

***

## Die zehn Ausnahmen im Überblick [#die-zehn-ausnahmen-im-überblick]

| Ausnahme | Kurzbeschreibung                                                                     |
| -------- | ------------------------------------------------------------------------------------ |
| lit. a   | Die betroffene Person hat **ausdrücklich** eingewilligt                              |
| lit. b   | Verarbeitung ist aus **arbeitsrechtlichen** Gründen nötig                            |
| lit. c   | Schutz von **lebenswichtigen Interessen**, wenn die Person nicht einwilligen kann    |
| lit. d   | Verarbeitung durch eine **gemeinnützige Organisation** über ihre Mitglieder          |
| lit. e   | Die betroffene Person hat die Daten selbst **offensichtlich öffentlich gemacht**     |
| lit. f   | Verarbeitung zur **Geltendmachung, Ausübung oder Verteidigung** von Rechtsansprüchen |
| lit. g   | **Erhebliches öffentliches Interesse** (mit gesetzlicher Grundlage)                  |
| lit. h   | **Gesundheitsversorgung** und Medizin (+ Berufsgeheimnispflicht nach Abs. 3)         |
| lit. i   | **Öffentliche Gesundheit** – z. B. Seuchenbekämpfung                                 |
| lit. j   | **Archivierung, Forschung, Statistik** im öffentlichen Interesse                     |

***

## Voraussetzungen: Was muss immer erfüllt sein? [#voraussetzungen-was-muss-immer-erfüllt-sein]

Auch wenn eine Ausnahme greift, reicht das allein nicht. Es müssen **alle drei** Bedingungen vorliegen:

* **a)** Eine Ausnahme nach Art. 9 Abs. 2 lit. a–j greift
* **b)** Es liegt außerdem eine Erlaubnis nach Art. 6 Abs. 1 vor
* **c)** Die Grundsätze aus Art. 5 DS-GVO werden eingehalten (Datenminimierung, Zweckbindung, Speicherbegrenzung)

<Mermaid
  chart="flowchart TD
    S[&#x22;Sensible Daten\nverarbeiten?&#x22;] --> A{&#x22;Art. 9 Abs. 2\nlit. a–j\nerfüllt?&#x22;}
    A -->|Nein| X[&#x22;❌ Unzulässig&#x22;]
    A -->|Ja| B{&#x22;Art. 6 Abs. 1\nlit. a–f\nerfüllt?&#x22;}
    B -->|Nein| X
    B -->|Ja| C{&#x22;Art. 5\nGrundsätze\ngewahrt?&#x22;}
    C -->|Nein| X
    C -->|Ja| OK[&#x22;✅ Rechtmäßige\nVerarbeitung&#x22;]"
/>

***

## Wie die Ausnahmen auszulegen sind [#wie-die-ausnahmen-auszulegen-sind]

### Eng, aber nicht zu eng [#eng-aber-nicht-zu-eng]

Die Ausnahmen müssen **eng** ausgelegt werden – schließlich weichen sie von einem Verbot ab. Aber sie dürfen auch nicht so eng verstanden werden, dass wichtige Bereiche wie Gesundheitsversorgung oder Wissenschaft praktisch nicht mehr möglich sind.

Der Leitgedanke ist immer: Der Eingriff in die Privatsphäre muss verhältnismäßig sein – geeignet, erforderlich und angemessen.

### Datenminimierung und Zweckbindung [#datenminimierung-und-zweckbindung]

Auch innerhalb einer Ausnahme gilt:

* Es dürfen nur **so viele sensible Daten wie nötig** verarbeitet werden
* Die Daten dürfen **nur für den erlaubten Zweck** genutzt werden
* Sobald der Zweck wegfällt, müssen die Daten **gelöscht** werden

***

## Welche Ausnahmen verweisen auf nationales Recht? [#welche-ausnahmen-verweisen-auf-nationales-recht]

Mehrere Ausnahmen in Art. 9 Abs. 2 setzen eine gesetzliche Grundlage im nationalen Recht voraus:

| Ausnahme | Nationales Recht notwendig           |
| -------- | ------------------------------------ |
| lit. b   | Arbeits- und Sozialrecht             |
| lit. g   | Gesetz für das öffentliche Interesse |
| lit. h   | Berufsrecht für Gesundheitspersonal  |
| lit. i   | Nationales Gesundheitsrecht          |
| lit. j   | Bedingungen und Garantien per Gesetz |

<Mermaid
  chart="flowchart LR
    subgraph Abs2[&#x22;Art. 9 Abs. 2&#x22;]
        la[&#x22;lit. a – Einwilligung&#x22;]
        lb[&#x22;lit. b – Arbeitsrecht&#x22;]
        lc[&#x22;lit. c – Lebensgefahr&#x22;]
        ld[&#x22;lit. d – Verein/Org.&#x22;]
        le[&#x22;lit. e – Öffentlich gemacht&#x22;]
        lf[&#x22;lit. f – Rechtsansprüche&#x22;]
        lg[&#x22;lit. g – Öff. Interesse&#x22;]
        lh[&#x22;lit. h – Gesundheit&#x22;]
        li[&#x22;lit. i – Öff. Gesundheit&#x22;]
        lj[&#x22;lit. j – Forschung&#x22;]
    end
    lh --> Abs3[&#x22;Art. 9 Abs. 3\nBerufsgeheimnis&#x22;]
    lb & lg & lh & li & lj --> MS[&#x22;Gesetzliche Grundlage\nim nationalen Recht nötig&#x22;]"
/>

### Was Mitgliedstaaten dürfen und nicht dürfen [#was-mitgliedstaaten-dürfen-und-nicht-dürfen]

Mitgliedstaaten dürfen die Ausnahmen **konkretisieren und einschränken**, aber **nicht** auf neue, im Katalog nicht vorgesehene Situationen **ausweiten**. Wer als nationaler Gesetzgeber eine neue Ausnahme erfindet, die nicht von lit. a–j gedeckt ist, verstößt gegen EU-Recht.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Kann ich mehrere Ausnahmen gleichzeitig nutzen?**
Ja. Es ist möglich, dass mehrere Ausnahmen gleichzeitig greifen – das erhöht die Rechtssicherheit, ändert aber nichts an den sonstigen Anforderungen.

**Was passiert, wenn keine Ausnahme passt?**
Dann ist die Verarbeitung verboten – punkt. Es gibt keine „Generalklausel" oder Analogiemöglichkeit.

**Reicht die Ausnahme allein?**
Nein. Zusätzlich zur Ausnahme aus Art. 9 Abs. 2 braucht man immer auch eine Erlaubnis nach Art. 6 Abs. 1.

**Weiter:**

* [C – Ausdrückliche Einwilligung (lit. a)](/docs/dsgvo-art9/c-einwilligung)
* [C – Gesundheitsbereich (lit. h und Abs. 3)](/docs/dsgvo-art9/c-gesundheitsbereich)


# C – Ausdrückliche Einwilligung (lit. a) (/docs/dsgvo-art9/c-einwilligung)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9) | [C. Ausnahmen – Überblick](/docs/dsgvo-art9/c-ausnahmen)

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 2 lit. a erlaubt die Verarbeitung sensibler Daten, wenn die betroffene Person **ausdrücklich** eingewilligt hat. Das ist eine strengere Form der Einwilligung als die normale Einwilligung nach Art. 6 – es reicht zum Beispiel kein Schweigen oder ein vorausgefülltes Häkchen.

***

## Voraussetzungen: Was muss eine Einwilligung erfüllen? [#voraussetzungen-was-muss-eine-einwilligung-erfüllen]

Damit die Einwilligung wirksam ist, müssen **alle fünf** Bedingungen erfüllt sein:

* **a)** **Freiwilligkeit** – die Person darf nicht unter Druck stehen und darf keine Nachteile erleiden, wenn sie ablehnt
* **b)** **Informiertheit** – die Person muss vorher vollständig informiert worden sein: Was wird verarbeitet, zu welchem Zweck?
* **c)** **Bestimmtheit** – die Einwilligung muss sich auf konkrete Zwecke und konkrete Datenkategorien beziehen
* **d)** **Ausdrücklichkeit** – die Einwilligung muss aktiv und klar erklärt werden; nicht durch Schweigen oder Zustimmung zu AGB
* **e)** **Widerrufbarkeit** – die Einwilligung muss jederzeit ohne Nachteile widerrufbar sein

<Mermaid
  chart="flowchart TD
    EW[&#x22;Einwilligung\nnach Art. 9 Abs. 2 lit. a&#x22;]
    EW --> F[&#x22;a) Freiwilligkeit\nKein Druck, keine Nachteile&#x22;]
    EW --> I[&#x22;b) Informiertheit\nVollständige Vorabinfo&#x22;]
    EW --> B[&#x22;c) Bestimmtheit\nKonkrete Zwecke und Kategorien&#x22;]
    EW --> E[&#x22;d) Ausdrücklichkeit\nAktive, klare Erklärung&#x22;]
    EW --> W[&#x22;e) Widerrufbarkeit\nJederzeit ohne Nachteile&#x22;]
    F & I & B & E & W --> OK[&#x22;✅ Wirksame Einwilligung&#x22;]
    OK --> PLUS[&#x22;+ Art. 6 Abs. 1 lit. a\nkumulativ erforderlich&#x22;]"
/>

***

## I. Was „ausdrücklich" bedeutet [#i-was-ausdrücklich-bedeutet]

Das Wort &#x2A;*„ausdrücklich"** ist der entscheidende Unterschied zur normalen Einwilligung nach Art. 6. Eine ausdrückliche Einwilligung liegt vor, wenn die Person:

* **aktiv und explizit** in die Verarbeitung der sensiblen Daten einwilligt
* **unmissverständlich** auf genau diese sensiblen Daten und deren Verarbeitungszweck Bezug nimmt
* die Einwilligung **schriftlich, elektronisch oder mündlich** erklärt (alle Formen erlaubt, aber sie muss nachweisbar sein)

### Was nicht ausreicht [#was-nicht-ausreicht]

* Vorausgefüllte Kästchen (Pre-Ticking)
* Allgemeine AGB-Klauseln ohne gesonderte Hervorhebung
* Stillschweigende Duldung der Verarbeitung
* Ein einziges Häkchen für viele verschiedene Zwecke

***

## II. Besondere Vorsicht im Arbeitsverhältnis [#ii-besondere-vorsicht-im-arbeitsverhältnis]

Im Arbeitsverhältnis ist **Freiwilligkeit** oft zweifelhaft: Wer seinen Job nicht verlieren will, stimmt leicht zu, auch wenn er eigentlich nicht möchte. Deshalb gelten hier besondere Anforderungen – die Einwilligung ist nur wirksam, wenn besondere Umstände eine echte freie Entscheidung ermöglichen.

***

## III. Widerruf der Einwilligung [#iii-widerruf-der-einwilligung]

Die betroffene Person kann ihre Einwilligung **jederzeit** widerrufen. Der Widerruf gilt **für die Zukunft** – was vorher rechtmäßig verarbeitet wurde, bleibt rechtmäßig.

Folgen des Widerrufs:

* Die Daten müssen **unverzüglich gelöscht** werden
* Alle laufenden Verarbeitungen müssen **sofort gestoppt** werden
* Ein Rückgriff auf andere Erlaubnisgrundlagen ist nicht möglich, soweit diese die Einwilligung voraussetzen

<Mermaid
  chart="flowchart TD
    W[&#x22;Widerruf der Einwilligung&#x22;]
    W --> EN[&#x22;Wirkung für die Zukunft\nVergangenheit bleibt rechtmäßig&#x22;]
    W --> L[&#x22;Löschungspflicht&#x22;]
    W --> S[&#x22;Stopp aller laufenden\nVerarbeitungen&#x22;]"
/>

***

## IV. Praktische Relevanz [#iv-praktische-relevanz]

Die ausdrückliche Einwilligung ist vor allem wichtig bei:

* Apps und digitalen Diensten, die sensible Daten nutzen
* Marketing und Profiling mit Gesundheits- oder Herkunftsdaten
* Mitgliederverwaltung in Vereinen mit religiösem oder politischem Hintergrund

> **Hinweis:** In manchen Bereichen – z. B. bei genetischen Untersuchungen nach dem Gendiagnostikgesetz – stellt deutsches Recht noch strengere Anforderungen an die Einwilligung. Dann gelten diese strengeren Anforderungen.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Kann ich einfach ein Häkchen setzen lassen?**
Nein – nicht, wenn es vorausgefüllt ist. Das Häkchen muss von der Person selbst aktiv gesetzt werden.

**Wie muss die Einwilligung dokumentiert werden?**
Sie muss nachweisbar sein. Schriftlich oder elektronisch ist am sichersten. Mündliche Einwilligungen sind zulässig, aber schwer zu beweisen.

**Was passiert, wenn die Einwilligung unwirksam war?**
Dann gibt es keine Erlaubnis nach Art. 9 Abs. 2 lit. a – die Verarbeitung ist verboten.

**Brauche ich neben der Einwilligung noch etwas anderes?**
Ja. Zusätzlich zur Einwilligung nach Art. 9 Abs. 2 lit. a muss auch eine Erlaubnis nach Art. 6 Abs. 1 vorliegen – in der Regel ebenfalls eine Einwilligung nach Art. 6 Abs. 1 lit. a.

**Weiter:** [C – Gesundheitsbereich (lit. h und Abs. 3)](/docs/dsgvo-art9/c-gesundheitsbereich)


# C – Gesundheitsbereich (lit. h und Abs. 3) (/docs/dsgvo-art9/c-gesundheitsbereich)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9) | [C. Ausnahmen – Überblick](/docs/dsgvo-art9/c-ausnahmen)

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 2 lit. h ist die wichtigste Ausnahme für das Gesundheitswesen. Sie erlaubt die Verarbeitung sensibler Daten, wenn es medizinisch notwendig ist – zum Beispiel für Diagnose, Behandlung oder Abrechnung. Zusätzlich verlangt Art. 9 Abs. 3, dass nur bestimmtes Fachpersonal mit gesetzlicher Schweigepflicht diese Daten verarbeiten darf.

***

## Voraussetzungen [#voraussetzungen]

Damit die Verarbeitung nach lit. h erlaubt ist, müssen **alle drei** Bedingungen erfüllt sein:

* **a)** Die Verarbeitung ist **erforderlich** für einen Gesundheitsversorgungszweck (z. B. Diagnostik, Behandlung, Arbeitsmedizin)
* **b)** Es gibt eine **gesetzliche Grundlage** im nationalen oder EU-Recht für die Verarbeitung
* **c)** Die Verarbeitung erfolgt durch **Fachpersonal mit gesetzlicher Schweigepflicht** (Art. 9 Abs. 3) – gilt, wenn **x** und **y**:
  * **x:** Es handelt sich um eine der erfassten Berufsgruppen (Arzt, Zahnarzt, Psychotherapeut, Apotheker, Pflegepersonal)
  * **y:** Die Schweigepflicht ist **gesetzlich oder standesrechtlich** verankert – gilt, wenn **y1** oder **y2**:
    * **y1:** Die Person ist selbst Berufsgeheimnisträger (z. B. Arzt nach § 203 StGB)
    * **y2:** Die Person arbeitet **unter Verantwortung** eines Berufsgeheimnisträgers (z. B. Krankenhausverwaltung unter ärztlicher Leitung)

<Mermaid
  chart="flowchart TD
    GD[&#x22;Gesundheitsdaten\nverarbeiten&#x22;] --> F1{&#x22;a) Erforderlich für\nlit. h Zweck?&#x22;}
    F1 -->|Nein| X[&#x22;❌ lit. h nicht anwendbar&#x22;]
    F1 -->|Ja| F2{&#x22;b) Gesetzliche\nGrundlage vorhanden?&#x22;}
    F2 -->|Nein| X
    F2 -->|Ja| F3{&#x22;c) Berufsgeheimnisträger\noder unter dessen\nVerantwortung?&#x22;}
    F3 -->|Nein| X
    F3 -->|Ja| F4{&#x22;Art. 6 Abs. 1\nerfüllt?&#x22;}
    F4 -->|Nein| X
    F4 -->|Ja| OK[&#x22;✅ Rechtmäßige\nVerarbeitung&#x22;]"
/>

***

## I. Für welche Zwecke gilt lit. h? [#i-für-welche-zwecke-gilt-lit-h]

| Zweck                   | Beispiel                                                |
| ----------------------- | ------------------------------------------------------- |
| Medizinische Diagnostik | Speichern von Diagnosedaten in der Patientenakte        |
| Behandlung              | Weitergabe von Befunden zwischen Ärzten desselben Teams |
| Gesundheitsvorsorge     | Impfdokumentation, Vorsorgeuntersuchungen               |
| Arbeitsmedizin          | Eignungsuntersuchungen durch den Betriebsarzt           |
| Systemverwaltung        | Abrechnung von Krankenkassenleistungen                  |

**Nicht** von lit. h erfasst:

* Verarbeitung zu **Forschungszwecken** → dafür gilt lit. j
* Verarbeitung zu **Marketingzwecken** → keine Ausnahme vorhanden
* Verarbeitung durch **Versicherungen** → nur wenn direkter Versorgungsbezug besteht

***

## II. Was bedeutet „erforderlich"? [#ii-was-bedeutet-erforderlich]

Die Verarbeitung darf nur im **notwendigen Mindestmaß** stattfinden. Wenn es ein milderes Mittel gibt, das denselben Zweck erreicht, muss dieses genutzt werden.

***

## III. Welche gesetzliche Grundlage braucht man? [#iii-welche-gesetzliche-grundlage-braucht-man]

In Deutschland erfüllen zum Beispiel folgende Vorschriften die Anforderung:

| Gesetz                        | Inhalt                                             |
| ----------------------------- | -------------------------------------------------- |
| § 22 Abs. 1 Nr. 1 lit. b BDSG | Gesundheitsversorgung allgemein                    |
| § 630f BGB                    | Dokumentationspflicht in der Patientenakte         |
| §§ 295 ff. SGB V              | Abrechnung in der gesetzlichen Krankenversicherung |
| Krankenhausgesetze der Länder | Stationäre Versorgung                              |

***

## IV. Wer darf die Daten verarbeiten? (Art. 9 Abs. 3) [#iv-wer-darf-die-daten-verarbeiten-art-9-abs-3]

Art. 9 Abs. 3 stellt eine **personale Zusatzvoraussetzung** auf: Gesundheitsdaten nach lit. h dürfen nur durch **Fachpersonal mit gesetzlicher Schweigepflicht** verarbeitet werden – oder unter deren Verantwortung.

| Berufsgruppe          | Schweigepflicht                               |
| --------------------- | --------------------------------------------- |
| Ärzte                 | § 203 StGB, Berufsordnung                     |
| Zahnärzte             | § 203 StGB, Berufsordnung                     |
| Psychotherapeuten     | § 203 StGB                                    |
| Apotheker             | Berufsordnung                                 |
| Pflegepersonal        | § 203 StGB (bei entsprechender Qualifikation) |
| Krankenhausverwaltung | Nur unter ärztlicher Verantwortung            |

> **Wichtig:** Eine rein vertragliche Vertraulichkeitsverpflichtung (z. B. NDA) reicht **nicht** aus. Die Schweigepflicht muss gesetzlich oder standesrechtlich verankert sein.

### IT-Dienstleister im Gesundheitswesen [#it-dienstleister-im-gesundheitswesen]

Ein IT-Dienstleister hat selbst keine Schweigepflicht. Er darf trotzdem tätig werden – aber nur, wenn:

* Der **Verantwortliche** (z. B. das Krankenhaus) als Geheimnisträger die Gesamtverantwortung trägt
* Der IT-Dienstleister **unter Aufsicht und Weisung** des Verantwortlichen handelt

***

## V. Abgrenzung zu lit. i (öffentliche Gesundheit) [#v-abgrenzung-zu-lit-i-öffentliche-gesundheit]

|              | lit. h                                             | lit. i                                 |
| ------------ | -------------------------------------------------- | -------------------------------------- |
| Fokus        | Individuelle Versorgung des einzelnen Patienten    | Bevölkerungsbezogene Maßnahmen         |
| Beispiele    | Diagnose, Behandlung, Therapie                     | Seuchenbekämpfung, Epidemieüberwachung |
| Kumulierbar? | Ja – beide Tatbestände können gleichzeitig greifen | Ja                                     |

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Darf der Arzt meine Daten an einen anderen Arzt weitergeben?**
Ja – wenn es zur Behandlung erforderlich ist und beide Berufsgeheimnisträger sind.

**Darf die Krankenhasverwaltung meine Patientenakte lesen?**
Nur soweit dies unter ärztlicher Verantwortung und für die Versorgung erforderlich ist.

**Was ist mit Forschung am Krankenhaus?**
Dafür gilt nicht lit. h, sondern lit. j (Forschung und Statistik) – mit eigenen Anforderungen.

**Braucht das Krankenhaus eine zusätzliche Erlaubnis nach Art. 6?**
Ja. Lit. h ersetzt Art. 6 nicht – beide müssen parallel erfüllt sein.

**Weiter:** [D. Öffnungsklausel](/docs/dsgvo-art9/d-oeffnungsklausel)


# D. Öffnungsklausel (Abs. 4) (/docs/dsgvo-art9/d-oeffnungsklausel)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9).

## Auf einen Blick [#auf-einen-blick]

Art. 9 Abs. 4 erlaubt es den EU-Mitgliedstaaten, für **drei bestimmte Datenkategorien** noch strengere Regeln einzuführen als die DS-GVO selbst. Sie dürfen die DS-GVO also in diesen Bereichen **verschärfen** – aber nicht lockern.

***

## Für welche Datenkategorien gilt Abs. 4? [#für-welche-datenkategorien-gilt-abs-4]

Die Öffnungsklausel gilt nur für diese drei Kategorien:

| Datenkategorie                           | Abs. 4 gilt? |
| ---------------------------------------- | ------------ |
| Rassische/ethnische Herkunft             | ❌ Nein       |
| Politische Meinungen                     | ❌ Nein       |
| Religiöse/weltanschauliche Überzeugungen | ❌ Nein       |
| Gewerkschaftszugehörigkeit               | ❌ Nein       |
| **Genetische Daten**                     | ✅ Ja         |
| **Biometrische Daten**                   | ✅ Ja         |
| **Gesundheitsdaten**                     | ✅ Ja         |
| Sexualleben/sexuelle Orientierung        | ❌ Nein       |

Warum gerade diese drei? Weil sie sich durch technologische Entwicklung besonders schnell verändern – und nationaler Regelungsbedarf daher absehbar war.

<Mermaid
  chart="flowchart LR
    ABS4[&#x22;Art. 9 Abs. 4\nÖffnungsklausel&#x22;]
    ABS4 --> GEN[&#x22;Genetische Daten\n→ z. B. GenDG&#x22;]
    ABS4 --> BIO[&#x22;Biometrische Daten\n→ z. B. Polizeirecht der Länder&#x22;]
    ABS4 --> GES[&#x22;Gesundheitsdaten\n→ z. B. § 22 Abs. 2 BDSG,\n§§ 295 ff. SGB V&#x22;]
    ABS4 -.-|&#x22;Nicht erfasst&#x22;| SONST[&#x22;Rassische Herkunft\nPolitik · Religion\nGewerkschaft\nSexualleben&#x22;]"
/>

***

## Was Mitgliedstaaten auf dieser Grundlage dürfen [#was-mitgliedstaaten-auf-dieser-grundlage-dürfen]

Mitgliedstaaten können auf Grundlage des Art. 9 Abs. 4:

* **Zusätzliche Erlaubnisvoraussetzungen** aufstellen (z. B. behördliche Genehmigung)
* **Zweckbeschränkungen** einführen (z. B. genetische Daten nur für bestimmte medizinische Zwecke)
* **Verarbeitungsverbote** in Teilbereichen anordnen (z. B. genetische Analyse durch Arbeitgeber verboten)
* **Organisationspflichten** vorschreiben (z. B. Trennung genetischer Daten von anderen Daten)
* **Löschfristen** festlegen

### Was sie nicht dürfen [#was-sie-nicht-dürfen]

<Mermaid
  chart="flowchart TD
    MS[&#x22;Nationales Recht\nauf Basis Art. 9 Abs. 4&#x22;]
    MS --> ZUL[&#x22;✅ Erlaubt\n(Verschärfungen)&#x22;]
    MS --> UNZUL[&#x22;❌ Unzulässig&#x22;]
    ZUL --> Z1[&#x22;Zusätzliche Erlaubnisvoraussetzungen&#x22;]
    ZUL --> Z2[&#x22;Zweckbeschränkungen&#x22;]
    ZUL --> Z3[&#x22;Verarbeitungsverbote in Teilbereichen&#x22;]
    UNZUL --> U1[&#x22;Schutzniveau der DS-GVO absenken&#x22;]
    UNZUL --> U2[&#x22;Nach Art. 9 Abs. 2 verbotene\nVerarbeitungen nachträglich erlauben&#x22;]
    UNZUL --> U3[&#x22;Freien Datenverkehr in der EU behindern&#x22;]"
/>

***

## Was Deutschland geregelt hat [#was-deutschland-geregelt-hat]

Deutschland hat von der Öffnungsklausel in mehreren Gesetzen Gebrauch gemacht:

| Datenkategorie     | Gesetz                                | Wesentlicher Inhalt                                                          |
| ------------------ | ------------------------------------- | ---------------------------------------------------------------------------- |
| Genetische Daten   | Gendiagnostikgesetz (GenDG)           | Verbot ohne Einwilligung; besondere Einwilligungsform; Recht auf Nichtwissen |
| Gesundheitsdaten   | § 22 Abs. 2 BDSG                      | Pflicht zu technischen und organisatorischen Schutzmaßnahmen                 |
| Gesundheitsdaten   | §§ 295 ff. SGB V                      | Besondere Abrechnungsregeln für GKV-Daten                                    |
| Biometrische Daten | Polizei- und Ordnungsrecht der Länder | Einsatzbeschränkungen bei biometrischer Erkennung                            |

### Das Gendiagnostikgesetz (GenDG) als wichtigstes Beispiel [#das-gendiagnostikgesetz-gendg-als-wichtigstes-beispiel]

Das GenDG ist strenger als die DS-GVO in folgenden Punkten:

* **Recht auf Nichtwissen** (§ 9 GenDG): Betroffene können die Auskunft über genetische Befunde ablehnen
* **Qualifizierte Einwilligung** (§ 8 GenDG): Strengere Anforderungen als nach Art. 7 DS-GVO
* **Diskriminierungsverbot** (§§ 18–21 GenDG): Arbeitgeber und Versicherungen dürfen weder genetische Tests verlangen noch deren Ergebnisse nutzen
* **Arztpflicht** (§ 7 GenDG): Genetische Untersuchungen zu medizinischen Zwecken dürfen nur Ärzte veranlassen

> **Kollisionsregel:** Wo das GenDG strenger ist als die DS-GVO, geht das GenDG vor. Im Zweifel gilt, was für die betroffene Person günstiger ist.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Darf Deutschland die DS-GVO für alle sensiblen Datenkategorien verschärfen?**
Nein – nur für genetische Daten, biometrische Daten und Gesundheitsdaten. Für die anderen Kategorien gibt es keinen nationalen Spielraum nach Abs. 4.

**Kann ein nationales Gesetz eine nach Art. 9 Abs. 2 verbotene Verarbeitung nachträglich erlauben?**
Nein. Art. 9 Abs. 4 erlaubt nur Verschärfungen – nicht das Aufweichen des DS-GVO-Schutzniveaus.

**Gilt das GenDG auch neben der DS-GVO?**
Ja. Beide gelten gleichzeitig. Wenn das GenDG strenger ist, gilt das GenDG. Wenn die DS-GVO strenger ist, gilt die DS-GVO.

**Weiter:** [E. DS-GVO und nationales Recht](/docs/dsgvo-art9/e-nationales-recht)


# E. DS-GVO und nationales Recht (/docs/dsgvo-art9/e-nationales-recht)



Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9).

## Auf einen Blick [#auf-einen-blick]

Die DS-GVO gilt als EU-Verordnung **direkt** in ganz Deutschland – ohne dass der Bundestag sie erst umsetzen muss. Sie hat **Vorrang** vor nationalem Recht. Das BDSG und andere deutsche Gesetze dürfen die DS-GVO nur konkretisieren oder – in bestimmten Bereichen – verschärfen.

***

## I. Wie deutsches Recht neben der DS-GVO stehen darf [#i-wie-deutsches-recht-neben-der-ds-gvo-stehen-darf]

| Art des nationalen Rechts                                          | Zulässig?                               |
| ------------------------------------------------------------------ | --------------------------------------- |
| Konkretisierungen und Ausführungsregeln                            | ✅ Ja, soweit die DS-GVO Spielraum lässt |
| Öffnungsklauselrecht (z. B. über Art. 9 Abs. 4)                    | ✅ Ja, im jeweiligen Rahmen              |
| Strengere Regeln für genetische, biometrische und Gesundheitsdaten | ✅ Ja, nach Art. 9 Abs. 4                |
| Lockerungen des DS-GVO-Schutzniveaus                               | ❌ Nein                                  |

<Mermaid
  chart="flowchart TD
    EU[&#x22;DS-GVO\nhat Vorrang&#x22;]
    EU --> AusfR[&#x22;Ausführungsrecht\nz. B. BDSG §§ 22–28&#x22;]
    EU --> OeffR[&#x22;Öffnungsklauselrecht\nz. B. Art. 9 Abs. 4&#x22;]
    EU --> StrengerR[&#x22;Strengeres nationales Recht\nnur für genetische, biometrische\nund Gesundheitsdaten&#x22;]
    EU --> ErlR[&#x22;Erleichterndes Recht\nNur wo DS-GVO es erlaubt&#x22;]
    OeffR --> GenDG[&#x22;GenDG&#x22;]
    StrengerR --> GenDG
    AusfR --> BDSG[&#x22;BDSG n.F.&#x22;]"
/>

***

## II. Was das BDSG zu Art. 9 regelt [#ii-was-das-bdsg-zu-art-9-regelt]

Das **Bundesdatenschutzgesetz 2018** (BDSG) enthält mehrere Vorschriften, die Art. 9 DS-GVO konkretisieren:

| BDSG-Vorschrift  | Funktion                                                          |
| ---------------- | ----------------------------------------------------------------- |
| § 22 Abs. 1 BDSG | Erlaubnisnormen für Gesundheitsdaten (Umsetzung von lit. b, h, i) |
| § 22 Abs. 2 BDSG | Pflicht zu Schutzmaßnahmen bei allen Art. 9-Daten                 |
| § 23 BDSG        | Weiterverarbeitung besonderer Datenkategorien                     |
| § 26 Abs. 3 BDSG | Einwilligung im Arbeitsverhältnis für besondere Kategorien        |
| § 27 BDSG        | Wissenschaftliche Forschung und Statistik (Umsetzung von lit. j)  |
| § 28 BDSG        | Archivierung im öffentlichen Interesse (Umsetzung von lit. j)     |

### Was § 22 Abs. 2 BDSG verlangt [#was--22-abs-2-bdsg-verlangt]

Wer besondere Datenkategorien verarbeitet, muss **angemessene und spezifische Schutzmaßnahmen** treffen. Das ist keine Empfehlung – es ist Pflicht. Dazu gehören:

* **Technische Maßnahmen:** Verschlüsselung, Pseudonymisierung, Zugangsbeschränkungen
* **Organisatorische Maßnahmen:** Schulungen, interne Richtlinien, Datenschutzbeauftragter
* **Kontrollen:** Protokollierung, regelmäßige Überprüfung

***

## III. Fachgesetze, die besondere Datenkategorien betreffen [#iii-fachgesetze-die-besondere-datenkategorien-betreffen]

Neben dem BDSG gibt es viele weitere deutsche Gesetze, die für sensible Daten relevant sind. Diese gehen dem BDSG als speziellere Gesetze vor:

| Gesetz                        | Bereich                         | Relevante Kategorien              |
| ----------------------------- | ------------------------------- | --------------------------------- |
| GenDG                         | Genetische Diagnostik           | Genetische Daten                  |
| SGB V (§§ 284 ff.)            | Gesetzliche Krankenversicherung | Gesundheitsdaten                  |
| SGB XI (§§ 94 ff.)            | Pflegeversicherung              | Gesundheits- und Pflegedaten      |
| IfSG (§§ 9 ff.)               | Infektionsschutz                | Gesundheitsdaten (Meldepflichten) |
| Krankenhausgesetze der Länder | Stationäre Versorgung           | Gesundheitsdaten                  |
| ArbSchG                       | Arbeitsschutz                   | Gesundheitsdaten (Betriebsarzt)   |

***

## IV. Datenschutz-Folgeabschätzung (DSFA) [#iv-datenschutz-folgeabschätzung-dsfa]

Wer besondere Datenkategorien **in großem Umfang** verarbeitet, muss vorher eine **Datenschutz-Folgeabschätzung** (DSFA) durchführen. Das ist eine systematische Prüfung der Risiken für die betroffenen Personen.

<Mermaid
  chart="flowchart TD
    ART9[&#x22;Verarbeitung\nsensibler Daten&#x22;] --> F1{&#x22;Umfangreiche\nVerarbeitung?&#x22;}
    F1 -->|Ja| DSFA[&#x22;DSFA erforderlich\nArt. 35 Abs. 3 lit. b&#x22;]
    F1 -->|Nein| F2{&#x22;Auf Positivliste\nvon Behörden?&#x22;}
    F2 -->|Ja| DSFA
    F2 -->|Nein| VVT[&#x22;Dokumentation im\nVerarbeitungsverzeichnis\nArt. 30 DS-GVO&#x22;]
    DSFA --> VVT"
/>

### Verzeichnis von Verarbeitungstätigkeiten [#verzeichnis-von-verarbeitungstätigkeiten]

Jede Verarbeitung sensibler Daten muss im **Verarbeitungsverzeichnis** nach Art. 30 DS-GVO dokumentiert werden – auch für kleine Unternehmen. Es gibt hier keine Ausnahme.

### Datenschutzbeauftragter [#datenschutzbeauftragter]

Wer sensible Daten **umfangreich** verarbeitet, muss einen **Datenschutzbeauftragten** benennen. In Deutschland konkretisiert § 38 Abs. 1 BDSG diese Pflicht für private Unternehmen.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Muss ich als kleines Unternehmen auch ein Verarbeitungsverzeichnis führen?**
Ja – für sensible Daten gibt es keine Ausnahme von der Dokumentationspflicht, auch nicht für Kleinstunternehmen.

**Wann brauche ich einen Datenschutzbeauftragten?**
Wenn Sie sensible Daten umfangreich verarbeiten. „Umfangreich" richtet sich nach Menge, Dauer, geographischer Ausdehnung und dem Risiko für Betroffene.

**Was passiert, wenn mein Fachgesetz und die DS-GVO sich widersprechen?**
In der Regel geht die striktere Regelung vor – wenn das Fachgesetz auf Art. 9 Abs. 4 basiert und strenger ist als die DS-GVO, hat es Vorrang. Lockert das Fachgesetz hingegen den DS-GVO-Schutz, ist es unzulässig.

**Zurück zur [Übersicht Art. 9 DS-GVO](/docs/dsgvo-art9)**


# DS-GVO Art. 9 – Besondere Datenkategorien (/docs/dsgvo-art9)



## Auf einen Blick [#auf-einen-blick]

Art. 9 DS-GVO schützt besonders sensible Daten – Daten, die gefährlich werden können, wenn sie in die falschen Hände geraten. Diese Daten heißen **besondere Datenkategorien**.

**Die Grundregel ist einfach:**

> Sensible Daten darf man **grundsätzlich nicht** verarbeiten – außer eine der zehn Ausnahmen aus Art. 9 Abs. 2 trifft zu.

## Voraussetzungen: Wann ist Verarbeitung erlaubt? [#voraussetzungen-wann-ist-verarbeitung-erlaubt]

Damit jemand sensible Daten verarbeiten darf, müssen **alle drei** Bedingungen gleichzeitig erfüllt sein:

* **a)** Die Daten sind wirklich „besondere Datenkategorien" nach Art. 9 Abs. 1
* **b)** Eine der zehn Ausnahmen nach Art. 9 Abs. 2 trifft zu
* **c)** Es gibt außerdem eine normale Erlaubnis nach Art. 6 Abs. 1

<Mermaid
  chart="flowchart TD
    A[&#x22;Sind es sensible Daten?\nArt. 9 Abs. 1&#x22;] -->|Nein| G[&#x22;Nur Art. 6 prüfen&#x22;]
    A -->|Ja| B[&#x22;Greift eine Ausnahme?\nArt. 9 Abs. 2 lit. a–j&#x22;]
    B -->|Nein| X[&#x22;❌ Verboten&#x22;]
    B -->|Ja| C[&#x22;Gibt es auch eine\nErlaubnis nach Art. 6 Abs. 1?&#x22;]
    C -->|Nein| X
    C -->|Ja| OK[&#x22;✅ Erlaubt&#x22;]"
/>

## Was sind sensible Daten? [#was-sind-sensible-daten]

| Kategorie                              | Alltagsbeispiel                                              |
| -------------------------------------- | ------------------------------------------------------------ |
| Rassische oder ethnische Herkunft      | Woher jemand stammt, Hautfarbe                               |
| Politische Meinung                     | Parteimitgliedschaft, Wahlverhalten                          |
| Religion oder Weltanschauung           | Kirche, Atheismus, Veganismus als Lebensphilosophie          |
| Gewerkschaftszugehörigkeit             | Mitglied in ver.di oder IG Metall                            |
| Genetische Daten                       | DNA-Test, Erbkrankheiten                                     |
| Biometrische Daten                     | Fingerabdruck-Scanner, Gesichtserkennung zur Identifizierung |
| Gesundheitsdaten                       | Diagnose, Rezept, Krankenhausaufenthalt                      |
| Sexualleben oder sexuelle Orientierung | Partnerschaft, Orientierung                                  |

## Aufbau dieses Kommentars [#aufbau-dieses-kommentars]

| Abschnitt                                                       | Thema                                  |
| --------------------------------------------------------------- | -------------------------------------- |
| [A. Allgemeines](/docs/dsgvo-art9/a-allgemeines)                | Was die Norm will und wie sie entstand |
| [B. Das Verbot](/docs/dsgvo-art9/b-verbotstatbestand)           | Was genau verboten ist und warum       |
| [B.III Die Kategorien](/docs/dsgvo-art9/b-kategorien)           | Jede sensible Datenkategorie erklärt   |
| [C. Ausnahmen – Überblick](/docs/dsgvo-art9/c-ausnahmen)        | Die zehn Ausnahmen im Überblick        |
| [C – Einwilligung](/docs/dsgvo-art9/c-einwilligung)             | Wann eine Einwilligung ausreicht       |
| [C – Gesundheitsbereich](/docs/dsgvo-art9/c-gesundheitsbereich) | Sonderregeln für Ärzte und Kliniken    |
| [D. Öffnungsklausel](/docs/dsgvo-art9/d-oeffnungsklausel)       | Was Deutschland zusätzlich regeln darf |
| [E. Deutsches Recht](/docs/dsgvo-art9/e-nationales-recht)       | BDSG und andere deutsche Gesetze       |

## Der Gesetzestext – einfach erklärt [#der-gesetzestext--einfach-erklärt]

**Abs. 1 – Das Verbot:**
Es ist verboten, Daten zu verarbeiten, die zeigen, welcher Herkunft, politischen Meinung, Religion oder Weltanschauung jemand angehört, ob jemand in einer Gewerkschaft ist, oder die genetische Merkmale, biometrische Merkmale zur Identifizierung, den Gesundheitszustand oder das Sexualleben bzw. die sexuelle Orientierung betreffen.

**Abs. 2 – Die Ausnahmen (lit. a–j):**
Das Verbot gilt nicht, wenn einer der zehn Gründe zutrifft – zum Beispiel: die Person hat eingewilligt, es ist medizinisch notwendig oder es dient der Wissenschaft.

**Abs. 3 – Sonderregel Gesundheit:**
Bei der Ausnahme für medizinische Zwecke (lit. h) darf nur Fachpersonal mit gesetzlicher Schweigepflicht die Daten verarbeiten – zum Beispiel Ärzte oder Apotheker.

**Abs. 4 – Nationaler Spielraum:**
EU-Länder dürfen für genetische Daten, biometrische Daten und Gesundheitsdaten noch strengere Regeln einführen.

## Was passiert bei Verstößen? [#was-passiert-bei-verstößen]

Wer Art. 9 verletzt, riskiert ein Bußgeld von bis zu **20 Millionen Euro** oder **4 % des weltweiten Jahresumsatzes** – je nachdem, was höher ist.

***

## Häufige Fragen (FAQ) [#häufige-fragen-faq]

**Was sind „besondere" Datenkategorien?**
Daten, bei denen das Missbrauchsrisiko besonders hoch ist – weil sie über Identität, Körper, Überzeugungen oder Intimleben einer Person Auskunft geben.

**Reicht eine normale Erlaubnis nach Art. 6?**
Nein. Man braucht immer beides: eine Erlaubnis nach Art. 6 **und** eine Ausnahme nach Art. 9 Abs. 2.

**Was ist, wenn ich aus Versehen sensible Daten erfasse?**
Das Verbot gilt trotzdem – solange die Daten objektiv sensible Informationen enthalten.

**Gilt Art. 9 nur für Unternehmen?**
Nein, für alle, die Daten verarbeiten: Firmen, Arztpraxen, Vereine, Behörden und Privatpersonen (soweit die DS-GVO für sie gilt).


# AB Tasty und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/ab-tasty-datenschutzerklaerung)



# AB Tasty und Datenschutz – Was in die Datenschutzerklärung gehört [#ab-tasty-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

AB Tasty ist eine Experimentation- und Personalisierungsplattform für A/B-Testing, Multivariate-Tests und Feature-Management. Webseitenbetreiber integrieren das System über einen JavaScript-Tag und verwenden es zur Optimierung von Nutzerreisen durch datengestützte Experimente. Für deutsche Websites und Datenschutzerklärungen ist eine fundierte Auseinandersetzung mit den Verarbeitungsprozessen, der Rechtsgrundlage und den Pflichtangaben erforderlich.

## A. Zweck und Funktionsweise von AB Tasty [#a-zweck-und-funktionsweise-von-ab-tasty]

AB Tasty ist eine Digital-Experience-Optimization-Plattform, die drei Funktionsbereiche vereint: klassisches A/B-Testing (auch: Multivariate-Testing, Split-URL-Tests), Personalisierung und Feature-Management via Feature-Flags.

**A/B-Testing und Personalisierung:** Websitebetreiber definieren Zielgruppen, Testgruppen und Varianten ihrer Website oder Anwendung. AB Tasty bestimmt für jeden Besucher, welche Variante dieser sieht, und misst Interaktionen und Conversions. Der Unterschied zur klassischen Webanalyse (z.B. Google Analytics): AB Tasty zeigt verschiedenen Nutzergruppen unterschiedliche Inhalte und misst gezielt, welche Variante besser performt – also nicht nur, was Nutzer tun, sondern **wie sie auf verschiedene Änderungen reagieren**.

**Feature-Flags und Rollouts:** AB Tasty ermöglicht es, neue Funktionen kontrolliert an einen Teil der Nutzer auszurollen (Progressive Rollout) oder für bestimmte Segmente verfügbar zu machen.

**JavaScript-Integration:** Um zu funktionieren, wird ein JavaScript-Tag auf der Website eingebunden. Dieser Tag lädt automatisch beim Seitenaufruf und kommuniziert mit AB Tastys Servern. Der Tag speichert Daten lokal im Browser (Cookie oder Local Storage) und sendet Informationen an die Datensammlung-Endpunkte von AB Tasty (z.B. ariane.abtasty.com).

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Nach Art. 13 Abs. 1 DSGVO (oder Art. 14 für nicht direkt erhobene Daten) müssen Verantwortliche Betroffene umfassend informieren. Für AB Tasty und ähnliche Tracking-Tools sind folgende Pflichtangaben zentral:

* **Identität und Kontaktdaten des Verantwortlichen** (Art. 13 Abs. 1 lit. a): der Webseitenbetreiber selbst
* **Zwecke der Verarbeitung** (Art. 13 Abs. 1 lit. c): Ausspielen von Testvarianten, Messung von Conversions, Erstellung von Nutzerprofilen zur Personalisierung
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. e): oft Art. 6 Abs. 1 lit. a (Einwilligung, insofern Cookies im Spiel sind), in Einzelfällen Art. 6 Abs. 1 lit. b oder f
* **Empfänger/Auftragsverarbeiter** (Art. 13 Abs. 1 lit. e): AB Tasty SAS (Frankreich) als Auftragsverarbeiter, ggf. Subprozessoren (AWS, Google Cloud)
* **Speicherdauer und Löschung** (Art. 13 Abs. 1 lit. e): z.B. Cookie-Dauer (oft 365 Tage), Speicherdauer auf Servern, automatische Löschung
* **Betroffenenrechte** (Art. 13 Abs. 2 lit. a–f): Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch, automatisierte Entscheidungsfindung

Ein bloßer Textbaustein aus Cookie-Plugins oder Muster-Datenschutzerklärungen ist **nicht ausreichend**, da diese oft zu generisch sind und nicht die spezifischen Datenflüsse und Konfigurationen der Website berücksichtigen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Name und Adresse:**

* AB Tasty SAS
* 8 Rue Sainte-Cécile, 75009 Paris, Frankreich
* Registernummer: Paris B 518 685 540
* USt-IdNr.: FR92518685540
* E-Mail (Datenschutz): [dpo@abtasty.com](mailto:dpo@abtasty.com)
* Telefon: +33 (0)1 84 17 87 52
* **Website:** [https://www.abtasty.com](https://www.abtasty.com)

**Jurisdiktion und Datenschutz:**
AB Tasty SAS ist ein in Frankreich (EWR) ansässiges Unternehmen. Als Auftragsverarbeiter unterliegt es der DSGVO. Frankreich ist ein EWR-Land; es gibt daher keine Bedenken bezüglich eines Drittlandtransfers zu AB Tasty selbst. Allerdings kann AB Tasty Subprozessoren (z.B. AWS mit Rechenzentren außerhalb der EU) einsetzen.

**Privacy Policy und Dokumentation:**

* Allgemeine Privacy Policy: [https://www.abtasty.com/privacy-policy/](https://www.abtasty.com/privacy-policy/)
* GDPR-Compliance: [https://www.abtasty.com/gdpr-compliant/](https://www.abtasty.com/gdpr-compliant/)
* Customer Personal Data Processing: [https://www.abtasty.com/customer-personal-data-processing/](https://www.abtasty.com/customer-personal-data-processing/)
* Technische Dokumentation (Cookies, Consent): [https://docs.abtasty.com/](https://docs.abtasty.com/)

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

<Steps>
  <Step>
    **Erhebung und Initialisierung**

    Beim Laden einer Seite wird der AB-Tasty-JavaScript-Tag ausgeführt. Der Tag generiert eine Besucher-ID (16 alphanumerische Zeichen, gehashed) und speichert diese in einem ABTasty-Cookie oder Local Storage. Parallel werden Daten wie der aktuelle Seitenaufruf, Device-Informationen und Browser-Details lokal erfasst.
  </Step>

  <Step>
    **Speicherung (Client-Side)**

    Der Browser speichert alle gesammelten Daten lokal in einem Cookie (max. 3900 Bytes) oder in Local Storage. Der Cookie hat eine typische Lebensdauer von etwa 365 Tagen, kann aber konfiguriert werden.
  </Step>

  <Step>
    **Datenübertragung (Server-Side)**

    Die Daten werden an AB Tastys Server (z.B. ariane.abtasty.com) übertragen. Die Infrastruktur nutzt AWS und Google Cloud mit ISO 27001 und SOC 2-Zertifizierungen.
  </Step>

  <Step>
    **Verarbeitung und Variation-Zuweisung**

    Auf Basis der Visitor-ID und ggf. Segment-Zuordnung berechnet AB Tasty, welche Test-Variante dieser Besucher sehen soll, und sendet diese Information an den Browser zurück. Der JavaScript-Tag passt die Seite entsprechend an.
  </Step>

  <Step>
    **Messung und Reporting**

    Alle Interaktionen (Klicks, Conversions, definierte Events) werden erfasst und an AB Tasty gesendet. Der Webseitenbetreiber kann diese Daten im AB-Tasty-Dashboard analysieren. Consent-Informationen (Datum, Uhrzeit, Modus) werden 13 Monate gespeichert.
  </Step>

  <Step>
    **Löschung und Retention**

    Cookies und Sessions verfallen nach ihrer konfigurierten Lebensdauer. IP-Adressen werden laut AB Tastys Aussagen sofort gelöscht und nicht dauerhaft gespeichert. Andere Daten werden nach den Aufbewahrungsrichtlinien in der DPA gelöscht.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

AB Tasty erhebt eine Kombination technischer, Verhaltens- und Profil-Daten:

* **Besucher-Identifikation (gehashed):** Eindeutige Visitor-ID (16 Zeichen, gehashed), um Besucher über mehrere Seitenaufrufe zu erkennen
* **Netzwerk-Daten:** IP-Adresse des Besuchers; laut AB Tasty werden diese sofort gelöscht und nicht persistent gespeichert
* **Zeitstempel:** Datum und Uhrzeit von Seitenaufrufen und Ereignissen
* **Seitenaufrufe und Navigation:** URL der besuchten Seite, Referrer, Page-Path
* **Klickpfade:** Welche Elemente der Besucher angeklickt hat (falls Action-Tracking aktiviert)
* **Geräte- und Browser-Informationen:** Geräteart (Desktop, Tablet, Mobil), Betriebssystem, Browser-Name, Browser-Version, Screen-Größe
* **Grobe Standortdaten:** Aus der IP-Adresse abgeleitete Location (Region, Land)
* **Segment-Zuordnung:** AB Tasty weist Besucher Segmenten zu (z.B. „Premium-Nutzer", „Neuer Besucher") auf Basis von Verhaltensregeln oder First-Party-Daten
* **Test- und Varianten-Zuordnung:** Welche Test-ID und welche Variante der Besucher sieht
* **Conversion-Ereignisse:** Vordefinierte Ziel-Events (z.B. Kauf, Newsletter-Anmeldung, Download)
* **Interaktionsdaten:** Scrollverhalten, Verweildauer, Engagement-Metriken
* **Ggf. Custom-Events:** Websitebetreiber können beliebige Events (z.B. „Video gestartet", „Formular eingeleitet") tracken

**Hinweis:** Diese Daten werden dem Auftragsverarbeiter AB Tasty bereitgestellt; der Websitebetreiber bleibt der Verantwortliche und bestimmt, **welche** Daten erhoben und zu **welchem Zweck** sie verarbeitet werden.

## F. Nutzungszwecke [#f-nutzungszwecke]

AB Tasty verarbeitet die Daten zu folgenden Zwecken:

* **Funktionsbereitstellung:** Ausspielen der korrekten Test-Variante an den richtigen Besucher; technisches Funktionieren von Experimenten und Feature-Flags
* **Allgemeine Produktverbesserung:** Auswertung und Analyse der Test-Ergebnisse, um UX und Konversionsrate zu optimieren
* **Nutzerprofil-Erstellung:** Automatische Segmentierung von Besuchern auf Basis ihres Verhaltens oder von First-Party-Daten, z.B. zum Erreichen bestimmter Zielgruppen in zukünftigen Tests
* **Nutzerindividuelle Produktverbesserung:** Personalisierte Inhalte, Empfehlungen oder Angebote basierend auf den Nutzerprofilen
* **Sicherheit und Betriebsstabilität:** Überwachung und Verbesserung der Plattformsicherheit
* **Ggf. Consent-Management:** Speicherung und Verwaltung von Consent-Status für 13 Monate

Websitebetreiber sollten in ihrer Datenschutzerklärung präzisieren, **welche dieser Zwecke** sie konkret nutzen und welche Segment-Kriterien sie einsetzen.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Rechtsgrundlage(n) für die Verarbeitung hängen von der konkreten Konfiguration ab:

**Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG):**
Sobald AB Tasty Cookies setzt (was in der Regel der Fall ist), sind diese nach dem Telemediengesetz (TDDDG, früher TTDSG) in Deutschland **nicht technisch notwendig**. Das bedeutet: Für einen Cookie-basierten Track von Besucher-ID, Klickpfaden und Conversions ist **Einwilligung erforderlich**. Diese Einwilligung muss vor dem Setzen des Cookies eingeholt werden (Opt-in-Prinzip). Ein Cookie-Banner mit „Akzeptieren"-Button ist daher obligatorisch.

**Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – Ausnahmefall:**
In seltenen Fällen könnte ein Websitebetreiber argumentieren, dass A/B-Testing zum Betrieb und zur Verbesserung seiner Website notwendig ist und daher unter berechtigte Interessen fällt. Diese Sichtweise wird in der Praxis sehr kritisch bewertet und ist nicht die Regel. Besser: explizite Einwilligung einholen.

**Vertragserfüllung (Art. 6 Abs. 1 lit. b) – ggf. B2B:**
Für B2B-Kontext (z.B. wenn eine Agentur das AB Tasty für einen Kunden einsetzt) könnte Vertragserfüllung relevant sein, aber auch hier muss der Endbesucher einwilligen.

**Fazit für die Praxis:** Die sichere und am häufigsten anzuwendende Rechtsgrundlage ist **Einwilligung**.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Auftragsverarbeitung und Datenverarbeitungsvertrag (AVV):**
AB Tasty fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Websitebetreiber als Verantwortlicher muss mit AB Tasty einen schriftlichen Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA) abschließen. Dieser sollte u.a. folgende Inhalte haben:

* Verarbeitungsgegenstand und -umfang
* Art, Kontext, Umfang und Zwecke der Verarbeitung
* Zusicherung technischer und organisatorischer Maßnahmen (Standard Contractual Clauses, Verschlüsselung, Zugriffskontrolle)
* Regelungen zu Subprozessoren

Die DPA kann bei AB Tasty angefordert werden ([dpo@abtasty.com](mailto:dpo@abtasty.com)). Die Standardverträge sind oft auf der Website verfügbar oder werden auf Anfrage bereitgestellt.

**Drittlandtransfer und Subprozessoren:**
AB Tasty selbst sitzt in Frankreich (EWR), hat aber Subprozessoren:

* **AWS:** Betreibt Infrastruktur in mehreren Regionen weltweit, teils außerhalb der EU (z.B. USA). Für Transfers in die USA gelten die Standard Contractual Clauses (SCCs) bzw. ggf. nationale Anpassungen.
* **Google Cloud:** Ähnlich, mit weltweiten Rechenzentren.

Der Websitebetreiber sollte sich informieren, in welchen Regionen seine Daten gespeichert werden. Im schlimmsten Fall können Daten in die USA übertragen werden, was eine zusätzliche rechtliche Bewertung (EU-US Data Privacy Framework, SCCs) erfordert.

**Cookie-Consent-Integration und Consent-Mode:**
AB Tasty bietet verschiedene Consent-Optionen:

* **Consent-basiert:** Der Tag wartet, bis der Nutzer dem Cookie zugestimmt hat, bevor er vollständig initialisiert wird.
* **Consent-Mode:** Die Cookie-Richtlinie kann so konfiguriert werden, dass AB Tasty erst nach Consent reagiert und vorher nicht alle Funktionen nutzt.

Der Websitebetreiber sollte sein Cookie-Banner (z.B. Consentmanager, Cookiebot, OneTrust) so konfigurieren, dass AB Tasty-Cookies unter die Kategorie „Marketing" oder „Statistiken" fallen und erst nach Einwilligung gesetzt werden.

**Opt-Out und Datenschutzeinstellungen:**
AB Tasty bietet Nutzern ein Opt-Out-Fenster / Opt-Out-iFrame, über das sie ihre Teilnahme an Tests ablehnen können. Dies sollte dokumentiert oder verlinkt sein. Zudem können Besucher verlangen, dass ihre Daten gelöscht werden (Art. 17 GDPR).

**IP-Adressen:**
AB Tasty teilt mit, dass IP-Adressen **nicht gespeichert**, sondern sofort gelöscht werden. Dies ist datenschutzfreundlich, schränkt aber Funktionen (z.B. Geo-Targeting) ein. Der Websitebetreiber sollte versuchen zu klären, ob und wie lange IP-Adressen vorübergehend vorliegen.

## I. Häufige Fragen zu AB Tasty und Datenschutz [#i-häufige-fragen-zu-ab-tasty-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist AB Tasty?">
    AB Tasty ist eine Experimentation- und Personalisierungsplattform, mit der Webseitenbetreiber A/B-Tests durchführen, Nutzer segmentieren und Inhalte personalisieren können. Das System wird per JavaScript-Tag auf der Website integriert und sammelt Daten über Besucher-IDs, Seitenaufrufe, Klicks und definierte Conversion-Events. Die Plattform nutzt Cloud-Infrastruktur (AWS, Google Cloud) und ist nach ISO 27001 und SOC 2 zertifiziert.
  </Accordion>

  <Accordion title="Welche personenbezogenen Daten erhebt AB Tasty?">
    AB Tasty erhebt Besucher-IDs (gehashed), Seitenaufrufe, Klickpfade, Device- und Browser-Daten, zeitgestempel, grobe Standortdaten (aus IP), Segment-Zuordnungen, Test-Varianten-Zuweisungen und Conversion-Events. Auch Scrollverhalten und Interaktionsmetriken können erfasst werden. Laut Anbieter werden IP-Adressen nicht langfristig gespeichert. Allerdings hängt der genaue Umfang von der Website-Konfiguration und den Custom-Events ab.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für AB Tasty?">
    In den meisten Fällen ist &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a GDPR i.V.m. § 25 Abs. 1 TDDDG)** erforderlich, da AB Tasty Cookies setzt, die nicht technisch notwendig sind. Der Websitebetreiber muss Besucher vor dem Setzen der Cookies über ein Cookie-Banner informieren und ihre explizite Zustimmung einholen. Einwilligungen müssen dokumentiert und 13 Monate lang gespeichert werden. Ein pauschales „Berechtigtes Interesse" wird von Datenschutzbehörden kritisch bewertet.
  </Accordion>

  <Accordion title="Ist ein Datenverarbeitungsvertrag (AVV/DPA) mit AB Tasty notwendig?">
    Ja, absolut. AB Tasty fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Websitebetreiber (als Verantwortlicher) muss mit AB Tasty einen schriftlichen Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA) abschließen. Dieser regelt die Bedingungen, unter denen AB Tasty Daten im Auftrag verarbeitet. Die DPA ist bei AB Tasty erhältlich ([dpo@abtasty.com](mailto:dpo@abtasty.com)).
  </Accordion>

  <Accordion title="Sollte ich einen generischen Textbaustein oder einen Generator nutzen?">
    Generische Textbausteine sind nicht ausreichend. Sie berücksichtigen nicht die spezifische Konfiguration von AB Tasty auf deiner Website, die Subprozessoren, die Speicherdauer der Cookies oder deine individuellen Segment-Kriterien. Ein Privacy-Policy-Generator kann als Vorlage helfen, muss aber angepasst werden. Besser ist es, die Datenschutzerklärung selbst zu schreiben oder durch einen Datenschutzbeauftragten/Rechtsanwalt prüfen zu lassen.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

AB Tasty ist ein mächtiges Werkzeug für datengestützte Optimierung, erfordert aber eine sorgfältige Datenschutzdokumentation. Die wichtigsten Punkte für die Datenschutzerklärung sind:

1. **Identität von AB Tasty SAS** (Paris, Frankreich) und Kontaktdaten ([dpo@abtasty.com](mailto:dpo@abtasty.com))
2. **Konkrete Zwecke:** A/B-Testing, Personalisierung, Segment-Erstellung – nicht nur „Analyse"
3. **Erhobene Daten:** Visitor-ID, Klickpfade, Device-Daten, Conversion-Events – präzise aufzählen
4. **Rechtsgrundlage:** Einwilligung (Art. 6 Abs. 1 lit. a + § 25 Abs. 1 TDDDG)
5. **Auftragsverarbeiter und AVV:** AB Tasty als Processor, schriftlicher DPA erforderlich
6. **Speicherdauer:** Cookie-Lebensdauer (z.B. 365 Tage), Consent-Speicherung (13 Monate)
7. **Betroffenenrechte:** Auskunft, Berichtigung, Löschung, Opt-Out-Möglichkeiten
8. **Subprozessoren:** AWS und Google Cloud, ggf. Drittlandtransfer in die USA (SCCs prüfen)
9. **Cookie-Consent:** Integration mit Cookie-Banner und Consent-Management-System

Ein pauschaler Textbaustein ist nicht ausreichend – der themenorientierte und Website-spezifische Ansatz ist rechtlich sauberer und transparenter.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer.** Dieser Artikel bietet einen Überblick über datenschutzrechtliche Aspekte von AB Tasty und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsberatung. Jede Webseite ist unterschiedlich konfiguriert; daher sollte die Datenschutzerklärung durch einen Datenschutzbeauftragten oder Rechtsanwalt individuell geprüft werden. Stand: April 2026.
</Callout>

<AuthorBlock />


# ActiveCampaign Site Tracking und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/activecampaign-site-tracking-datenschutzerklaerung)



# ActiveCampaign Site Tracking und Datenschutz – Was in die Datenschutzerklärung gehört [#activecampaign-site-tracking-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Webseitenbetreiber nutzen ActiveCampaign Site Tracking, um Besuche auf ihrer Website mit Kontakten aus ihrem ActiveCampaign-CRM-System zu verknüpfen. Ein JavaScript-Snippet wird auf der Website eingebunden und erfasst Seitenaufrufe, Klicks und Nutzeraktionen. Die Besonderheit: Sobald ein Besucher als bekannter Kontakt (E-Mail-Adresse) identifiziert ist, werden seine anonymen Besuche mit seinem Kontaktdatensatz verknüpft – dies geht über einfache Website-Statistiken hinaus und erfordert eine fundierte datenschutzrechtliche Auseinandersetzung.

## A. Zweck und Funktionsweise von ActiveCampaign Site Tracking [#a-zweck-und-funktionsweise-von-activecampaign-site-tracking]

ActiveCampaign ist eine integrierte Plattform für E-Mail-Marketing, CRM-Systeme und Marketing-Automationen. Site Tracking ist eine spezifische Integrations-Funktion, die separate Website-Besuche mit dem CRM-System verbindet.

**ActiveCampaign als Plattform:** Das System speichert Kontakdaten (E-Mail-Adressen, Namen, Unternehmensangaben, Custom-Felder) in einer zentralen Datenbank. Nutzer können E-Mail-Kampagnen versenden, Lead-Scoring durchführen, Marketing-Automationen definieren und Kontaktverläufe visualisieren.

**Site Tracking als Funktion:** Der Webseitenbetreiber bindet ein JavaScript-Tracking-Snippet auf seiner Website ein. Dieses Snippet wird bei jedem Seitenaufruf geladen und erfasst:

* Welche Seiten besucht werden
* Welche Klicks erfolgen
* Welche vordefinierten Conversion-Ziele erreicht werden (z.B. Button-Klicks, Formular-Absendet)

Das zentrale Merkmal von Site Tracking: &#x2A;*Verknüpfung anonymer Besuche mit bekannten Kontakten.** Wenn ein Besucher sein Tracking-Cookie noch hat und aus irgendeiner Quelle (Form, E-Mail-Klick, CRM-Synchronisation) als Kontakt im ActiveCampaign-System bekannt ist, wird seine Besuchshistorie diesem Kontakt zugeordnet. Dies ermöglicht Marketing-Automationen wie: „Wenn Kontakt Seite X besucht, dann versende E-Mail Y" oder „Lead-Scoring basierend auf Seitenbesuchen."

**Abgrenzung:** Site Tracking ist eine Funktion zur Tracking und Profilerstellung. E-Mail-Marketing, CRM-Kontaktverwaltung und andere Automations-Funktionen von ActiveCampaign werden in diesem Artikel nicht einzeln behandelt.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Nach Art. 13 Abs. 1 DSGVO (oder Art. 14 für nicht direkt erhobene Daten) müssen Verantwortliche Betroffene umfassend informieren. Für ActiveCampaign Site Tracking sind folgende Pflichtangaben zentral:

* **Identität und Kontaktdaten des Verantwortlichen** (Art. 13 Abs. 1 lit. a): der Webseitenbetreiber selbst
* **Zwecke der Verarbeitung** (Art. 13 Abs. 1 lit. c): Tracking von Seitenbesuchen, Verknüpfung mit bekannten Kontakten, Marketing-Automation, Lead-Scoring, Personalisierung
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. e): regelmäßig Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG)
* **Empfänger/Auftragsverarbeiter** (Art. 13 Abs. 1 lit. e): ActiveCampaign, LLC (USA) als Auftragsverarbeiter
* **Speicherdauer und Löschung** (Art. 13 Abs. 1 lit. e): Cookie-Dauer, Kontakt-Löschung, Daten-Löschung
* **Betroffenenrechte** (Art. 13 Abs. 2 lit. a–f): Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch

Ein bloßer generischer Textbaustein ist **nicht ausreichend**, da die Verknüpfung von anonymen Besuchen mit bekannten Kontakten eine datenschutzrechtlich besondere Situation darstellt und Website-spezifische Faktoren (Dauer, Zwecke, Einstellungen) berücksichtigt werden müssen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Name und Adresse:**

* **ActiveCampaign, LLC**
* 1 North Dearborn, Suite 500
* Chicago, Illinois 60602, USA
* E-Mail (Datenschutz): [privacy@activecampaign.com](mailto:privacy@activecampaign.com)
* **Website:** [https://www.activecampaign.com](https://www.activecampaign.com)

**Jurisdiktion und Datenschutz:**
ActiveCampaign, LLC ist ein US-amerikanisches Unternehmen ohne EU-Tochtergesellschaft. Dies bedeutet, dass eine Datenübertragung in die USA erfolgt. ActiveCampaign hat sich zur Einhaltung des &#x2A;*EU-U.S. Data Privacy Framework (DPF)** verpflichtet und ist im DPF-Participant-Verzeichnis eingetragen. Dies ermöglicht EU-Kunden, Daten in die USA zu übertragen, ohne zusätzliche Instrumentarien wie Standard Contractual Clauses (SCCs) einrichten zu müssen – die DPF-Zertifizierung gilt als „adequacy decision".

Allerdings: Die Adäquanz der DPF ist in der EU rechtlich umstritten und wurde in einigen Fällen von Datenschutzbehörden hinterfragt. Der Webseitenbetreiber sollte sich informieren, ob zusätzlich SCCs oder andere Maßnahmen erforderlich sind.

**Privacy Policy und Dokumentation:**

* Allgemeine Privacy Policy: [https://www.activecampaign.com/legal/privacy-policy](https://www.activecampaign.com/legal/privacy-policy)
* GDPR-Informationen: [https://www.activecampaign.com/legal/gdpr](https://www.activecampaign.com/legal/gdpr)
* Data Privacy Framework: [https://www.activecampaign.com/legal/dpf](https://www.activecampaign.com/legal/dpf)
* Data Processing Addendum (DPA): [https://www.activecampaign.com/legal/dpa](https://www.activecampaign.com/legal/dpa)
* Help Center Site Tracking: [https://help.activecampaign.com/hc/en-us/articles/221542267-An-overview-of-Site-Tracking](https://help.activecampaign.com/hc/en-us/articles/221542267-An-overview-of-Site-Tracking)
* GDPR-Compliance im Help Center: [https://help.activecampaign.com/hc/en-us/articles/360000872064-Site-tracking-and-the-GDPR](https://help.activecampaign.com/hc/en-us/articles/360000872064-Site-tracking-and-the-GDPR)

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

<Steps>
  <Step>
    **Initialisierung und Cookie-Setzung**

    Der JavaScript-Tracking-Code wird beim Laden einer Seite ausgeführt. Sofern ein Nutzer dem Tracking zugestimmt hat (oder Tracking ohne Einwilligung konfiguriert ist), setzt der Code ein First-Party-Cookie auf der Website-Domain. Dieses Cookie speichert eine Besucher-ID und ggf. Informationen über den Kontaktstatus.
  </Step>

  <Step>
    **Seitenaufruf-Erfassung**

    Beim Aufruf jeder Seite werden Daten wie URL, Referrer, Zeitstempel und definierte Events (z.B. Button-Klicks) erfasst. Diese werden lokal im Browser gesammelt oder direkt an ActiveCampaign-Server übertragen.
  </Step>

  <Step>
    **Kontakt-Identifikation und Verknüpfung**

    ActiveCampaign versucht, den Besucher als bekannten Kontakt zu identifizieren. Dies geschieht durch:

    * Einen vorhandenen Tracking-Cookie mit bekannter Besucher-ID
    * Eine E-Mail-Adresse, die über ein Formular, einen E-Mail-Link oder CRM-Synchronisation bekannt ist
    * Eine manuelle Aktivierung durch den Webseitenbetreiber (z.B. über ein identifizierndes Feld)

    Sobald ein Kontakt identifiziert ist, werden seine Seitenbesuche dem Kontaktdatensatz im CRM zugeordnet. Der Kontakt sieht dann in seinem CRM-Profil: „Diese Person hat Seite X, Y, Z besucht."
  </Step>

  <Step>
    **Speicherung auf ActiveCampaign-Servern**

    Die Daten werden an die ActiveCampaign-Server in den USA übertragen und dort gespeichert. Die Server-Infrastruktur wird von ActiveCampaign betrieben und unterliegt deren technischen Sicherheitsmaßnahmen.
  </Step>

  <Step>
    **Nutzung in Marketing-Automationen**

    Der Webseitenbetreiber kann automatisierte Workflows (Automationen) definieren, die auf Site-Tracking-Daten reagieren:

    * „Wenn Kontakt auf Produktseite XYZ klickt, starte eine E-Mail-Sequenz"
    * „Wenn Kontakt sich nicht anmeldet, schreibe ein Re-Engagement-Mailing"
    * „Nutze Seitenbesuche für Lead-Scoring und Priorisierung"

    Diese Automationen sind zentral für den Nutzen von Site Tracking.
  </Step>

  <Step>
    **Datenaufbewahrung und Löschung**

    Tracking-Cookies haben eine konfigurierbare Lebensdauer (oft 365 Tage oder mehr). Die Daten auf ActiveCampaign-Servern werden nach den Aufbewahrungsrichtlinien der Datenschutzrichtlinie und des DPA gelöscht. Der Webseitenbetreiber kann Kontakte und ihre Daten manuell löschen (Art. 17 GDPR-Recht auf Vergessenwerden).
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

ActiveCampaign Site Tracking erhebt eine Kombination technischer und Verhaltens-Daten. Das zentrale Merkmal ist die **Verknüpfung anonymer Seitenbesuche mit bekannten Kontakten**:

* **Besucher-ID:** Eindeutige Identifikationsnummer aus dem Tracking-Cookie, um Besuche über mehrere Sessions zu verfolgen
* **Webserver-Protokolldaten:** IP-Adresse des Besuchers, Zeitstempel von Seitenaufrufen
* **Besuchte Seiten:** URL der Seite, Page-Title, ggf. zusätzliche Page-Parameter
* **Referrer:** Herkunftsseite (woher kam der Besucher?)
* **Klickpfade und Navigation:** Sequenz der besuchten Seiten, Reihenfolge von Nutzeraktionen
* **Geräte- und Browser-Daten:** Gerätetyp (Desktop, Mobil, Tablet), Betriebssystem, Browser-Name und -Version
* **Grobe Standortdaten:** Land, Region oder Stadt (aus IP-Adresse abgeleitet)
* **Conversion-Ereignisse:** Vordefinierte Ziel-Events (z.B. Formular-Absendung, Kauf, Download)
* **Custom-Events:** Beliebige vom Webseitenbetreiber definierte Ereignisse (z.B. „Video gestartet", „Warenkorb aktualisiert")
* **Scrollverhalten und Verweildauer:** Wie lange nutzer auf einer Seite verweilt, wie weit sie scrollt (optional)
* **Kontakt-Zuordnung:** Sobald der Besucher als Kontakt im ActiveCampaign-System bekannt ist, wird eine **Verknüpfung** hergestellt zwischen:
  * Der E-Mail-Adresse des Kontakts
  * Der Besuchshistorie (alle vorherigen und zukünftigen Besuche)
  * Dem Kontaktprofil im CRM (Name, Unternehmen, Custom-Felder)

<Callout type="warn">
  **Besonderheit und datenschutzrechtliche Relevanz:** ActiveCampaign Site Tracking verknüpft Webseitenbesuche mit konkreten Kontakten im CRM-System. Sobald ein Besucher als ActiveCampaign-Kontakt identifiziert ist (z.B. durch seine E-Mail-Adresse), werden seine anonymen Seitenbesuche dem Kontakt zugeordnet. Dies geht weit über anonyme Webstatistiken (z.B. Google Analytics) hinaus: Die Daten werden mit einer konkreten Person verknüpft und können zu Profilbildung, Lead-Scoring und automatisierten Marketingmitteilungen führen. Dies erfordert besondere datenschutzrechtliche Aufmerksamkeit, insbesondere bei der Konsent-Einholung und der Dokumentation von Rechtsgrundlagen.
</Callout>

## F. Nutzungszwecke [#f-nutzungszwecke]

ActiveCampaign Site Tracking wird zu folgenden Zwecken verarbeitet:

* **Funktionsbereitstellung und Betrieb:** Technisches Tracking von Webseitenbesuchen, Speicherung im System
* **Marketing-Automatisierung:** Trigger-basierte Workflows, die auf Seitenbesuchen reagieren (z.B. E-Mail nach Seitenbesuch)
* **Lead-Scoring und Priorisierung:** Numerische Bewertung von Leads basierend auf Seitenbesuchen, um Verkaufspriorität zu bestimmen
* **Nutzerprofilbildung:** Erstellung oder Anreicherung von Kontaktprofilen durch Verhaltens- und Besuchsdaten
* **Personalisierung:** Anpassung von Website-Inhalten oder E-Mail-Kampagnen basierend auf Nutzerverhalten
* **Zielgruppen-Segmentierung:** Unterteilung von Kontakten in Gruppen (z.B. „häufige Besucher", „Interessierte im Produkt XYZ") für gezielte Kampagnen
* **Analyse und Reporting:** Auswertung welche Seiten frequentiert werden, welche Kampagnen konvertieren
* **Sicherheit und Betriebsstabilität:** Überwachung der Systemsicherheit und Verhinderung von Missbrauch

Der Webseitenbetreiber sollte in seiner Datenschutzerklärung präzisieren, **welche dieser Zwecke** er konkret nutzt.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten durch Site Tracking hängt von der konkreten Konfiguration ab:

**Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG) – die Regel:**
ActiveCampaign Site Tracking setzt Cookies, die nicht technisch notwendig sind. Nach deutschem Telemediengesetz (TDDDG, früher TTDSG) sind nicht-notwendige Cookies **nicht ohne Einwilligung** zulässig. Das bedeutet: Der Webseitenbetreiber muss ein Cookie-Banner anzeigen, den Nutzer über das Tracking und die Zwecke informieren, und seine explizite Einwilligung einholen (Opt-in-Prinzip). Die Einwilligung muss vor dem Setzen des Cookies erfolgen.

Technisch bedeutet dies: Der ActiveCampaign-Tracking-Code sollte erst nach Consent-Erteilung geladen werden (z.B. über ein Consent-Management-System wie Consentmanager, Cookiebot, OneTrust).

**Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) – kritisch bewertet:**
Einige Webseitenbetreiber argumentieren, dass das Tracking der Website-Optimierung und damit dem legitimen Geschäftsinteresse dient. Diese Argumentation wird von Datenschutzbehörden jedoch sehr kritisch bewertet, besonders wenn es um die Verknüpfung mit Kontakten und Marketing-Automation geht. Diese Rechtsgrundlage ist in der Praxis **nicht empfohlen**.

**Vertragserfüllung (Art. 6 Abs. 1 lit. b) – nur in B2B:**
Falls der Webseitenbetreiber mit dem Nutzer einen Vertrag hat (z.B. SaaS-Abonnement) und das Tracking zur Vertragserfüllung erforderlich ist, könnte Art. 6 Abs. 1 lit. b greifen. Dies ist aber selten und wird im B2C-Kontext nicht angewendet.

**Fazit für die Praxis:** Die sichere und am häufigsten anzuwendende Rechtsgrundlage ist **Einwilligung**. Der Webseitenbetreiber sollte sich auf Art. 6 Abs. 1 lit. a GDPR i.V.m. § 25 Abs. 1 TDDDG stützen und ein Consent-Management-System implementieren.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Auftragsverarbeitung und Datenverarbeitungsvertrag (AVV/DPA):**
ActiveCampaign fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Webseitenbetreiber als Verantwortlicher muss mit ActiveCampaign einen schriftlichen Auftragsverarbeitungsvertrag (AVV) / Data Processing Agreement (DPA) abschließen. Der DPA muss folgende Inhalte haben:

* Verarbeitungsgegenstand und -umfang
* Art, Kontext, Umfang und Zwecke der Verarbeitung
* Garantien für technische und organisatorische Maßnahmen
* Regelungen zu Subprozessoren (sofern ActiveCampaign Dritte beauftragt)
* Verfahren bei Datenpannen

Der DPA ist verfügbar unter [https://www.activecampaign.com/legal/dpa](https://www.activecampaign.com/legal/dpa) und kann über das ActiveCampaign-Konto oder via [privacy@activecampaign.com](mailto:privacy@activecampaign.com) angefordert werden.

**Drittlandtransfer und Data Privacy Framework:**
ActiveCampaign sitzt in den USA (Chicago, Illinois). Dies bedeutet ein **Drittlandtransfer personenbezogener Daten in die USA** gemäß Art. 44 ff. GDPR. ActiveCampaign hat sich zur Einhaltung des &#x2A;*EU-U.S. Data Privacy Framework (DPF)** verpflichtet und ist im DPF-Participant-Verzeichnis ([https://www.dataprivacyframework.gov](https://www.dataprivacyframework.gov)) eingetragen. Die DPF-Zertifizierung gilt rechtlich als „adequacy decision" und ermöglicht Datentransfers ohne zusätzliche Instrumentarien.

**Hinweis:** Die rechtliche Geltung der DPF ist in der EU und innerhalb der Datenschutzbehörden umstritten. Einige Behörden und Datenschutzbeauftragte empfehlen zusätzlich, Standard Contractual Clauses (SCCs) oder andere Maßnahmen zu prüfen. Der Webseitenbetreiber sollte seine lokale Datenschutzbehörde oder einen Rechtsanwalt konsultieren.

**Aktivierung und GDPR-Tools in ActiveCampaign:**

* Site Tracking ist in ActiveCampaign **nicht standardmäßig aktiv** und muss explizit aktiviert werden.
* Der JavaScript-Tracking-Code muss auf der Website eingebunden werden.
* ActiveCampaign bietet GDPR-Konfigurationen im Konto, z.B. zur Deaktivierung von Tracking oder zum Setzen von Datenschutzflags.
* Der Webseitenbetreiber sollte diese Einstellungen prüfen und konfigurieren.

**Einstellungen und Kontrollmöglichkeiten:**

* **Tracking aktivieren/deaktivieren:** Der Webseitenbetreiber kann Tracking in seinem ActiveCampaign-Konto unter „Tracking" → „Site Tracking" verwalten.
* **Cookie-Consent-Mode:** ActiveCampaign wartet (bei richtiger Konfiguration), bis ein Nutzer Cookies akzeptiert hat, bevor Tracking startet.
* **Opt-Out-Möglichkeiten:** Nutzer sollten die Möglichkeit haben, Tracking zu deaktivieren (z.B. über ein Opt-Out-iFrame oder Cookie-Manager-Einstellung).
* **Betroffenenrechte:** Nutzer können Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) ihrer Daten verlangen.

**Besonderheit: Identifizierung durch Kontakt-Verknüpfung:**
Site Tracking hat eine Besonderheit: Ein Besucher muss zuerst ein **Tracking-Cookie** haben, AND als **bekannter Kontakt** im CRM-System identifizieren sein, damit eine Verknüpfung erfolgt. Isolierte anonyme Besuche bleiben zunächst anonym – erst wenn der Nutzer z.B. ein Formular ausfüllt oder auf einen E-Mail-Link klickt und als Kontakt bekannt wird, erfolgt die Verknüpfung. Dies sollte in der Datenschutzerklärung erklärt werden.

## I. Häufige Fragen zu ActiveCampaign Site Tracking und Datenschutz [#i-häufige-fragen-zu-activecampaign-site-tracking-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist ActiveCampaign Site Tracking?">
    ActiveCampaign Site Tracking ist eine Integrations-Funktion der ActiveCampaign-Plattform (USA), die Webseitenbesuche mit Kontakten im CRM-System verknüpft. Ein JavaScript-Tracking-Snippet wird auf der Website eingebunden und erfasst Seitenaufrufe, Klicks und vordefinierte Events. Die Besonderheit: Sobald ein Besucher als bekannter Kontakt identifiziert ist (z.B. durch seine E-Mail-Adresse), werden seine Seitenbesuche dem Kontaktdatensatz zugeordnet. Dies ermöglicht Marketing-Automationen wie „Wenn Kontakt Seite XYZ besucht, versende E-Mail ABC".
  </Accordion>

  <Accordion title="Welche personenbezogenen Daten erhebt ActiveCampaign Site Tracking?">
    Site Tracking erhebt: Besucher-IDs (Cookies), Seitenaufrufe (URLs, Referrer), Klickpfade, Geräte- und Browser-Daten, Zeitstempel, grobe Standortdaten (aus IP), vordefinierte Conversion-Events und Custom-Events. Besonders relevant: sobald ein Besucher als Kontakt im CRM identifiziert ist, wird eine Verknüpfung zwischen der E-Mail-Adresse und der gesamten Besuchshistorie hergestellt. Ferner können Lead-Scoring-Punkte, Segment-Zuordnungen und Profil-Anreicherungen erfolgen.
  </Accordion>

  <Accordion title="Ist Einwilligung für ActiveCampaign Site Tracking erforderlich?">
    Ja. Site Tracking setzt Cookies, die nicht technisch notwendig sind. Nach deutschem Telemediengesetz (TDDDG) und GDPR Art. 6 Abs. 1 lit. a ist eine explizite Einwilligung erforderlich. Der Webseitenbetreiber muss ein Cookie-Banner anzeigen, den Nutzer informieren und sein Opt-in erhalten, BEVOR das Tracking startet. Die Einwilligung muss dokumentiert werden (Consent-Log).
  </Accordion>

  <Accordion title="Ist ein Datenverarbeitungsvertrag (AVV/DPA) mit ActiveCampaign notwendig?">
    Ja, absolut. ActiveCampaign fungiert als Auftragsverarbeiter gemäß Art. 28 GDPR. Der Webseitenbetreiber (Verantwortlicher) muss mit ActiveCampaign einen schriftlichen DPA abschließen. Der DPA ist verfügbar unter [https://www.activecampaign.com/legal/dpa](https://www.activecampaign.com/legal/dpa) und kann im Konto oder via [privacy@activecampaign.com](mailto:privacy@activecampaign.com) angefordert werden. Ohne DPA ist die Verarbeitung nicht GDPR-konform.
  </Accordion>

  <Accordion title="Welche Rolle spielen Standard Contractual Clauses (SCCs) oder das Data Privacy Framework?">
    ActiveCampaign sitzt in den USA und übertragen Daten dorthin. ActiveCampaign hat sich zur Einhaltung des EU-U.S. Data Privacy Framework (DPF) verpflichtet, das als „adequacy decision" gilt und Transfers ohne zusätzliche Instrumentarien ermöglicht. Allerdings: Die DPF ist rechtlich umstritten. Einige Datenschutzbehörden empfehlen zusätzlich SCCs oder eine „Transfer Impact Assessment" (TIA). Der Webseitenbetreiber sollte seine lokale Behörde oder einen Rechtsanwalt konsultieren.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

ActiveCampaign Site Tracking ist ein leistungsstarkes Marketing-Tool, aber die Verknüpfung von anonymen Webseitenbesuchen mit bekannten Kontakten erfordert sorgfältige datenschutzrechtliche Dokumentation. Die wichtigsten Punkte für die Datenschutzerklärung sind:

1. **Identität von ActiveCampaign, LLC** (Chicago, USA) und Kontaktdaten ([privacy@activecampaign.com](mailto:privacy@activecampaign.com))
2. **Konkrete Zwecke:** Site Tracking, Marketing-Automation, Lead-Scoring, Kontaktprofilbildung
3. **Erhobene Daten:** Besucher-IDs, Seitenaufrufe, Klickpfade, Device-Daten, Conversion-Events, **Verknüpfung mit Kontakt-E-Mail-Adresse**
4. **Rechtsgrundlage:** Einwilligung (Art. 6 Abs. 1 lit. a + § 25 Abs. 1 TDDDG)
5. **Auftragsverarbeiter und AVV:** ActiveCampaign als Processor, schriftlicher DPA erforderlich
6. **Drittlandtransfer:** USA, DPF-Zertifizierung (prüfen, ob zusätzlich SCCs erforderlich)
7. **Speicherdauer:** Cookie-Lebensdauer (z.B. 365 Tage), Kontakt-Speicherung nach ActiveCampaign-Richtlinie
8. **Betroffenenrechte:** Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch
9. **Consent-Management:** Integration mit Cookie-Banner und Consent-System, Opt-in-Prinzip
10. **Besonderheit:** Erklären, wie anonyme Besuche mit bekannten Kontakten verknüpft werden

Ein generischer Textbaustein ist nicht ausreichend – der **Website-spezifische und themenorientierte Ansatz** ist rechtlich sauberer und transparenter.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer.** Dieser Artikel bietet einen Überblick über datenschutzrechtliche Aspekte von ActiveCampaign Site Tracking und erhebt keinen Anspruch auf Vollständigkeit oder Rechtsberatung. Jede Webseite ist unterschiedlich konfiguriert; daher sollte die Datenschutzerklärung durch einen Datenschutzbeauftragten oder Rechtsanwalt individuell geprüft werden. Stand: April 2026.
</Callout>

<AuthorBlock />


# Adobe Analytics und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/adobe-analytics-datenschutzerklaerung)



# Adobe Analytics und Datenschutz – Was Webseitenbetreiber wissen müssen [#adobe-analytics-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Adobe Analytics zur Website-Analyse und Nutzerverhalten-Verfolgung ein, verarbeitet er umfangreiche Verhaltensdaten, Ereignisse und Nutzer-Identifizierer zum Zweck der Website-Optimierung, Leistungsmessung und Geschäftsintellligenz auf Basis von Einwilligung und/oder berechtigten Interessen. Adobe Analytics fungiert als **Auftragsverarbeiter** im Sinne von DSGVO Art. 28. Der Webseitenbetreiber ist alleiniger Verantwortlicher für die Datenverarbeitung und trägt die volle Rechenschaftspflicht. Adobe hat sich zum Data Privacy Framework (DPF) und Standard Contractual Clauses (SCCs) verpflichtet, was Datenübermittlungen in die USA regelt. Ein Auftragsverarbeitungsvertrag (AVV) mit Adobe ist zwingend erforderlich. Die vorliegende Anleitung erklärt Adobes Rolle, die Datenverarbeitung und die Anforderungen an DSGVO-Konformität. Stand: 2026-04-22.

## A. Zweck und Funktionsweise von Adobe Analytics [#a-zweck-und-funktionsweise-von-adobe-analytics]

Adobe Analytics ist eine Enterprise-Analytics-Plattform, mit der Webseitenbetreiber Website-Besucherdaten erfassen, analysieren und reporting können. Es ermöglicht tiefgreifende Einblicke in Nutzerverhalten, Nutzer-Journeys, Conversion-Pfade und Website-Performance.

**Zentrale Funktionen:**

**1. Datenerfassung via AppMeasurement (JavaScript-Tracking-Code):**
Der AppMeasurement-Code wird in die Website eingebettet und erfasst umfassend Nutzerdaten: Seitenkontakte, Klicks, Konversionen, Nutzer-Attribute, technische Daten, und ggf. auch benutzerdefinierte Variablen, die der Webseitenbetreiber definiert.

**2. Nutzer-Identifikation (Visitor ID und Experience Cloud ID):**
Adobe Analytics generiert anonyme Visitor-IDs zur Verfolgung von Nutzer-Journeys über mehrere Website-Besuche hinweg. Mit der Experience Cloud ID (ECID) können Nutzer auch über verschiedene Adobe-Produkte (Analytics, Target, Audience Manager) hinweg identifiziert werden.

**3. Reporting und Dashboards:**
Adobe Analytics bietet umfassende Auswertungen: Traffic-Analysen, Conversion-Trichter, Kohortenanalysen, Attribution-Modellierung, und Echtzeit-Reporting.

**4. Data Warehouse und Export:**
Webseitenbetreiber können Rohdaten exportieren und für BI-Zwecke oder Integration mit anderen Systemen nutzen.

**5. Prädiktive Analytik und Machine Learning:**
Adobe Analytics nutzt ML-Modelle zur Vorhersage von Nutzerverhalten und automatischer Anomalie-Erkennung.

**Unterschied zu Google Analytics:**
Adobe Analytics ist eine Premium-Enterprise-Lösung mit tieferem Tracking, erweiterten Attribution-Modellen, und erweiterten Datenexport-Optionen. Google Analytics ist kostenlos und einsteigerfreundlicher. Datenschutzrechtlich sind beide als Auftragsverarbeiter-Szenarien zu behandeln.

## B. Pflichtangaben in der Datenschutzerklärung zu Adobe Analytics [#b-pflichtangaben-in-der-datenschutzerklärung-zu-adobe-analytics]

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Adobe Analytics folgende Angaben machen:

* **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. d)
* **Berechtigte Interessen**, sofern diese Grundlage ist (Art. 13 Abs. 1 lit. d)
* **Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e) – hier: Adobe Systems Software Ireland Limited als Auftragsverarbeiter
* **Speicherdauer** oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
* **Drittlandtransfers** und Schutzgarantien (Art. 13 Abs. 1 lit. f)

Ein zentraler Punkt: Die Datenschutzerklärung muss klar machen, dass Adobe Auftragsverarbeiter ist und dass Datenübermittlungen in die USA erfolgen (ggf. mit Verweis auf DPF oder SCCs).

**Besserer Ansatz:** Ein zentral erklärtes Kapitel zu Zwecken und Rechtsgrundlagen, eine Empfängertabelle, die Adobe als Auftragsverarbeiter ausweist, und ein Hinweis auf den DPF-Status und die Verfügbarkeit des AVV.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Adobe Analytics: Adobe Systems Software Ireland Limited [#c-anbieter-von-adobe-analytics-adobe-systems-software-ireland-limited]

**Juridische Basis (europäische Entität):**

* **Vollständiger Name:** Adobe Systems Software Ireland Limited
* **Anschrift:** 4-6 Riverwalk, Citywest Business Campus, Dublin 24, D24 AV70, Irland
* **Sitzland:** Irland (Europäischer Wirtschaftsraum)
* **Mutterkonzern:** Adobe Inc. (USA)
* **Rolle:** Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28

**Alternative Kontaktperson für US-Datenverarbeitung:**
Bei Datenübermittlungen in die USA kann Adobe Inc. (USA) die Daten auch direkt verarbeiten. In diesem Fall ist Adobe Inc. ebenfalls Auftragsverarbeiter unter Vertrag.

**Data Privacy Framework (DPF) und Datenübermittlungen:**
Adobe Inc. und ihre Tochtergesellschaften (inkl. Marketo Inc., Magento/X-commerce Inc., Workfront Inc.) haben sich zum EU-US Data Privacy Framework verpflichtet und sind zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO).

**Datenschutzerklärung:**
[https://www.adobe.com/de/privacy/policy.html](https://www.adobe.com/de/privacy/policy.html)

**Auftragsverarbeitungsvertrag (AVV/DPA):**
Adobe stellt einen Standard-Datenverarbeitungsvertrag (DPA) zur Verfügung. Dieser ist über die Adobe-Webseite oder direkt im Kundenkonto abrufbar, typischerweise unter:

* [https://www.adobe.com/go/tou-dpa](https://www.adobe.com/go/tou-dpa)
* Oder direkt in den Vertragsdokumenten: [https://www.adobe.com/content/dam/cc/de/legal/terms/enterprise/pdfs/DPA-DE.pdf](https://www.adobe.com/content/dam/cc/de/legal/terms/enterprise/pdfs/DPA-DE.pdf)

Der DPA enthält auch Standard Contractual Clauses (SCCs) als zusätzliche Sicherungsmaßnahme für Datenübermittlungen in die USA.

## D. Datenverarbeitung durch Adobe Analytics – Ablauf [#d-datenverarbeitung-durch-adobe-analytics--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Adobe-AppMeasurement-Code wird in die Website eingebettet (oder via Tag-Management-System wie Google Tag Manager geladen). Sobald ein Nutzer die Website aufruft, wird der Code ausgeführt und erfasst umfassend: IP-Adresse, User-Agent (Browser, Betriebssystem, Gerätetyp), besuchte Seiten (Page-Name, URL-Parameter), Referrer, Klicks, Scroll-Tiefe, Nutzer-Attribute (Customer ID, falls definiert), Conversion-Ereignisse, benutzerdefinierte Variablen, und Geolocation (auf IP-Basis).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Daten werden in Adobes Cloud-Infrastruktur (typischerweise auf Adobe Experience Cloud Servern) gespeichert. Bei DPF-Zertifizierung können Daten in den USA oder in EU-Rechenzentren gespeichert werden. Adobe betreibt Rechenzentren in mehreren Ländern, und der Lagerungsort kann vom Webseitenbetreiber konfiguriert werden. Die Standard-Aufbewahrungsdauer ist typischerweise 25 Monate, kann aber je nach Vertrag konfiguriert werden.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Adobe nutzt die Daten im Auftrag des Webseitenbetreibers zu folgenden Zwecken: (1) Bereitstellung von Analyze-Reports und Dashboards, (2) Berechnung von Metriken (Visits, Unique Visitors, Bounce Rate, Conversion Rates, etc.), (3) Segmentierung und Audience-Erstellung, (4) Attribution-Analyse (welche Touchpoints führen zu Conversions), (5) Anomalie-Erkennung und Alerts bei unerwarteten Trends. Als Auftragsverarbeiter darf Adobe die Daten nicht zu eigenen Geschäftszwecken nutzen, es sei denn, der Webseitenbetreiber hat explizit zugestimmt (z.B. für Benchmarking oder Aggregate-Reporting).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Adobe kann die Daten an seine Subprozessoren weitergeben (z.B. Cloud-Infrastruktur-Partner, Sicherheitsdienstleister, Data-Warehouse-Partner). Diese müssen im DPA aufgelistet sein. Eine Weitergabe an Dritte zu deren eigenen Zwecken ist nicht vorgesehen (allerdings ist eine Überprüfung durch den Betreiber zu empfehlen).
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber kann Adobe Analytics deaktivieren oder sein Kundenkonto kündigen. Adobe löscht Daten nach einer Standard-Aufbewahrungsfrist (typischerweise 25 Monate), die im Vertrag festgelegt ist. Nach Kontokündigung werden Daten typischerweise innerhalb von 90 bis 180 Tagen gelöscht. Die exakte Frist ist im DPA zu überprüfen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Adobe Analytics [#e-erhobene-daten-beim-einsatz-von-adobe-analytics]

Adobe Analytics erfasst umfangreiche Website- und Nutzerdaten:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, HTTP-Header (User-Agent, Referrer, Accept-Language), Request-Timestamp, Zeitzone, Geolocation (auf IP-Basis)
* **Klickpfade und Navigation:** Besuchte Seiten (Page-Name, Page-URL mit Parametern), Seiten-Hierarchie, interne Suchen, angeklickte Links, Download-Aktivitäten, Video-Interaktionen
* **Endgeräte-Daten:** Gerätetyp (Desktop, Tablet, Mobile), Betriebssystem, Betriebssystem-Version, Bildschirmauflösung, Bildschirmgröße, Netzwerk-Typ (WiFi, Mobilfunk)
* **Browserinformationen:** Browser-Name, Browser-Version, Cookies (Adobe-Cookies, Third-Party-Cookies), Local Storage, JavaScript-Aktivierung, Plug-ins
* **Conversion- und Geschäftsereignisse:** Produktansichten, Warenkorb-Vorgänge (Addition, Entfernung, Anzeige), Käufe mit Transaktion-Details (Order-ID, Wert, Währung, Produktklasse, Menge, Rabatt), Lead-Erfassung, Content-Download, Video-Views, ggf. auch Dauer und Engagement
* **Benutzer-Profildaten:** Experience Cloud ID (ECID), Visitor ID (Seriennummer), ggf. auch kundendefinierten Nutzer-IDs oder CRM-IDs (wenn vom Webseitenbetreiber gesendet), Kundensegmente (wenn definiert)
* **Technische Telemetriedaten:** Page-Load-Zeit, Server-Response-Zeit, Fehlermetriken, JavaScript-Fehler, API-Latenzen
* **Benutzerdefinierte Variablen:** Der Webseitenbetreiber kann zusätzlich eigene Daten definieren und über Adobe Analytics senden (z.B. Artikel-ID, Kategorie, Nutzer-Segment, interne Nutzer-ID)

## F. Nutzungszwecke beim Einsatz von Adobe Analytics [#f-nutzungszwecke-beim-einsatz-von-adobe-analytics]

Adobe gibt an, dass Analytics-Daten zu folgenden Zwecken verarbeitet werden:

* **Website-Analyse und Leistungsmessung:** Analyse von Traffic-Trends, Nutzer-Demografie, Geographic-Verteilung, Gerätenutzung, Browser-Verteilung
* **Conversion-Tracking und Attribution:** Verfolgung von Conversions und Multi-Touch-Attribution (Bestimmung, welche Touchpoints zu Conversions beitragen)
* **Nutzersegmentierung und Audience-Erstellung:** Bildung von Nutzer-Segmenten auf Basis von Verhalten (z.B. „hochwertige Kunden", „Abbrecher", „Wiederholungskäufer")
* **Website-Optimierung und A/B-Testing:** (falls Adobe Target integriert) Testen von Website-Varianten zur Optimierung von Conversion-Rates
* **Personalisierung:** (falls integriert) Anzeige personalisierter Inhalte auf Basis von Nutzer-Segmenten
* **Anomalie-Erkennung und Alerts:** Automatische Erkennung ungewöhnlicher Trends und Benachrichtigungen
* **Geschäftsintellligenz und Benchmarking:** Vergleich der Leistung gegen Industrie-Benchmarks (mit Zustimmung des Webseitenbetreibers)
* **Sicherheit und Missbrauchserkennung:** Erkennung verdächtiger oder betrügerischer Aktivitäten

## G. Rechtsgrundlagen für Adobe Analytics [#g-rechtsgrundlagen-für-adobe-analytics]

**Rechtsgrundlage hängt vom Umfang und Zweck ab:**

**1. Analytik ohne Personenidentifizierung (nur aggregierte Daten):**
**Berechtigte Interessen** des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) können eine Grundlage sein: Website-Optimierung, Geschäftsplanung, technische Verbesserung. Dies erfordert eine Interessensabwägung und ist transparent zu kommunizieren.

**2. Analytik mit Personenidentifizierung (Visitor IDs, Custom User IDs):**
**Einwilligung** nach Art. 6 Abs. 1 lit. a DSGVO kann erforderlich sein, insbesondere wenn Nutzer über mehrere Besuche hinweg identifiziert werden oder benutzerdefinierte Nutzer-IDs (z.B. aus CRM) mit Analytics-Daten verbunden werden. Dies ist eine konservativere, aber rechtlich sicherere Positionierung.

**3. Datenübermittlung in die USA:**
Bei DPF-Zertifizierung: Art. 45 DSGVO (Angemessenheitsbeschluss). Die Daten müssen zu einem DPF-zertifizierten Unternehmen übermittelt werden. Zusätzlich bietet Adobe SCCs (Standard Contractual Clauses) als zusätzliche Sicherungsmaßnahme.

**Praktischer Tipp:**
Eine konservative Positionierung ist: Analytics-Cookies erfordern Einwilligung (ähnlich wie Marketing-Cookies), oder zumindest eine transparente Kommunikation der berechtigten Interessen. Dies reduziert Rechtsrisiken und ist nutzerfreundlicher.

## H. Besonderheiten und Hinweise zu Adobe Analytics [#h-besonderheiten-und-hinweise-zu-adobe-analytics]

**1. Auftragsverarbeiter-Status ist klar**
Adobe Analytics ist eine klare Auftragsverarbeiter-Konstellation. Adobe verarbeitet Daten im Auftrag des Webseitenbetreibers, nicht als eigenständiger Verantwortlicher.

**2. Datenverarbeitungsvertrag (DPA) ist Pflicht**
Ein formaler DPA ist eine zwingende Voraussetzung. Adobe stellt einen Standard-DPA zur Verfügung, der auch Standard Contractual Clauses (SCCs) enthält. Der Webseitenbetreiber muss diesen abrufen und aufbewahren.

**3. DPF-Zertifizierung und Datenübermittlung in die USA**
Adobe Inc. ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Der Status sollte regelmäßig überprüft werden.

**4. Subprozessoren und Transparenz**
Der DPA sollte eine aktuelle Liste genehmigter Subprozessoren enthalten. Der Webseitenbetreiber hat das Recht, von Subprozessoren-Änderungen informiert zu werden und gegebenenfalls Einspruch zu erheben.

**5. Datensicherung und Encryption**
Adobe bietet verschiedene Sicherheitsmaßnahmen: SSL/TLS-Encryption für Datentransfer, Verschlüsselung in Ruhe (je nach Konfiguration), Multi-Faktor-Authentifizierung für Account-Zugang, regelmäßige Security-Audits.

**6. Experience Cloud ID (ECID) und Cross-Domain-Tracking**
Die ECID ermöglicht Nutzer-Verfolgung über mehrere Adobe-Produkte hinweg (Analytics, Target, Audience Manager) und sogar über mehrere Domains. Dies erhöht die Reichweite des Trackings und erfordert transparente Kommunikation in der Datenschutzerklärung.

**7. Datenexport und Data Warehouse**
Webseitenbetreiber können Daten aus Adobe Analytics exportieren und für BI-Zwecke oder externe Analysen nutzen. Dies ist zulässig, der Webseitenbetreiber wird aber zur Verantwortlichen für diese exportierten Daten und muss eigene Sicherungsmaßnahmen treffen.

**8. Cookies und Nutzer-Kontrolle**
Adobe Analytics setzt typischerweise First-Party-Cookies (z.B. „s\_vi", „s\_ecid"). Bei Einsatz von Consent-Management-Plattformen (CMPs) sollte das Cookie-Banner transparent über Adobe-Cookies berichten und Nutzer-Kontrollen anbieten.

## I. FAQ zu Adobe Analytics [#i-faq-zu-adobe-analytics]

<Accordions type="single">
  <Accordion title="Was ist Adobe Analytics?">
    Adobe Analytics ist eine Enterprise-Webanalyse-Plattform von Adobe. Sie erfasst umfassend Nutzerdaten (Seitenkontakte, Klicks, Conversions, technische Daten) über einen JavaScript-Tracking-Code (AppMeasurement) und bietet detaillierte Reports, Segmentierung, Attribution-Analyse und Machine-Learning-basierte Insights.
  </Accordion>

  <Accordion title="Ist Adobe Analytics ein Auftragsverarbeiter oder Verantwortlicher?">
    Adobe Analytics funktioniert als Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28. Der Webseitenbetreiber ist alleiniger Verantwortlicher. Dies bedeutet, dass der Betreiber die volle Rechenschaftspflicht trägt, ein DPA erforderlich ist, und Adobe Daten nicht für eigene Zwecke nutzen darf.
  </Accordion>

  <Accordion title="Welche Daten erfasst Adobe Analytics?">
    Adobe Analytics erfasst Seiten-Views, Klickpfade, Conversion-Ereignisse, Geräte-Informationen, Browser-Daten, Visitor-IDs (zur Verfolgung über mehrere Besuche), und benutzerdefinierte Variablen, die der Webseitenbetreiber definiert. Je nach Konfiguration auch Standort-Daten (IP-basiert) und kundenspezifische Nutzer-IDs.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Adobe Analytics?">
    Die Rechtsgrundlage ist typischerweise berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für reine Website-Optimierung; oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für tiefergehendes Tracking mit Nutzer-Identifizierung. Eine konservative Positionierung ist, Analytics-Cookies als einwilligungspflichtig zu behandeln.
  </Accordion>

  <Accordion title="Muss ich einen Datenverarbeitungsvertrag (DPA) mit Adobe abschließen?">
    Ja, definitiv. Ein DPA ist eine Pflicht-Voraussetzung für die DSGVO-konforme Nutzung. Adobe stellt einen Standard-DPA zur Verfügung, der auch Standard Contractual Clauses (SCCs) für Datenübermittlungen in die USA enthält. Der Webseitenbetreiber muss diesen abrufen und aufbewahren.
  </Accordion>

  <Accordion title="Ist Adobe Analytics DPF-zertifiziert?">
    Ja, Adobe Inc. und ihre Tochtergesellschaften sind DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Zusätzlich bietet Adobe SCCs als zusätzliche Sicherungsmaßnahme.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Adobe Analytics in die Datenschutzerklärung?">
    Ein separater „Adobe Analytics"-Absatz ist optional. Stattdessen wird ein integrierter Ansatz empfohlen: Zentrale Erklärung der Zwecke (Website-Analyse, Optimierung, Leistungsmessung), Rechtsgrundlagen (berechtigte Interessen oder Einwilligung), und eine Empfängertabelle, die Adobe als Auftragsverarbeiter ausweist. Ein Hinweis auf DPF-Zertifizierung, SCCs, und die Verfügbarkeit des DPA sollte nicht fehlen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Adobe Analytics [#j-fazit-und-empfehlung-zu-adobe-analytics]

Adobe Analytics ist eine leistungsstarke Enterprise-Webanalyse-Lösung mit tiefgreifenden Tracking- und Analysefunktionen. Datenschutzrechtlich ist die Struktur klar: Adobe fungiert als Auftragsverarbeiter, der Webseitenbetreiber ist alleiniger Verantwortlicher.

Die kritischen Anforderungen sind: (1) ein formaler Datenverarbeitungsvertrag (DPA) mit Adobe, (2) transparente Kommunikation in der Datenschutzerklärung über die Datenverarbeitung in die USA und die Sicherungsmaßnahmen (DPF, SCCs), und (3) klarheit über die Rechtsgrundlage (berechtigte Interessen vs. Einwilligung).

Eine Datenschutzerklärung kann Adobe Analytics integriert darstellen (nicht als isolierter Absatz), mit expliziter Nennung als Auftragsverarbeiter, Hinweis auf den DPA, und Information über Datenübermittlung und Schutzmaßnahmen. Eine DSFA (Datenschutz-Folgenabschätzung) ist empfohlen, insbesondere bei großen Datenmengen oder sensiblen Kategorien.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Adobe Analytics und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben beruhen auf Herstellerangaben (Adobe), öffentlich zugänglichen Quellen und der DSGVO. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Adobe Target und Datenschutz – Was Webseitenbetreiber wissen müssen (/docs/privacy-policy-website/adobe-target-datenschutzerklaerung)



# Adobe Target und Datenschutz – Was Webseitenbetreiber wissen müssen [#adobe-target-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Adobe Target ein, verarbeitet er Besucherdaten zum Zweck der Personalisierung und A/B-Testing auf Basis von Einwilligung und berechtigten Interessen. Adobe Target ist ein Personalisierungs- und Testinginstrument, das Webseitenbetreibern ermöglicht, Besucher in Gruppen zu teilen und ihnen unterschiedliche Versionen von Inhalten oder Produkten zu zeigen, um Konversionsraten zu optimieren. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu Adobe Target rechtlich in die eigene Datenschutzerklärung gehören.

## A. Zweck und Funktionsweise von Adobe Target [#a-zweck-und-funktionsweise-von-adobe-target]

Adobe Target wird in der Regel über ein JavaScript-Snippet (Client-seitig) oder über Serveraufrufe in die Website integriert. Das Tool erfasst automatisch Daten über das Nutzerverhalten und Geräteattribute. Auf dieser Basis erstellt Adobe Target Nutzersegmente und zeigt dem Besucher automatisch eine von mehreren vordefiniert getesteten Versionen an (A/B-Test oder multivariates Testen).

Ein Webseitenbetreiber nutzt Adobe Target typischerweise, um zu optimieren, welche Produktdetailseite, welcher Checkout-Prozess, welche Headline oder welche Marketingbotschaft zu höherer Konversion führt. Adobe Target speichert Klick- und Nutzungspfade, erstellt auf Basis davon Verhaltensprofile und versendet diese an Adobe-Systeme zur Zentralverarbeitung, Profilenreichment und zum Machine-Learning-Training.

Die Integration erfolgt durch ein JavaScript-Tag oder eine Server-API. Das Tag wird entweder direkt in den HTML-Code der Website oder über einen Tag Manager (Google Tag Manager, Adobe Launch) eingebunden. Für Backend-Implementierungen werden API-Aufrufe mit Besucherkennungen gesendet.

## B. Pflichtangaben in der Datenschutzerklärung zu Adobe Target [#b-pflichtangaben-in-der-datenschutzerklärung-zu-adobe-target]

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die **Zwecke** der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die **Rechtsgrundlagen**, Art. 13 Abs. 1 lit. e die **Empfänger oder Kategorien von Empfängern**. Art. 13 Abs. 1 lit. f fordert, dass **Drittlandtransfers** (z. B. in die USA) offengelegt und begründet werden.

Hinweis: &#x2A;*Toolspezifische Textbausteine sind problematisch.** Art. 12 Abs. 1 DSGVO verlangt, dass Datenschutzerklärungen in einer **klaren und verständlichen Sprache** verfasst werden. Ein Textbaustein, der bloß kopiert und eingefügt wird und nur von Adobe Target spricht, zeigt nicht die konkrete Verarbeitung auf dieser Website und verstoßt gegen das Transparenzgebot. Besser: Der Webseitenbetreiber beschreibt themenorientiert (z. B. unter „Optimierung und Personalisierung"), welche Daten zu diesem Zweck verarbeitet werden, von welchen Tools und auf welcher Rechtsgrundlage.

Am Ende der Datenschutzerklärung empfiehlt sich ein **Empfänger-Anhang**, der alle Auftragsverarbeiter und deren Zwecke bündelt.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Adobe Target: Adobe Systems Software Ireland Limited [#c-anbieter-von-adobe-target-adobe-systems-software-ireland-limited]

**Juristischer Name:** Adobe Systems Software Ireland Limited\
&#x2A;*Anschrift:** 4-6 Riverwalk, Citywest Business Campus, Dublin 24, D24 AV82, Irland\
&#x2A;*Sitzland:** Irland (Europäischer Wirtschaftsraum)\
&#x2A;*Rolle:** Auftragsverarbeiter

**DPF-Status:** Adobe Inc. (USA) ist DPF-zertifiziert. Weitere Informationen unter [https://www.adobe.com/de/privacy/policy.html](https://www.adobe.com/de/privacy/policy.html)

**Data Processing Addendum (DPA/AVV):** Adobe stellt ein DPA bereit, das Webseitenbetreiber mit Adobe abschließen müssen, bevor sie Adobe Target nutzen. Das DPA regelt die Verarbeitung personenbezogener Daten auf Weisung des Webseitenbetreibers und enthält Verpflichtungen zum Datenschutz, Subprozessoren, Datenübermittlung in Drittländer und Datensicherheit.

## D. Datenverarbeitung durch Adobe Target – Ablauf [#d-datenverarbeitung-durch-adobe-target--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Adobe Target erfasst Daten durch sein Client-seitiges JavaScript-Tag. Die Daten werden beim Besuch der Website erhoben und umfassen Besucherkennung, Geräteattribute, Klickpfade, Seiteninhalte, Conversion-Events und zeitliche Metadaten. Der Webseitenbetreiber kann zusätzlich auch Daten über Datenschicht-Variablen an Adobe Target übergeben.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Adobe Target speichert die Daten in seinen Systemen, die sich in den USA befinden. Die Speicherdauer beträgt typischerweise 30 Tage (für Besuchersegmente und Aktivitätsdaten), längere Zeiträume sind konfigurierbar.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Adobe Target nutzt die Daten, um (a) Besuchersegmente aufzubauen, (b) Aktivitäten (Tests) auszuwählen, (c) A/B-Tests durchzuführen, (d) dem Besucher eine Testvariante zu zeigen, und (e) Berichte für den Webseitenbetreiber zu generieren.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Adobe kann die Daten an Subprozessoren weitergeben (z. B. zu Analysezwecken oder zum Speichern). Eine Liste der Subprozessoren findet sich in Adobes DPA. Zudem erfolgt eine Weitergabe in die USA als Drittland; Adobe stützt sich auf die DPF und ggf. Standard Contractual Clauses (SCC).
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der konfigurierten Speicherfrist löscht oder anonymisiert Adobe Target die Daten automatisch. Ein Webseitenbetreiber kann Daten auf Anfrage auch vorzeitig löschen lassen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Adobe Target [#e-erhobene-daten-beim-einsatz-von-adobe-target]

Adobe Target erfasst automatisch eine Vielzahl von Daten über Besucher. Der Umfang kann durch den Webseitenbetreiber konfiguriert werden (z. B. welche Daten via Datenschicht übertragen werden).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten inklusive Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
* **Browserinformationen**: Browsername, Browserversion, installierte Erweiterungen
* **Nutzerprofile**: Interessen, Präferenzen, Segmentzuordnungen, Nutzungshistorien, abgeleitete Kennzahlen
* **Conversion-Ereignisse**: Registrierung, Warenkorberstellung, Produktkauf, Terminbuchung, Kontaktanfrage, Download, Videoansicht, Aufruf bestimmter Seiten
* **Interaktionsdaten**: Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klicks
* **Technische Telemetriedaten**: Fehlermeldungen, Ladezeiten, Datenvolumen

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Adobe dokumentiert seine Datenerfassung in technischen Dokumentationen und dem DPA).

## F. Nutzungszwecke beim Einsatz von Adobe Target [#f-nutzungszwecke-beim-einsatz-von-adobe-target]

Adobe Target wird in der Regel zu folgenden Zwecken eingesetzt:

* **Nutzerindividuelle Produktverbesserung**: A/B-Tests, Multivariates Testen, personalisierte Inhalte, personalisierte Angebote
* **Allgemeine Produktverbesserung**: Optimierung auf Basis häufig aufgerufener Inhalte oder hoher Konversionsraten, Nutzungsfreundlichkeit, Geschäftsplanung
* **Allgemeines Marketing**: Erfolgsmessung von Kampagnen, Reichweitenanalyse, Zielgruppendefinition
* **Nutzerprofil-Erstellung**: Ermittlung von Interessen, Kaufverhalten, Segmenten
* **Funktionsbereitstellung**: Erbringung der Produktfunktionalität, Fehlererkennung/-behebung
* **Sicherheit und Missbrauchsschutz**: Angriffserkennung, Betrugsprävention

## G. Rechtsgrundlagen für Adobe Target [#g-rechtsgrundlagen-für-adobe-target]

Adobe Target ist ein Tracking- und Personalisierungstool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG):** Für Cookies und ähnliche Speichertechnologien, die Adobe Target nutzt, um Besucher zu identifizieren und ihre Aktivitäten zu verfolgen, ist nach deutschem Recht eine ausdrückliche Einwilligung erforderlich. Diese muss vor dem Setzen des Cookies erfolgen und sich explizit auf Adobe Target beziehen oder zumindest auf „Optimierung und Personalisierung" oder „Marketing-Cookies".

2. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):** Soweit Adobe Target nur zur Verbesserung der Website-Funktionalität eingesetzt wird (z. B. Error-Tracking zur Fehlerbehebung), können berechtigte Interessen des Webseitenbetreibers herangezogen werden. Dies setzt eine Interessenabwägung voraus.

Hinweis: Eine Einzelfallprüfung mit rechtlicher Beratung ist notwendig, da die Grenze zwischen Funktionsbereitstellung und Profiling fließend ist.

## H. Besonderheiten und Hinweise zu Adobe Target [#h-besonderheiten-und-hinweise-zu-adobe-target]

* **Cookie-Management**: Adobe Target setzt selbst Cookies (z. B. `mbox`) und nutzt First-Party-Cookies, um Besucher zu erkennen. Der Webseitenbetreiber muss diese Cookies in der Datenschutzerklärung aufzählen.
* **DPF und SCC**: Adobe stützt sich für Drittlandtransfers auf die Data Privacy Framework (DPF) sowie Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte auf die DPF-Zertifizierung hinweisen.
* **Subprozessoren**: Adobe arbeitet mit Subprozessoren zusammen. Eine aktuelle Liste sollte mit Adobe abgestimmt werden.
* **Datensicherheit**: Adobe ist ISO 27001 zertifiziert und implementiert technische und organisatorische Maßnahmen (TOM).
* **Opt-Out-Optionen**: Besucher können Adobe Target deaktivieren. Der Webseitenbetreiber sollte einen Opt-Out-Link in der Datenschutzerklärung anbieten.

## I. FAQ zu Adobe Target [#i-faq-zu-adobe-target]

<Accordions type="single">
  <Accordion title="Was ist Adobe Target?">
    Adobe Target ist ein Personalisierungs- und A/B-Testing-Tool von Adobe, das Webseitenbetreibern ermöglicht, Inhalte dynamisch an einzelne Besucher anzupassen und mehrere Varianten zu testen, um Konversionsraten zu optimieren.
  </Accordion>

  <Accordion title="Welche Daten erfasst Adobe Target?">
    Adobe Target erfasst Besucherkennungen, Geräteattribute, Klickpfade, Seiteninhalte, Conversion-Events, Zeitstempel und optional Daten aus der Website-Datenschicht. Auch IP-Adressen und Browser-User-Agents werden verarbeitet.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Adobe Target?">
    Für das Setzen von Cookies und Tracking ist eine Einwilligung nach § 25 Abs. 1 TDDDG erforderlich. Für reine Funktionsbereitstellung können berechtigte Interessen herangezogen werden. Eine rechtliche Bewertung im Einzelfall wird empfohlen.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Adobe Target einholen?">
    Ja, in Deutschland ist eine explizite, informierte Einwilligung vor dem Setzen von Adobe Target Cookies erforderlich. Diese sollte durch ein Cookie-Consent-Banner erfolgen.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Adobe Target in die Datenschutzerklärung?">
    Anstelle eines Adobe Target-spezifischen Bausteins wird empfohlen, einen themenorientierten Absatz unter „Personalisierung und Optimierung" einzuführen. Nutzen Sie den matterius Privacy Policy Generator, um automatisiert eine DSGVO-konforme Datenschutzerklärung zu erstellen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlungen zu Adobe Target [#j-fazit-und-empfehlungen-zu-adobe-target]

Adobe Target ist ein leistungsstarkes Personalisierungstool, das aber mit erheblichen Datenschutzverpflichtungen verbunden ist. Ein Webseitenbetreiber muss gewährleisten, dass Einwilligungen vorliegen, dass die Drittlandtransfers in die USA rechtlich begründet sind, und dass die Datenschutzerklärung transparent erklärt, welche Daten für welche Zwecke verarbeitet werden.

Toolspezifische Textbausteine, die bloß kopiert werden, widersprechen dem Transparenzgebot nach Art. 12 Abs. 1 DSGVO. Besser ist ein themenorientierter Ansatz, der konkret beschreibt, wie Adobe Target auf dieser Website eingesetzt wird und welche Konsequenzen das für die Besucher hat. Ein **Empfänger-Anhang** zur Datenschutzerklärung, der alle Auftragsverarbeiter aufzählt, schafft zusätzliche Klarheit.

Webseitenbetreiber sollten sich zudem absichern, dass mit Adobe ein vollständiges und aktuelles &#x2A;*Data Processing Addendum (DPA)** vorliegt und dass sie alle Subprozessoren kennen.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Adobe Target und ersetzt keine rechtliche Beratung im Einzelfall. Die Informationen beruhen auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Webseitenbetreiber sollten ihre Datenschutzerklärung mit einem Datenschutzbeauftragten oder Rechtsanwalt abstimmen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Adyen Payments und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/adyen-datenschutzerklaerung)



# Adyen Payments und Datenschutz – Was Webseitenbetreiber wissen müssen [#adyen-payments-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber Adyen als Zahlungsanbieter ein, verarbeitet er Zahlungs- und Kundeninformationen (Kontodaten, Transaktionsdaten, Kartennummern, Rechnungsadress) zum Zweck der Zahlungsabwicklung, Betrugsprävention und Compliance auf Basis von Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO), rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO – AML, Geldwäschebekämpfung) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO – Betrugsprävention, Sicherheit). Adyen ist ein in den Niederlanden ansässiges EU-Unternehmen und agiert sowohl als eigenständiger Datenverantwortlicher als auch als Auftragsverarbeiter. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Adyen zu beachten sind.

## A. Zweck und Funktionsweise von Adyen [#a-zweck-und-funktionsweise-von-adyen]

Adyen ist ein globaler Zahlungsdienstleister und Acquirer, der es Online- und Offline-Shops ermöglicht, Zahlungen zu akzeptieren. Der Webseitenbetreiber integriert Adyen typischerweise über ein Zahlungs-Formular oder einen Checkout-Flow in seinen Shop oder E-Commerce-System. Adyen unterstützt verschiedene Zahlungsmethoden und Funktionalitäten:

* **Kreditkarten- und Debitkartenverarbeitung**: Visa, Mastercard, American Express, etc.
* **Alternative Zahlungsmethoden**: PayPal, Apple Pay, Google Pay, Sofort, Ideal, Giropay, etc.
* **Zahlungsgateway und -verarbeitung**: Sichere Verarbeitung und Weitergabe an Banken und Kartennetzwerke
* **Fraud Detection und Betrugsprävention**: Echtzeit-Analyse von Transaktionen auf verdächtige Muster
* **Compliance und AML**: Automatische Überprüfung auf Geldwäscherisiken, Sanktionslisten-Screening
* **Reporting und Analytik**: Detaillierte Transaktions- und Umsatzberichte für den Betreiber

Die Integration erfolgt üblicherweise über einen Adyen API-Call oder über ein gehostetes Zahlungs-Formular (Adyen Hosted Payment Page). Bei der Zahlung werden Kartendaten oder Kontodetails direkt an Adyen übermittelt (nicht zum Webseitenbetreiber) – das ist ein wichtiger Sicherheitsmechanismus.

## B. Pflichtangaben in der Datenschutzerklärung zu Adyen [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-adyen]

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage. Bei Adyen sind folgende Angaben erforderlich:

* **Zwecke**: Zahlungsabwicklung, Betrugserkennung, Compliance (AML/KYC), Bankkontenverifizierung, Reporting
* **Rechtsgrundlagen**: Vertragsdurchführung (Art. 6 Abs. 1 lit. b – Zahlungsabwicklung), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c – AML, KYC, GwG), berechtigte Interessen (Art. 6 Abs. 1 lit. f – Betrugsprävention, Sicherheit)
* **Empfänger/Kategorien**: Adyen N.V., Banken, Kartennetzwerke (Visa, Mastercard), externe Fraud-Detection-Services, ggf. Regulierungsbehörden
* **Drittlandtransfers**: Nicht erforderlich (Adyen ist EU-basiert), aber Daten können zu internationalen Partnern weitergeleitet werden (z.B. Kartennetzwerke, Correspondent Banks)
* **Speicherdauer**: Je nach Datenart und Rechtsgrundlage; typischerweise 6-10 Jahre für Compliance
* **Datenkategorien**: Siehe Abschnitt E

**Wichtiger Hinweis**: Zahlungsdaten sind hochsensibel und unterliegen besonderen Regulierungen (PCI DSS). Der Webseitenbetreiber sollte transparente und detaillierte Angaben machen, ohne dabei sensible Kartennummern preiszugeben. Der matterius-Generator erstellt solche Formulierungen mit hohem Datenschutz-Standard.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Adyen: Adyen N.V. [#c-anbieter-von-adyen-adyen-nv]

**Juristischer Name**: Adyen N.V.\
**Anschrift**: Simon Carmiggeltstraat 6-50, 1011 DJ Amsterdam, Niederlande\
**Sitzland**: Niederlande (Europäische Union)\
**DPF-Status**: Nicht erforderlich (EU-Unternehmen, nicht US-basiert)\
**Datenschutzerklärung**: [https://www.adyen.com/policies-and-disclaimer/privacy-policy](https://www.adyen.com/policies-and-disclaimer/privacy-policy)\
&#x2A;*Datenbeauftragter (DPO)**: [dpo@adyen.com](mailto:dpo@adyen.com)\
&#x2A;*LGPD-Kontakt (Brasilien)**: [lgpd@adyen.com](mailto:lgpd@adyen.com)\
**AVV/DPA**: Data Processing Agreement ist verfügbar und sollte mit Adyen vereinbart werden. Adyen fungiert teilweise als Auftragsverarbeiter (für bestimmte Prozesse) und teilweise als eigenständiger Verantwortlicher (für Compliance).

## D. Datenverarbeitung durch Adyen – Ablauf [#d-datenverarbeitung-durch-adyen-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Kunde tätigt eine Bestellung im E-Shop des Webseitenbetreibers. Im Checkout-Prozess wird ein Adyen-Zahlungsformular oder eine gehostete Zahlungsseite geladen. Der Kunde gibt seine Zahlungsmethode ein (z.B. Kreditkartendaten, PayPal-Anmeldung, Bankkonto). Diese Daten werden direkt an Adyen-Server übermittelt (nicht zum Webseitenbetreiber). Zusätzlich erfasst Adyen Metadaten: IP-Adresse, Geräteinformationen, Browser, Timestamp, Rechnungsadresse (falls eingegeben).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Adyen speichert Zahlungsdaten, Transaktionsdaten und Kundeninformationen auf Servern in den Niederlanden und ggf. in anderen europäischen Rechenzentren. Kartennummern werden nicht dauerhaft gespeichert – stattdessen wird ein "Token" generiert, der für zukünftige Zahlungen ohne erneute Karteneingabe verwendet kann (sofern das der Kunde akzeptiert hat). Transaktionsdaten und Kundendaten werden für 6-10 Jahre gespeichert (je nach Rechtsgrundlage und lokalen Vorschriften).
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Adyen nutzt die Daten zur Autorisierung der Transaktion, zur Kommunikation mit Banken und Kartennetzwerken, zur Fraud-Detection (automatische Analyse auf verdächtige Muster), zur Compliance-Überprüfung (AML/KYC – Sanktionslisten, Geldwäscherisiken) und zur Erstellung von Transaktionsberichten für den Webseitenbetreiber. Adyen darf diese Daten auch zu Compliance- und Audit-Zwecken nutzen.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Adyen teilt Zahlungsdaten mit Banken, Kartennetzwerken (Visa, Mastercard), Correspondent Banks für internationale Zahlungen und ggf. mit externen Fraud-Detection- und Compliance-Services. Bei Bedarf werden Daten auch an Regulierungsbehörden und Strafverfolgungsbehörden weitergegeben (auf rechtliche Anordnung hin). Der Webseitenbetreiber kann optional auch Adyen-Zahlungsdaten an sein internes CRM oder Accounting-System exportieren – dies liegt aber in der Verantwortung des Webseitenbetreibers.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Kartennummern werden nicht dauerhaft gespeichert (PCI DSS Anforderung). Transaktionsdaten und Kundendaten werden für einen konfigurierten Zeitraum (typischerweise 6-10 Jahre, abhängig von lokalen Steuer- und AML-Vorschriften) aufbewahrt. Nach Ablauf der Aufbewahrungsfrist werden sie automatisch gelöscht. Ein manueller Lösch-Request ist unter bestimmten Bedingungen möglich (z.B. wenn keine Compliance-Gründe gegen Löschung sprechen) – Adyen prüft dies einzeln.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Adyen [#e-erhobene-daten-beim-einsatz-von-adyen]

Adyen erfasst verschiedene Kategorien von Daten, abhängig von der Zahlungsmethode und dem integrierten Prozess. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Nutzungskonto-Daten**: Benutzername/-kennung (falls angemeldet), E-Mail-Adresse, Telefonnummer
* **Kontoauthentifizierung**: Passwort (bei PayPal, Bank-Konten, etc. – einwegverschlüsselt, nicht bei Kreditkarten)
* **Zahlungsmethoden-Daten**: Kartennummer (erste und letzte 4 Ziffern), Ablaufdatum, CVV (temporär verarbeitet), Kontoinhaber, Rechnungsadresse, Adresse des Kartenmahlers
* **Transaktionsdaten**: Betrag, Währung, Referenznummer, Timestamp, Geschäftscode
* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit, User-Agent, Browser/OS, Referrer
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung
* **Kontoauthentifizierung & Login-Daten**: Login-Verläufe (für wiederkehrende Zahlungen)
* **Technische Telemetriedaten**: Fehler, Ladezeiten, Timeout-Events
* **Grobe Standortdaten**: IP-basierter Standort (optional für Betrugsbekämpfung)
* **Conversion-Ereignisse**: Zahlungsabschluss, Zahlungsfehler, Zahlung nicht autorisiert

Optional können auch Biometriedaten erfasst werden, wenn der Kunde 3D Secure oder biometrische Autorisierung nutzt (z.B. Fingerprint, Face Recognition).

## F. Nutzungszwecke beim Einsatz von Adyen [#f-nutzungszwecke-beim-einsatz-von-adyen]

Adyen verarbeitet Daten zu mehreren klar definierten Zwecken. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

* **Vertragsdurchführung**: Autorisierung und Abwicklung von Zahlungen, Generierung von Transaktionsberichten
* **Funktionsbereitstellung**: Bereitstellung des Zahlungs-Gateways, Fehlerbehandlung, technischer Support
* **Sicherheit und Missbrauchsschutz**: Echtzeit-Fraud-Detection, Erkennung verdächtiger Muster, Schutz vor Chargeback-Betrug
* **Compliance**: Überprüfung auf Sanktionslisten (AML/KYC), Geldwäschebekämpfung (GwG), Einhaltung von Regulierungsanforderungen
* **Rechtsdurchsetzung**: Nachweis von Transaktionen, Chargeback-Management, Dispute Resolution
* **Allgemeines Marketing**: Generierung von Geschäfts- und Umsatzberichten für den Webseitenbetreiber (aggregiert, nicht personalisiert)

## G. Rechtsgrundlagen für Adyen [#g-rechtsgrundlagen-fãr-adyen]

Die Verarbeitung von Zahlungsdaten durch Adyen basiert auf mehreren kombinierten Rechtsgrundlagen:

1. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)**: Die Zahlungsabwicklung ist Bestandteil des Kaufvertrags zwischen Kunde und Webseitenbetreiber. Die Übermittlung an Adyen ist notwendig für die Erfüllung dieses Vertrags.

2. **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)**: Adyen ist verpflichtet, Anti-Money-Laundering (AML), Know-Your-Customer (KYC) und Geldwäschebekämpfungsgesetze (GwG in Deutschland, AML-Richtlinien in der EU) einzuhalten. Diese Verarbeitung ist gesetzlich erzwungen.

3. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)**: Fraud-Detection und Betrugsprävention sind berechtigte Interessen sowohl von Adyen als auch des Webseitenbetreibers. Der Schutz vor Chargeback und Fraud überwiegt üblicherweise die Interessen des Kunden.

**Die Kombinationen können kompliziert sein.** Eine transparente Darstellung in der Datenschutzerklärung ist essentiell. Der matterius-Generator berücksichtigt alle drei Rechtsgrundlagen und fasst sie in einer verständlichen Form zusammen.

## H. Besonderheiten und Hinweise zu Adyen [#h-besonderheiten-und-hinweise-zu-adyen]

* **Rolle: Eigenständiger Verantwortlicher UND teilweise Auftragsverarbeiter**: Adyen agiert primär als eigenständiger Datenverantwortlicher (für AML, Fraud-Detection, Compliance), kann aber für bestimmte Prozesse auch als Auftragsverarbeiter fungieren. Ein DPA/AVV sollte vereinbart werden, um diese Rollen zu klären.
* **Kartenschutz und PCI DSS**: Adyen ist PCI DSS Level 1 zertifiziert. Kartennummern werden nicht dauerhaft gespeichert; stattdessen wird ein Token verwendet. Das ist ein hoher Sicherheitsstandard.
* **AML und KYC**: Adyen führt automatische Überprüfungen gegen Sanktionslisten, PEP-Datenbanken (Politically Exposed Persons) und Geldwäscherisiko-Indikatoren durch. Diese Daten können für 6-10 Jahre gespeichert werden.
* **Interne Weitergabe**: Adyen-Subprozessoren und Partner (z.B. Correspondent Banks, Fraud-Detection-Services) erhalten Zugang zu Zahlungsdaten. Eine Liste sollte auf Anfrage einsehbar sein.
* **Token für wiederkehrende Zahlungen**: Wenn der Kunde zustimmt, kann Adyen ein Zahlungs-Token speichern, um zukünftige Zahlungen ohne erneute Karteneingabe zu verarbeiten. Dies ist hilfreich für Abonnements, muss aber explizit in den AGB und Datenschutzerklärung dokumentiert sein.
* **Chargebacks und Dispute-Handling**: Adyen speichert Transaktionsdaten für Chargebacks und Dispute-Handling länger als für reine Verarbeitungszwecke (bis zu 540 Tage).
* **Keine Drittlandtransfers (EU-Basis)**: Da Adyen in den Niederlanden angesiedelt ist, erfolgen keine Transfers in unsichere Drittländer. Allerdings können Daten zu internationalen Kartennetzwerken und Correspondent Banks übermittelt werden – dies muss dokumentiert sein.

## I. FAQ zu Adyen [#i-faq-zu-adyen]

<Accordions type="single">
  <Accordion title="Was ist Adyen?">
    Adyen ist ein globaler Zahlungsdienstleister und Payment Acquirer, der es Online-Shops ermöglicht, Zahlungen (Kreditkarten, PayPal, etc.) zu akzeptieren. Adyen verarbeitet die Zahlungen, prüft auf Betrug und Compliance und leitet die Daten an Banken und Kartennetzwerke weiter.
  </Accordion>

  <Accordion title="Welche Daten erfasst Adyen?">
    Adyen erfasst Zahlungsmethoden-Daten (Kartennummer, Ablaufdatum, CVV – nur temporär), Rechnungsadresse, IP-Adresse, Browser-Informationen, Transaktionsbetrag/-dauer und optional Geräte-Fingerprints für Fraud-Detection. Kartennummern werden nicht dauerhaft gespeichert (PCI DSS).
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Adyen?">
    Mehrere kombiniert: Vertragsdurchführung (Art. 6 Abs. 1 lit. b – Zahlungsabwicklung), rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c – AML/KYC/GwG), berechtigte Interessen (Art. 6 Abs. 1 lit. f – Fraud-Detection, Sicherheit). Alle drei sind nebeneinander erforderlich und sollten in der Datenschutzerklärung erklärt sein.
  </Accordion>

  <Accordion title="Sind Zahlungsdaten sicher bei Adyen?">
    Ja. Adyen ist PCI DSS Level 1 zertifiziert, die höchste Sicherheitsstufe. Kartennummern werden nicht im System des Webseitenbetreibers gespeichert – sie gehen direkt an Adyen. Token werden für wiederkehrende Zahlungen verwendet, nicht vollständige Kartennummern.
  </Accordion>

  <Accordion title="Wie lange speichert Adyen Daten?">
    Kartennummern: nicht dauerhaft (nur temporär für Autorisierung). Transaktionsdaten: typischerweise 6-10 Jahre (abhängig von lokalen Steuer-, AML- und Compliance-Anforderungen). Chargebacks können 540 Tage lang gespeichert werden. Genaue Dauer vom Betreiber mit Adyen zu vereinbaren.
  </Accordion>

  <Accordion title="Gibt es ein DPA/AVV für Adyen?">
    Ja. Adyen stellt ein Data Processing Agreement (DPA) zur Verfügung, das die Rolle von Adyen als Auftragsverarbeiter (für bestimmte Prozesse) definiert. Dieses sollte unterzeichnet sein. Adyen fungiert aber auch teilweise als eigenständiger Verantwortlicher (für AML/Compliance).
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Adyen in die Datenschutzerklärung?">
    Ein guter Textbaustein erklärt dass Adyen ein Zahlungsdienstleister ist, nennt die Zwecke (Zahlungsabwicklung, Fraud-Detection, AML/Compliance), die Rechtsgrundlagen (Vertrag, Rechtliche Verpflichtung, berechtigte Interessen), die Speicherdauer und verweist auf Adyens Privacy Policy. Der matterius-Generator erstellt solche Formulierungen mit hohem Datenschutz-Standard und berücksichtigt die komplexen Rechtsgrundlagen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Adyen [#j-fazit-und-empfehlung-zu-adyen]

Adyen ist ein etablierter und sicherer Zahlungsdienstleister mit hohen Compliance- und Security-Standards (PCI DSS Level 1). Die Datenverarbeitung ist komplex, da mehrere Rechtsgrundlagen kombiniert sind (Vertrag, Rechtliche Verpflichtung, berechtigte Interessen). Für DSGVO-Konformität sind folgende Punkte essentiell: (1) Transparente Darstellung aller drei Rechtsgrundlagen, (2) Offenlegung der AML/KYC-Verarbeitung und deren langen Speicherdauer, (3) unterzeichnetes DPA/AVV mit Adyen, (4) Information über Token-Verwendung für wiederkehrende Zahlungen (falls genutzt), (5) Sicherheit-Certifications erwähnen (PCI DSS).

**Problematisch**: Ein vereinfachter Textbaustein, der nur "Zahlungsabwicklung" nennt, ohne AML/KYC und Speicherdauer zu erwähnen. Besser: Ein themenorientierter Ansatz im Abschnitt "Zahlungen und Compliance", der Adyen und andere Payment-Provider zusammen behandelt und die komplexen Rechtsgrundlagen klar erklärt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Adyen und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Akamai CDN und Datenschutz – Was Webseitenbetreiber wissen müssen (/docs/privacy-policy-website/akamai-cdn-datenschutzerklaerung)



# Akamai CDN und Datenschutz – Was Webseitenbetreiber wissen müssen [#akamai-cdn-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Nutzt ein Webseitenbetreiber Akamai als Content Delivery Network (CDN), verarbeitet Akamai Daten zum Zweck der Speicherung und Auslieferung von Inhalten sowie zur Sicherheit und Leistungsoptimierung auf Basis von berechtigten Interessen. Akamai ist einer der weltweit größten CDN-Anbieter und speichert Kopien von Website-Inhalten auf Servern in aller Welt, um schnellere Ladezeiten zu erreichen. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu Akamai als CDN rechtlich in die eigene Datenschutzerklärung gehören.

## A. Zweck und Funktionsweise von Akamai CDN [#a-zweck-und-funktionsweise-von-akamai-cdn]

Ein Content Delivery Network (CDN) ist ein verteiltes Netzwerk von Servern, die Website-Inhalte geografisch näher an den Benutzer positionieren, um Ladezeiten zu verkürzen und die Verfügbarkeit zu verbessern. Akamai betreibt ein solches CDN mit Tausenden von Edge-Servern weltweit.

Wenn ein Besucher eine Website aufruft, deren Inhalte über Akamai ausgespielt werden, wird die Anfrage nicht direkt zum Origin-Server des Webseitenbetreibers geroutet, sondern zu einem geografisch nahen Akamai-Server. Dieser Server speichert eine Kopie des angeforderten Inhalts und übermittelt ihn an den Besucher. Bei der Auslieferung erfasst Akamai automatisch Server-Protokolldaten wie IP-Adressen, URLs, Referrer und technische Metadaten.

Die Integration erfolgt typischerweise über eine DNS-Umleitung (CNAME) oder über einen Proxy-Service. Der Webseitenbetreiber ändert die DNS-Einstellung seiner Domain, damit Anfragen über Akamai-Server geleitet werden, oder nutzt Akamai als Proxy vor seinem Origin-Server.

## B. Pflichtangaben in der Datenschutzerklärung zu Akamai CDN [#b-pflichtangaben-in-der-datenschutzerklärung-zu-akamai-cdn]

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die **Zwecke** der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die **Rechtsgrundlagen**, Art. 13 Abs. 1 lit. e die **Empfänger oder Kategorien von Empfängern**. Art. 13 Abs. 1 lit. f fordert, dass **Drittlandtransfers** (z. B. in die USA) offengelegt und begründet werden.

Hinweis: &#x2A;*CDN-Verarbeitungen sind nicht toolspezifisch.** Ein themenorientierter Ansatz ist hier besser: Unter „Hosting und Infrastruktur" oder „Website-Bereitstellung" sollte erläutert werden, dass die Website auf verteilten Servern gehostet wird, um Leistung und Sicherheit zu verbessern. Ein **Empfänger-Anhang** zur Datenschutzerklärung, der alle Hosting- und Infrastruktur-Partner aufzählt, schafft Klarheit.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Akamai CDN [#c-anbieter-von-akamai-cdn]

**Juristischer Name (Deutschland/EU):** Akamai Technologies GmbH (für europäische Kunden)\
&#x2A;*Anschrift (Deutschland):** Parkring 20-22, 85748 Garching bei München, Deutschland\
&#x2A;*Juristischer Name (weltweit):** Akamai Technologies Inc.\
&#x2A;*Sitzland:** USA (Massachusetts)\
&#x2A;*Sitzland der EU-Tochter:** Deutschland\
&#x2A;*Rolle:** Auftragsverarbeiter (Processor) oder gemeinsamer Verantwortlicher, je nach Konfiguration

**DPF-Status:** Akamai Technologies Inc. (USA) ist Data Privacy Framework (DPF) zertifiziert. Dies bedeutet, dass Akamai sich verpflichtet hat, Daten von EU-Bürgern gemäß den DPF-Prinzipien zu verarbeiten. Weitere Informationen unter [https://www.akamai.com/legal/data-privacy-framework-policy-statement](https://www.akamai.com/legal/data-privacy-framework-policy-statement)

**Datenschutzerklärung:** [https://www.akamai.com/legal/privacy-statement](https://www.akamai.com/legal/privacy-statement)

**Data Processing Addendum (DPA/AVV):** Akamai stellt ein DPA bereit, das Webseitenbetreiber abschließen müssen. Das DPA regelt die Verarbeitung personenbezogener Daten als Auftragsverarbeiter, Subprozessoren, Drittlandtransfers und Sicherheitsmaßnahmen.

## D. Datenverarbeitung durch Akamai CDN – Ablauf [#d-datenverarbeitung-durch-akamai-cdn--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Bei jeder Anfrage an die Website erfasst Akamai Server-Protokolldaten automatisch: IP-Adresse des Besuchers, Datum/Uhrzeit, angeforderte URL, HTTP-Methode, HTTP-Status-Code, Referrer, Browser-User-Agent, Gerätetyp, Betriebssystem und andere technische Metadaten.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Akamai speichert diese Protokolldaten auf seinen Edge-Servern und in Zentralsystemen. Die Speicherdauer variiert; typischerweise beträgt sie zwischen einigen Tagen und mehreren Monaten. Der genaue Zeitrahmen sollte im DPA geklärt werden.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Akamai nutzt die Daten für (a) Sicherheitszwecke (DDoS-Schutz, Angriffserkennung), (b) Leistungsoptimierung, (c) Fehleranalyse, (d) Capacityplanung und (e) Reporting an den Webseitenbetreiber.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Akamai kann die Daten an Subprozessoren weitergeben (z. B. für Analyse oder Sicherheitsservice). Eine Liste der Subprozessoren findet sich im DPA. Daten können auch innerhalb des Akamai-Konzerns verarbeitet werden.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der Speicherfrist löscht Akamai die Daten oder anonymisiert sie. Ein Webseitenbetreiber kann spezifische Datenlöschung anfordern, muss dies aber vertraglich klären.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Akamai CDN [#e-erhobene-daten-beim-einsatz-von-akamai-cdn]

Akamai erfasst automatisch Standard-Web-Server-Daten bei der Auslieferung von Inhalten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, HTTP-Methode, HTTP-Status-Code, Referrer, Größe der übertragenen Daten, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten, Sequenz der angeforderten Ressourcen, Verweildauer pro Seite (wenn im Page-Load-Zeit-Header enthalten)
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung (teilweise aus User-Agent abgeleitet)
* **Browserinformationen**: Browsername, Browserversion, installierte Plugins
* **Grobe Standortdaten**: IP-basierter Standort auf Land-/Regions-Ebene
* **Technische Telemetriedaten**: Fehlermeldungen, Ladezeiten, Datenvolumen, Request-Raten, HTTP-Header

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Akamai dokumentiert seine Datenerfassung in technischen Dokumentationen und dem DPA).

## F. Nutzungszwecke beim Einsatz von Akamai CDN [#f-nutzungszwecke-beim-einsatz-von-akamai-cdn]

Akamai wird in der Regel zu folgenden Zwecken eingesetzt:

* **Funktionsbereitstellung**: Auslieferung von Website-Inhalten mit optimierten Ladezeiten, Verfügbarkeit und globale Skalierbarkeit
* **Sicherheit und Missbrauchsschutz**: DDoS-Schutz, Angriffserkennung/-prävention, Bot-Abwehr, Spam-Filterung, Betrugsprävention
* **Allgemeine Produktverbesserung**: Optimierung basierend auf Nutzungsmustern, Fehlererkennung und Behebung
* **Compliance**: Sicherung und Nachweis von Sicherheitsmaßnahmen

## G. Rechtsgrundlagen für Akamai CDN [#g-rechtsgrundlagen-für-akamai-cdn]

Akamai CDN ist ein Infrastruktur- und Sicherheitstool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):** Die Nutzung eines CDN zur Gewährleistung von Website-Verfügbarkeit, Sicherheit (DDoS-Schutz) und Leistung stellt in der Regel ein berechtigtes Interesse des Webseitenbetreibers dar. Eine Interessenabwägung ist erforderlich, zeigt aber typischerweise, dass die Interessen des Betreibers überwiegen.

2. **Erforderlichkeit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Wenn die Website-Funktionalität von Akamai abhängig ist (z. B. SSL-Termination, Caching), kann auch Art. 6 Abs. 1 lit. b herangezogen werden.

Hinweis: Eine Einzelfallprüfung ist notwendig. CDN-Nutzung erfordert in der Regel keine explizite Einwilligung, sondern wird über berechtigte Interessen begründet.

## H. Besonderheiten und Hinweise zu Akamai CDN [#h-besonderheiten-und-hinweise-zu-akamai-cdn]

* **DPF-Zertifizierung**: Akamai Inc. (USA) ist DPF-zertifiziert, was die Zulässigkeit von Drittlandtransfers in die USA vereinfacht. Der Webseitenbetreiber sollte auf die DPF-Zertifizierung hinweisen.
* **Standard Contractual Clauses (SCC)**: Zusätzlich zur DPF stützt sich Akamai auf SCC für Drittlandtransfers. Die DPA sollte dies dokumentieren.
* **Subprozessoren**: Akamai arbeitet mit Subprozessoren zusammen. Eine aktuelle Liste sollte im DPA oder durch Akamai bereitgestellt werden.
* **Protokolldaten-Aufbewahrung**: Die Aufbewahrungsdauer von Logdaten sollte vertraglich geklärt werden, um Compliance zu sichern.
* **Datensicherheit**: Akamai implementiert umfangreiche Sicherheitsmaßnahmen (ISO 27001, Penetrationstests, etc.) und dokumentiert diese in Sicherheitsberichten.
* **Opt-Out-Optionen**: Besucher haben kaum technische Möglichkeiten, CDN-Nutzung zu umgehen, außer durch allgemeine Browser-Einstellungen (Tracking-Prevention, etc.).

## I. FAQ zu Akamai CDN [#i-faq-zu-akamai-cdn]

<Accordions type="single">
  <Accordion title="Was ist Akamai CDN?">
    Akamai CDN ist ein Content Delivery Network von Akamai Technologies, das Website-Inhalte auf Servern weltweit speichert und ausspielt, um schnellere Ladezeiten und bessere Verfügbarkeit zu erreichen. Es ist ein Infrastruktur-Service, kein Marketing- oder Analysetool.
  </Accordion>

  <Accordion title="Welche Daten erfasst Akamai CDN?">
    Akamai erfasst Standard-Web-Server-Daten: IP-Adressen, angeforderte URLs, HTTP-Status-Codes, Referrer, Browser-Agenten, Ladezeiten und Fehler. Personenidentifizierende Informationen werden nicht direkt erfasst, aber IP-Adressen können zur Standortermittlung genutzt werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Akamai CDN?">
    CDN-Nutzung wird typischerweise auf Basis berechtigter Interessen des Webseitenbetreibers begründet (Art. 6 Abs. 1 lit. f DSGVO) – nämlich Website-Sicherheit, Leistung und Verfügbarkeit. In den meisten Fällen ist keine explizite Einwilligung erforderlich.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Akamai CDN einholen?">
    Nein, in der Regel nicht. CDN-Nutzung ist typischerweise eine funktionale Anforderung der Website und wird über berechtigte Interessen begründet. Eine Einwilligung ist normalerweise nicht erforderlich.
  </Accordion>

  <Accordion title="Ist Akamai DPF-zertifiziert?">
    Ja. Akamai Technologies Inc. (USA) ist DPF-zertifiziert, was bedeutet, dass Daten von EU-Bürgern gemäß den DPF-Prinzipien verarbeitet werden. Dies erhöht die Rechtssicherheit für Drittlandtransfers.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Akamai CDN in die Datenschutzerklärung?">
    Anstelle eines Akamai-spezifischen Bausteins wird empfohlen, einen themenorientierten Absatz unter „Hosting und Infrastruktur" einzuführen, der erläutert, dass die Website auf CDN-Servern gehostet wird, um Leistung und Sicherheit zu verbessern. Nutzen Sie den matterius Privacy Policy Generator für eine automatisierte Datenschutzerklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlungen zu Akamai CDN [#j-fazit-und-empfehlungen-zu-akamai-cdn]

Akamai CDN ist ein unverzichtbarer Infrastruktur-Service für moderne Websites. Datenschutzrechtlich ist es weniger kritisch als Tracking- oder Marketing-Tools, da keine Profilbildung oder Zweck-Neudefinition stattfindet. Die Datenverarbeitung wird typischerweise über berechtigte Interessen begründet, eine explizite Einwilligung ist nicht erforderlich.

Die DPF-Zertifizierung von Akamai Inc. (USA) vereinfacht die Begründung von Drittlandtransfers und reduziert das Datenschutzrisiko. Dennoch sollte ein vollständiges &#x2A;*Data Processing Addendum (DPA)** zwischen dem Webseitenbetreiber und Akamai vorliegen.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Hosting und Infrastruktur" alle CDN- und Hosting-Partner aufzählt, schafft Transparenz. Ein **Empfänger-Anhang** zur Datenschutzerklärung erhöht die Klarheit zusätzlich.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Akamai CDN und ersetzt keine rechtliche Beratung im Einzelfall. Die Informationen beruhen auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Webseitenbetreiber sollten ihre Datenschutzerklärung und ihre Verträge mit Akamai mit einem Datenschutzbeauftragten oder Rechtsanwalt abstimmen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# AppsFlyer und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/appsflyer-datenschutzerklaerung)



# AppsFlyer und Datenschutz – Was Webseitenbetreiber wissen müssen [#appsflyer-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber oder App-Betreiber AppsFlyer ein, verarbeitet er Nutzer- und Attributionsdaten zum Zweck des Mobile Marketing Attribution und der App-Analytics auf Basis von Einwilligung (bei Tracking) oder teils auf Basis berechtigter Interessen (bei serverseitiger Attribution) gemäß DSGVO. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von AppsFlyer [#a-zweck-und-funktionsweise-von-appsflyer]

AppsFlyer ist eine Mobile Marketing Attribution und App-Analytics-Plattform mit Sitz in Israel (Tel Aviv) und Büros in den USA, Europa und Asien. Das Unternehmen hilft App-Entwicklern, Werbetreibenden und Marketing-Agenturen zu verstehen, welche Werbekanal (z. B. Facebook, Google Ads, In-App-Werbenetzwerke) welchen App-Download, welche In-App-Aktion (z. B. Registrierung, Kauf) und welchen Umsatz generiert hat – also die sogenannte „Attribution".

**Primär:** AppsFlyer wird als Mobile Measurement Partner (MMP) eingesetzt, d. h., es wird primär als &#x2A;*SDK (Software Development Kit)** in mobile Apps integriert. Das SDK erfasst App-interne Ereignisse, Installationen und Nutzer-Interaktionen.

**Sekundär:** AppsFlyer bietet auch **Web-Attribution** an – d. h., es kann auch auf Websites integriert werden, um Web-zu-App- oder Web-zu-Web-Conversions zu tracken.

**Technisch bei Mobile Apps:** Das AppsFlyer SDK wird im Source Code der App eingebunden. Bei jedem App-Start und bei bestimmten Ereignissen (z. B. Registrierung, Kauf) sendet das SDK Daten an AppsFlyers Server. Diese Daten beinhalten Device-Identifikatoren (z. B. IDFA bei iOS, Google Advertising ID bei Android), Geräte- und App-Informationen sowie Event-Details.

**Technisch bei Web:** AppsFlyer stellt auch einen Web-Pixel bereit, der ähnlich wie Google Analytics oder andere Tracking-Pixel funktioniert und auf Websites eingebunden wird. Der Pixel erfasst Website-Besuche und Nutzer-Interaktionen.

**Attribution-Logik:** AppsFlyer nutzt Geräte-Identifikatoren, IP-Adressen, Zeitstempel und Cookie-Daten, um eine Werbeaktion (z. B. Klick auf eine Facebook-Ad) mit einer späteren App-Installation oder In-App-Aktion zu verbinden (Last-Click-Attribution oder Multi-Touch-Attribution).

## B. Pflichtangaben in der Datenschutzerklärung zu AppsFlyer [#b-pflichtangaben-in-der-datenschutzerklärung-zu-appsflyer]

Die DSGVO verlangt von App- und Webseitenbetreibern, folgende Punkte transparent zu erläutern:

* **Verarbeitungszwecke** (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
* **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d, falls relevant): Falls über berechtigte Interessen legitimiert
* **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
* **Drittlandtransfers** (Art. 13 Abs. 1 lit. f): Werden Daten in Länder außerhalb der EU/des EWR übermittelt?
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?
* **Betroffenenrechte** (Art. 13 Abs. 2 lit. b und c): Auskunfts-, Lösch- und Widerspruchsrechte

**Häufiger Fehler:** Toolspezifische Textbausteine aus den Datenschutzerklärungen von Anbietern widersprechen dem Transparenzgebot. Ein **themenorientierter Ansatz** ist besser: Strukturieren Sie nach Verarbeitungszwecken (z. B. „Mobile Attribution", „App-Analytics"), nicht nach einzelnen Tools.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von AppsFlyer: AppsFlyer Ltd. [#c-anbieter-von-appsflyer-appsflyer-ltd]

| Aspekt                      | Information                                                                                                          |
| --------------------------- | -------------------------------------------------------------------------------------------------------------------- |
| **Juristischer Name**       | AppsFlyer Ltd. (Israel)                                                                                              |
| **Hauptsitz**               | 1 Menachem Begin Road, Tel Aviv 6701203, Israel                                                                      |
| **EU-Repräsentant**         | AppsFlyer Germany GmbH, Schönhauser Allee 180, 10119 Berlin, Deutschland (für DSGVO Art. 27)                         |
| **Weitere EU-Büros**        | Amsterdam (Niederlande), Paris (Frankreich), London (UK)                                                             |
| **Sitzland**                | Israel (EU-Angemessenheitsbeschluss besteht)                                                                         |
| **DPF-Status**              | Vom Betreiber zu verifizieren (Israel ist anerkannt, aber nicht unter DPF)                                           |
| **Privacy Policy**          | [https://www.appsflyer.com/legal/privacy-policy/](https://www.appsflyer.com/legal/privacy-policy/)                   |
| **Services Privacy Policy** | [https://www.appsflyer.com/legal/services-privacy-policy/](https://www.appsflyer.com/legal/services-privacy-policy/) |
| **Rolle**                   | Eigenständiger Verantwortlicher gegenüber dem App/Website-Betreiber; in einigen Fällen partiell Auftragsverarbeiter  |

**Hinweis:** Israel ist kein Drittstaat im Sinne der DSGVO; es besteht ein Angemessenheitsbeschluss der EU-Kommission. Datenübermittlungen nach Israel sind unter bestimmten Bedingungen DSGVO-konform.

## D. Datenverarbeitung durch AppsFlyer – Ablauf [#d-datenverarbeitung-durch-appsflyer--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Das AppsFlyer SDK wird beim App-Start oder beim Auftreten bestimmter Ereignisse (Registrierung, Kauf, Seitenaufruf) ausgelöst. Es erfasst Geräte-Identifikatoren, IP-Adresse, Zeitstempel, App-Version, Betriebssystem, Browser (bei Web), und Event-spezifische Daten (z. B. Produktname, Kaufbetrag).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    AppsFlyer speichert diese Daten auf seinen Servern, teilweise in Israel (mit Angemessenheitsbeschluss), teilweise in anderen Ländern. Speicherdauer: Typischerweise 3 bis 7 Jahre für rohe Ereignisdaten, je nach Kundenvertrag und lokaler Gesetzgebung.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    AppsFlyer nutzt die Daten zur Attribution (Zuordnung von Werbequelle zu Installation/Aktion), zur Analyse von Nutzerverhalten, zur Betrugserkennung und zur Optimierung von Kampagnen-ROI.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Daten werden an Werbenetzwerke (Facebook, Google, Apple Search Ads), CRM-Systeme, BI-Tools und andere integrierte Partner-Plattformen weitergegeben. Auch an den Werbetreibenden (z. B. App-Publisher), der die Kampagne bucht.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der Speicherdauer oder auf Antrag des Betroffenen werden Daten gelöscht (pseudonymisiert oder komplett). Ein Löschantrag sollte über AppsFlyers Kontaktformular eingereicht werden.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von AppsFlyer [#e-erhobene-daten-beim-einsatz-von-appsflyer]

AppsFlyer erfasst ein breites Spektrum an Nutzer- und Attributionsdaten:

**Bei Mobile Apps (SDK):**

* Geräte-Identifikatoren (IDFA bei iOS, Google Advertising ID bei Android, Android ID)
* IP-Adresse
* Gerätetyp, Betriebssystem, Betriebssystem-Version
* App-Version und App-Name
* Installationsdatum und -zeit
* In-App-Ereignisse (z. B. Registrierung, Kauf, Ansicht von Inhalten)
* Event-Parameter (z. B. Produktname, Preis, Kategorie, Umsatz)
* Werbequelle und Kampagnen-Parameter
* Zeitzone und Sprache

**Bei Web (Web-Pixel):**

* IP-Adresse
* Cookie-IDs
* Referrer und besuchte URLs
* Browser- und Geräteinformation
* Conversion-Ereignisse

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, Referrer, Browser/OS/Gerät, technische Metadaten
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung
* **Browserinformationen**: Browsername, Browserversion
* **Geräte-Identifikatoren**: IDFA, Google Advertising ID, Android ID
* **Conversion-Ereignisse**: App-Installation, In-App-Aktion, Registrierung, Kauf
* **Nutzungsprofile**: Werbequelle, Kampagnen-Zuordnung, Nutzungshistorien

## F. Nutzungszwecke beim Einsatz von AppsFlyer [#f-nutzungszwecke-beim-einsatz-von-appsflyer]

AppsFlyer verarbeitet Daten mit folgenden Zwecken:

* **Attribution und Messung**: Zuordnung von Werbeaktionen zu App-Installationen und In-App-Konversionen
* **Allgemeines Marketing**: Messung von Kampagnen-Erfolg, ROI-Optimierung, Benchmarking
* **Nutzerprofil-Erstellung**: Segmentierung nach Nutzer-Eigenschaften, Kohorten-Bildung
* **Sicherheit und Missbrauchsschutz**: Betrugserkennung (z. B. Fake-Installationen), Bot-Erkennung
* **Allgemeine Produktverbesserung**: Optimierung der Messung und Plattform auf Basis aggregierter Daten
* **Nutzerindividuelles Marketing**: Remarketing-Listen, Audience-Export zu Werbenetzwerken

## G. Rechtsgrundlagen für AppsFlyer [#g-rechtsgrundlagen-für-appsflyer]

**Kategorie 1 – Web-Tracking via AppsFlyer-Pixel:** AppsFlyer ist ein Tracking-Tool ähnlich wie Google Analytics. Es erfordert Einwilligung.

**Rechtsgrundlage (Web-Tracking):** Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Der Webseitenbetreiber muss vor dem Laden des AppsFlyer-Pixels die Einwilligung des Besuchers einholen.

**Kategorie 2 – Mobile SDK und serverseitige Attribution:** Hier kann es differenzierter sein. AppsFlyer selbst wird hauptsächlich über Einwilligung legitimiert (Apple und Google fordern diese für Geräte-Identifikatoren ein). Allerdings können Teile der Datenverarbeitung (z. B. serverseitige Attribution nach Löschung von Geräte-Identifikatoren) auch auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) gestützt werden.

**Einzelfall-Prüfung erforderlich:** Die genaue Rechtsgrundlage hängt davon ab, welche Daten in welchem Kontext verarbeitet werden. Eine pauschale Aussage ist nicht möglich.

**Einwilligungsmechanismus (Web):** Ein Cookie-Banner oder CMP muss vor AppsFlyer-Laden um Zustimmung fragen. Die Einwilligung muss spezifisch und dokumentiert sein.

## H. Besonderheiten und Hinweise zu AppsFlyer [#h-besonderheiten-und-hinweise-zu-appsflyer]

* **Primär Mobile, Sekundär Web:** AppsFlyer ist ursprünglich und primär ein Mobile-Measurement-Tool (SDK). Die Web-Attribution ist eine Zusatzfunktion. Webseitenbetreiber sollten sich bewusst sein, dass AppsFlyer nicht die primäre Zielgruppe ist.
* **Israel als Sitzland:** AppsFlyer sitzt in Israel. Es besteht ein Angemessenheitsbeschluss der EU-Kommission. Datentransfers nach Israel sind rechtskonform, allerdings sollten aktuelle Entwicklungen beobachtet werden.
* **EU-Repräsentant:** AppsFlyer hat einen EU-Repräsentant in Berlin gemäß Art. 27 DSGVO benannt.
* **Weitere Rechtsgrundlagen für Mobile Apps:** Bei mobilen Apps können Geräte-Identifikatoren (IDFA, Google Advertising ID) unter iOS und Android nur mit Zustimmung verarbeitet werden. Diese Zustimmung erfolgt über das Betriebssystem, nicht über die App-Datenschutzerklärung. Webseitenbetreiber sollten dies kommunizieren.
* **Opt-Out/Privacy-Einstellungen:** Benutzer können die Werbeverfolgung auf ihrem Gerät deaktivieren (iOS: "Tracking abgelehnt", Android: "Personalisierte Werbung deaktivieren"). AppsFlyer sollte diese Präferenzen respektieren.
* **Kontakt:** Der Datenschutzbeauftragte von AppsFlyer ist unter [privacy@appsflyer.com](mailto:privacy@appsflyer.com) erreichbar.

## I. FAQ zu AppsFlyer [#i-faq-zu-appsflyer]

<Accordions type="single">
  <Accordion title="Was ist AppsFlyer?">
    AppsFlyer ist ein Mobile Marketing Attribution und App-Analytics-Plattform. Sie misst, welche Werbequelle welche App-Installation oder In-App-Aktion (z. B. Kauf) generiert hat. AppsFlyer funktioniert primär via SDK in Apps, sekundär auch via Web-Pixel auf Websites.
  </Accordion>

  <Accordion title="Welche Daten erfasst AppsFlyer?">
    AppsFlyer erfasst Geräte-Identifikatoren (IDFA, Google Advertising ID), IP-Adressen, Geräte-Info, App-Version, In-App-Ereignisse mit Event-Parametern (z. B. Preis, Kategorie), Werbequelle und Zeitstempel. Bei Web: Cookie-IDs, URL, Referrer.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für AppsFlyer?">
    Bei Web-Tracking: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Bei Mobile: Primär Einwilligung, teilweise auch berechtigte Interessen (serverseitige Attribution). Im Einzelfall zu prüfen.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für AppsFlyer einholen?">
    Ja, für Web-Tracking auf jeden Fall. Ein Cookie-Banner mit Opt-in für AppsFlyer sollte vorhanden sein. Bei mobilen Apps: Die Geräte-ID-Berechtigung wird durch das OS abgefragt.
  </Accordion>

  <Accordion title="Ist AppsFlyer DSGVO-konform?">
    AppsFlyer hat Datenschutzmechanismen und einen EU-Repräsentanten. Es ist jedoch vom Betreiber zu verifizieren, dass alle Datenflows DSGVO-konform ausgestaltet sind (Einwilligung, Drittlandtransfer, Speicherdauer).
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für AppsFlyer in die Datenschutzerklärung?">
    Verwenden Sie keinen toolspezifischen Textbaustein. Strukturieren Sie nach Verarbeitungszwecken, z. B. „Mobile Marketing Attribution und App-Analytics". Nennen Sie AppsFlyer als Empfänger und erläutern Sie transparent, welche Daten erfasst und zu welchen Zwecken verarbeitet werden. Nutzen Sie unseren Datenschutzerklärung-Generator für eine maßgeschneiderte Erklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu AppsFlyer [#j-fazit-und-empfehlung-zu-appsflyer]

**Zusammenfassung:** AppsFlyer ist ein Tracking- und Attributions-Tool, das primär in mobilen Apps und sekundär auf Websites eingesetzt wird. Es erfordert bei Web-Einsatz eine ausdrückliche Einwilligung.

**Warum Textbausteine problematisch sind:** Die Datenschutzerklärung sollte nicht einfach die Privacy Policy von AppsFlyer kopieren. Dies widerspricht Art. 12 Abs. 1 DSGVO. Nutzer sollen verstehen, welche Daten erfasst werden und wozu – nicht durch technische Fachjargon verwirrt werden.

**Empfohlener Ansatz:** Eine themenorientierte Datenschutzerklärung, die nach Verarbeitungszwecken (z. B. „Mobile Marketing Attribution") strukturiert ist, ist klarer und rechtssicherer. Nennen Sie AppsFlyer als einen der Empfänger in einer Emfänger-Liste.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu AppsFlyer und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# AWS Cloud Services und Datenschutz – Was Webseitenbetreiber wissen müssen (/docs/privacy-policy-website/aws-cloud-services-datenschutzerklaerung)



# AWS Cloud Services und Datenschutz – Was Webseitenbetreiber wissen müssen [#aws-cloud-services-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Nutzt ein Webseitenbetreiber Amazon Web Services (AWS) zur Speicherung und Verarbeitung von Daten, agiert AWS als Auftragsverarbeiter und verarbeitet Daten zum Zweck der Erbringung von Cloud-Infrastruktur-Services auf Basis von Vertragserfüllung und berechtigten Interessen. AWS ist einer der weltweit größten Cloud-Infrastruktur-Anbieter und bietet Hosting, Speicherung, Datenbanken und viele weitere Services an. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu AWS rechtlich in die eigene Datenschutzerklärung gehören.

## A. Zweck und Funktionsweise von AWS Cloud Services [#a-zweck-und-funktionsweise-von-aws-cloud-services]

Amazon Web Services (AWS) ist eine umfassende Cloud-Computing-Plattform, die Webseitenbetreibern ermöglicht, ihre Anwendungen, Datenbanken und Speicher in der Cloud zu hosten, statt auf lokalen Servern. AWS bietet Services wie:

* **Compute**: EC2 (Virtual Machines), Lambda (Serverless Computing)
* **Storage**: S3 (Objektspeicher), EBS (Block Storage)
* **Datenbanken**: RDS (relational), DynamoDB (NoSQL)
* **Netzwerk**: CloudFront (CDN), Route 53 (DNS)
* **Sicherheit**: KMS (Verschlüsselung), IAM (Zugriffskontrolle)

Wenn ein Webseitenbetreiber AWS nutzt, speichert er seine Website-Daten, Anwendungen und Benutzerdaten in AWS-Rechenzentren. AWS verarbeitet diese Daten gemäß den Anweisungen des Webseitenbetreibers und tritt als Auftragsverarbeiter auf.

Die Integration erfolgt durch Verträge zwischen dem Webseitenbetreiber und AWS. Der Webseitenbetreiber konfiguriert, welche Services er nutzen möchte, und AWS stellt die Infrastruktur und Sicherheitsmaßnahmen bereit.

## B. Pflichtangaben in der Datenschutzerklärung zu AWS Cloud Services [#b-pflichtangaben-in-der-datenschutzerklärung-zu-aws-cloud-services]

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die **Zwecke** der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die **Rechtsgrundlagen**, Art. 13 Abs. 1 lit. e die **Empfänger oder Kategorien von Empfängern**. Art. 13 Abs. 1 lit. f fordert, dass **Drittlandtransfers** (z. B. in die USA) offengelegt und begründet werden.

Hinweis: AWS ist ein universeller Cloud-Anbieter, der viele Dienste umfasst. Ein themenorientierter Ansatz ist hier erforderlich: Unter „Hosting und Cloud-Infrastruktur" oder „Speicherung personenbezogener Daten" sollte erläutert werden, dass AWS genutzt wird und welche Daten dort verarbeitet werden. Ein **Empfänger-Anhang** zur Datenschutzerklärung schafft Klarheit.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von AWS Cloud Services [#c-anbieter-von-aws-cloud-services]

**Juristischer Name (EU):** Amazon Web Services EMEA SARL\
&#x2A;*Anschrift:** 38 Avenue John F. Kennedy, L-1855 Luxemburg\
&#x2A;*Sitzland:** Luxemburg (Europäischer Wirtschaftsraum)\
&#x2A;*Juristischer Name (weltweit):** Amazon Web Services Inc.\
&#x2A;*Sitzland (weltweit):** USA (Seattle, Washington)\
&#x2A;*Rolle:** Auftragsverarbeiter (Data Processor)

**DPA-Status:** Amazon Web Services EMEA SARL ist nicht DPF-zertifiziert. Allerdings stellt AWS ein umfassendes &#x2A;*AWS Data Processing Addendum (AWS DPA)** bereit, das auf Standard Contractual Clauses (SCC) für Drittlandtransfers basiert. Das DPA dokumentiert AWS als Auftragsverarbeiter und regelt die Verarbeitung personenbezogener Daten gemäß DSGVO.

**Datenschutzerklärung:** [https://aws.amazon.com/de/privacy/](https://aws.amazon.com/de/privacy/)

**GDPR Center:** [https://aws.amazon.com/compliance/eu-data-protection/](https://aws.amazon.com/compliance/eu-data-protection/)

**Data Processing Addendum (DPA/AVV):** AWS stellt ein standardisiertes DPA bereit, das Webseitenbetreiber abschließen müssen. Das DPA regelt die Verarbeitung personenbezogener Daten als Auftragsverarbeiter, Subprozessoren, Drittlandtransfers, Datensicherheit und Betroffenenrechte.

## D. Datenverarbeitung durch AWS Cloud Services – Ablauf [#d-datenverarbeitung-durch-aws-cloud-services--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Webseitenbetreiber lädt Daten (Website-Inhalte, Kundendaten, Logdaten, etc.) auf AWS-Systeme hoch oder speichert diese dort. Diese Daten umfassen alles, was der Webseitenbetreiber selbst zur Verarbeitung an AWS übermittelt.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    AWS speichert die Daten in seinen Rechenzentren (Regions und Availability Zones). Der Webseitenbetreiber kann konfigurieren, in welcher Region die Daten gespeichert werden. Typische Optionen sind EU-Regionen (z. B. Frankfurt, Irland) oder USA-Regionen. Die Speicherdauer ist unbegrenzt, solange der Webseitenbetreiber den Service nutzt.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    AWS verarbeitet die Daten gemäß der Anweisungen des Webseitenbetreibers – z. B. zum Ausführen von Anwendungen, Datenbankabfragen, Backups oder Analysen. AWS hat keinen eigenständigen Zweck für die Verarbeitung (abgesehen von Betrieb und Sicherheit).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    AWS kann die Daten an Subprozessoren weitergeben (z. B. für Backups, Logging, Sicherheit). Eine List der Subprozessoren findet sich in AWS-Dokumentation. Daten können auch innerhalb des AWS-Konzerns verarbeitet werden.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber ist verantwortlich für die Löschung der Daten. AWS löscht die Daten nach Anweisung oder nach Beendigung des Service. Eine Aufbewahrung ist möglich, wenn der Webseitenbetreiber dies konfiguriert.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von AWS Cloud Services [#e-erhobene-daten-beim-einsatz-von-aws-cloud-services]

AWS verarbeitet die Daten, die der Webseitenbetreiber selbst hochlädt oder übermittelt. Abhängig vom genutzten Service können diese sehr unterschiedlich sein:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adressen, Anfrage-Metadaten, Fehler-Logs, Zugriffsprotokolle
* **Anwendungsdaten**: Website-Inhalte, Quellcode, Konfigurationsdaten, API-Schlüssel (sollten verschlüsselt sein)
* **Benutzerdaten**: Kundendaten, Authentifizierungsdaten, Kontaktinformationen, je nachdem was der Betreiber speichert
* **Transaktionsdaten**: Zahlungsdaten, Bestelldaten, Buchungsdaten (sollten verschlüsselt sein)
* **Technische Metadaten**: Dateigrößen, Änderungsdatum, Zugriffskontrolle, Verschlüsselungsstatus
* **Backup- und Wiederherstellungsdaten**: Redundante Kopien für Ausfallsicherheit

Die genaue Zusammensetzung hängt davon ab, welche Services der Webseitenbetreiber nutzt und welche Daten er hochlädt. AWS verarbeitet primär Daten auf Anweisung des Betreibers, nicht eigenständig.

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (AWS dokumentiert seine Datenverarbeitung in umfangreichen Compliance-Dokumentationen).

## F. Nutzungszwecke beim Einsatz von AWS Cloud Services [#f-nutzungszwecke-beim-einsatz-von-aws-cloud-services]

AWS wird in der Regel zu folgenden Zwecken eingesetzt:

* **Funktionsbereitstellung**: Hosting der Website, Ausführung von Anwendungen, Speicherung von Daten
* **Verfügbarkeit und Ausfallsicherheit**: Redundanz, Backups, Disaster Recovery
* **Sicherheit und Missbrauchsschutz**: Sicherheitsüberwachung, Angriffserkennung, Verschlüsselung
* **Leistungsoptimierung**: Load Balancing, Caching, Performance Monitoring
* **Compliance**: Compliance-Reporting, Audit-Logs, Datenschutz-Dokumentation

## G. Rechtsgrundlagen für AWS Cloud Services [#g-rechtsgrundlagen-für-aws-cloud-services]

AWS Cloud Services sind ein Infrastruktur-Service. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. **Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO):** Die Nutzung von AWS ist typischerweise erforderlich, um die Website oder digitale Services zu betreiben. Die Verarbeitung ist somit zur Erfüllung des Vertrags mit Besuchern/Kunden notwendig.

2. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):** Soweit AWS für Sicherheit, Verfügbarkeit und Leistungsoptimierung eingesetzt wird, können berechtigte Interessen des Webseitenbetreibers herangezogen werden.

Hinweis: Eine Einzelfallprüfung ist notwendig. AWS-Nutzung erfordert in der Regel keine explizite Einwilligung, sondern wird über Vertragserfüllung oder berechtigte Interessen begründet.

## H. Besonderheiten und Hinweise zu AWS Cloud Services [#h-besonderheiten-und-hinweise-zu-aws-cloud-services]

* **DPF-Status und SCC:** AWS EMEA SARL ist nicht DPF-zertifiziert. AWS stützt sich auf Standard Contractual Clauses (SCC) für Drittlandtransfers. Das AWS DPA dokumentiert dies. Der Webseitenbetreiber sollte sichern, dass ein aktuelles DPA vorliegt.
* **Drittlandtransfers**: AWS-Daten können in USA-Regionen verarbeitet werden, wenn der Webseitenbetreiber dies konfiguriert. Der Betreiber sollte bei sensiblen Daten EU-Regionen wählen (z. B. Frankfurt).
* **Subprozessoren**: AWS nutzt Subprozessoren (z. B. für Backup, Logging, Sicherheit). Eine Liste ist in AWS-Dokumentation verfügbar.
* **Datensicherheit**: AWS implementiert umfangreiche Sicherheitsmaßnahmen (ISO 27001, SOC 2, Encryption, etc.) und dokumentiert diese in Compliance-Reports.
* **Kundenkontrolle**: Der Webseitenbetreiber behält vollständige Kontrolle über die Daten und kann diese zu jeder Zeit abrufen, modifizieren oder löschen.
* **Schrems-II-Compliance**: AWS bietet Tools und Dokumentation zur Compliance mit dem Schrems-II-Urteil (z. B. Encryption, contractual safeguards, supplementary measures).

## I. FAQ zu AWS Cloud Services [#i-faq-zu-aws-cloud-services]

<Accordions type="single">
  <Accordion title="Was ist AWS Cloud Services?">
    AWS (Amazon Web Services) ist eine Cloud-Computing-Plattform von Amazon, die Webseitenbetreibern ermöglicht, ihre Anwendungen, Datenbanken und Speicher in der Cloud zu hosten, statt auf lokalen Servern. AWS bietet zahlreiche Services wie Compute (EC2), Storage (S3), Datenbanken (RDS) und vieles mehr.
  </Accordion>

  <Accordion title="Welche Daten verarbeitet AWS?">
    AWS verarbeitet die Daten, die der Webseitenbetreiber selbst hochlädt oder übermittelt. Das können Website-Inhalte, Kundendaten, Transaktionsdaten, Logs, Konfigurationen und vieles mehr sein. AWS verarbeitet diese Daten gemäß den Anweisungen des Betreibers und hat keinen eigenständigen Zweck (außer Betrieb und Sicherheit).
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für AWS Cloud Services?">
    AWS-Nutzung wird typischerweise auf Basis von Vertragserfüllung begründet (Art. 6 Abs. 1 lit. b DSGVO) – d. h., die Cloud-Infrastruktur ist erforderlich, um die Website zu betreiben. Für Sicherheit und Optimierung können auch berechtigte Interessen herangezogen werden. Eine explizite Einwilligung ist normalerweise nicht erforderlich.
  </Accordion>

  <Accordion title="Muss ich ein DPA mit AWS abschließen?">
    Ja. AWS ist ein Auftragsverarbeiter, daher ist ein Data Processing Addendum (DPA) erforderlich. AWS stellt ein standardisiertes DPA bereit, das im AWS-Kundencenter verfügbar ist.
  </Accordion>

  <Accordion title="Ist AWS DPF-zertifiziert?">
    Nein. AWS EMEA SARL (EU-Gesellschaft) ist nicht DPF-zertifiziert. AWS stützt sich auf Standard Contractual Clauses (SCC) für Drittlandtransfers. Das AWS DPA dokumentiert die SCC. Der Webseitenbetreiber sollte beim Einsatz sensibler Daten EU-Regionen wählen oder eine zusätzliche Datenschutz-Folgenabschätzung durchführen.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für AWS in die Datenschutzerklärung?">
    Anstelle eines AWS-spezifischen Bausteins wird empfohlen, einen themenorientierten Absatz unter „Hosting und Cloud-Infrastruktur" einzuführen, der erläutert, dass die Website auf AWS-Infrastruktur gehostet wird. Nutzen Sie den matterius Privacy Policy Generator für eine automatisierte Datenschutzerklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlungen zu AWS Cloud Services [#j-fazit-und-empfehlungen-zu-aws-cloud-services]

AWS Cloud Services sind essenzielle Infrastruktur-Tools für Websites und digitale Anwendungen. Datenschutzrechtlich ist AWS als Auftragsverarbeiter zu behandeln, da AWS die Daten gemäß den Anweisungen des Webseitenbetreibers verarbeitet und keinen eigenständigen Zweck hat.

Ein vollständiges &#x2A;*Data Processing Addendum (DPA)** zwischen dem Webseitenbetreiber und AWS EMEA SARL ist erforderlich. Das DPA regelt die Verarbeitung personenbezogener Daten, Subprozessoren, Drittlandtransfers und Sicherheitsmaßnahmen.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Hosting und Cloud-Infrastruktur" erklärt, dass AWS für das Hosting genutzt wird, ist ausreichend. Ein **Empfänger-Anhang** zur Datenschutzerklärung erhöht die Klarheit zusätzlich.

Webseitenbetreiber sollten bei der Konfiguration von AWS darauf achten, dass EU-Regionen für sensible Daten gewählt werden und dass verschlüsselte Verbindungen und Zugriffskontrolle implementiert sind.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu AWS Cloud Services und ersetzt keine rechtliche Beratung im Einzelfall. Die Informationen beruhen auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Webseitenbetreiber sollten ihre Datenschutzerklärung und ihre Verträge mit AWS mit einem Datenschutzbeauftragten oder Rechtsanwalt abstimmen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Braze und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/braze-datenschutzerklaerung)



# Braze und Datenschutz – Was Webseitenbetreiber wissen müssen [#braze-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Braze für Customer Engagement und Email-Marketing ein, verarbeitet er Nutzer-Daten (Name, E-Mail, Verhaltensdaten, Segmente) zum Zweck des Marketings, Push-Notifications und In-App-Messaging auf Basis von Einwilligung und berechtigten Interessen. Braze Inc. (USA), ein führendes Customer Engagement-Unternehmen, fungiert dabei als **Auftragsverarbeiter** und unterliegt dem &#x2A;*Data Privacy Framework (DPF)** für Datentransfers in die USA.

Diese Anleitung richtet sich an Webseitenbetreiber, die Braze für Email-Kampagnen, Push-Notifications, In-App-Messages oder Customer Segmentation nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

## A. Zweck und Funktionsweise von Braze [#a-zweck-und-funktionsweise-von-braze]

Braze ist eine **Customer Engagement Platform** (auch »Customer Data Platform« oder CDP genannt), die es Unternehmen ermöglicht:

* **Email-Marketing:** Automatisierte Email-Kampagnen an segmentierte Kundenlisten
* **Push-Notifications:** Mobile und Web-Push-Benachrichtigungen
* **In-App-Messaging:** Kontextuelle Nachrichten innerhalb einer App oder Website
* **SMS/Messaging:** Direktkommunikation über Telefon, WhatsApp oder andere Kanäle
* **Customer Segmentation:** Automatische Einteilung von Nutzern in Zielgruppen basierend auf Verhalten, Demografie und Präferenzen
* **Journey Automation:** Automatisierte Workflows basierend auf Benutzerverhalten (»Wenn Benutzer X kauft, sende Email Y«)

Die Integrationsfunktion erfolgt durch:

1. **SDK/API:** Der Websitenbetreiber implementiert das Braze SDK auf seiner Website oder App
2. **Event Tracking:** Die SDK erfasst Nutzerverhalten (Seitenbesuche, Klicks, Käufe)
3. **Datenaustausch:** Diese Daten werden an Braze-Server übermittelt
4. **Kampagnen:** Der Websitenbetreiber erstellt Kampagnen in der Braze-Plattform und stellt diese gezielt an Zielgruppen
5. **Analytics:** Braze liefert Reports über Kampagnen-Performance, Öffnungsraten, Klicks

## B. Pflichtangaben in der Datenschutzerklärung zu Braze [#b-pflichtangaben-in-der-datenschutzerklärung-zu-braze]

Die DSGVO verlangt für jeden Auftragsverarbeiter: **Zwecke** (Art. 13 Abs. 1 lit. c), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. a), **Einwilligung** (falls erforderlich, Art. 7 DSGVO), **Empfängerkategorien** (Art. 13 Abs. 1 lit. e), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f) und **Speicherdauer** (Art. 13 Abs. 2 lit. a).

**Sichtweise auf Braze-Integration:** Viele Webseitenbetreiber schreiben zu Braze nur »Braze verarbeitet Marketingdaten« – dies ist viel zu kurz. Stattdessen sollte transparent werden:

* Welche Nutzerdaten werden erfasst (Klicks, Seitenbesuche, Käufe)?
* Zu welchem Zweck (Email-Marketing, Push-Notifications)?
* Aufgrund welcher Rechtsgrundlage (Einwilligung, berechtigte Interessen)?
* Wo werden die Daten verarbeitet (USA mit DPF)?
* Wie lange werden Sie aufbewahrt?

**Besser:** Ein themenorientierter Abschnitt »Marketing und Kundenengagement« mit Beschreibung aller Engagement-Kanäle (Email, Push, In-App-Messaging).

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Braze: Braze Inc. (USA) [#c-anbieter-von-braze-braze-inc-usa]

**Juristischer Name:** Braze, Inc.

**Sitzland:** USA (New York oder als Tochter: Braze EU Limited, falls EU-Gesellschaft vorhanden)

**Datenschutzerklärung:** [https://www.braze.com/company/legal/privacy](https://www.braze.com/company/legal/privacy)

**DPA-Link:** [https://www.braze.com/company/legal/dpa](https://www.braze.com/company/legal/dpa)

**DPF-Status:** &#x2A;*Ja, DPF-zertifiziert.** Braze Inc. ist nach Angaben des Unternehmens zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF), dem UK Extension zum DPF und dem Swiss-U.S. DPF ([https://www.braze.com/company/legal/data-privacy-framework-notice](https://www.braze.com/company/legal/data-privacy-framework-notice)). Das DPF sichert angemessenes Datenschutzniveau für Transfers von der EU in die USA zu.

Sie können die Zertifizierung prüfen unter: [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search)

**Datenschutzvereinbarung (DPA/AVV):** Braze bietet eine &#x2A;*Data Processing Addendum (DPA)** an. Diese ist verfügbar unter [https://www.braze.com/company/legal/dpa](https://www.braze.com/company/legal/dpa). Die DPA regelt:

* Braze-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
* Sicherheitsstandards und Verschlüsselung
* Unterstützung bei Betroffenenrechten
* Subprozessoren-Verwaltung
* Drittlandtransfers via DPF

Die DPA **muss unterzeichnet** sein, um Braze DSGVO-konform zu nutzen.

## D. Datenverarbeitung durch Braze – Ablauf [#d-datenverarbeitung-durch-braze--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Braze erhebt Daten über mehrere Quellen:

    * **Braze SDK:** JavaScript-Snippet auf der Website erfasst Klicks, Seitenbesuche, Scroll-Tiefe, Zeit on Page
    * **Event-Tracking:** Konversionsereignisse wie Produktkauf, Anmeldung, Download
    * **Formular-Daten:** Name, E-Mail, Telefon, Geburtsdatum, Präferenzen (falls in Formularen eingegeben)
    * **Dritte Quellen:** Daten können auch aus CRM, Analytics oder anderen Systemen importiert werden
    * **Mobile Apps:** Falls eine native App genutzt wird, erfasst Braze App-Nutzung, Installation, Abstürze
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    * Braze speichert Daten auf Servern in der USA (mit EU-Datencenter-Optionen verfügbar)
    * Speicherdauer: So lange wie die Kundenbeziehung besteht, plus Archivierung für Analytics
    * Nach Löschung durch den Websitenbetreiber: Bis zu 30 Tage in Backups
    * Benutzerprofile können beliebig lange gespeichert werden (zur Segmentierung und Zielgruppenverwaltung)
    * Anonymisierte Daten (Aggregierte Analytics) werden länger aufbewahrt
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    * Segmentierung: Automatische Einteilung von Nutzern in Zielgruppen basierend auf Verhalten und Merkmalen
    * Kampagnen-Targeting: Auswahl der passenden Nutzer für Email-, Push- oder In-App-Kampagnen
    * Personalisierung: Anpassung von Nachrichteninhalten an Nutzerverhalten
    * Journey-Automation: Automatisches Triggering von Nachrichten basierend auf definierten Bedingungen
    * Analytics: Braze erstellt interne Reports über Kampagnen-Performance
    * Produktverbesserung: Braze nutzt anonymisierte Daten zur Verbesserung der Plattform
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    * **Subprozessoren:** AWS für Hosting, Twilio für SMS/Messaging, Segment für Data Management
    * **Geschäftspartner:** Email-Zustelldienstleister, Zahlung und Compliance-Partner
    * **Drittländer:** Übermittlung an Braze Inc. (USA) zum Speichern und Verarbeiten
    * **Analytik-Partner:** Daten können an externe Analytics-Plattformen übermittelt werden
    * **Auskunftsersuchen:** Bei behördlichen Anfragen (mit Ausnahmen für US-Sicherheitsbehörden)
  </Step>

  <Step>
    ### Löschung [#löschung]

    * Der Websitenbetreiber kann Benutzerprofile jederzeit aus Braze löschen
    * Nach Löschung: Bis zu 30 Tage Aufbewahrung in Backups für Disaster Recovery
    * Nach 30 Tagen: Permanente Löschung, außer aggregierte, anonymisierte Daten werden länger aufbewahrt
    * Betroffene können Löschung ihrer Daten anfordern (Recht auf Vergessenwerden, Art. 17 DSGVO)
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Braze [#e-erhobene-daten-beim-einsatz-von-braze]

Bei der Nutzung von Braze verarbeitet der Websitenbetreiber folgende Datenarten:

* Name und E-Mail-Adresse
* Telefonnummer (optional)
* Besuchte Seiten und Klickpfade
* Produktanschauungen und Warenkorb-Inhalte
* Kaufhistorie (Betrag, Produkte, Datum)
* Seitenbesuche und Besuchsdauer
* IP-Adresse und Geolokation
* Geräteinformationen (Betriebssystem, Browser, App-Version)
* Nutzer-Segmente und Zielgruppen-Zuordnung
* Marketing-Präferenzen (Opt-in/Opt-out für Email, SMS, Push)
* Geburtsdatum (optional)
* Verhaltenssignale (Scroll-Tiefe, Mausbewegungen, Verweildauer)
* Nutzer-Inhalte (falls über Braze-Interface eingegeben)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, Datum/Uhrzeit, Browser/OS, User-Agent
* **Klickpfade:** Besuchte Seiten, angeklickte Links, Referrer
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
* **Browserinformationen:** Browsername, -version, installierte Erweiterungen
* **Grobe Standortdaten:** IP-basierter Standort auf Stadt-/Gemeindeebene
* **Nutzungskonto-Daten:** Name, E-Mail-Adresse, Telefon, Geburtsdatum
* **Nutzerprofile:** Segmente, Zielgruppen, Marketing-Präferenzen, Konversionsereignisse
* **Conversion-Ereignisse:** Produktkauf, Anmeldung, Download, Seitenaufruf
* **Interaktionsdaten:** Scroll-Bewegungen, Verweildauer, Klick-Sequenzen, Öffnungsraten (bei Email)

## F. Nutzungszwecke beim Einsatz von Braze [#f-nutzungszwecke-beim-einsatz-von-braze]

Bei der Nutzung von Braze werden Daten zu folgenden Zwecken verarbeitet:

**Primäre Zwecke:**

* **Funktionsbereitstellung:** Bereitstellung der Braze-Plattform, Kampagnen-Management, Segmentierung
* **Kommunikation:** Email-Marketing, Push-Notifications, In-App-Messaging, SMS
* **Marketing und Kundenengagement:** Gezielte Kampagnen basierend auf Nutzersegmenten
* **Personalisierung:** Anpassung von Inhalten an Nutzerverhalten
* **Vertragsdurchführung:** Falls Nutzer sich zu Marketing angemeldet hat (Abonnement)
* **Produktverbesserung:** Analyse von Kampagnen-Performance, A/B-Teste, Optimierungen
* **Allgemeine Produktverbesserung:** Verbesserung der Braze-Plattform selbst

**Sekundäre Zwecke (falls aktiviert):**

* **Analytik:** Braze-interne Analytics zur Verbesserung des Dienstes
* **Betrugsprävention:** Identifikation von Bot-Aktivitäten, Missbrauch
* **Compliance:** Einhaltung von CAN-SPAM (USA), GDPR, ePrivacy-Richtlinie

## G. Rechtsgrundlagen für Braze [#g-rechtsgrundlagen-für-braze]

**Schritt 1: Kategorisierung von Braze**
Braze ist ein **Auftragsverarbeiter** (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher. Die Verantwortung liegt beim Websitenbetreiber dafür, dass:

* Eine Rechtsgrundlage für die Verarbeitung besteht
* Kundeneintretungen erforderlich sind (insbes. für Marketing)
* Eine DPA mit Braze besteht

**Schritt 2: Anwendbare Rechtsgrundlagen**

1. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Primär für Marketing:**
   * Für Email-Marketing, Push-Notifications und SMS gilt in Deutschland und der EU das **Opt-in-Prinzip** (ePrivacy-Richtlinie 2002/58/EG, für elektronische Direktwerbung)
   * Der Nutzer **muss explizit zustimmen**, bevor er Marketing-E-Mails erhält
   * Ausnahme: »Bestandskundenwerbung« für ähnliche Produkte (etwas lockerer in manchen Ländern)
   * Die Einwilligung **muss dokumentiert** sein (Zeit, Inhalt, Art der Zustimmung)

2. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Für Analyse und Produktverbesserung:**
   * Der Websitenbetreiber hat ein berechtigtes Interesse, Nutzerverhalten zu analysieren (für Verbesserung)
   * Dies gilt für nicht-invasive Tracking (z.B. Analysierung welche Seiten beliebt sind)
   * **Abwägung:** Die Interessen des Websitenbetreibers müssen die Interessen des Nutzers überwiegen
   * Für Marketing selbst reicht berechtigte Interesse **nicht** aus (Einwilligung erforderlich)

3. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Für transaktionale Kommunikation:**
   * Falls der Nutzer etwas kauft, können Sie ihm eine Bestätigung per Email schicken (notwendig für Vertragserfüllung)
   * Falls der Nutzer ein Abonnement abgeschlossen hat, können Sie transaktionale Nachrichten schicken

**Besonderheit – § 25 TDDDG und ePrivacy-Richtlinie:**
Für elektronische Direktwerbung (Email, SMS, Push zu Marketing-Zwecken) ist **Opt-in-Einwilligung** erforderlich (§ 25 Abs. 1 TDDDG für natürliche Personen). Dies ist höherwertig als die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO.

## H. Besonderheiten und Hinweise zu Braze [#h-besonderheiten-und-hinweise-zu-braze]

**1. Einwilligung für Marketing ist zwingend**
Braze wird primär für Marketing genutzt. Das bedeutet: &#x2A;*Sie benötigen ausdrückliche Einwilligung (Opt-in)** des Nutzers, bevor Sie ihm Marketing-E-Mails, Push-Notifications oder SMS schicken. Das Setzen von Braze SDK ist bereits eine Datenverarbeitung, aber die Nutzung für *aktive* Marketing erfordert Einwilligung.

**Empfehlung:**

* Zeigen Sie beim Besuch der Website einen Cookie-Banner oder eine Consent-Bar an
* »Ich akzeptiere Marketing-Emails von \[Websitename]« – Dies sollte ein separates Kontrollkästchen sein (nicht vorgeprüft)
* Speichern Sie diese Einwilligung dokumentiert (Datum, Formulierung, IP-Adresse)
* Nutzen Sie Braze nur dann, wenn Nutzer zustimmen

**2. DPA ist zwingend erforderlich**
Sie **müssen** eine Data Processing Agreement (DPA) mit Braze haben. Verfügbar unter: [https://www.braze.com/company/legal/dpa](https://www.braze.com/company/legal/dpa). Die DPA muss unterzeichnet sein, bevor Sie Braze nutzen.

**3. Braze ist DPF-zertifiziert**
Braze nutzt das &#x2A;*Data Privacy Framework (DPF)** für Drittlandtransfers. Das bedeutet:

* Daten werden in die USA übermittelt
* Braze hat sich selbst zertifiziert, dass es die DPF-Anforderungen erfüllt
* Sie können die Zertifizierung prüfen unter: [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search)
* Im Fall der Invalidierung des DPF hat Braze &#x2A;*Standard Contractual Clauses (SCC)** als Fallback

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Marketingdaten werden in die USA zu Braze übermittelt. Braze ist Data Privacy Framework zertifiziert.«

**4. Subprozessoren und Email-Zustellung**
Braze selbst sendet Emails nicht – es beauftragt Email-Zustelldienstleister (z.B. SendGrid, AWS SES). Diese Subprozessoren sind in den Braze-Subprozessoren-Richtlinien dokumentiert. Sie sollten diese Richtlinien prüfen und in Ihrer Datenschutzerklärung erwähnen.

**5. Opt-out und Betroffenenrechte**

* Betroffene können sich jederzeit von Marketing abmelden (Unsubscribe)
* Betroffene können Auskunft über ihre Daten verlangen (Art. 15 DSGVO)
* Betroffene können Löschung verlangen (Art. 17 DSGVO)
* Sie sollten ein Verfahren haben, diese Anfragen entgegenzunehmen und an Braze weiterzuleiten

**6. Speicherdauer und Datenminimierung**
Legen Sie fest, wie lange Nutzer in Braze gespeichert werden. Empfehlung:

* Aktive Kunden: Für Dauer der Kundenbeziehung
* Inaktive Kunden: Z.B. 2 Jahre nach letztem Kauf oder Kontakt
* Gekündigte Kampagnen-Abos: 6 Monate (zum Nachweis des Opt-out)

## I. FAQ zu Braze [#i-faq-zu-braze]

<Accordions type="single">
  <Accordion title="Was ist Braze?">
    Braze ist eine Customer Engagement Platform für Email-Marketing, Push-Notifications, In-App-Messaging und SMS. Ein Websitenbetreiber implementiert das Braze SDK auf seiner Website, es erfasst Nutzerverhalten, und der Websitenbetreiber erstellt Kampagnen, die gezielt an segmentierte Nutzergruppen versendet werden.
  </Accordion>

  <Accordion title="Welche Daten erfasst Braze?">
    Braze erfasst Name, E-Mail, Telefon, Seiten-Besuche, Klicks, Kaufhistorie, IP-Adresse, Geräteinformationen, Nutzer-Segmente und Marketing-Präferenzen.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Braze-Marketing?">
    Primär &#x2A;*Einwilligung (Opt-in)** für aktive Marketingkommunikation (Art. 6 Abs. 1 lit. a DSGVO, § 25 TDDDG). Sekundär berechtigte Interessen für Analytik und Produktverbesserung.
  </Accordion>

  <Accordion title="Muss ich die Nutzer um Erlaubnis fragen, bevor ich Braze nutze?">
    Ja. Bevor Sie Marketingkampagnen über Braze versenden, benötigen Sie &#x2A;*ausdrückliche Zustimmung (Opt-in)** von der Person. Das Setzen von Braze SDK zur Verhaltenserfassung benötigt ebenfalls Cookie-Einwilligung (§ 25 TDDDG).
  </Accordion>

  <Accordion title="Brauche ich eine DPA für Braze?">
    Ja, zwingend erforderlich. Verfügbar unter: [https://www.braze.com/company/legal/dpa](https://www.braze.com/company/legal/dpa). Muss unterzeichnet sein.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Braze in die Datenschutzerklärung?">
    Statt »Braze verarbeitet Marketingdaten« empfehlen wir einen &#x2A;*themenorientierten Abschnitt:**

    »&#x2A;*Marketing und Kundenengagement:** Wir nutzen die Braze-Plattform, um gezielt Marketingkampagnen per Email, Push-Notification und SMS an Nutzer zu versenden, die sich dafür entschieden haben. Braze (Braze, Inc., USA) erhebt Ihre Name, E-Mail-Adresse, Klickverhalten und Kaufhistorie zum Zweck des Marketings auf Basis Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Daten werden in die USA übermittelt; Braze ist Data Privacy Framework zertifiziert. Sie können sich jederzeit von Marketingkommunikation abmelden (Unsubscribe-Link am Ende jeder Email).«

    Verwenden Sie dazu unser **kostenloses Generator-Tool** (s.u.).
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Braze [#j-fazit-und-empfehlung-zu-braze]

Braze ist ein leistungsstarkes Marketing-Tool, das jedoch datenschutzrechtlich komplex ist: **Einwilligung für Marketingkommunikation ist zwingend erforderlich**, Drittlandtransfers in die USA, Subprozessoren, und mehrere Rechtsgrundlagen je nach Nutzungsfall.

**Toolspezifische Textbausteine** (»Braze verarbeitet Marketingdaten«) sind viel zu kurz und verstecken die wichtigen Informationen (Drittlandtransfer, Einwilligung erforderlich).

**Empfehlung:** Nutzen Sie einen &#x2A;*themenorientierten Aufbau:**

* Sektion »Marketing und Kundenengagement« mit Beschreibung aller Kanäle (Email, Push, SMS)
* Klare Information: »Wir schicken Ihnen nur Marketing-Emails, wenn Sie zustimmen«
* Sektion »Ihre Rechte« mit Info zu Opt-out, Auskunft, Löschung
* Sektion »Drittlandtransfers« mit Verweis auf DPF
* Anhang mit Subprozessoren-Liste

Stellen Sie sicher, dass:

* Ein Opt-in-Consent-Mechanismus vorhanden ist (Cookie-Banner oder Checkbox)
* Die DPA mit Braze unterzeichnet ist
* Nutzer einfach abmelden können (Unsubscribe)
* Ein interner Prozess für Betroffenenrechtsanfragen besteht

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Braze und ersetzt keine rechtliche Beratung im Einzelfall. Information beruht auf Braze-Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22).
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Brightcove Video Cloud und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/brightcove-datenschutzerklaerung)



# Brightcove Video Cloud und Datenschutz – Was Webseitenbetreiber wissen müssen [#brightcove-video-cloud-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Brightcove ein, verarbeitet er Video-Nutzungsdaten (Wiedergabeereignisse, Zuschauer-Metadaten, Engagement-Metriken) zum Zweck der Video-Bereitstellung und -Analytik auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) für Tracking-Komponenten. Brightcove ist ein US-amerikanisches Unternehmen und fungiert als Auftragsverarbeiter; Daten können auf US-Servern gespeichert werden, was Standard Contractual Clauses (SCC) erfordert. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Brightcove zu beachten sind.

## A. Zweck und Funktionsweise von Brightcove [#a-zweck-und-funktionsweise-von-brightcove]

Brightcove Video Cloud ist eine cloudbasierte Video-Hosting- und -Management-Plattform. Der Webseitenbetreiber lädt Videos in Brightcove hoch, speichert Metadaten und stellt die Videos dann auf seiner Website bereit – typischerweise über einen Brightcove-Player-iFrame oder einen eingebetteten Video-Player. Brightcove unterstützt verschiedene Funktionalitäten:

* **Video-Hosting und -Verwaltung**: Speicherung von Videos in der Cloud, Konvertierung in verschiedene Formate, Bereitstellung über ein CDN
* **Brightcove Smart Player**: Ein anpassbarer Video-Player, der auf Websites eingebettet wird
* **Video Analytics**: Erfassung von Wiedergabeereignissen, Zuschauer-Engagement, Abbruchpunkte
* **Monetarisierung**: Optionale Einbindung von Werbung und Abonnement-Verwaltung
* **Live Streaming**: Übertragung von Live-Events über die Plattform

Die Integration erfolgt über einen iFrame oder einen JavaScript-Player-Code, der in den HTML-Quellcode eingebettet wird. Bei jedem Videoaufruf kommuniziert der Player mit Brightcove-Servern und erfasst Nutzungsdaten. **Wichtig**: Daten können auf US-Servern (Boston, MA) sowie in anderen regionalen Rechenzentren gespeichert werden.

## B. Pflichtangaben in der Datenschutzerklärung zu Brightcove [#b-pflichtangaben-in-der-datenschutzerklärung-zu-brightcove]

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage. Bei Brightcove sind folgende Angaben erforderlich:

* **Zwecke**: Bereitstellung und Wiedergabe von Videos, Erfassung von Zuschauer-Engagement, Video-Analytik, Fehlerdiagnose, ggf. Videowerbung und Monetarisierung
* **Rechtsgrundlage**: Berechtigte Interessen (Art. 6 Abs. 1 lit. f – für Video-Bereitstellung und Analytik) oder Einwilligung (Art. 6 Abs. 1 lit. a) für Tracking/Advertising-Komponenten
* **Empfänger/Kategorien**: Brightcove Inc. (USA), Subprozessoren, potenziell Drittanbieter-Werbenetzwerke (je nach Konfiguration)
* **Drittlandtransfers**: Standard Contractual Clauses (SCC) sind erforderlich, da Brightcove US-basiert ist; DPF-Status: vom Betreiber zu verifizieren
* **Speicherdauer**: Abhängig von Konfiguration; vom Betreiber zu verifizieren
* **Datenkategorien**: Siehe Abschnitt E

**Wichtiger Hinweis**: Brightcove-spezifische Textbausteine können zu Verwirrung führen, da die Technologie komplex ist (Player, CDN, Analytics, Ads). Ein themenorientierter Ansatz (z.B. Abschnitt „Embedded Media & Videos") ist besser. Der matterius-Generator erstellt solche flexiblen Formulierungen automatisch.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Brightcove: Brightcove Inc. [#c-anbieter-von-brightcove-brightcove-inc]

**Juristischer Name**: Brightcove Inc.\
**Anschrift**: 290 Congress Street, 4th Floor, Boston, MA 02210, USA\
**Sitzland**: USA (Massachusetts)\
**DPF-Status**: vom Betreiber zu verifizieren (nicht in offiziellem DPF-Verzeichnis bestätigt, aber SCC vorhanden)\
**Datenschutzerklärung**: [https://www.brightcove.com/en/legal/privacy/](https://www.brightcove.com/en/legal/privacy/)\
**AVV/DPA**: Data Processing Amendment (DPA) kann über den Kundenaccount oder per E-Mail an [gdpr@brightcove.com](mailto:gdpr@brightcove.com) angefordert werden. Das DPA enthält Standard Contractual Clauses für Drittlandtransfers.\
**Kontakt für Datenschutzfragen**: [gdpr@brightcove.com](mailto:gdpr@brightcove.com)

## D. Datenverarbeitung durch Brightcove – Ablauf [#d-datenverarbeitung-durch-brightcove--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Webseitenbetreiber lädt Videos in Brightcove hoch und integriert den Brightcove-Player über einen iFrame oder JavaScript-Code in die Website. Wenn ein Besucher das Video aufruft oder abspielt, kommuniziert der Player mit Brightcove-Servern. Es werden sofort Basisdaten (IP-Adresse, Browser, Device) erfasst. Optional können auch Analytics-Tracklets aktiviert werden, die detaillierte Engagement-Daten liefern.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Video-Dateien selbst werden auf Brightcove-CDN-Servern (möglicherweise in USA und anderen Regionen) gespeichert. Metadaten, Analytics-Daten und Zuschauer-Profile werden in Brightcove-Datenbanken (typischerweise USA) gespeichert. Die genaue Speicherdauer und Region ist vom Webseitenbetreiber zu konfigurieren und mit Brightcove abzuklären. Standard ist: Aufbewahrung solange das Video aktiv ist, plus ein konfigurierbarer Zeitraum (oft 30-90 Tage) nach Löschung.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Brightcove nutzt die erfassten Daten zur Bereitstellung des Video-Players, zum Monitoring von Performance (Fehler, Ladezeiten), zur Generierung von Analytics-Berichten und optional zur Ausrichtung von Videowerbung. Der Webseitenbetreiber kann über sein Dashboard auf die Analytics zugreifen und kann auch Zuschauer-Profile segmentieren.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Brightcove teilt Daten mit Subprozessoren (z.B. CDN-Provider, Analytics-Services, Werbenetzwerke). Alle Subprozessoren haben mit Brightcove Data Processing Agreements und SCCs vereinbart. Optional kann der Webseitenbetreiber auch Daten an Drittanbieter-Services exportieren (z.B. Google Analytics, Facebook Pixel).
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der konfigurierten Aufbewahrungsfrist werden Analytics-Daten automatisch gelöscht. Video-Dateien können manuell vom Webseitenbetreiber gelöscht werden. Zuschauer-Profile und personalisierte Daten werden ebenfalls nach der konfigurierten Frist gelöscht. Ein manueller Lösch-Request ist über Datenschutzformulare möglich.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Brightcove [#e-erhobene-daten-beim-einsatz-von-brightcove]

Brightcove erfasst verschiedene Kategorien von Daten, abhängig von der Konfiguration des Players und der aktivierten Features. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent, Browser/OS/Gerät
* **Klickpfade**: Besuchte Seite mit Video, Referrer-URL, Navigation nach Videowiedergabe
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung, Verbindungstyp (WiFi/Mobile)
* **Browserinformationen**: Browsername, Browserversion, Plugins
* **Grobe Standortdaten**: IP-basierter grober Standort (Stadt/Land)
* **Interaktionsdaten**: Play/Pause/Seek-Events, Verweilzeit, Vollständigkeit der Videowiedergabe, Abbruchpunkte, Lautstärkeregelung
* **Technische Telemetriedaten**: Fehler beim Laden, Puffering-Ereignisse, Bitrate-Anpassungen, Ladezeiten

Optional können auch Zuschauer-Identifikatoren (Cookies, User-IDs) erfasst werden, wenn der Webseitenbetreiber Zuschauer-Tracking aktiviert.

## F. Nutzungszwecke beim Einsatz von Brightcove [#f-nutzungszwecke-beim-einsatz-von-brightcove]

Brightcove verarbeitet Daten zu mehreren Zwecken. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

* **Funktionsbereitstellung**: Bereitstellung und Wiedergabe von Videos, Fehlerdiagnose, Performance-Monitoring, CDN-Optimierung
* **Allgemeine Produktverbesserung**: Verbesserung der Player-Funktionalität, Optimierung von Streaming-Qualität, Nutzungsanalysen
* **Allgemeines Marketing**: Video-Performance-Berichte, Trend-Analysen, Benchmarking
* **Sicherheit und Missbrauchsschutz**: DRM (Digital Rights Management), Schutz vor unautorisierten Zugriffen
* **Kommunikation**: Optional: Benachrichtigungen über Video-Verfügbarkeit oder Abschriften
* **Konvertierungen und Monetarisierung**: Tracking von Zuschauer-Engagement für Werbeziele (falls Videowerbung konfiguriert)

## G. Rechtsgrundlagen für Brightcove [#g-rechtsgrundlagen-für-brightcove]

Die Rechtsgrundlage hängt vom Einsatzszenario ab:

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)**: Für die reine Video-Bereitstellung und grundlegende Analytik (Performance-Monitoring, Fehlerdiagnose) ist ein berechtigtes Interesse gegeben – der Webseitenbetreiber hat ein legitimes Interesse, seine Inhalte bereitzustellen und deren Performance zu optimieren.

2. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)**: Für erweiterte Tracking-Features (z.B. Zuschauer-Profiling, Video-Werbe-Tracking, Conversion-Tracking) ist eine ausdrückliche Einwilligung erforderlich, insbesondere wenn Cookies oder Tracking-Pixel im Spiel sind.

3. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)**: Selten, z.B. wenn das Video Teil eines kostenpflichtigen Abonnement-Services ist.

**Im Einzelfall zu prüfen**, welche Rechtsgrundlagen kombiniert werden müssen. Ein sicherer Ansatz: Einwilligung für alle Tracking-Features einholen.

## H. Besonderheiten und Hinweise zu Brightcove [#h-besonderheiten-und-hinweise-zu-brightcove]

* **Drittlandtransfer zu den USA**: Daten können auf US-Servern (Boston, MA) gespeichert werden. Dies ist über Standard Contractual Clauses (SCC) rechtlich gedeckt. DPF-Zertifizierung ist vom Betreiber zu verifizieren.
* **Data Processing Agreement (DPA)**: Das DPA/AVV kann per E-Mail an [gdpr@brightcove.com](mailto:gdpr@brightcove.com) angefordert werden und sollte unterzeichnet sein, bevor persönliche Daten verarbeitet werden.
* **CDN und regionale Speicherung**: Brightcove verwendet ein globales CDN, das bedeutet, dass Videos auf Servern in verschiedenen Ländern zwischengespeichert werden. Dies ist eine technische Notwendigkeit und ist transparent in den Datenschutzerklärungen dokumentiert.
* **Video-Werbung und Tracking**: Wenn der Webseitenbetreiber Videowerbung aktiviert hat, können Drittanbieter-Werbenetzwerke (z.B. Google AdSense, Crunchyroll, etc.) zusätzliche Daten erfassen. Dies muss in der Datenschutzerklärung separat offengelegt werden.
* **Zuschauer-Identifizierung**: Wenn der Webseitenbetreiber Zuschauer-IDs oder Zuschauer-Profile nutzen möchte, müssen diese über ein Nutzer-Account-System oder Cookies realisiert werden – eine zusätzliche Einwilligung kann erforderlich sein.

## I. FAQ zu Brightcove [#i-faq-zu-brightcove]

<Accordions type="single">
  <Accordion title="Was ist Brightcove?">
    Brightcove ist eine cloudbasierte Video-Hosting- und -Management-Plattform, die es Webseitenbetreibern ermöglicht, Videos zu speichern, zu verwenden, zu Analytics und optional zu monetarisieren. Videos werden über einen eingebetteten Player bereitgestellt.
  </Accordion>

  <Accordion title="Welche Daten erfasst Brightcove?">
    Brightcove erfasst IP-Adresse, Browser-Informationen, Geräte-Metadaten, Video-Wiedergabeereignisse (Play, Pause, Seek), Verweilzeit, Abbruchpunkte und optional Zuschauer-Identifikatoren (Cookies, User-IDs). Standortdaten können IP-basiert grob ermittelt werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Brightcove?">
    Für die reine Video-Bereitstellung und Performance-Monitoring: berechtigte Interessen (Art. 6 Abs. 1 lit. f). Für erweiterte Tracking- und Advertising-Features: Einwilligung (Art. 6 Abs. 1 lit. a). Im Einzelfall zu prüfen und transparent in der Datenschutzerklärung darzulegen.
  </Accordion>

  <Accordion title="Werden Daten in die USA übertragen?">
    Ja, möglicherweise. Brightcove ist ein US-amerikanisches Unternehmen (Boston) und kann Daten auf US-Servern speichern. Dies ist unter Standard Contractual Clauses (SCC) rechtlich zulässig. Der Webseitenbetreiber sollte dies in der Datenschutzerklärung unter "Drittlandtransfers" offenlegen.
  </Accordion>

  <Accordion title="Gibt es ein DPA/AVV für Brightcove?">
    Ja. Das Data Processing Agreement mit Standard Contractual Clauses kann per E-Mail an [gdpr@brightcove.com](mailto:gdpr@brightcove.com) angefordert werden und sollte unterzeichnet sein.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Brightcove in die Datenschutzerklärung?">
    Ein guter Textbaustein beschreibt Brightcove unter einem übergeordneten Abschnitt „Embedded Media & Videos", nennt die Zwecke, die erfassten Daten, die Rechtsgrundlagen und hinweist auf Drittlandtransfers (USA, SCC). Der matterius-Generator erstellt solche Formulierungen dynamisch.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Brightcove [#j-fazit-und-empfehlung-zu-brightcove]

Brightcove ist eine leistungsstarke Video-Plattform mit etablierter DSGVO-Dokumentation und verfügbarem DPA/AVV. Die Hauptschwierigkeit ist die Drittlandtransfer zu den USA und die komplexe Konfigurierbarkeit (Player, Analytics, Ads). Für DSGVO-Konformität sind folgende Punkte essentiell: (1) Klarheit über aktivierte Features (Analytics, Ads) und deren Rechtsgrundlagen, (2) transparente Offenlegung von Drittlandtransfers (USA, SCC), (3) unterzeichnetes DPA/AVV, (4) Nutzer-Einwilligung für Tracking-Features.

**Problematisch**: Ein reiner Copy-Paste von Brightcove-Dokumentation. Besser: Ein themenorientierter Ansatz, der alle Video-Plattformen (Brightcove, Vimeo, YouTube, Wistia) unter einem Dach behandelt und klar zwischen reiner Video-Bereitstellung und Tracking/Advertising unterscheidet. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Brightcove und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Cookiebot und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/cookiebot-datenschutzerklaerung)



# Cookiebot und Datenschutz – Was in die Datenschutzerklärung gehört [#cookiebot-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Wer Cookiebot auf seiner Website einsetzt, muss die Nutzung in der Datenschutzerklärung offenlegen. Das Consent Management System verarbeitet personenbezogene Daten – etwa IP-Adressen und Browserinformationen von Website-Besuchern – und erfordert daher fundierte Datenschutzangaben nach der DSGVO. Dieser Beitrag zeigt auf, welche Informationen rechtlich notwendig sind, wie die Datenverarbeitung abläuft und welche Besonderheiten Betreiber beachten sollten.

## A. Zweck und Funktionsweise von Cookiebot [#a-zweck-und-funktionsweise-von-cookiebot]

Cookiebot ist eine Consent Management Platform (CMP) des dänischen Unternehmens Usercentrics A/S (ehemals Cybot). Die Plattform dient Websites dazu, rechtskonforme Einwilligungsbanner zu generieren und alle auf einer Website vorhandenen Cookies sowie Tracking-Tools automatisch zu erfassen.

Das System funktioniert über einen JavaScript-Code, den Webseitenbetreiber in ihre Website einbinden. Dieser Code führt automatisch einen Cookie-Scan durch: Das System crawlt die Website und identifiziert alle gesetzten Cookies und Tracker (auch von Drittanbietern) und kategorisiert sie automatisch. Cookiebot zeigt dann einen anpassbaren Consent-Banner an, über den Website-Besucher ihre Einwilligung zu Cookies und Trackern erteilen oder verweigern können.

Ein zentraler Punkt: Cookiebot selbst ist ein Datenschutztool, setzt aber auch eigene Cookies (auf cookiebot.com). Die Zustimmungsentscheidungen der Nutzer werden geloggt und zentral gespeichert. Der Webseitenbetreiber kann die erteilten und verweigerten Zustimmungen im Cookiebot-Dashboard abrufen und so den Nachweis einer Einwilligung führen – was Cookiebot als Auftragsverarbeiter für das Consent-Speichern darstellt.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Wer Cookiebot einsetzt, muss dies in der Datenschutzerklärung nach Art. 13 Abs. 1 DSGVO offenlegen. Die DSGVO verlangt folgende Mindestangaben:

* Den Namen und die Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a)
* Den Namen und die Kontaktdaten eines Datenschutzbeauftragten, falls vorhanden (Art. 13 Abs. 1 lit. b)
* Die **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* Die **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. d)
* Die **Empfänger** der Daten (Art. 13 Abs. 1 lit. e)
* Die Speicherdauer oder Kriterien für die Festlegung derselben (Art. 13 Abs. 1 lit. f)
* Die Rechte der betroffenen Person (Art. 13 Abs. 2)

Für Cookiebot relevant sind insbesondere:

* Informationen darüber, dass die Zustimmungsdaten an Usercentrics A/S weitergegeben werden (Auftragsverarbeiter)
* Die spezifischen Zwecke: Einwilligungsverwaltung, Dokumentation von Zustimmungen, Missbrauchsschutz
* Rechtsgrundlage: regelmäßig Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance und Rechtsdurchsetzung)
* Speicherdauer der Consent-Logs und Einzelheiten zur Anonymisierung

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter: Usercentrics A/S [#c-anbieter-usercentrics-as]

Die Datenverarbeitung durch Cookiebot erfolgt durch **Usercentrics A/S**, ein dänisches Unternehmen mit Sitz in der Europäischen Union. Dies ist ein bedeutender rechtlicher Vorteil, da kein Datenschutzschutzniveau-Problem (DPF/Adequacy Decision) vorliegt wie bei Übermittlungen in die USA.

**Unternehmensangaben:**

* Name: Usercentrics A/S
* Sitz: Havnegade 39, 1058 Kopenhagen K, Dänemark
* Unternehmens-Registrierungsnummer: 34624607
* E-Mail: [mail@cookiebot.com](mailto:mail@cookiebot.com)
* Phone: +45 50 333 777

Der Sitz im Europäischen Wirtschaftsraum (EWR) bedeutet, dass die Verarbeitung grundsätzlich unter DSGVO-Schutz stattfindet. Allerdings: Usercentrics/Cookiebot nutzt Akamai, ein Content Delivery Network (CDN) mit Servern in den USA. Dies führt zu Drittlandtransfer-Problemen (siehe Abschnitt H).

Weitere Informationen zur Datenschutzpraxis von Usercentrics/Cookiebot finden sich in der Privacy Policy auf cookiebot.com.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Die Verarbeitung von Daten durch Cookiebot folgt einem strukturierten Ablauf:

<Steps>
  <Step number="1" title="Erhebung der Daten">
    Beim Laden der Website wird das Cookiebot-JavaScript-Skript geladen. Das System crawlt die Seite, erkennt alle Cookies und Tracker, und zeigt den Consent-Banner an. Dabei werden vom Nutzer automatisch erfasst: IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp und Zeitstempel.
  </Step>

  <Step number="2" title="Speicherung der Einwilligung">
    Der Nutzer wählt im Banner, welche Cookie-Kategorien er zulässt oder ablehnt. Diese Entscheidung wird als Einwilligungsdatensatz geloggt und in einem zentralen Consent-Log gespeichert. Das Log enthält die anonymisierte IP-Adresse (letzte drei Ziffern auf „0" gesetzt), die Uhrzeit, den Browser-UA, und den Consent-Status.
  </Step>

  <Step number="3" title="Nutzung für Zwecke">
    Der Webseitenbetreiber kann das Consent-Log abrufen, um nachzuweisen, dass er eine gültige Einwilligung vorliegen hat – z.B. für Google Analytics, Facebook Pixel oder andere Tracker, die nur mit Zustimmung betrieben werden dürfen.
  </Step>

  <Step number="4" title="Weitergabe an Dritte">
    Usercentrics selbst gibt die Daten an Subprozessoren weiter, insbesondere an Akamai (USA) für das CDN. Allerdings bietet Usercentrics optional einen EU-CDN-Anbieter (BunnyWay, Slowenien) an.
  </Step>

  <Step number="5" title="Löschung">
    Gespeicherte Einwilligungsdaten werden regelmäßig gelöscht – vom Betreiber zu verifizieren sind die exakten Retention-Policies in den Nutzungsbedingungen oder beim Support.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Cookiebot verarbeitet eine Vielzahl von Datenkategorien. Im Einzelnen:

**Webserver-Protokolldaten**
Die IP-Adresse des Website-Besuchers wird in anonymisierter Form erfasst (die letzten drei Ziffern werden auf „0" gesetzt). Daneben werden Datum und Uhrzeit der Zustimmung, sowie Logdaten des Webservers erfasst.

**Endgeräte- und Browserinformationen**
Der Browser-User-Agent (Browsertyp, Version, Betriebssystem), Gerätetyp und Bildschirmauflösung werden erfasst, um das Consent-Banner responsiv und korrekt anzuzeigen.

**Cookie- und Tracker-Daten**
Cookiebot scannt automatisch alle Third-Party-Cookies und Tracking-Pixel auf der Website und dokumentiert deren Parameter.

**Grobes Standortdatum**
Aus der anonymisierten IP-Adresse wird der ungefähre geografische Standort abgeleitet (auf Land/Region-Ebene).

**Nutzer-Inhalte: Einwilligungsdaten**
Der Kern sind die Zustimmungsentscheidungen selbst: Welche Cookie-Kategorien hat der Nutzer akzeptiert oder abgelehnt? Diese Daten werden als **Consent-Status** mit einem verschlüsselten, anonymen Schlüssel gespeichert.

**Nutzungskonto-Daten (für Betreiber)**
Falls der Webseitenbetreiber das Cookiebot-Dashboard nutzt, verarbeitet Usercentrics auch Daten zum Betreiber-Account: Login-Daten, Zugriffslogging, Konfigurationsänderungen.

## F. Nutzungszwecke [#f-nutzungszwecke]

Die Datenverarbeitung durch Cookiebot erfolgt mit folgenden Zwecken:

**Funktionsbereitstellung und Consent-Management**
Der primäre Zweck ist, Website-Besuchern ein Consent-Banner bereitzustellen, auf dem sie ihre Zustimmung zu Cookies erteilen oder verweigern können. Ohne diese Verarbeitung kann das Banner nicht funktionieren.

**Dokumentation und Compliance**
Cookiebot speichert alle erteilten und verweigerten Zustimmungen zentral, um dem Betreiber einen Nachweis zu erbringen, dass er bei der Aktivierung von Tracking-Tools (wie Google Analytics) eine gültige Einwilligung erhalten hat. Dies ist Anforderung der DSGVO (Art. 7 Abs. 1) und des deutschen TDDDG (§ 25 TDDDG).

**Sicherheit und Missbrauchsschutz**
Cookiebot kann Bot-Aktivitäten erkennen und blockieren, um zu verhindern, dass Bots falsche Zustimmungen registrieren. Auch wird versucht, DoS-Attacken auf das Banner selbst zu verhindern.

**Rechtsdurchsetzung**
Sollte es zu Rechtsstreitigkeiten kommen, können die Consent-Logs als Nachweis dienen, dass eine Einwilligung vorlag.

**Systemverwaltung und Verbesserung**
Usercentrics nutzt Nutzungsdaten (in aggregierter Form) auch, um das System zu optimieren, Fehler zu beheben und neue Features zu entwickeln.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Rechtsgrundlagen für die Datenverarbeitung durch Cookiebot sind differenziert zu betrachten:

**Einwilligungserfassung und Consent-Logging**
Für die bloße Erfassung und Speicherung der Zustimmungsentscheidungen ist regelmäßig **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse) die Rechtsgrundlage. Der Webseitenbetreiber hat ein berechtigtes Interesse daran, den Nachweis einer gültigen Einwilligung zu führen, um selbst DSGVO-konform zu agieren. Dies ist sogar im Sinne der betroffenen Person, da sie damit ihre Datenschutzrechte wahren kann.

Eine alternative Sicht würde **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtung) heranziehen: Der Betreiber ist verpflichtet, Einwilligungen zu dokumentieren (Art. 7 DSGVO).

**Verarbeitung für technische Zwecke (IP, Browser-Daten)**
Die Erfassung von IP-Adresse, Browser-Informationen und Zeitstempel ist notwendig für die Funktionsfähigkeit des Banners und die eindeutige Zuordnung von Zustimmungen. Auch hier ist **Art. 6 Abs. 1 lit. f DSGVO** die Rechtsgrundlage.

**Besonderheit: Cookie des Consent-Banners selbst**
Das Cookiebot-Cookie selbst (das die Zustimmungsentscheidung speichert) wird oft als **notwendig** für das Consent-Management eingestuft und unterliegt somit nicht der Einwilligungspflicht nach Art. 7 TDDDG / § 25 TDDDG. Dies ist eine Grauzone und sollte vom Betreiber dokumentiert und ggf. mit Datenschutz-Beratern geklärt werden.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**AVV/DPA ist zwingend erforderlich**
Da Cookiebot personenbezogene Daten im Auftrag des Webseitenbetreibers verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO rechtlich erforderlich. Betreiber sollten prüfen, ob Usercentrics einen DPA (Data Processing Agreement) anbietet und diesen unterzeichnet haben. Fehlende AVV-Verträge führen zu Haftungsrisiken für den Betreiber.

**Cookie-Scan und automatische Cookie-Erkennung**
Cookiebot scannt die Website kontinuierlich und erkennt Cookies automatisch. Dies ist ein erheblicher Verarbeitungsschritt. Der Betreiber verarbeitet durch die Nutzung von Cookiebot also zusätzliche Daten (die gescannten Cookies), was in der Datenschutzerklärung erwähnt werden sollte.

**Cookiebot-Cookie selbst ist notwendig**
Das Cookiebot-Cookie, das die Zustimmungsentscheidung des Nutzers speichert (typischerweise als „CookieConsent" oder „OptanonConsent"), ist notwendig für die Funktion des Consent-Managements und unterliegt daher nicht der Einwilligungspflicht nach TDDDG § 25 Abs. 1. Es kann auch ohne explizite Zustimmung gespeichert werden.

**Drittlandtransfer und Akamai**
Usercentrics nutzt das CDN Akamai (USA) als Subprozessor, was zu Datenübermittlungen in die USA führt. Dies ist datenschutzrechtlich umstritten und birgt Risiken im Hinblick auf Schrems II und das Fehlen eines angemessenen Datenschutzniveaus. Betreiber sollten klären, ob die EU-CDN-Alternative von Usercentrics genutzt werden kann (BunnyWay, Slowenien).

**Anonymisierung der IP-Adresse ist unvollständig**
Cookiebot anonymisiert die IP-Adresse, indem es die letzten drei Ziffern auf „0" setzt. Dies entspricht der Anonymisierungspraxis anderer Tools, wird aber von Datenschützern kritisch betrachtet: Unter Umständen ist dies nur eine Pseudonymisierung, keine vollständige Anonymisierung.

**Missbrauch und Manipulation**
Besonders kritisch ist: Zustimmungen können nicht vollständig manipulationssicher sein. Ein Nutzer könnte technisch die Zustimmung (über Browserkonsole) manipulieren. Cookiebot versucht, dies durch Bot-Detection zu verhindern, aber das Risiko bleibt.

## I. Häufige Fragen zu Cookiebot und Datenschutz [#i-häufige-fragen-zu-cookiebot-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist Cookiebot genau?">
    Cookiebot ist eine Consent Management Platform (CMP) des dänischen Unternehmens Usercentrics A/S. Es zeigt einen anpassbaren Cookie-Banner auf der Website an, scannt automatisch alle Cookies und Tracker auf der Seite, und speichert die Zustimmungsentscheidungen von Website-Besuchern. Dies ermöglicht es dem Webseitenbetreiber, den Nachweis zu erbringen, dass er eine gültige Einwilligung zu Cookies erhalten hat.
  </Accordion>

  <Accordion title="Warum muss Cookiebot in die Datenschutzerklärung?">
    Cookiebot verarbeitet personenbezogene Daten (IP-Adressen, Browserinformationen, Zustimmungsdaten) und muss daher nach Art. 13/14 DSGVO in der Datenschutzerklärung transparent offengelegt werden. Website-Besucher müssen wissen, dass ihre Daten für die Consent-Verwaltung erfasst und gespeichert werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Cookiebot?">
    Die primäre Rechtsgrundlage ist **Art. 6 Abs. 1 lit. f DSGVO** (berechtigtes Interesse): Der Webseitenbetreiber hat ein berechtigtes Interesse daran, Zustimmungen zu dokumentieren und damit selbst rechtskonform zu agieren. Alternativ kann **Art. 6 Abs. 1 lit. c DSGVO** (rechtliche Verpflichtung) relevant sein, da die DSGVO die Dokumentation von Einwilligungen verlangt.
  </Accordion>

  <Accordion title="Ist Cookiebot DSGVO-konform?">
    Dies ist umstritten und der Betreiber sollte diese Frage individuell prüfen. Kritische Punkte sind: (1) Drittlandtransfers über Akamai (USA) und fehlendes Datenschutzniveau, (2) unvollständige Anonymisierung der IP-Adresse, (3) fehlende oder unzureichende AVV-Verträge in manchen Fällen. Einige deutsche Behörden und Gerichte haben Kritik geäußert. Eine pauschale Zulässigkeit oder Unzulässigkeit gibt es nicht – es kommt auf die konkrete Konfiguration an.
  </Accordion>

  <Accordion title="Brauchen wir einen Textbaustein für unsere Datenschutzerklärung?">
    Ja, ein Textbaustein ist sinnvoll, aber nicht als Copy-Paste. Besser ist ein **individualisierter, verfahrensorientierter Ansatz**, der die spezifische Nutzung von Cookiebot auf der eigenen Website abbildet. Generische Textbausteine führen oft dazu, dass wichtige Details übersehen werden oder irrelevante Punkte aufgezählt werden. Der Text sollte auf die eigenen Kategorien, Zwecke und Subprozessoren zugeschnitten sein.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Cookiebot ist eine weit verbreitete CMP, die Datenschutzpflichten für Webseitenbetreiber schafft und erfüllt zugleich. Die Einbindung erfordert transparente Datenschutzangaben nach DSGVO – nicht nur einer generischen Aufzählung, sondern einer verfahrensorientierten Erklärung, die die Zwecke, Datentypen, Rechtsgrundlagen und Besonderheiten (Drittlandtransfer, Anonymisierung, AVV-Status) konkret darstellt.

Ein pauschaler Textbaustein für Cookiebot ist weniger sinnvoll als eine individuelle Dokumentation, die das eigene System abbildet: Welche Cookie-Kategorien werden betrieben? Welche Subprozessoren sind eingebunden? Wurde ein DPA mit Usercentrics geschlossen? Wird die EU-CDN-Alternative genutzt?

Die kritischen Punkte (Drittlandtransfer über Akamai, Anonymisierung, fehlende AVV) sollten dokumentiert und in Abstimmung mit Datenschutz-Beratern geklärt werden. Betreiber sollten regelmäßig überprüfen, ob Usercentrics Verbesserungen vorgenommen hat und ob die eigene Konfiguration noch datenschutzkonform ist.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer.** Dieser Beitrag stellt keine Rechtsberatung dar. Er beschreibt Stand und Anforderungen nach aktuellem Wissen (April 2026). Datenschutzrecht unterliegt ständiger Änderung durch Urteile, Behördeninterprationen und technische Entwicklungen. Betreiber sollten ihre Datenschutzmaßnahmen und Dokumentation regelmäßig mit qualifizierten Datenschutz-Beratern überprüfen.
</Callout>

<AuthorBlock />


# EQS IR Services und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/eqs-ir-services-datenschutzerklaerung)



# EQS IR Services und Datenschutz – Was Webseitenbetreiber wissen müssen [#eqs-ir-services-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber (insbesondere ein börsennotiertes Unternehmen) IR-Services von EQS ein, integriert er typischerweise News-Widgets, IR-Website-Module oder Investor Relations-Tools auf seiner Unternehmenswebsite und verarbeitet damit Zugriffsdaten und ggf. Nutzerkonto-Daten von Website-Besuchern zum Zweck der Bereitstellung von Investor Relations-Inhalten und Compliance-Dokumentation. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von EQS IR Services [#a-zweck-und-funktionsweise-von-eqs-ir-services]

**EQS Group AG** ist ein führender Anbieter von Software und Services für börsennotierte Unternehmen, insbesondere für:

* Investor Relations (IR)
* Corporate Compliance & Governance
* Data Privacy Management
* Whistleblowing-Systeme (Integrity Line)

Die EQS **IR Services** umfassen mehrere Integrationsfunktionen für Corporate Websites:

1. **EQS News Widget / News Feed**: Automatische Anzeige von Pressemitteilungen und Regulatory News auf der IR-Website
2. **IR Website & Reports**: Vollständig integrierte IR-Website-Module mit Embedded News, Stock Charts, Investor-Profile, Kontaktformulare
3. **EQS Stock Chart**: Automatische Einbindung von Aktienkurs-Daten und Unternehmens-News im Chart
4. **Kontaktformulare und Anfrage-Verwaltung**: Formulare für Investor-Anfragen

Bei der Integration dieser Module werden Website-Zugriffsdaten und ggf. Nutzerdaten erhoben und verarbeitet.

## B. Pflichtangaben in der Datenschutzerklärung zu EQS IR Services [#b-pflichtangaben-in-der-datenschutzerklärung-zu-eqs-ir-services]

Nach DSGVO muss der Betreiber folgende Informationen zu EQS IR Services offenlegen:

* **Zweck** (Art. 13 Abs. 1 lit. c): Bereitstellung von Investor Relations-Inhalten, Compliance-Dokumentation, Nutzer-Anfrage-Verwaltung
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. a/f): Berechtigte Interessen des Unternehmens an Investor Relations + ggf. Einwilligung für Tracking-Elemente
* **Empfänger** (Art. 13 Abs. 1 lit. e): EQS Group AG als Auftragsverarbeiter oder gemeinsamer Verantwortlicher (abhängig von Konfiguration)
* **Drittlandtransfer** (Art. 13 Abs. 1 lit. f): Vom Betreiber zu verifizieren; nach Angaben des Anbieters teilweise US-Infrastructure (AWS)
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Abhängig von Nutzung und Einwilligung

**Hinweis:** Toolspezifische Textbausteine sind problematisch. Besser: Themenorientierter Aufbau (z.B. "Investor Relations und Website-Analyse") mit Aufzählung der Datenempfänger.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von EQS IR Services: EQS Group AG [#c-anbieter-von-eqs-ir-services-eqs-group-ag]

* **Juristischer Name:** EQS Group AG
* **Sitz:** Karlstraße 47, 80333 München, Deutschland
* **Sitzland:** Deutschland (Europäischer Wirtschaftsraum)
* **Privacy Policy:** [https://www.eqs.com/en-us/about-eqs/data-protection/](https://www.eqs.com/en-us/about-eqs/data-protection/) / [https://www.eqs.de/datenschutz.html](https://www.eqs.de/datenschutz.html)
* **DPF-Status:** Nicht erforderlich (Sitz im EWR)
* **AVV/DPA:** Verfügbar; Betreiber sollte AVV-Status mit EQS erfragen
* **Kontakt Datenschutz:** [datenschutz@eqs.com](mailto:datenschutz@eqs.com)

## D. Datenverarbeitung durch EQS IR Services – Ablauf [#d-datenverarbeitung-durch-eqs-ir-services--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Besuch einer IR-Website mit integrierten EQS-Modulen werden erfasst: IP-Adresse, Datum/Uhrzeit, Browser-Agent, Geräteinformationen, URL-Referrer, Klicks auf News-Items, angeklickte Links. Falls Nutzer Kontaktformulare ausfüllen: Name, E-Mail-Adresse, Nachricht, ggf. Telefon.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    EQS speichert die erfassten Daten in seinen Systemen; nach Angaben des Anbieters: teilweise in EU-Rechenzentren (Deutschland, Irland), teilweise auf AWS (USA). Exakte Speicherorte vom Betreiber zu verifizieren. Speicherdauer: Vom Betreiber zu klären.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    EQS nutzt die Daten zu: Bereitstellung der IR-Funktionalität, Analyse von Investor-Engagement, Verbesserung der News-Distribution, Sicherheit der Plattform.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Subprozessoren: Cloud-Infrastruktur (AWS, ggf. Google Cloud), HubSpot (für Website-Tracking und CRM). Drittlandtransfer zu USA: Vom Betreiber zu verifizieren; SCC/Standard Contractual Clauses notwendig.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Zugriffsdaten werden nach Ablauf der Aufbewahrungsfrist gelöscht. Kontakta-Anfragen: Aufbewahrung abhängig von Compliance- und Geschäftsanforderungen (vom Betreiber zu definieren).
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von EQS IR Services [#e-erhobene-daten-beim-einsatz-von-eqs-ir-services]

EQS erfasst bei der Integration von IR-Services verschiedene Kategorien von Nutzerdaten:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, Request-URL, Referrer, HTTP-Status-Codes
* **Klickpfade**: Besuchte Seiten, angeklickte News-Items, angeklickte Links, News-Downloads, Zeitstempel
* **Browserinformationen**: Browsername, Browserversion, User-Agent-String
* **Endgeräte-Daten**: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Displayauflösung, Spracheinstellung
* **Grobe Standortdaten**: IP-basierter Standort auf Stadt-/Gemeindeebene
* **Nutzerprofile**: Falls Nutzer-Konto erstellt: Benutzername, E-Mail-Adresse, Login-Verläufe, Favorit-News, Abonnements
* **Conversion-Ereignisse**: News-Download, Registrierung zur IR-Alert, Kontaktanfrage, Event-Anmeldung
* **Interaktionsdaten**: Klicks auf News-Teilen-Buttons (LinkedIn, Twitter), Verweildauer auf Seiten, Scroll-Tiefe

## F. Nutzungszwecke beim Einsatz von EQS IR Services [#f-nutzungszwecke-beim-einsatz-von-eqs-ir-services]

Die Daten werden für folgende Zwecke verarbeitet:

* **Funktionsbereitstellung**: Anzeige von News, Aktienkurs-Integration, Bereitstellung von IR-Funktionalität
* **Nutzerindividuelle Produktverbesserung**: Personalisierte News-Empfehlungen, Inhalts-Optimierung basierend auf Nutzer-Verhalten
* **Allgemeine Produktverbesserung**: Analyse häufig besuchter Inhalte, Optimierung der IR-Website-Struktur
* **Allgemeines Marketing**: Reichweitenanalyse der News-Distributionen, Erfolgsanalyse von Pressemitteilungen
* **Compliance**: Dokumentation von News-Veröffentlichung und -Verbreitung für Börsen-Compliance
* **Kommunikation**: Beantwortung von Investor-Anfragen über Kontaktformulare

## G. Rechtsgrundlagen für EQS IR Services [#g-rechtsgrundlagen-für-eqs-ir-services]

**Schritt 1 – Kategorisierung:** EQS IR Services sind **Funktions- und Geschäftsoptimierungs-Tools** für börsennotierte Unternehmen.

**Schritt 2 – Rechtsgrundlagen:**

* **Für Funktionsbereitstellung (News, IR-Website)**: Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Das Unternehmen hat berechtigtes Interesse, Investor Relations-Inhalte zu verbreiten.
* **Für Website-Tracking und Nutzerprofile**:
  * Bei cookieloser Anonymisierung: Berechtigte Interessen Art. 6 Abs. 1 lit. f
  * Bei Cookie-Einsatz: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG
* **Für Kontaktformulare**: Berechtigte Interessen Art. 6 Abs. 1 lit. f (Beantwortung von Anfragen)

**Einzelfallprüfung erforderlich:** Je nach Umfang der EQS-Integration und ob Tracking-Cookies eingesetzt werden.

## H. Besonderheiten und Hinweise zu EQS IR Services [#h-besonderheiten-und-hinweise-zu-eqs-ir-services]

* **Auftragsverarbeitungsverhältnis erforderlich:** Der Betreiber sollte klären, ob EQS als Auftragsverarbeiter (Art. 28 DSGVO) oder gemeinsamer Verantwortlicher (Art. 26 DSGVO) fungiert. Ein DPA ist wahrscheinlich erforderlich.
* **Subprozessoren und Drittlandtransfers:** Nach Angaben des Anbieters: HubSpot und AWS (USA). Datenschutzfolgeabschätzung (DPIA) empfohlen; SCC notwendig.
* **Tracking und Cookies:** Die News-Widget-Integration kann Cookies setzen. Der Betreiber muss klären, ob Tracking-Cookies ohne Einwilligung möglich sind oder ob Nutzer-Einwilligung erforderlich ist.
* **Kontaktformulare:** E-Mail-Adressen und Names von Investoren werden erfasst. Speicherdauer und Weitergabezweck müssen klar dokumentiert sein.
* **Rechenschaftspflicht:** Betreiber sollte dokumentieren, welche EQS-Module integriert sind und welche Daten verarbeitet werden.

## I. FAQ zu EQS IR Services [#i-faq-zu-eqs-ir-services]

<Accordions type="single">
  <Accordion title="Was ist EQS IR Services?">
    EQS IR Services sind Module und Tools für Investor Relations, die börsennotierte Unternehmen auf ihrer Website integrieren – etwa News-Widgets, IR-Website-Komponenten, Aktienkurs-Integration und Investor-Kontaktformulare. EQS ist der Marktführer für digitale IR im deutschsprachigen Raum (DAX40-Unternehmen).
  </Accordion>

  <Accordion title="Welche Daten erfasst EQS IR Services?">
    EQS erfasst: IP-Adresse, Datum/Uhrzeit, Browser-Informationen, Klicks auf News, Download-Verhalten, News-Abonnements, Kontaktinformationen (falls Investor-Anfrage), ggf. Login-Daten für IR-Profile.
  </Accordion>

  <Accordion title="Ist EQS IR Services ein Auftragsverarbeiter oder Verantwortlicher?">
    Das hängt von der Konfiguration ab und sollte mit EQS geklärt werden. Typischerweise: Auftragsverarbeiter (Art. 28 DSGVO), weshalb ein DPA erforderlich ist. In manchen Fällen auch gemeinsamer Verantwortlicher (Art. 26 DSGVO).
  </Accordion>

  <Accordion title="Muss ich für EQS IR Services Nutzer-Einwilligungen einholen?">
    Für die reine **Funktionsbereitstellung** (News-Anzeige): Nein, berechtigte Interessen reichen. Für **Tracking und Cookies**: Ja, wenn Tracking-Cookies eingesetzt werden (§ 25 Abs. 1 TDDDG). Für **Kontaktformulare**: Nein, berechtigte Interessen ausreichend.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für EQS IR Services in die Datenschutzerklärung?">
    Empfehlung: Kapitel "Investor Relations und Website-Analyse" mit Angaben zu Zweck (IR-Bereitstellung), Rechtsgrundlage (berechtigte Interessen / Einwilligung bei Cookies), Empfänger (EQS Group AG, ggf. Subprozessoren), Drittlandtransfer (USA-Infrastruktur), Speicherdauer. Nutzen Sie unseren Privacy Policy Generator für konsistente Formulierungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu EQS IR Services [#j-fazit-und-empfehlung-zu-eqs-ir-services]

**Zusammenfassung:** EQS IR Services sind spezialisierte Tools für Investor Relations. Der Betreiber sollte eine Datenschutzfolgeabschätzung (DPIA) durchführen, besonders wenn Tracking-Cookies oder Subprozessoren in den USA involviert sind.

**Häufiger Fehler:** Betreiber übernehmen EQS-Standardtexte für die Datenschutzerklärung, ohne die spezifische Konfiguration ihrer Integration zu dokumentieren. Das ist nicht DSGVO-konform nach Art. 12 Abs. 1 DSGVO. Besser: **Dokumentieren Sie genau**, welche EQS-Module Sie nutzen, welche Daten fließen, und welche Rechtsgrundlage gilt.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu EQS IR Services und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# etracker Analytics und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/etracker-datenschutzerklaerung)



# etracker Analytics und Datenschutz – Was Webseitenbetreiber wissen müssen [#etracker-analytics-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber etracker Analytics ein, kann er je nach Konfiguration Website-Besuchsdaten einwilligungsfrei oder auf Basis einer Einwilligung verarbeiten. etracker ist ein deutsches Analyse-Tool mit besonderem Fokus auf DSGVO-Konformität: Datenspeicherung ausschließlich in Deutschland, IP-Anonymisierung möglich, optional cookielose Tracking-Variante. Nach Angaben des Anbieters wurden die DSGVO- und TDDDG-Compliance durch unabhängige Audit nachgewiesen und mit dem ePrivacy-Siegel zertifiziert. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von etracker Analytics [#a-zweck-und-funktionsweise-von-etracker-analytics]

etracker Analytics ist ein **Web-Analyse-Tool** (Website-Tracking-Lösung) – eine cloudbasierte Plattform zur Erfassung und Analyse von Website-Besucherdaten. Der Betreiber nutzt es, um das Nutzer-Verhalten auf seiner Website zu verstehen, Conversion-Raten zu messen und die Website-Performance zu optimieren.

**Integrationsfunktion:** Der Betreiber bindet einen JavaScript-Tracking-Code in seine Website ein. Dieser Code erfasst beim Besuch:

* Besuchte Seiten
* Verweildauer
* Klicks auf Links und Schaltflächen
* Conversion-Ereignisse (z.B. Warenkorb, Kauf, Anfrage)
* Geräteinformationen, Browser

**Besonderheit: etracker bietet verschiedene Konfigurationsvarianten:**

1. **Cookielose Variante (Counting Pixel)**: Anonymisierte Tracking ohne Cookies, einwilligungsfrei gemäß DSGVO + TDDDG
2. **Standard-Variante mit Cookies**: Mit Cookies zur Website-Messung; Einwilligung empfohlen
3. **Opt-Out-Möglichkeit**: Nutzer können Tracking ablehnen ([https://www.etracker.com/de/datenschutz/](https://www.etracker.com/de/datenschutz/))

## B. Pflichtangaben in der Datenschutzerklärung zu etracker [#b-pflichtangaben-in-der-datenschutzerklärung-zu-etracker]

Nach DSGVO muss der Betreiber folgende Informationen zu etracker offenlegen:

* **Zweck** (Art. 13 Abs. 1 lit. c): Website-Analyse, Besuchermessung, Conversion-Tracking, Optimierung
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. a/f):
  * Bei Counting-Pixel (cookielose Variante): Berechtigte Interessen Art. 6 Abs. 1 lit. f
  * Bei Standard-Cookies: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG
* **Empfänger** (Art. 13 Abs. 1 lit. e): etracker GmbH als Auftragsverarbeiter
* **Drittlandtransfer** (Art. 13 Abs. 1 lit. f): Nein; Datenspeicherung ausschließlich in Deutschland
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Standardmäßig 13 Monate; konfigurierbar
* **Opt-Out** (wichtig): [https://www.etracker.com/de/datenschutz/](https://www.etracker.com/de/datenschutz/)

**Hinweis:** Toolspezifische Textbausteine sind problematisch. Besser: Themenorientierter Aufbau (Kapitel "Website-Analyse und Tracking") mit Erklärung der Konfiguration (cookielose vs. Cookie-Variante).

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von etracker: etracker GmbH [#c-anbieter-von-etracker-etracker-gmbh]

* **Juristischer Name:** etracker GmbH
* **Sitz:** Erste Brunnenstraße 1, 20459 Hamburg, Deutschland
* **Sitzland:** Deutschland (Europäischer Wirtschaftsraum)
* **Privacy Policy:** [https://www.etracker.com/datenschutz/](https://www.etracker.com/datenschutz/) und [https://www.etracker.com/datenschutzerklaerung/](https://www.etracker.com/datenschutzerklaerung/)
* **DPF-Status:** Nicht erforderlich (Sitz im EWR)
* **AVV/DPA:** Verfügbar; automatisch im Account enthalten
* **Zertifizierungen:** ePrivacy-Siegel (unabhängige Datenschutz-Zertifizierung), DSGVO + TDDDG-Compliance nachgewiesen
* **Datenspeicherung:** Ausschließlich in Deutschland (eigene Server in Hamburg)
* **Opt-Out-Link:** [https://www.etracker.com/privacy/](https://www.etracker.com/privacy/)

## D. Datenverarbeitung durch etracker Analytics – Ablauf [#d-datenverarbeitung-durch-etracker-analytics--ablauf]

<Steps>
  <Step>
    ### Erhebung (Counting-Pixel-Variante: einwilligungsfrei) [#erhebung-counting-pixel-variante-einwilligungsfrei]

    Beim Besuch wird das etracker Tracking-Pixel aufgerufen (1x1 Transparent-Bild). Erfasst werden: IP-Adresse (sofort anonymisiert/gekürzt), Seite (URL), Referrer, Gerätetyp, Browsertyp, Verweildauer auf Seite. &#x2A;*Keine Cookies notwendig.**
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die anonymisierten Daten werden in etracker-Servern in Hamburg (Deutschland) gespeichert. &#x2A;*Kein Drittlandtransfer zu USA.** Speicherdauer: Standardmäßig 13 Monate; anpassbar. IP-Adressen werden unmittelbar nach Erfassung gekürzt/anonymisiert.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    etracker nutzt die Daten zu: Berechnung von Besucherzahlen, Seitenzugriffe, Verweildauern, Bounce-Rate, Conversion-Raten, geographische Verteilung (auf Stadt-Ebene), Traffic-Quellen-Analyse, Geräte-Mix-Analyse.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Subprozessoren: etracker nutzt typischerweise Cloud-Infrastruktur in Deutschland; exakte Liste im DPA aufgeführt. Drittlandtransfer: &#x2A;*Nicht vorhanden.**
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der Speicherfrist (Standard: 13 Monate) werden Daten automatisch gelöscht. Nutzer können jederzeit Opt-Out nutzen: [https://www.etracker.com/privacy/](https://www.etracker.com/privacy/)
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von etracker Analytics [#e-erhobene-daten-beim-einsatz-von-etracker-analytics]

etracker erfasst je nach Konfiguration verschiedene Arten von Besucherdaten:

* **Webserver-Protokolldaten**: IP-Adresse (sofort anonymisiert), Datum/Uhrzeit/Zeitzone, Request-URL, HTTP-Referrer, Abfrage-String (Query Parameters)
* **Klickpfade**: Besuchte Seiten, Reihenfolge der Seiten, Verweilzeiten pro Seite, angeklickte externe Links
* **Endgeräte-Daten**: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Betriebssystem-Version, Browsername, Browserversion
* **Browserinformationen**: User-Agent-String, JavaScript-Aktivierung, Cookies-Aktivierung, Plug-in-Informationen (Flash, Java etc.)
* **Grobe Standortdaten**: IP-basierter Ort auf Stadt-/Gemeindeebene (NICHT exakte Geo-Lokalisierung)
* **Conversion-Ereignisse**: Warenkorberstellung, Kauf abgeschlossen, Kontaktanfrage, Registrierung, Download, Videoansicht, benutzerdefinierte Events
* **Interaktionsdaten**: Klicks auf Buttons/Links, Formular-Eingaben (NUR wenn explizit tracked), Scroll-Tiefe (optional), Mausbewegungen (optional)
* **Technische Telemetriedaten**: JavaScript-Fehler, Seiten-Ladezeiten, Ressourcen-Ladezeiten

**Hinweis:** etracker erfasst KEINE Eingaben in Passwort-Felder oder sensible Formulare automatisch – dies kann vom Betreiber konfiguriert werden.

## F. Nutzungszwecke beim Einsatz von etracker Analytics [#f-nutzungszwecke-beim-einsatz-von-etracker-analytics]

Die Daten werden für folgende Zwecke verarbeitet:

* **Funktionsbereitstellung**: Erbringung des Web-Analytics-Service (Reporting, Dashboards)
* **Allgemeine Produktverbesserung**: Optimierung häufig besuchter Inhalte, Identifikation von Seiten-Performance-Problemen
* **Allgemeines Marketing**: Reichweitenanalyse, Traffic-Quellen-Attribution, Kampagnen-Performance-Messung
* **Nutzerindividuelle Produktverbesserung**: Personalisierung basierend auf Nutzer-Segmenten, A/B-Testing
* **Sicherheit und Missbrauchsschutz**: Erkennung verdächtiger Traffic-Muster, Bot-Detektion, DDoS-Mitigation
* **Geschäftsplanung und -steuerung**: Datengrundlage für Geschäftsentscheidungen (z.B. Fokus-Märkte, Seiten-Umsortierung)

## G. Rechtsgrundlagen für etracker Analytics [#g-rechtsgrundlagen-für-etracker-analytics]

**Schritt 1 – Kategorisierung:** etracker Analytics ist ein **Web-Analyse-Tool** – eine Funktionalität zur Optimierung der Website.

**Schritt 2 – Rechtsgrundlagen (je nach Konfiguration):**

**Variante 1: Counting-Pixel (cookielose Anonymisierung)**

* Rechtsgrundlage: Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO
* Einwilligung: **Nicht erforderlich** (DSGVO-konform, TDDDG-konform)
* Bedingung: IP muss sofort anonymisiert werden (etracker macht dies)
* Opt-Out-Angebot sollte in Datenschutzerklärung aufgeführt sein

**Variante 2: Standard-Tracking mit Cookies**

* Rechtsgrundlage: Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG
* Einwilligung: **Ja, erforderlich** vor Cookie-Setzung
* Tool: Usercentrics CMP oder ähnliche Cookie-Banner
* Oder: Berechtigte Interessen (umstritten, nicht alle Datenschutzbehörden akzeptieren dies für Analytics-Cookies)

**Empfehlung des Betreibers:**

* Cookielose Variante nutzen → Keine Einwilligung nötig
* Oder: Einwilligung via CMP Banner einholen → dann Standard-Cookies möglich

## H. Besonderheiten und Hinweise zu etracker [#h-besonderheiten-und-hinweise-zu-etracker]

* **IP-Anonymisierung Standard:** etracker anonymisiert IP-Adressen sofort nach Erfassung (im Server-Cache). Dies ist ein großer Compliance-Vorteil.
* **Server in Deutschland:** Datenspeicherung in Hamburg (Deutschland) – kein Drittlandtransfer zu USA. Das ist ein großer Vorteil im Vergleich zu Google Analytics.
* **DSGVO-Konformität ohne Einwilligung möglich:** Mit der Counting-Pixel-Variante kann der Betreiber etracker einwilligungsfrei nutzen, sofern er berechtigte Interessen dokumentiert.
* **Auftragsverarbeitungsverhältnis erforderlich:** Der Betreiber sollte einen DPA mit etracker abschließen (ist automatisch im Account enthalten).
* **Opt-Out-Angebot:** Der Betreiber SOLLTE in seiner Datenschutzerklärung einen Link zum etracker Opt-Out anbieten: [https://www.etracker.com/privacy/](https://www.etracker.com/privacy/)
* **Speicherfrist konfigurierbar:** Standardmäßig 13 Monate; kann vom Betreiber angepasst werden.
* **ePrivacy-Siegel:** etracker hat das ePrivacy-Siegel von einer unabhängigen Stelle erhalten.
* **Dokumentation erforderlich:** Betreiber sollte dokumentieren, ob er die Counting-Pixel-Variante (einwilligungsfrei) oder Standard-Variante mit Cookies nutzt.

## I. FAQ zu etracker Analytics [#i-faq-zu-etracker-analytics]

<Accordions type="single">
  <Accordion title="Was ist etracker Analytics?">
    etracker Analytics ist ein deutsches Web-Analytics-Tool zur Erfassung und Analyse von Website-Besucherdaten. Es ist spezialisiert auf DSGVO-Konformität: Datenspeicherung in Deutschland, IP-Anonymisierung, cookielose Tracking-Option.
  </Accordion>

  <Accordion title="Welche Daten erfasst etracker?">
    etracker erfasst: Besuchte Seiten (URLs), Verweildauer, Browser-Typ, Gerätetyp, grobe Standortdaten (Stadt-Ebene), Klicks auf Links, Conversion-Ereignisse (Kauf, Anfrage), Ladezeiten. &#x2A;*IP-Adressen werden sofort anonymisiert.**
  </Accordion>

  <Accordion title="Ist etracker DSGVO-konform?">
    Ja, nach Angaben des Anbieters – unter folgenden Bedingungen: (1) Counting-Pixel-Variante nutzen (einwilligungsfrei) ODER Standard-Cookies mit CMP-Banner, (2) DPA mit etracker, (3) Opt-Out-Link in Datenschutzerklärung.
  </Accordion>

  <Accordion title="Muss ich für etracker eine Einwilligung einholen?">
    **Nein, wenn Sie die Counting-Pixel-Variante nutzen** (einwilligungsfrei, berechtigte Interessen). **Ja, wenn Sie Standard-Cookies einsetzen** (dann Einwilligung via CMP-Banner erforderlich).
  </Accordion>

  <Accordion title="Worin unterscheidet sich etracker von Google Analytics?">
    Hauptunterschiede: (1) Daten bleiben in Deutschland, nicht in USA. (2) etracker ist IP-Anonymisierung Standard. (3) Einwilligungsfreie Variante möglich. (4) Deutscher Support, Datenschutz als Fokus. (5) Kein Drittlandtransfer = keine Datenschutzfolgeabschätzung erforderlich.
  </Accordion>

  <Accordion title="Wie kann ich etracker einwilligungsfrei nutzen?">
    Nutzen Sie die **Counting-Pixel-Variante**: Der etracker-Code erfasst Daten über ein Transparent-Pixel ohne Cookies. IP wird sofort anonymisiert. Rechtsgrundlage: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Hinweis: Opt-Out-Link sollte in Datenschutzerklärung stehen: [https://www.etracker.com/privacy/](https://www.etracker.com/privacy/)
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für etracker in die Datenschutzerklärung?">
    Empfehlung: Kapitel "Website-Analyse und Tracking" mit klarer Konfigurationsbeschreibung:

    * Für Counting-Pixel: "Wir nutzen etracker im einwilligungsfreien Modus (Counting-Pixel, IP-anonymisiert). Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO). Sie können Tracking ablehnen: [https://www.etracker.com/privacy/\\](https://www.etracker.com/privacy/\\)"
    * Für Standard-Cookies: Erklärung dass Cookies-Einwilligung nötig ist (über CMP-Banner).
      Nutzen Sie unseren Privacy Policy Generator für konsistente Formulierungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu etracker Analytics [#j-fazit-und-empfehlung-zu-etracker-analytics]

**Zusammenfassung:** etracker Analytics ist eine deutschlandfreundliche, datenschutzorientierte Web-Analytics-Lösung. Der große Vorteil: Datenspeicherung in Deutschland (kein Drittlandtransfer zu USA) und eine einwilligungsfreie Tracking-Option via Counting-Pixel.

**Häufiger Fehler:** Betreiber nutzen etracker wie Google Analytics und vergessen, dass die cookielose Variante einwilligungsfrei eingesetzt werden kann. Viele setzen unnötigerweise ein CMP-Banner ein, obwohl die Counting-Pixel-Variante berechtigte Interessen erlaubt.

**Best Practice:**

1. Counting-Pixel-Variante nutzen (einwilligungsfrei) → Keine CMP nötig (sofern keine anderen Cookies auf der Website)
2. Oder: CMP-Banner + Standard-Cookies (wenn Sie auch andere Cookies einsetzen)
3. **Opt-Out-Link in Datenschutzerklärung:** [https://www.etracker.com/privacy/](https://www.etracker.com/privacy/)
4. DPA mit etracker abschließen und pflegen (ist im Account automatisch enthalten)
5. Transparente Dokumentation: Welche Variante nutzen Sie?

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu etracker Analytics und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Friendly Captcha und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/friendly-captcha-datenschutzerklaerung)



# Friendly Captcha und Datenschutz – Was Webseitenbetreiber wissen müssen [#friendly-captcha-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Friendly Captcha ein, verarbeitet er Nutzer- und technische Daten zum Zweck der Bot-Abwehr und Spam-Prävention auf Basis von berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO – ohne dass eine Einwilligung erforderlich ist. Dies ist ein entscheidender Unterschied zu anderen CAPTCHA-Lösungen wie Google reCAPTCHA. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von Friendly Captcha [#a-zweck-und-funktionsweise-von-friendly-captcha]

Friendly Captcha ist eine datenschutzfreundliche CAPTCHA-Alternative der deutschen Friendly Captcha GmbH mit Sitz in Wörthsee (Bayern). Sie dient der Prävention von Spam, Bot-Angriffen und automatisierten Missbrauch auf Websites und Formularen.

**Im Gegensatz zu Google reCAPTCHA (die Nutzerverhalten trackt)** nutzt Friendly Captcha einen **kryptografischen Proof-of-Work-Ansatz**:

* Der Browser des Besuchers löst im Hintergrund eine mathematische Aufgabe (Proof-of-Work). Diese ist für echte Nutzer unsichtbar und in Bruchteilen einer Sekunde gelöst. Für Bot-Traffic ist sie jedoch sehr zeitaufwändig (Sekunden bis Minuten), weshalb Bot-Angriffe unpraktikabel werden.
* **Kein Tracking, keine Verhaltenserkennung**: Im Gegensatz zu Google reCAPTCHA werden keine Daten über das Nutzerverhalten (Mausbewegungen, Klicks, Scroll-Verhalten) erfasst.
* **Keine Cookies**: Friendly Captcha funktioniert ohne HTTP-Cookies oder Third-Party-Tracking.
* **Minimal-Daten**: Friendly Captcha erfasst nur technische Daten (IP-Adresse, anonymisiert), um Missbrauch zu erkennen.

**Technische Integration:** Der Webseitenbetreiber bindet einen JavaScript-Code-Schnipsel in sein Formular oder seine Website ein. Wenn ein Nutzer das Formular absenden möchte, startet der Browser die Proof-of-Work-Berechnung. Nach erfolgreicher Lösung wird das Formular freigegeben.

## B. Pflichtangaben in der Datenschutzerklärung zu Friendly Captcha [#b-pflichtangaben-in-der-datenschutzerklärung-zu-friendly-captcha]

Die DSGVO verlangt von Webseitenbetreibern, folgende Punkte transparent zu erläutern:

* **Verarbeitungszwecke** (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
* **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d): Falls über berechtigte Interessen legitimiert, diese darstellen
* **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?

**Besonderheit bei Friendly Captcha:** Weil Friendly Captcha auf berechtigten Interessen basiert (nicht auf Einwilligung), ist kein Cookie-Banner erforderlich. Dies ist ein großer Vorteil gegenüber Google reCAPTCHA, das eine Einwilligung verlangt.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Friendly Captcha: Friendly Captcha GmbH [#c-anbieter-von-friendly-captcha-friendly-captcha-gmbh]

| Aspekt                | Information                                                                                                      |
| --------------------- | ---------------------------------------------------------------------------------------------------------------- |
| **Juristischer Name** | Friendly Captcha GmbH                                                                                            |
| **Anschrift**         | Am Anger 3–5, 82237 Wörthsee, Deutschland                                                                        |
| **Sitzland**          | Deutschland (EU)                                                                                                 |
| **Registergericht**   | Amtsgericht München, HRB 260542                                                                                  |
| **DPF-Status**        | Nicht erforderlich (EU-Gesellschaft)                                                                             |
| **Privacy Policy**    | [https://friendlycaptcha.com/legal/privacy-information/](https://friendlycaptcha.com/legal/privacy-information/) |
| **Rolle**             | Auftragsverarbeiter gemäß Art. 28 DSGVO                                                                          |

**Besonderheit:** Friendly Captcha ist ein deutsches Unternehmen – die Datenverarbeitung erfolgt in der EU, es gibt keine Drittland-Transfers in die USA.

## D. Datenverarbeitung durch Friendly Captcha – Ablauf [#d-datenverarbeitung-durch-friendly-captcha--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Das Friendly Captcha-Widget wird auf der Website eingebunden. Wenn ein Nutzer ein Formular absenden möchte, erfasst Friendly Captcha die IP-Adresse des Nutzers und startet die Proof-of-Work-Berechnung im Browser. Keine Verhaltensdaten (Mausbewegungen, Klicks, Scroll) werden erfasst.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die IP-Adresse wird anonymisiert und kurzfristig gespeichert (typischerweise wenige Minuten bis Stunden), um Missbrauch zu erkennen (z. B. mehrfache Submissions von derselben IP). Langfristige Speicherung findet nicht statt.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Friendly Captcha nutzt die anonymisierte IP-Adresse, um verdächtige Muster zu erkennen (z. B. massenhafte Submissions von einer IP-Adresse) und Bots zu blockieren. Die Proof-of-Work-Lösung selbst wird validiert, um zu prüfen, ob sie korrekt ist.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Friendly Captcha gibt Daten nicht an Dritte weiter. Friendly Captcha handelt als Auftragsverarbeiter für den Webseitenbetreiber.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Anonymisierte IP-Adressen werden nach kurzer Zeit (Stunden) automatisch gelöscht. Es gibt kein Retention-Fenster für personenbezogene Daten.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Friendly Captcha [#e-erhobene-daten-beim-einsatz-von-friendly-captcha]

Im Gegensatz zu anderen CAPTCHA-Lösungen erfasst Friendly Captcha sehr wenige Daten:

* **IP-Adresse (anonymisiert)**: Zur Erkennung verdächtiger Muster und Missbrauchsprävention. Die IP wird nicht in Verbindung mit dem Nutzer oder anderen Daten gespeichert.
* **Zeitstempel**: Der Zeitpunkt der Proof-of-Work-Berechnung, zur Analyse von Angriffsmustern.
* **Technischer Erfolgs-/Fehlerstatus**: Ob die Proof-of-Work-Berechnung erfolgreich war oder nicht.

**Kein Tracking von:**

* Mausbewegungen
* Klicks
* Scroll-Verhalten
* Browserhistorie
* Geräteinformationen (über reCAPTCHA hinaus)
* Verhaltensprofilen
* Cross-Site-Tracking

Diese minimalen Daten lassen sich in folgende standardisierte Datenarten-Klasse einordnen:

* **Webserver-Protokolldaten (anonymisiert)**: IP-Adresse (anonymisiert oder gehashed), Datum/Uhrzeit, technische Metadaten zur Bot-Erkennung
* **Sicherheitsereignisse**: Erfolg/Fehlschlag der Captcha-Lösung, verdächtige Muster

## F. Nutzungszwecke beim Einsatz von Friendly Captcha [#f-nutzungszwecke-beim-einsatz-von-friendly-captcha]

Friendly Captcha verarbeitet Daten mit folgenden Zwecken:

* **Funktionsbereitstellung**: Bereitstellung des CAPTCHA-Widgets zur Verifizierung von menschlichen Nutzern
* **Sicherheit und Missbrauchsschutz**: Bot-Erkennung und -Blockierung, Spam-Prävention, Schutz von Formularen vor automatisierten Angriffen
* **Missbrauchsprävention**: Erkennung verdächtiger Muster (z. B. massenhafte Submissions von einer IP-Adresse)

Diese Zwecke sind eng definiert und beziehen sich ausschließlich auf Sicherheit – nicht auf Marketing oder Profiling.

## G. Rechtsgrundlagen für Friendly Captcha [#g-rechtsgrundlagen-für-friendly-captcha]

**Kategorie:** Friendly Captcha ist ein Sicherheits- und Missbrauchsschutz-Tool.

**Rechtsgrundlage:** Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO.

Der Webseitenbetreiber hat ein berechtigtes Interesse daran, seine Formulare und Website vor Bot-Angriffen, Spam und Missbrauch zu schützen. Dieses Interesse ist legitim und proportional. Die Beeinträchtigung der Nutzer ist minimal (eine kurze Proof-of-Work-Berechnung, unsichtbar), und es wird kein Tracking durchgeführt.

**Keine Einwilligung erforderlich:** Weil Friendly Captcha auf berechtigten Interessen basiert, **nicht** auf Tracking-Cookies, ist eine Einwilligung des Nutzers nicht erforderlich. Dies ist ein entscheidender Vorteil gegenüber Google reCAPTCHA.

**Verhältnismäßigkeit:** Die Verarbeitung ist proportional, weil:

1. Nur minimale Daten erhoben werden (anonymisierte IP)
2. Kein Tracking oder Profiling stattfindet
3. Daten sofort gelöscht werden
4. Der Nutzen (Sicherheit) die Beeinträchtigung überwiegt

## H. Besonderheiten und Hinweise zu Friendly Captcha [#h-besonderheiten-und-hinweise-zu-friendly-captcha]

* **Datenschutzfreundlich:** Friendly Captcha ist bewusst als datenschutzfreundliche Alternative zu Google reCAPTCHA konzipiert. Es gibt kein verhaltensbasiertes Tracking.
* **Keine Einwilligung erforderlich:** Weil Friendly Captcha auf berechtigten Interessen basiert, ist kein Cookie-Banner notwendig. Dies ist ein großer praktischer Vorteil.
* **Europäischer Anbieter:** Friendly Captcha GmbH sitzt in Deutschland (Wörthsee, Bayern). Daten werden in EU-Servern verarbeitet.
* **GDPR-konform:** Friendly Captcha ist explizit GDPR-konform ausgestaltet und stellt sich als Alternative zu US-amerikanischen Anbietern dar.
* **Auftragsverarbeiter:** Friendly Captcha handelt als Auftragsverarbeiter (Art. 28 DSGVO) – es gibt eine Auftragsverarbeitungs-Beziehung zwischen dem Webseitenbetreiber und Friendly Captcha.
* **AVV/DPA:** Ein Data Processing Agreement sollte vorliegen. Dies kann in den Nutzungsbedingungen oder separat abgeschlossen werden.
* **Proof-of-Work-Belastung:** Das Proof-of-Work-Verfahren belastet den Browser des Nutzers (CPU/Akku) minimal, ist aber nicht völlig unsichtbar. Manche Nutzer könnten Verzögerungen spüren (wenige Sekunden).
* **Keine Alternative zu starker Authentifizierung:** Friendly Captcha ist ein Bot-Schutz, nicht eine Authentifizierungsmethode (z. B. nicht für Login-Seiten mit hochsensiblen Daten empfohlen).

## I. FAQ zu Friendly Captcha [#i-faq-zu-friendly-captcha]

<Accordions type="single">
  <Accordion title="Was ist Friendly Captcha?">
    Friendly Captcha ist eine datenschutzfreundliche CAPTCHA-Lösung, die Bots durch mathematische Proof-of-Work erkennt – nicht durch Verhaltenstracking wie Google reCAPTCHA. Sie ist vollständig GDPR-konform und basiert auf berechtigten Interessen, nicht auf Einwilligung.
  </Accordion>

  <Accordion title="Welche Daten erfasst Friendly Captcha?">
    Friendly Captcha erfasst nur anonymisierte IP-Adressen und Zeitstempel zur Bot-Erkennung. Es werden keine Verhaltensdaten (Mausbewegungen, Klicks, Scroll), keine Browser-Historie und keine Profiling-Daten erfasst.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Friendly Captcha?">
    Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO – Schutz vor Bot-Angriffen und Spam. Keine Einwilligung erforderlich, weil kein Tracking stattfindet.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Friendly Captcha einholen?">
    Nein, nicht erforderlich. Friendly Captcha basiert auf berechtigten Interessen des Webseitenbetreibers (Sicherheit). Ein Cookie-Banner ist nicht nötig.
  </Accordion>

  <Accordion title="Ist Friendly Captcha besser als Google reCAPTCHA?">
    Datenschutzmäßig: Ja. Friendly Captcha trackt nicht, erfasst keine Verhaltensdaten und erfordert keine Einwilligung. Funktionsmäßig: Ähnlich. Beide blockieren Bots, aber mit unterschiedlichen Methoden. Die Wahl hängt von den Anforderungen ab.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Friendly Captcha in die Datenschutzerklärung?">
    Einfach unter einem Punkt „Sicherheit und Missbrauchsschutz" erläutern: „Wir nutzen Friendly Captcha zur Prävention von Bot-Angriffen auf Formularen. Friendly Captcha erhebt anonymisierte Daten (IP-Adresse, Zeitstempel) und ist GDPR-konform." Kein Cookie-Banner nötig. Nutzen Sie unseren Datenschutzerklärung-Generator für eine maßgeschneiderte Erklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Friendly Captcha [#j-fazit-und-empfehlung-zu-friendly-captcha]

**Zusammenfassung:** Friendly Captcha ist eine datenschutzfreundliche, GDPR-konforme CAPTCHA-Lösung von einem deutschen Anbieter. Sie basiert auf berechtigten Interessen und erfordert keine Einwilligung.

**Vorteil gegenüber Google reCAPTCHA:** Friendly Captcha trackt kein Nutzerverhalten, erhebt keine Profiling-Daten und erfordert keinen Cookie-Banner. Dies macht die Implementierung einfacher und datenschutzkonformer.

**Sicherheit vs. Datenschutz:** Friendly Captcha zeigt, dass effektive Bot-Prävention auch ohne invasives Tracking möglich ist. Der Proof-of-Work-Ansatz ist elegant und datenschutzfreundlich.

**Empfohlener Ansatz:** Friendly Captcha sollte in der Datenschutzerklärung unter einem kurzen Punkt „Sicherheit und Missbrauchsschutz" erwähnt werden. Aufgrund der minimalen Datenverarbeitung und des fehlenden Trackings ist die Darstellung sehr knapp möglich.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Friendly Captcha und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Google Ads und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/google-ads-datenschutzerklaerung)



# Google Ads und Datenschutz – Was Webseitenbetreiber wissen müssen [#google-ads-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber Google Ads mit Conversion Tracking ein, verarbeitet er Conversion-Ereignisse, Klickdaten und Geräteinformationen zum Zweck der Erfolgsmessung von Werbekampagnen auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Google Ads ist ein werbebasiertes Tracking- und Targeting-System von Google, das es Webseitenbetreibern ermöglicht, Werbekampagnen zu messen und Nutzer zu retargeting.

## A. Zweck und Funktionsweise von Google Ads, Conversion Tracking und Floodlight [#a-zweck-und-funktionsweise-von-google-ads-conversion-tracking-und-floodlight]

Google Ads ist das Werbenetzwerk von Google Ireland Limited. Damit können Webseitenbetreiber und E-Commerce-Unternehmen bezahlte Anzeigen auf Google Search, Google Display-Netzwerk und anderen Google-Partnern schalten. **Conversion Tracking** ist ein integrales Feature: Es misst, ob Nutzer nach dem Klick auf eine Google-Anzeige auf der Website des Werbetreibenden eine bestimmte Aktion durchführen (z. B. Kauf, Registrierung, Download, Anfrageformular).

**Floodlight-Tags** sind eine spezielle Ausprägung des Conversion Trackings, ursprünglich aus der früheren DoubleClick-Plattform, die Google übernommen hat. Floodlight ermöglicht es, Conversions über Multiple Tracking-Punkte (z. B. verschiedene Websites oder Apps) zu messen und bietet granularere Tracking-Optionen als das Standard-Google-Conversion-Tag.

**Integrationsfunktion:** Auf der Website wird entweder ein JavaScript-Code (Google Conversion Tag oder Google Tag Manager mit Conversion-Tags) oder ein Floodlight-Pixel eingebunden. Der Code lädt sich beim Seitenaufruf, setzt Cookies (insbesondere \_gcl\_aw für den GCLID – Google Click ID) und sendet Conversion-Daten an Google-Server. Auch beim Besuch bestimmter Seiten (z. B. Danke-Seite nach Registrierung) können Conversions ausgelöst werden.

## B. Pflichtangaben in der Datenschutzerklärung zu Google Ads [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-google-ads]

Die DSGVO verlangt für Google Ads Conversion Tracking und Floodlight folgende Pflichtangaben: **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. b DSGVO), insbesondere da Tracking-Cookies Einwilligung erfordern, **Empfänger und Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e DSGVO), **Speicherdauer** der Daten (Art. 13 Abs. 2 lit. a DSGVO), sowie Information zu **Drittlandtransfers** zu Google LLC in den USA (Art. 13 Abs. 1 lit. f DSGVO, mit DPF oder SCC).

Diese Informationen sollten nicht als Einzelbaustein für Google Ads aufgeführt werden. Stattdessen empfohlen ist ein **themenorientierter Ansatz**: Unter der Überschrift „Marketing und Werbekampagnen-Messung" werden alle Werbe- und Tracking-Dienste zusammengefasst (Google Ads, Facebook Pixel, LinkedIn Ads, etc.) mit gemeinsamen Rechtsgrundlagen und Zwecken. Die Anbieter-Details folgen in einer strukturierten Empfängerliste im Anhang. Dies entspricht der matterius-Methodik und ist wartbar.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Google Ads: Google Ireland Limited [#c-anbieter-von-google-ads-google-ireland-limited]

**Anbieter:** Google Ireland Limited (für deutsche Webseitenbetreiber)

**Vollständige Anschrift:** Gordon House, Barrow Street, Dublin 4, Irland

**Sitzland:** Europäischer Wirtschaftsraum (EWR), Irland

**Vertragspartner:** Webseitenbetreiber schließen Google-Ads-Konten typischerweise mit Google Ireland Limited ab, die als Verantwortlicher für EU-Kunden agiert. Die US-Muttergesellschaft Google LLC (Mountain View, Kalifornien, USA) betreibt die tatsächlichen Server und Subprozessoren.

**Data Privacy Framework (DPF):** Google LLC ist seit September 2023 zertifiziert unter dem EU-US Data Privacy Framework ([https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)). Damit gilt das US-Datenschutzniveau als angemessen.

**Datenschutzerklärung des Anbieters:** [https://policies.google.com/privacy](https://policies.google.com/privacy) (allgemeine Google-Datenschutzerklärung)

**Auftragsverarbeitungsvertrag (AVV/DPA):** Google Ireland Limited bietet einen standardisierten Auftragsverarbeitungsvertrag an, der über das Google Ads-Konto-Dashboard abgerufen werden kann. Webseitenbetreiber sollten diesen aktivieren. Details: [https://support.google.com/google-ads/answer/3221666](https://support.google.com/google-ads/answer/3221666)

## D. Datenverarbeitung durch Google Ads – Ablauf [#d-datenverarbeitung-durch-google-ads-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Besuch einer Website mit eingebundenem Google Ads Conversion-Tag oder Floodlight-Pixel wird das JavaScript geladen. Das System erfasst automatisch: Klick-ID (GCLID – Google Click ID) aus dem URL-Parameter (gespeichert in dem Cookie \_gcl\_aw), Daten zum Nutzer-Gerät (Betriebssystem, Browser, Bildschirmauflösung), IP-Adresse, Timestamp und Event-Daten (z. B. ob ein Kauf oder eine Registrierung stattfand). Bei Conversion-Ereignissen werden zusätzlich Custom Parameter übermittelt, falls vom Webseitenbetreiber konfiguriert.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die erfassten Daten werden sofort an Google-Server (Google LLC in den USA) übermittelt. Google speichert Conversion-Daten und Nutzerprofile, die mit GCLID verknüpft sind. Die Speicherdauer variiert je nach Konfiguration, liegt aber typischerweise bei mehreren Monaten bis Jahren für aggregierte Auswertungen. Wenn Nutzer-Identifizierer wie E-Mail-Adressen übermittelt werden (Enhanced Conversions), speichert Google diese in gehashter Form.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Der Webseitenbetreiber nutzt die Conversion-Daten zur Erfolgsmessung: Wie viele Conversions pro Kampagne, welcher Anzeigen-Kanal führte zur Conversion, Return on Ad Spend (ROAS). Google LLC nutzt aggregierte Conversion-Daten zur Optimierung der Google Ads-Algorithmen und zum Training von Targeting- und Bidding-Modellen. Bei aktiviertem Remarketing können Google Nutzer-Profile verwendet werden, um dieselben Nutzer später mit Anzeigen zu erreichen.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Google Ads arbeitet mit verschiedenen Subprozessoren (Google Cloud Services, DoubleClick, Google Marketing Platform). Wenn Remarketing aktiviert ist, werden Nutzer-IDs an Google Display Network und Google-Partner übermittelt. Darüber hinaus können Webseitenbetreiber Conversion-Daten mit Google Analytics 4 verknüpfen, was zu Datenaustausch zwischen den Systemen führt.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Google behält Conversion-Daten üblicherweise langfristig für aggregierte Berichte. Eine einzelne Löschung durch den Webseitenbetreiber ist nicht möglich. Webseitenbetreiber können das Conversion-Tracking deaktivieren, was neue Datenerfassung stoppt, aber bereits gespeicherte Daten nicht löscht. Nutzer können ihre Daten über Google Ads Settings ([https://adssettings.google.com](https://adssettings.google.com)) begrenzen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Google Ads Conversion Tracking [#e-erhobene-daten-beim-einsatz-von-google-ads-conversion-tracking]

Google Ads erfasst bei der Aktivierung von Conversion Tracking und Floodlight Klick-Informationen, Geräte- und Browserinformationen sowie Conversion-Events. Die gesammelten Daten umfassen insbesondere: GCLID (Google Click ID) aus dem URL-Parameter, Timestamp des Conversions, Conversion-Wert (z. B. Kaufbetrag), Custom-Parameter (je nach Tracking-Konfiguration) und bei Enhanced Conversions die gehashte E-Mail-Adresse oder Telefonnummer.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Browser-Version, Betriebssystem, Gerätetyp, Referrer, Timestamp
* **Klickpfade**: Die URL mit GCLID-Parameter (enthält Tracking-Informationen zum Klick), Zielseite nach dem Klick
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung
* **Browserinformationen**: Browsername, Browserversion, Sprache
* **Grobe Standortdaten**: Anhand der IP-Adresse ermittelter grober Standort
* **Conversion-Ereignisse**: Kauf, Registrierung, Download, Anfrageformular, Seitenaufruf, benutzerdefinierte Ereignisse, Conversion-Wert
* **Nutzerprofile**: Bei Remarketing-Aktivierung: Historische Klick- und Interaktionsdaten, Interessens-Profile, Segment-Zuordnung

## F. Nutzungszwecke beim Einsatz von Google Ads [#f-nutzungszwecke-beim-einsatz-von-google-ads]

Die primären Zwecke von Google Ads Conversion Tracking sind die Erfolgsmessung von Werbekampagnen (Return on Ad Spend, Konversionsrate) und die Optimierung des Targeting (wer klickt am ehesten auf Anzeigen und konvertiert). Darüber hinaus nutzt Google LLC die aggregierten Conversion-Daten zur Verbesserung des Google Ads-Service und zum Training von Machine-Learning-Modellen.

Die Zwecke lassen sich wie folgt einordnen:

* **Funktionsbereitstellung**: Messung und Bereitstellung von Conversion-Daten an den Werbetreibenden
* **Allgemeine Produktverbesserung**: Optimierung der Google Ads-Plattform, Verbesserung der Targeting-Algorithmen
* **Allgemeines Marketing**: Erfolgsmessung von Kampagnen, Erfolgsmessung durch Drittanbieter-Attribution
* **Nutzerprofil-Erstellung**: Bildung von Interessens-Segmenten und Kohorten auf Basis von Conversion-Verhalten
* **Nutzerindividuelles Marketing**: Remarketing an Nutzer, die konvertiert haben oder ein bestimmtes Verhalten gezeigt haben, personalisiertes Targeting

## G. Rechtsgrundlagen für Google Ads Conversion Tracking [#g-rechtsgrundlagen-fãr-google-ads-conversion-tracking]

Google Ads Conversion Tracking fällt in die Kategorie &#x2A;*Tracking (Marketing)**. Die Rechtsgrundlage ist:

**Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)**

Das Setzen von Tracking-Cookies durch Google Ads (insbesondere \_gcl\_aw für die GCLID) und die Übermittlung von Conversion-Daten an Google-Server erfordern nach deutschem Recht eine ausdrückliche **Einwilligung** des Nutzers vor Aktivierung. Diese wird typischerweise über ein Cookie-Consent-Banner eingeholt. Die Einwilligung muss spezifisch für Werbe-Tracking und Google Ads erteilt werden.

Google Consent Mode v2 ermöglicht es, Google Tags (Ads, Analytics, Floodlight) basierend auf Nutzer-Einwilligung unterschiedlich zu verarbeiten. Im „Basic Mode" wird Datenübertragung nur mit Consent durchgeführt, was eine DSGVO-kompatible Konfiguration ermöglicht.

Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

## H. Besonderheiten und Hinweise zu Google Ads [#h-besonderheiten-und-hinweise-zu-google-ads]

* **GCLID-Handhabung:** Der GCLID-Parameter wird automatisch in der URL hinzugefügt (Auto-Tagging). Webseitenbetreiber sollten sicherstellen, dass dieser Parameter nicht in externen Logs oder Analytics-Systemen ohne Rechtsgrundlage gespeichert wird.
* **Enhanced Conversions:** Optionales Feature, das gehashte Kundendaten (E-Mail, Telefon) an Google sendet. Dies erfordert besondere Datenschutz-Vorkehrungen und entsprechende Transparenz-Angaben.
* **Floodlight-Besonderheiten:** Floodlight-Tags ermöglichen Cross-Domain-Tracking und sind granularer als Standard-Conversion-Tags. Sie erfordern ebenso Einwilligung und DPA.
* **Data Privacy Framework (DPF):** Google LLC ist zertifiziert. Überprüfung unter [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)
* **Auftragsverarbeitung:** Ein DPA mit Google Ireland Limited sollte abgeschlossen sein und kann über das Ads-Dashboard aktiviert werden.
* **Google Ad Settings:** Nutzer können ihre Werbe-Einstellungen unter [https://adssettings.google.com](https://adssettings.google.com) verwalten und Tracking begrenzen.

## I. FAQ zu Google Ads Conversion Tracking und Floodlight [#i-faq-zu-google-ads-conversion-tracking-und-floodlight]

<Accordions type="single">
  <Accordion title="Was ist Google Ads Conversion Tracking?">
    Google Ads Conversion Tracking misst, ob Nutzer, die auf eine Google-Anzeige geklickt haben, anschließend auf der Website des Werbetreibenden eine bestimmte Aktion durchführen (Kauf, Registrierung, Download, etc.). Dies ermöglicht es dem Werbetreibenden, die Rentabilität seiner Kampagnen zu messen.
  </Accordion>

  <Accordion title="Was ist der Unterschied zwischen Conversion Tracking und Floodlight?">
    Conversion Tracking ist das Standard-Feature von Google Ads. Floodlight ist eine erweiterte Tracking-Lösung (ursprünglich von DoubleClick) mit granulareren Tracking-Optionen und Cross-Domain-Tracking-Fähigkeiten. Beide erfordern nach Angaben des Anbieters Einwilligung und DPA.
  </Accordion>

  <Accordion title="Benötige ich eine Einwilligung für Google Ads Conversion Tracking?">
    Nach den einschlägigen Rechtsgrundlagen kommt typischerweise eine Einwilligung gemäß § 25 Abs. 1 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO in Betracht, da das Setzen von Tracking-Cookies und die Datenübertragung an Google erfolgt. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.
  </Accordion>

  <Accordion title="Was ist Google Consent Mode v2?">
    Google Consent Mode v2 ermöglicht es, Google Tags (Ads, Analytics, Floodlight) basierend auf Nutzer-Einwilligung zu steuern. Im „Basic Mode" wird Datenübertragung nur mit Consent durchgeführt. Dies kann eine DSGVO-kompatible Konfiguration unterstützen.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Google Ads in die Datenschutzerklärung?">
    Statt eines isolierten Textbausteins für Google Ads empfiehlt sich ein themenorientierter Ansatz: Ein Abschnitt „Marketing und Werbekampagnen-Messung" beschreibt die Verarbeitung übergreifend, und eine Empfängerliste im Anhang nennt Google Ireland Limited als konkreten Dienstleister. Der matterius-Generator unterstützt genau diese Methodik.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Google Ads [#j-fazit-und-empfehlung-zu-google-ads]

Google Ads ist ein zentrales Marketing-Tool für viele Webseitenbetreiber, da es direkt die Rentabilität von Werbekampagnen misst. Nach den öffentlich zugänglichen Angaben des Anbieters und gängiger DSGVO-Auslegung kommt als Rechtsgrundlage für Conversion Tracking und Floodlight typischerweise eine Einwilligung in Betracht. Die Datenverarbeitung findet – nach Angaben von Google – unter DPF-Zertifizierung in den USA statt, und ein DPA ist zu empfehlen.

Es ist wenig sinnvoll, für Google Ads einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das führt zu langen, unübersichtlichen Texten, die schwer pflegbar sind und dem Transparenzgebot des Art. 12 Abs. 1 DSGVO widersprechen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen wie „Marketing und Werbekampagnen-Messung" übergreifend erklärt und Google Ireland Limited als konkreten Empfänger im Anhang nennt. Das ist die Methodik des matterius-Generators.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Google Ads Conversion Tracking und Floodlight und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Darstellung beruht auf öffentlich zugänglichen Informationen von Google, Angaben des Anbieters und aktuellen DSGVO-Auslegungen. Einzelne Fakten sollten vom Betreiber vor Einsatz aktuell verifiziert werden.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Google Analytics (GA4) und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/google-analytics-ga4-datenschutzerklaerung)



# Google Analytics (GA4) und Datenschutz – Was in die Datenschutzerklärung gehört [#google-analytics-ga4-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Google Analytics GA4 ist ein weit verbreitetes Analyse-Tool, mit dem Webseitenbetreiber Besucherdaten erfassen, um ihre Webseite zu optimieren und Nutzungsverhalten auszuwerten. Für die rechtskonform Nutzung von Google Analytics muss die Datenschutzerklärung jedoch zahlreiche Angaben zur Datenverarbeitung enthalten – Zweck, Rechtsgrundlage, Empfänger, Drittlandtransfer und Speicherdauer. Dieser Artikel stellt dar, welche Informationen Webseitenbetreiber zu Google Analytics GA4 in ihrer Datenschutzerklärung dokumentieren sollten und wie das Unternehmen Google as Auftragsverarbeiter einzuordnen ist.

## A. Zweck und Funktionsweise [#a-zweck-und-funktionsweise]

**Google Analytics** ist ein Analyse-Tool von Google, mit dem Betreiber von Webseiten detaillierte Statistiken über den Datenverkehr ihrer Website sammeln. Das Tool misst, wie Besucher mit einer Webseite interagieren – welche Seiten sie besuchen, wie lange sie dort verbleiben, welche Links sie anklicken und welche Conversions (Registrierungen, Käufe, Downloads) stattfinden.

GA4 (die aktuelle Generation von Google Analytics, eingeführt 2020 als Nachfolger von Universal Analytics) wird auf einer Webseite durch ein **JavaScript-Snippet** integriert. Dieses Snippet, bekannt als **gtag.js**, wird direkt im Quellcode der Webseite eingebunden – typischerweise im `<head>`-Bereich der HTML-Seite. Das Snippet lädt beim Besuch der Webseite automatisch und sendet Ereignisdaten (Events) an Googles Server.

Der Anbieter gibt an, dass gtag.js folgende Aufgaben erfüllt:

* Automatische Erfassung von Standard-Events (Seitenladezeiten, Scrollverhalten, Klicks auf Links, Video-Wiedergabedaten)
* Möglichkeit zur Definition eigener Events (z. B. Formular-Submits, Warenkorb-Additions)
* Speicherung einer eindeutigen **Client-ID** im Browser-Cookie (`_ga`), um Nutzer sitzungsübergreifend zu verfolgen
* Übermittlung dieser Daten an Google-Server in den USA (Drittlandtransfer)

Die Integration von GA4 ist somit deutlich unterschiedlich vom reinen Server-Logging: Der Code lädt im Browser des Besuchers und erstellt aktiv eine Verbindung zu Googles Infrastruktur.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Die DSGVO verlangt, dass Webseitenbetreiber Besucher in ihrer Datenschutzerklärung umfassend über die Datenverarbeitung informieren. Gemäß Artikel 13 Abs. 1 DSGVO sind mindestens folgende Angaben erforderlich:

1. **Zwecke der Verarbeitung** (Art. 13 Abs. 1 lit. c) – Wofür werden die Daten genutzt?
2. **Rechtsgrundlage** (Art. 13 Abs. 1 lit. c) – Welche Grundlage erlaubt die Verarbeitung?
3. **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d) – Falls Rechtsgrundlage Artikel 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) ist, welche konkrete Interesse werden verfolgt?
4. **Empfänger der Daten** (Art. 13 Abs. 1 lit. e) – An wen werden die Daten weitergegeben?
5. **Drittlandtransfer** (Art. 13 Abs. 1 lit. f) – Falls Daten außerhalb der EU/des EWR übermittelt werden: an welches Land und welche Garantien gibt es?
6. **Speicherdauer** (Art. 13 Abs. 2 lit. a) – Wie lange werden Daten gespeichert?
7. **Betroffenenrechte** (Art. 13 Abs. 2 lit. b–h) – Informationen zu Auskunfts-, Lösch-, Widerspruchsrecht, etc.

Diese Angaben müssen nicht für **jedes einzelne Tool** in Form eines separaten Textbausteins aufgeführt werden – eine häufig anzutreffende Praxis. Ein Tool-pro-Textbaustein-Ansatz führt zu extrem langen, schlecht lesbaren Datenschutzerklärungen und widerspricht damit dem Transparenz- und Verständlichkeitsgebot des Artikels 12 Abs. 1 DSGVO („leicht zugänglich ... in einer klaren und verständlichen Form").

**Besser: themenorientierter Ansatz.** Statt „GA4-Textbaustein", „Facebook Pixel-Textbaustein", „Hotjar-Textbaustein" etc. sollten Webseitenbetreiber ihre Datenschutzerklärung nach **Verarbeitungskategorien** (z. B. „Webanalyse und Reichweitemessung", „Remarketing und Werbung", „Kontaktformulare") strukturieren und dann eine übersichtliche **Empfängerliste** mit allen Tools, ihren Adressen und Rollen im Anhang anfügen. Diese Struktur ist für Besucher verständlicher und für Datenschutzbeauftragte und Aufsichtsbehörden leichter zu prüfen.

Der **matterius-Datenschutzgenerator** folgt dieser methodisch bewährten, themenorientierten Struktur.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Google Analytics** wird von **Google Ireland Limited** betrieben, einem Google-Unternehmen mit Sitz in der Europäischen Union. Die vollständige Adresse lautet:

> Google Ireland Limited
> Gordon House, Barrow Street
> Dublin 4, D04 E5W5
> Irland

Google Ireland Limited fungiert als **Auftragsverarbeiter** (Processor) im Sinne von Artikel 28 DSGVO. Die tatsächliche Datenverarbeitung erfolgt jedoch durch die **Muttergesellschaft Google LLC**, ein Unternehmen der USA mit Sitz in den Vereinigten Staaten. Google LLC ist daher Empfänger der Nutzungsdaten im Sinne des Artikels 13 Abs. 1 lit. e DSGVO (Drittlandempfänger).

**Datenschutz-Rahmenbedingungen (DPF):** Der Anbieter gibt an, dass Google LLC unter dem &#x2A;*Data Privacy Framework (DPF)** zertifiziert ist – ein zwischenstaatliches Abkommen zwischen der EU und den USA, das festlegt, dass US-Unternehmen, die sich am DPF-Programm beteiligen, ein in der EU äquivalentes Datenschutzniveau einhalten müssen. Die DPF-Zertifizierung von Google LLC kann auf der offiziellen Seite der U.S. Department of Commerce überprüft werden: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)

Zusätzlich zum DPF schließt Google &#x2A;*Standard Contractual Clauses (SCC)** ab – rechtliche Vertragsklauseln zwischen Google Ireland Limited und Google LLC, die zusätzliche Schutzmaßnahmen für Datentransfers in die USA vorsehen. Diese Klauseln sind in Googles Datenverarbeitungsbedingungen dokumentiert: [https://policies.google.com/privacy/frameworks](https://policies.google.com/privacy/frameworks)

Für alle Angaben zu Googles Datenschutzverpflichtungen kann die **Datenschutzerklärung von Google** konsultiert werden: [https://policies.google.com/privacy?hl=de](https://policies.google.com/privacy?hl=de)

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Der Prozess der Datenverarbeitung bei Google Analytics GA4 läuft nach einem standardisierten Ablauf:

<Steps>
  <Step>
    **Erhebung im Browser**: Beim Besuch der Webseite wird das gtag.js-Snippet geladen und ausgeführt. Das Snippet erfasst automatisch Standard-Events (Seitenladezeit, Schrift, Betriebssystem, Browser-Informationen, Klicks, Scrolling) und optional benutzerdefinierte Events.
  </Step>

  <Step>
    **Identifikation des Nutzers**: Das Snippet erzeugt oder liest die sogenannte **Client-ID** aus einem Browser-Cookie (standardmäßig `_ga`). Diese Client-ID dient dazu, Besuche desselben Browsers sitzungsübergreifend zu verknüpfen, ohne den Nutzer namentlich zu identifizieren.
  </Step>

  <Step>
    **Speicherung auf Google-Servern**: Die erfassten Events werden mit der Client-ID und weiteren Kontextdaten (Zeitstempel, Seite, Referrer) an Google-Server übermittelt – in diesem Fall an Server von **Google LLC in den USA** (Drittlandtransfer). Der Anbieter gibt an, dass keine IP-Adressen gespeichert werden, sondern nur zur Standortermittlung herangezogen und anschließend verworfen werden.
  </Step>

  <Step>
    **Verarbeitung und Auswertung**: Google verarbeitet die Daten zur Generierung von Analyseberichten, Nutzersegmentierung und optionalen Funktionen wie Remarketing oder Zielgruppen-Targeting.
  </Step>

  <Step>
    **Datenlöschung**: Google Analytics GA4 speichert Nutzerdaten standardmäßig für **2 Monate**. Der Webseitenbetreiber kann diese Speicherdauer im GA4-Backend auf bis zu **14 Monate** verlängern. Danach erfolgt die automatische Löschung.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Google Analytics GA4 erfasst kontinuierlich eine breite Palette von Nutzungsdaten. Der Anbieter dokumentiert diese als **Events** und **User Properties**. Konkret gehören dazu:

* **Client-ID**: Eine eindeutige Kennung, die gtag.js dem Browser zuweist (`_ga`-Cookie)
* **Session-ID**: Kennzeichnet eine einzelne Website-Sitzung
* **Seitendaten**: URL der besuchten Seite, Seitentitel, Referrer
* **Ereignisdaten**: Automatisch erfasste Events wie `page_view`, `scroll`, `click`, `view_search_results`; Umfang abhängig von Konfiguration
* **Gerätedaten**: Gerätetyp (Desktop, Mobil, Tablet), Betriebssystem und dessen Version, Browsername und -version
* **Standortdaten**: Aus der IP-Adresse abgeleiteter geografischer Standort (Land, Stadt) – die IP selbst wird laut Anbieter nicht gespeichert
* **Conversion-Events**: Benutzerdefinierte Events für Geschäftsziele (Anmeldung, Kauf, Download, Form-Submission)
* **User-Properties**: Vom Webseitenbetreiber gesetzte Custom-Attribute (z. B. Kundensegment, Nutzertyp)

Diese Daten lassen sich nach **Datenarten** klassifizieren:

* **Webserver-Protokolldaten**: Uhrzeit, Browser, Betriebssystem, IP-Region (Standortinferenz)
* **Klickpfade und Navigationsverhalten**: Besuchte Seiten, Scrolltiefen, Elementinteraktionen, Referrer
* **Endgeräte-Informationen**: Gerätetyp, OS, Browser, Bildschirmauflösung, Sprache
* **Browserkonfiguration**: User-Agent, Schriftdarstellung, Locale, Zeitzone
* **Grobe Standortdaten**: Aus IP ermitteltes Sitzungsland und Stadt
* **Nutzerprofile und Segmentierung**: Besuchshäufigkeit, Kundensegmente, Interessen (falls Remarketing/Google Audience aktiv)
* **Ereignisse und Conversions**: Registrierungen, Käufe, Download, Formular-Submissions
* **Interaktionsmessdaten**: Scrolltiefen, Klicks, Video-Abspieldauer, externe Link-Klicks
* **Telemetriedaten**: Seitenladezeiten, Fehlerberichte, Ressourcen-Verfügbarkeit

## F. Nutzungszwecke [#f-nutzungszwecke]

Google Analytics GA4 wird zum Erfassen von Nutzungsdaten zu folgenden **Zwecken** eingesetzt:

* **Allgemeine Produktverbesserung**: Analyse von Besuchern-Navigationsmustern, um die Benutzerfreundlichkeit der Webseite zu optimieren
* **Allgemeines Marketing und Kampagnenerfolgsmessung**: Erfassung von Besucherzahlen, Herkünften (Google Ads, organische Suche, Social Media, direkt), Conversion-Rates
* **Nutzersegmentierung und Profilbildung**: Aufteilung von Besuchern nach Verhalten, Interessen, Gerätetyp, geografischer Herkunft
* **Interessensbezogene Inhaltsbereitstellung**: Personalisierung der Webseiteninhalte basierend auf vorherigen Besuchen
* **Remarketing und interessensbezogenes Targeting**: Wenn GA4 mit Google Ads verknüpft ist, können Besuchersegmente für Werbeanzeigen außerhalb der Website genutzt werden

Diese Zwecke orientieren sich am Geschäftsmodell des Anbieters Google, für den GA4-Daten auch zur Verbesserung seiner Werbenetzwerk-Angebote (Google Ads, Google Display Network) wertvoll sind.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Verarbeitung von Nutzungsdaten durch Google Analytics erfordert eine oder mehrere **Rechtsgrundlagen** nach Artikel 6 DSGVO:

**1. Einwilligung (Artikel 6 Abs. 1 lit. a DSGVO):**

Dies ist die Regelrechtsgrundlage für cookie-basiertes Tracking wie GA4. Der Grund: GA4 setzt Cookies, und gemäß Artikel 7 Abs. 4 TTDG (Telekommunikation-Telemedien-Datenschutz-Gesetz, das die ePrivacy-Richtlinie in Deutschland umsetzt) ist eine **vorherige, explizite Einwilligung** erforderlich. Der Webseitenbetreiber muss einen aktiven Cookie-Consent-Banner anzeigen, bevor gtag.js feuert. Die Einwilligung muss als Opt-In (positive Bestätigung) erfolgen – Opt-Out ist nicht zulässig. Erst nach Zustimmung des Nutzers sollte Google Analytics aktiv Daten erfassen.

**2. Berechtigtes Interesse (Artikel 6 Abs. 1 lit. f DSGVO):**

Theoretisch könnte ein Webseitenbetreiber argumentieren, dass die Webseiten-Analyse seinen berechtigten Geschäftsinteressen dient (Nutzerverhalten verstehen, Conversion-Optimierung). Allerdings: Google Analytics ist **Cookie-basiert** und fällt daher primär unter die Einwilligungspflicht des TTDG. Ein reiner Interessensabwägungsansatz ohne Einwilligung ist rechtlich kontrovers und wird von deutschen Datenschutzaufsichtsbehörden i. d. R. nicht akzeptiert. Im Einzelfall zu prüfen.

**Praktisch relevante Schlussfolgerung:** Für GA4 kommt regelmäßig &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDG)** als Rechtsgrundlage in Betracht. Dies muss in der Datenschutzerklärung explizit genannt und in einem separaten Zustimmungs-Mechanismus implementiert werden.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

<Callout type="info">
  **Consent Mode v2**: Google verlangt seit März 2024, dass Webseitenbetreiber den **Google Consent Mode v2** implementieren. Dieser signalisiert Google, ob ein Nutzer dem Tracking zugestimmt hat oder nicht. Im Basic Mode wird GA4 erst nach Zustimmung aktiv. Im Advanced Mode kann Google auch ohne Consent „cookieless pings" senden (mit eingeschränktem Datenumfang), was jedoch neu kontrovers diskutiert wird. Webseitenbetreiber sollten Consent Mode v2 zusammen mit einer zertifizierten Cookie-Consent-Lösung implementieren, die dem IAB Transparency & Consent Framework (TCF) entspricht.
</Callout>

**Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement):**

Für Google Analytics ist ein schriftlicher &#x2A;*Auftragsverarbeitungsvertrag (AVV)** gemäß Artikel 28 DSGVO erforderlich. Dieser kann direkt im Google Analytics-Backend abgeschlossen werden:

1. Anmeldung im Google Analytics-Konto
2. Navigation zu **Verwaltung** > **Kontoeinstellungen** (oder **Account Settings** im englischen Interface)
3. Im Bereich "Addendum for Data Processing" (oder "Anhang zur Datenverarbeitung") → **Ansicht anzeigen** / **View Addendum**
4. Prüfung und Bestätigung mit dem Häkchen sowie **Speichern**

Dieser Vertrag ist **zwingend erforderlich** – ohne ihn liegt eine rechtswidrige Datenverarbeitung vor. Google Ireland Limited fungiert hier als **Auftragsverarbeiter**, verarbeitet aber tatsächlich über Google LLC (USA).

**Drittlandtransfer und Schutzmechanismen:**

Besucherdaten werden von Google Analytics an **Google LLC in den USA** übermittelt – außerhalb der EU/des EWR. Die USA gelten nach DSGVO als **Drittland ohne Angemessenheitsbeschluss** der EU-Kommission (seit Schrems II). Daher müssen Zusatzgarantien vorhanden sein:

* **Data Privacy Framework (DPF)**: Google LLC ist DPF-zertifiziert. Der Anbieter gibt an, dass Google LLC sich an die DPF-Prinzipien bindet und dadurch ein adäquates Schutzniveau bietet.
* **Standard Contractual Clauses (SCC)**: Google schließt zusätzlich SCC zwischen Google Ireland Limited (EU) und Google LLC (USA) ab.

Diese Mechanismen werden in der Datenschutzerklärung unter dem Stichwort "Drittlandtransfer" erläutert und mit einer Referenz zu Googles Datenschutzerklärung und DPF-Zertifikat belegt.

**IP-Anonymisierung (nicht mehr relevant in GA4):**

In Universal Analytics (der Vorgängerversion) war eine manuelle "IP-Anonymisierung" einstellbar. **In GA4 ist dies nicht mehr nötig**: Der Anbieter gibt an, dass GA4 IP-Adressen grundsätzlich nicht speichert, sondern nur zur Standortbestimmung heranzieht und sofort nach Ermittlung der geografischen Region verwirft.

**Data Retention (Speicherdauer):**

Die Voreinstellung in GA4 ist eine Speicherdauer von **2 Monaten**. Im Backend kann dies auf bis zu **14 Monate** erhöht werden. Diese Einstellung sollte dokumentiert und in der Datenschutzerklärung erwähnt werden (Erfüllung von Art. 13 Abs. 2 lit. a DSGVO).

**Opt-Out und Nutzerwiderspruch:**

Nutzer können Google Analytics deaktivieren durch:

* **Browser-Erweiterung**: Google stellt eine offizielle Opt-Out-Erweiterung bereit unter [https://tools.google.com/dlpage/gaoptout?hl=de](https://tools.google.com/dlpage/gaoptout?hl=de) (verfügbar für Chrome, Firefox, Safari, Edge)
* **Do-Not-Track-Signal**: Browser können ein DNT-Signal senden; die Einhaltung ist jedoch freiwillig
* **Zustimmung zurückziehen**: Nutzer sollten in der Datenschutzerklärung darauf hingewiesen werden, dass sie ihre Einwilligung widerrufen können

**Subprozessoren:**

Google arbeitet bei der Datenverarbeitung mit weiteren Subprozessoren zusammen, die auf Nutzeranfrage offengelegt werden können (z. B. für Cloud-Speicherung, Abfragedienste, Sicherheit). Eine aktuelle Liste ist in Googles Datenverarbeitungsbedingungen einsehbar oder kann direkt bei Google angefordert werden.

## I. Häufige Fragen zu Google Analytics und Datenschutz [#i-häufige-fragen-zu-google-analytics-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist Google Analytics (GA4) und wofür wird es genutzt?">
    Google Analytics ist ein kostenloses Analyse-Tool von Google, mit dem Webseitenbetreiber detaillierte Statistiken über Besucherzugriffe erfassen. GA4 misst automatisch, wie viele Besucher die Webseite hat, aus welchen Ländern und Gerätetypen diese kommen, welche Seiten sie besuchen, wie lange sie verbleiben, und wo sie auf Links klicken. Das Tool wird durch ein JavaScript-Snippet (gtag.js) in den HTML-Code der Webseite integriert und sendet diese Daten an Googles Server.
  </Accordion>

  <Accordion title="Welche Daten erhebt Google Analytics?">
    Google Analytics erfasst u. a. folgende Daten: eindeutige Browser-Kennungen (Client-ID via `_ga`-Cookie), Seitenadressen und Seitentitel, Referrer, Besuchsdauer, Gerätetyp und Betriebssystem, Browser-Typ und -Version, Standort (aus IP-Adresse abgeleitet, IP selbst wird nicht gespeichert), sowie eigens definierte Ereignisse wie Formular-Submits oder Käufe. Falls GA4 mit Google Ads verknüpft ist, können auch Werbeverhalten und Zielgruppen-Segmentierungen erfasst werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Google Analytics – Einwilligung oder berechtigtes Interesse?">
    Google Analytics nutzt Cookies und ist daher **Cookie-basiertes Tracking**. Nach deutschem Recht (TTDG § 25 Abs. 1) und der ePrivacy-Richtlinie ist eine **vorherige, explizite Einwilligung erforderlich**. Die Einwilligung muss aktiv erfolgen (Opt-In), nicht passiv (Opt-Out). Ein Rechtmäßigkeitsargument allein auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) ist für Cookie-basiertes Tracking nicht zulässig. &#x2A;*Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TTDG.**
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Google Analytics einholen, und wie funktioniert das?">
    Ja, eine explizite Einwilligung ist zwingend erforderlich. Sie müssen vor dem Laden von GA4 ein **Cookie-Consent-Banner** anzeigen, in dem der Nutzer aktiv der Datenerfassung zustimmt (Checkbox, Button, etc.). Erst nach Zustimmung sollte das gtag.js-Snippet aktiv werden. Moderne Consent-Management-Platforms (CMPs) wie Borlabs Cookie, Usercentrics oder OneTrust ermöglichen dies automatisch. Zusätzlich sollte der **Google Consent Mode v2** implementiert werden, um Google zu signalisieren, ob Zustimmung vorliegt.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Google Analytics in die Datenschutzerklärung?">
    Statt einen isolierten „GA4-Textbaustein" zu verfassen, empfiehlt sich ein **themenorientierter Ansatz**: Die Datenschutzerklärung sollte nach Verarbeitungskategorien strukturiert sein (z. B. „Webanalyse und Nutzungsmessung"), und alle Tools dieser Kategorie sollten einheitlich dokumentiert werden – mit einer zentralen **Empfängerliste** im Anhang. Das ist übersichtlicher, leichter zu pflegen und erfüllt besser das Transparenzgebot der DSGVO. Der **matterius-Generator** folgt dieser Struktur und erzeugt automatisch rechtssichere, übersichtliche Datenschutzerklärungen.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

**Google Analytics GA4** ist ein mächtiges Analyse-Tool, das umfangreiche Besucherdaten erfasst und verarbeitet. Für Webseitenbetreiber ergeben sich daraus folgende **Kernpflichten**:

1. **Einwilligung einholen:** Cookie-Consent-Banner vor Laden von GA4 ist zwingend (TTDG § 25 Abs. 1).
2. **AVV mit Google abschließen:** Der schriftliche Auftragsverarbeitungsvertrag (Data Processing Agreement) muss im GA4-Backend akzeptiert werden – ohne ihn ist die Nutzung rechtswidrig (Art. 28 DSGVO).
3. **Datenschutzerklärung anpassen:** Neue oder überarbeitete Datenschutzerklärung mit Angaben zu Zweck, Rechtsgrundlagen, Empfängern, Drittlandtransfer und Speicherdauer.
4. **Technische Maßnahmen:** Consent Mode v2 implementieren, Speicherdauer prüfen, Nutzer-Opt-Out-Möglichkeiten bereitstellen.

Ein &#x2A;*wesentlicher Punkt:** Viele Webseitenbetreiber verfassen lange, redundante Datenschutzerklärungen mit einzelnen „Textbausteinen" für jedes Tool. Das ist nicht nur schlecht lesbar, sondern widerspricht auch Artikel 12 Abs. 1 DSGVO. **Besser ist ein themenorientierter Aufbau** mit zentraler Empfängerliste – das ist verständlicher für Besucher und leichter für Compliance-Teams zu verwalten.

Der **matterius-Datenschutzgenerator** stellt diesen bewährten, methodisch fundierten Ansatz automatisiert zur Verfügung und erspart Webseitenbetreibern aufwendige manuelle Recherche und juristische Einzelfallprüfungen.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Google Analytics (GA4) und ersetzt keine rechtliche Beratung im Einzelfall. Die Darstellung beruht auf öffentlich zugänglichen Angaben des Anbieters Google und allgemein recherchierbaren Quellen. Stand: April 2026.
</Callout>

<AuthorBlock />


# Google Maps und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/google-maps-datenschutzerklaerung)



# Google Maps und Datenschutz – Was Webseitenbetreiber wissen müssen [#google-maps-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Bindet ein Webseitenbetreiber Google Maps über iFrame oder API ein, verarbeitet er Klickpfade, Webserver-Protokolldaten und grobe Standortdaten zum Zweck der Bereitstellung von Kartenfunktionalität auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Google Maps ist ein Kartendienst von Google, der interaktive Karten, Navigationsanweisungen und Ortsinformationen bereitstellt.

## A. Zweck und Funktionsweise von Google Maps [#a-zweck-und-funktionsweise-von-google-maps]

Google Maps ist ein kartographischer Dienst von Google Ireland Limited, der es Webseitenbetreibern ermöglicht, interaktive Karten auf ihre Websites einzubinden – etwa um ein Büro, ein Geschäft, ein Restaurant oder einen Veranstaltungsort zu lokalisieren und zu zeigen. Nutzer können auf der eingebundenen Karte zoomen, die Ansicht ändern, Routen planen und Ortsdetails abrufen.

**Integrationsfunktion:** Google Maps wird typischerweise über ein HTML-`<iframe>`-Element oder über die **Google Maps API** eingebunden. Der iFrame lädt einen Google-Server und bindet die Kartendarstellung direkt ein. Bei der API wird JavaScript-Code verwendet, um Karten dynamisch zu laden. In beiden Fällen wird beim Laden der Seite eine Verbindung zu Google-Servern hergestellt, Cookies werden gesetzt (insbesondere das NID-Cookie von Google) und die IP-Adresse sowie Browser-Information werden an Google übermittelt.

## B. Pflichtangaben in der Datenschutzerklärung zu Google Maps [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-google-maps]

Die DSGVO verlangt für den Einsatz von Google Maps folgende Pflichtangaben in der Datenschutzerklärung: **Zwecke** der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c DSGVO), bei berechtigten Interessen zusätzlich die konkret verfolgten Interessen (Art. 13 Abs. 1 lit. d DSGVO), **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e DSGVO), **Drittlandtransfers** und deren Grundlagen (Art. 13 Abs. 1 lit. f DSGVO) sowie **Speicherdauer** oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

Es ist nicht erforderlich, Google Maps in der Datenschutzerklärung als eigenen Textbaustein zu behandeln. Die in der Praxis weit verbreitete Praxis, für jedes Tool einen gesonderten Abschnitt vorzusehen, macht Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Inhalte (Karten, Videos, Social Media) übergreifend erklärt und Google Ireland Limited als Empfänger im Anhang nennt.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Google Maps: Google Ireland Limited [#c-anbieter-von-google-maps-google-ireland-limited]

**Anbieter:** Google Ireland Limited (Verantwortlicher für EU-Nutzer)

**Vollständige Anschrift:** Gordon House, Barrow Street, Dublin 4, Irland

**Sitzland:** Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO für die Datenverarbeitung durch Google Maps. Die tatsächliche Datenverarbeitung erfolgt durch Google LLC (Mountain View, Kalifornien, USA) und deren Subprozessoren.

**Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)

**Datenschutzerklärung des Anbieters:** [https://policies.google.com/privacy](https://policies.google.com/privacy)

**Auftragsverarbeitungsvertrag (AVV/DPA):** Für Google Maps ist vom Betreiber zu verifizieren, ob ein DPA erforderlich und verfügbar ist.

## D. Datenverarbeitung durch Google Maps – Ablauf [#d-datenverarbeitung-durch-google-maps-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Laden einer Seite mit Google Maps (iFrame oder API) wird eine Verbindung zu Google-Servern aufgebaut. Das System erfasst: IP-Adresse des Nutzers, Browser-Information (User-Agent), Betriebssystem, Gerätetyp, Timestamp, Referrer-Seite, sowie Navigations- und Interaktionsdaten (Zoomen, Schwenken, Suche, Klick auf POIs). Zusätzlich setzt Google Maps Cookies, insbesondere das NID-Cookie.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die erfassten Daten werden an Google-Server (Google LLC in den USA) übermittelt und dort gespeichert. Google anonymisiert nach Angaben des Anbieters bestimmte Informationen in Server-Logs nach einigen Monaten durch Kürzung von IP-Adressen und Cookie-Informationen.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Der Webseitenbetreiber nutzt Google Maps zur Bereitstellung von Kartenfunktionalität und Ortsinformation. Google LLC nutzt die erfassten Daten nach Angaben des Anbieters zur Verbesserung des Google Maps-Dienstes, für Ortsdaten-Verifikation und für Verkehrsanalysen. Die Daten können über Google-Accounts (wenn Nutzer eingeloggt sind) mit anderen Diensten verknüpft werden.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Google Maps arbeitet mit Subprozessoren (Google Cloud Services, Google-Partner für Kartendaten). Informationen zu Subprozessoren veröffentlicht Google auf seiner Website.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Der Webseitenbetreiber hat keine Kontrolle über die Löschung von Daten, die Google erfasst. Nutzer können über ihre Google-Konten bestimmte Aktivitätsdaten löschen und Tracking-Einstellungen anpassen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Google Maps [#e-erhobene-daten-beim-einsatz-von-google-maps]

Google Maps erfasst beim Laden und bei der Nutzung die IP-Adresse des Nutzers, Browser- und Geräte-Informationen, Interaktionsdaten (Zoomen, Schwenken, Suchvorgänge auf der Karte, Klicks auf Punkte von Interesse), sowie Cookies für Nutzer-Tracking. Wenn Nutzer in ihr Google-Konto eingeloggt sind, werden diese Aktivitäten mit dem Konto verknüpft.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent (Browser, Betriebssystem), Referrer-Seite, Statuscode
* **Klickpfade**: Seite, auf der die Karte aufgerufen wird, Interaktionen mit der Karte (Zoomen, Suchvorgänge, Klicks auf Ortsmarker)
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
* **Browserinformationen**: Browsername, Browserversion, Sprache
* **Grobe Standortdaten**: Aus der IP-Adresse ermittelter grober Standort
* **Nutzerprofile**: Google-Konto-Daten (wenn eingeloggt), Such- und Navigationsverlauf

## F. Nutzungszwecke beim Einsatz von Google Maps [#f-nutzungszwecke-beim-einsatz-von-google-maps]

Der Webseitenbetreiber nutzt Google Maps primär zur Bereitstellung von Kartenfunktionalität und Ortsinformation (z. B. zur Anzeige des Bürostandorts, eines Geschäfts oder einer Veranstaltung). Google LLC nutzt die gesammelten Daten nach Angaben des Anbieters zur Verbesserung des Maps-Services und zur Verfolgung von Verkehrsmustern.

Die Zwecke lassen sich wie folgt einordnen:

* **Funktionsbereitstellung**: Darstellung von interaktiven Karten, Navigationsanweisungen, Ortsinformationen, Verkehrsinformationen
* **Sicherheit und Missbrauchsschutz**: Erkennung von Bots und nicht-autorisierten Zugriffen auf die Maps API
* **Allgemeine Produktverbesserung**: Nicht-individuell erfolgende Optimierung von Kartendaten, Verbesserung der Verkehrsinformationen
* **Nutzerprofil-Erstellung**: Erstellung von Interessens-Profilen auf Basis von Such- und Navigationsverlauf (durch Google, wenn Nutzer eingeloggt)
* **Nutzerindividuelles Marketing**: Personalisierte Werbung auf Basis von Orts- und Verhaltens-Daten (durch Google als eigenständigen Verantwortlichen)

## G. Rechtsgrundlagen für Google Maps [#g-rechtsgrundlagen-fãr-google-maps]

Google Maps ist ein **Drittanbieter-Inhalte-Dienst**, bei dem externe Server (Google) in die Website eingebunden werden. Kommt typischerweise in Betracht:

**Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)**

Da Google Maps beim Laden der Seite Cookies setzt und Daten an Google-Server überträgt, kommt als Rechtsgrundlage regelmäßig eine Einwilligung des Nutzers vor dem Laden in Betracht. Die Einwilligung wird typischerweise über ein Cookie-Consent-System eingeholt.

Eine praktische Umsetzung ist das Zwei-Klick-System: Zunächst wird ein Platzhalter/Teaser angezeigt. Der Nutzer muss aktiv klicken, um die Karte zu laden. Dies gilt als Einwilligung zur Datenverarbeitung.

Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

## H. Besonderheiten und Hinweise zu Google Maps [#h-besonderheiten-und-hinweise-zu-google-maps]

* **NID-Cookie:** Google setzt das NID-Cookie für Nutzungsverfolgung. Dies kommt als Tracking-Cookie in Betracht, das Einwilligung erfordern kann.
* **Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)
* **Zwei-Klick-Lösung:** Eine datenschutzfreundliche Methode: Zunächst wird ein Teaser/Platzhalter angezeigt. Der Nutzer muss aktiv klicken, um die Karte zu laden. Dies ermöglicht die Einholung einer Einwilligung vor der Datenübertragung.
* **Alternativen:** OpenStreetMap ist eine quelloffene Kartenlösung. Für reine Anzeige eines Standorts kann auch ein statisches Kartenbild ohne Drittanbieter-Anfragen verwendet werden.
* **Auftragsverarbeitung:** Vom Betreiber zu verifizieren, ob ein DPA mit Google abzuschließen ist.

## I. FAQ zu Google Maps [#i-faq-zu-google-maps]

<Accordions type="single">
  <Accordion title="Was ist Google Maps?">
    Google Maps ist ein kartographischer Dienst von Google, der interaktive Karten, Navigationsanweisungen, Verkehrsinformationen und Ortsdaten bereitstellt. Webseitenbetreiber können Maps über iFrame oder API einbinden, um ihren Besuchern Kartenvisualisierungen zu zeigen.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Google Maps?">
    Für die Einbindung von Google Maps kommt typischerweise eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht, da beim Laden der Karte Cookies gesetzt und Daten an Google-Server übertragen werden. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.
  </Accordion>

  <Accordion title="Welche Daten erfasst Google Maps?">
    IP-Adresse, Browser-Information, Gerätetyp, Standort (grob), Nutzer-Interaktionen mit der Karte (Zoomen, Suchvorgänge, Klicks), Cookies (insbesondere NID). Bei eingebundenem Google-Konto werden die Aktivitäten mit dem Konto verknüpft.
  </Accordion>

  <Accordion title="Kann ich Google Maps durch etwas Datenschutzfreundlicheres ersetzen?">
    Ja. Alternativen sind: OpenStreetMap (quelloffene Kartenlösung), statische Kartenbilder (Screenshot) oder einfache Text-Adressen mit Link zu Google Maps (Nutzer klickt, um die externe Karte zu öffnen).
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Google Maps in die Datenschutzerklärung?">
    Statt eines isolierten Textbausteins für Google Maps empfiehlt sich ein themenorientierter Ansatz: Ein Abschnitt zu „Drittanbieter-Inhalten" beschreibt die Verarbeitung übergreifend, und eine Empfängerliste im Anhang nennt Google Ireland Limited. Der matterius-Generator unterstützt diese Methodik.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Google Maps [#j-fazit-und-empfehlung-zu-google-maps]

Google Maps ist ein verbreitetes Tool zur Anzeige von Standorten auf Websites. Da beim Laden der Karte Cookies gesetzt und Daten an Google-Server übertragen werden, kommt als Rechtsgrundlage typischerweise eine Einwilligung in Betracht. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, für Google Maps einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich und schwer pflegbar – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Inhalte übergreifend beschreibt und Google Ireland Limited im Empfänger-Anhang nennt. Genau das ist die Methodik des matterius-Generators.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Google Maps und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Darstellung beruht auf öffentlich zugänglichen Informationen von Google, Angaben des Anbieters und aktuellen DSGVO- und TDDDG-Auslegungen. Einzelne Fakten sollten vom Betreiber vor Einsatz aktuell verifiziert werden.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Google reCAPTCHA und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/google-recaptcha-datenschutzerklaerung)



# Google reCAPTCHA und Datenschutz – Was Webseitenbetreiber wissen müssen [#google-recaptcha-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Google reCAPTCHA ein, verarbeitet er Endgeräte-Daten, Interaktionsdaten und technische Telemetriedaten zum Zweck der Bot-Abwehr und Sicherheit auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), je nach Art der Implementierung. Google reCAPTCHA ist ein Sicherheitsdienst von Google, der Bot-Traffic und Missbrauch auf Websites verhindert.

## A. Zweck und Funktionsweise von Google reCAPTCHA [#a-zweck-und-funktionsweise-von-google-recaptcha]

Google reCAPTCHA ist ein Sicherheitsdienst von Google Ireland Limited. Das System prüft, ob ein Nutzer ein echter Mensch oder ein automatisiertes Programm (Bot) ist. Es bietet Webseitenbetreibern Schutz vor automatisierten Angriffen, Spam, Betrugsvorgängen und anderen Missbrauchsszenarien.

Google bietet zwei wesentliche Versionen:

**reCAPTCHA v2** zeigt dem Nutzer eine sichtbare Schaltfläche „Ich bin kein Roboter" mit einer Checkbox. Der Nutzer muss aktiv klicken. Bei Bedarf werden zusätzlich Bilderkennungs-Rätsel angezeigt.

**reCAPTCHA v3** lädt unsichtbar im Hintergrund und analysiert das Nutzer-Verhalten (Mausbewegungen, Tastaturmuster, Browser-Daten) ohne dass der Nutzer etwas tun muss. Das System vergibt eine „Risk Score", die der Webseitenbetreiber nutzen kann, um verdächtige Anfragen zu blockieren.

**Integrationsfunktion:** reCAPTCHA wird durch ein JavaScript-Tag auf der Website eingebunden. Beim Laden der Seite (v3) oder beim Klick auf die Schaltfläche (v2) wird das Script ausgeführt, das Daten erfasst und an Google-Server übermittelt.

## B. Pflichtangaben in der Datenschutzerklärung zu reCAPTCHA [#b-pflichtangaben-in-der-datenschutzerklärung-zu-recaptcha]

Die DSGVO verlangt für den Einsatz von Google reCAPTCHA folgende Pflichtangaben: **Zwecke** der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c DSGVO), bei Art. 6 Abs. 1 lit. f zusätzlich die konkret verfolgten **berechtigten Interessen** (Art. 13 Abs. 1 lit. d DSGVO), **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e DSGVO), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f DSGVO) sowie **Speicherdauer** oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

reCAPTCHA sollte in der Datenschutzerklärung nicht als isolierter Textbaustein behandelt werden. Die weit verbreitete Praxis, für jedes eingesetzte Tool einen eigenen Abschnitt vorzusehen, erzeugt lange, unübersichtliche und schwer pflegbare Texte – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der reCAPTCHA unter „Sicherheit und Missbrauchsschutz" oder bei Kontaktformularen behandelt und Google Ireland Limited im Empfänger-Anhang aufführt.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Google reCAPTCHA: Google Ireland Limited [#c-anbieter-von-google-recaptcha-google-ireland-limited]

**Anbieter:** Google Ireland Limited (für deutsche Webseitenbetreiber)

**Vollständige Anschrift:** Gordon House, Barrow Street, Dublin 4, Irland

**Sitzland:** Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher für EU-Kunden. Die tatsächliche Datenverarbeitung erfolgt durch Google LLC (Mountain View, Kalifornien, USA).

**Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)

**Datenschutzerklärung des Anbieters:** [https://policies.google.com/privacy](https://policies.google.com/privacy)

**Auftragsverarbeitungsvertrag (AVV/DPA):** Nach Angaben des Anbieters soll Google ab April 2026 für reCAPTCHA als Auftragsverarbeiter tätig werden, womit ein DPA erforderlich wird. Webseitenbetreiber sollten prüfen, ob und wie Google entsprechende DPA-Dokumente bereitstellt. Die Details sind vom Betreiber zu verifizieren.

## D. Datenverarbeitung durch Google reCAPTCHA – Ablauf [#d-datenverarbeitung-durch-google-recaptcha--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Bei reCAPTCHA v2: Beim Klick auf die Checkbox erfasst das System Geräteinformationen, Browser-Informationen, IP-Adresse und weitere Daten. Bei reCAPTCHA v3: Beim Laden der Seite erfasst das System kontinuierlich Mausbewegungen, Tastendrücke, Klick-Muster, Browser-Informationen, IP-Adresse und weitere Verhaltensdaten – im Hintergrund und ohne sichtbare Nutzerinteraktion.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die erfassten Daten werden an Google-Server (Google LLC in den USA) übermittelt. Google speichert die Daten nach Angaben des Anbieters zur Verbesserung des reCAPTCHA-Service. Die genaue Speicherdauer ist vom Betreiber zu verifizieren.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Der Webseitenbetreiber nutzt reCAPTCHA zur Abwehr von Bots und automatisierten Angriffen. Die Risk Score von v3 hilft dabei, verdächtige Anfragen zu erkennen und zu blockieren. Nach Angaben des Anbieters wird die Nutzung zunehmend auf den reCAPTCHA-Dienst selbst beschränkt.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    reCAPTCHA nutzt Google Cloud Services und Google-Partner für die Datenverarbeitung. Details zu Subprozessoren veröffentlicht Google auf seiner Website.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber hat keine direkte Kontrolle über die Löschung. Nutzer können ihre Google-Konto-Daten und Aktivitätsverlauf unter myactivity.google.com verwalten.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Google reCAPTCHA [#e-erhobene-daten-beim-einsatz-von-google-recaptcha]

reCAPTCHA erfasst unterschiedliche Daten je nach Version. Bei v2: IP-Adresse, Browser-Information, Gerätetyp, Timestamp, Cookies (z. B. \_GRECAPTCHA). Bei v3 zusätzlich: Mausbewegungen, Mauszeigerposition, Tastendrücke, Klick-Muster, Touch-Bewegungen, Scrollverhalten und weitere Verhaltensdaten.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Zeitzone, User-Agent, Browser-Version, Betriebssystem
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
* **Browserinformationen**: Browsername, Browserversion, Sprache, installierte Erweiterungen
* **Grobe Standortdaten**: Aus der IP-Adresse ermittelter grober Standort
* **Interaktionsdaten**: Mausbewegungen, Tastendrücke, Klick-Muster, Mauszeigerposition, Touch-Bewegungen, Scrollbewegungen (v3)
* **Technische Telemetriedaten**: Browser-Performance-Metriken, Ladezeiten, technische Daten für Anomalieerkennung

## F. Nutzungszwecke beim Einsatz von Google reCAPTCHA [#f-nutzungszwecke-beim-einsatz-von-google-recaptcha]

Der Webseitenbetreiber nutzt reCAPTCHA zur Sicherung seiner Website gegen automatisierte Angriffe, Spam und Missbrauch. Google LLC nutzt die erfassten Daten nach Angaben des Anbieters zur Verbesserung des reCAPTCHA-Dienstes und zur Optimierung der Bot-Erkennung.

Die Zwecke lassen sich wie folgt einordnen:

* **Funktionsbereitstellung**: Bereitstellung von Captcha-Funktionalität, Bot-Erkennung
* **Sicherheit und Missbrauchsschutz**: Prävention von Bots, Spam-Bekämpfung, Betrugsprävention, DDoS-Abwehr
* **Allgemeine Produktverbesserung**: Verbesserung des reCAPTCHA-Erkennungs-Algorithmus

## G. Rechtsgrundlagen für Google reCAPTCHA [#g-rechtsgrundlagen-für-google-recaptcha]

Google reCAPTCHA fällt in die Kategorie **Captcha / Sicherheit und Missbrauchsschutz**. Die einschlägige Rechtsgrundlage variiert je nach Version:

**reCAPTCHA v2:** Kommt typischerweise als Rechtsgrundlage &#x2A;*berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)** in Betracht – konkret: Missbrauchsschutz und Sicherheit. Eine Interessenabwägung ist vorzunehmen: Sind die erfassten Daten für den Missbrauchsschutz erforderlich und verhältnismäßig?

**reCAPTCHA v3:** Da v3 verhaltensbasiert im Hintergrund analysiert, kommt bei dieser Version typischerweise eine &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)** in Betracht.

Die konkrete Rechtsgrundlage ist in jedem Fall durch den Webseitenbetreiber im Einzelfall zu prüfen.

## H. Besonderheiten und Hinweise zu Google reCAPTCHA [#h-besonderheiten-und-hinweise-zu-google-recaptcha]

* **v2 vs. v3:** v2 ist für Nutzer transparent (sichtbare Checkbox), v3 analysiert das Verhalten unsichtbar im Hintergrund. Die datenschutzrechtliche Bewertung kann unterschiedlich ausfallen.
* **Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)
* **AVV/DPA:** Webseitenbetreiber sollten prüfen, ob und wann Google einen DPA für reCAPTCHA anbietet.
* **Datenschutzfreundliche Alternativen:** Für Webseitenbetreiber, die eine Alternative ohne Drittanbieter-Tracking suchen, bietet sich beispielsweise Friendly Captcha an (Proof-of-Work-Ansatz, kein Verhaltens-Tracking, Server in der EU).

## I. FAQ zu Google reCAPTCHA [#i-faq-zu-google-recaptcha]

<Accordions type="single">
  <Accordion title="Was ist Google reCAPTCHA?">
    Google reCAPTCHA ist ein Sicherheitsdienst von Google, der Websites vor Bots und automatisierten Angriffen schützt. Es gibt zwei Versionen: v2 (sichtbare Checkbox) und v3 (unsichtbar, verhaltensbasiert). Der Dienst erfasst Gerätedaten und ggf. Interaktionsdaten zur Bot-Erkennung.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für reCAPTCHA v2?">
    Für reCAPTCHA v2 kommt typischerweise die Rechtsgrundlage der berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Missbrauchsschutz und Sicherheit in Betracht. Eine Interessenabwägung ist vorzunehmen. Die Rechtsgrundlage ist im Einzelfall zu prüfen.
  </Accordion>

  <Accordion title="Benötige ich eine Einwilligung für reCAPTCHA v3?">
    Da reCAPTCHA v3 verhaltensbasiert und kontinuierlich im Hintergrund analysiert, kommt hierfür typischerweise eine Einwilligung in Betracht. Die Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.
  </Accordion>

  <Accordion title="Welche Daten erfasst reCAPTCHA?">
    Bei v2: IP-Adresse, Browser-Information, Gerätetyp, Cookies. Bei v3 zusätzlich: Mausbewegungen, Tastendrücke, Klick-Muster, Scrollverhalten und weitere Verhaltensdaten im Hintergrund.
  </Accordion>

  <Accordion title="Gibt es datenschutzfreundlichere Alternativen zu reCAPTCHA?">
    Ja. Beispiele sind: Friendly Captcha (Proof-of-Work-Ansatz, kein Behavioral Tracking, Server in Deutschland), hCaptcha, Cloudflare Turnstile oder serverseitiger Bot-Schutz ohne Nutzer-Datenerfassung.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für reCAPTCHA in die Datenschutzerklärung?">
    Statt eines isolierten reCAPTCHA-Textbausteins empfiehlt sich ein themenorientierter Ansatz: reCAPTCHA wird unter dem Thema „Sicherheit und Missbrauchsschutz" oder bei Kontaktformularen erwähnt. Google Ireland Limited erscheint in der Empfängerliste im Anhang. Der matterius-Generator unterstützt diese Methodik.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Google reCAPTCHA [#j-fazit-und-empfehlung-zu-google-recaptcha]

Google reCAPTCHA ist ein weit verbreiteter Sicherheitsdienst, der Websites effektiv vor Bots schützt. Die datenschutzrechtliche Einordnung hängt wesentlich von der eingesetzten Version ab: Bei v2 kommt berechtigtes Interesse in Betracht, bei v3 typischerweise Einwilligung. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, reCAPTCHA in der Datenschutzerklärung als eigenen Textbaustein aufzunehmen. Das erzeugt lange, unübersichtliche und schwer pflegbare Texte und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der reCAPTCHA unter „Sicherheit" oder bei Kontaktformularen einordnet und Google Ireland Limited im Empfänger-Anhang aufführt. Genau diese Methodik verfolgt der matterius-Generator.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Google reCAPTCHA und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Darstellung beruht auf öffentlich zugänglichen Informationen von Google und Angaben des Anbieters. Einzelne Fakten, insbesondere zur Änderung des Betriebsmodells, sollten vom Betreiber aktuell verifiziert werden.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Google Tag Manager und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/google-tag-manager-datenschutzerklaerung)



# Google Tag Manager und Datenschutz – Was Webseitenbetreiber wissen müssen [#google-tag-manager-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber Google Tag Manager (GTM) ein, verarbeitet er über die an GTM angebundenen Tags Nutzer- und Interaktionsdaten zum Zweck der Website-Optimierung, des Marketings und der Analytik auf Basis von Einwilligung und/oder berechtigten Interessen. Google Tag Manager selbst ist ein Container-System ohne eigenständiges Tracking; die eigentliche Datenverarbeitung erfolgt durch die in GTM konfigurierten einzelnen Tags (wie Google Analytics, Facebook Pixel, LinkedIn Insight Tag). Die vorliegende Anleitung behandelt GTM als zentrale Integrations- und Verwaltungsplattform sowie die Anforderungen an die Datenschutzerklärung bei ihrem Einsatz. Stand: 2026-04-22.

## A. Zweck und Funktionsweise von Google Tag Manager [#a-zweck-und-funktionsweise-von-google-tag-manager]

Google Tag Manager ist ein Tag-Container-System von Google Ireland Limited. Es ermöglicht Webseitenbetreibern, Tracking-Codes und Pixel-Implementierungen (Tags) zentral zu verwalten, zu konfigurieren und zu aktivieren – ohne dabei den Website-Code direkt ändern zu müssen. Ein Tag ist typischerweise ein Code-Snippet, das Nutzerdaten an einen Dienst überträgt (z.B. Google Analytics, Facebook Pixel, LinkedIn Insight Tag, Bing Ads, Adobe Analytics).

**Zentrale Funktionen:**

* Zentrale Verwaltung von Tracking-Codes und Pixel
* Bedingte Auslösung von Tags (Trigger) basierend auf Nutzerverhalten
* Datenschicht-Management zur Datenaufbereitung vor Versand an Zieldienste
* Versionskontrolle und Audit-Funktionen

**Wichtig:** Google Tag Manager selbst erhebt KEINE eigenen Cookies oder Nutzungsdaten. Es ist ein reines Verwaltungswerkzeug (Container). Die eigentliche Datenverarbeitung geschieht durch die einzelnen, in GTM konfigurierten Tags. Daher sind die Datenschutzpflichten für GTM nachgelagert: Der Webseitenbetreiber muss offenbaren, WELCHE Tags er nutzt und welche Daten DIESE an ihre Zieldienste übermitteln.

Diese Anleitung konzentriert sich auf GTM als Container-Infrastruktur. Für die einzelnen Tags (Analytics, Ads, Pixel) gelten zusätzliche, eigene Datenschutzanforderungen.

## B. Pflichtangaben in der Datenschutzerklärung zu Google Tag Manager [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-google-tag-manager]

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber, die Nutzerdaten erheben, in ihrer Datenschutzerklärung folgende Angaben machen:

* **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. d)
* **Berechtigte Interessen**, sofern Art. 6 Abs. 1 lit. f DSGVO Grundlage ist (Art. 13 Abs. 1 lit. d)
* **Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e)
* **Drittlandtransfers** und Schutzgarantien (Art. 13 Abs. 1 lit. f)
* **Speicherdauer** oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
* **Besondere Datenkategorien** (Art. 14 Abs. 1 lit. d), sofern verarbeitet

Diese Angaben müssen in der Datenschutzerklärung für Google Tag Manager aufgeschlüsselt sein. Allerdings hat sich in der Praxis eine problematische Konvention etabliert: viele Datenschutzerklärungen enthalten **toolspezifische Textbausteine** (z.B. ein ganzer Absatz nur für Google Analytics, ein weiterer nur für Facebook Pixel etc.). Dies führt zu aufgeblähten, unübersichtlichen Datenschutzerklärungen und verstößt gegen Art. 12 Abs. 1 DSGVO (Anforderung der Verständlichkeit).

**Besserer Ansatz:** Ein themenorientierter Aufbau, bei dem Zwecke, Rechtsgrundlagen und Datenarten zentral erklärt werden und die Empfänger in einem Anhang (Empfängertabelle) strukturiert aufgelistet sind. So wird GTM und seine nachgelagerten Tags transparent, ohne die Lesbarkeit zu beeinträchtigen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Google Tag Manager: Google Ireland Limited [#c-anbieter-von-google-tag-manager-google-ireland-limited]

**Juridische Basis:**

* **Vollständiger Name:** Google Ireland Limited
* **Anschrift:** Gordon House, Barrow Street, Dublin 4, D04 E5W5, Irland
* **Sitzland:** Irland (Europäischer Wirtschaftsraum)
* **Mutterkonzern:** Google LLC (USA) – allerdings ist für GTM selbst Google Ireland Limited die europäische Vertragspartei

**Data Privacy Framework (DPF):**
Google LLC und seine US-Tochtergesellschaften haben sich zum EU-US Data Privacy Framework verpflichtet und sind zertifiziert. Dies bedeutet, dass Datenübermittlungen in die USA auf Basis von Art. 45 DSGVO (Angemessenheitsbeschluss der EU-Kommission) zulässig sind.

**Datenschutzerklärung:**
[https://policies.google.com/privacy?hl=de](https://policies.google.com/privacy?hl=de)

**Auftragsverarbeitungsvertrag (AVV/DPA):**
Google Ireland Limited stellt einen Standard-Auftragsverarbeitungsvertrag zur Verfügung. Dieser ist im Google-Konto unter **Verwaltung > Kontoeinstellungen > Zusatz zur Datenverarbeitung** verfügbar. Der AVV regelt die technischen und organisatorischen Maßnahmen Googles als Auftragsverarbeiter. Allerdings sollte berücksichtigt werden: Manche Rechtsexperten argumentieren, dass Google – wie bei der Google-Analytics-Saga – bei Einsatz von GTM auch in eigene Verarbeitungszwecke involviert sein könnte, insbesondere wenn Google Nutzungsdaten aus GTM zu Optimierungs- oder Marketingzwecken nutzt. Eine Einzelfallprüfung durch den Webseitenbetreiber ist daher zu empfehlen.

## D. Datenverarbeitung durch Google Tag Manager – Ablauf [#d-datenverarbeitung-durch-google-tag-manager-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Google Tag Manager wird als JavaScript-Code in die Website eingebettet. Sobald ein Nutzer die Website aufruft, wird GTM ausgeführt. GTM sammelt jedoch nicht direkt Daten – es bereitet vielmehr die Daten vor und leitet diese an die konfigurierten Tags weiter. Diese Tags dann (z.B. Google Analytics) erfassen Interaktions- und Navigationsdaten wie Klicks, Scroll-Verhalten, besuchte Seiten, Gerätetyp, Browser und IP-Adresse.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Google Tag Manager selbst speichert Daten in der Google-Cloud-Infrastruktur. Bei DPF-Zertifizierung werden Daten in den USA oder in EWR-Rechenzentren gespeichert, je nach Konfiguration und Art der an GTM angebundenen Tags. Die Speicherdauer für GTM-interne Daten ist typischerweise kurz (einige Tage bis Wochen); die längere Speicherung erfolgt durch die einzelnen Tags in ihren jeweiligen Systemen.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Google Tag Manager führt Trigger-basierte Logik aus: Basierend auf vordefinierter Nutzerverhalten (z.B. „wenn Nutzer auf Button klickt") werden einzelne Tags aktiviert oder Daten gefiltert. GTM selbst nutzt diese Daten nicht geschäftlich; die Nutzung erfolgt durch die nachgelagerten Tags und deren Anbieter (Google Analytics Inc., Meta Platforms, LinkedIn, Microsoft etc.).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Google Tag Manager übermittelt Daten an alle in GTM konfigurierten Tags. Diese sind typischerweise Subprozessoren im Sinne von Art. 28 Abs. 2 und 4 DSGVO. Zu den häufigen Empfängern gehören: Google Analytics, Google Ads, Meta Pixel, LinkedIn Insight Tag, Microsoft Advertising, Adobe Analytics. Jeder dieser Dienste hat seine eigene Datenschutzerklärung und Datenverarbeitungspolitik; der Webseitenbetreiber trägt Verantwortung für die Kenntnis dieser Empfänger.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Der Webseitenbetreiber kann in den GTM-Einstellungen Daten löschen oder GTM deaktivieren. Google Ireland Limited führt automatische Löschungsroutinen durch, abhängig von der Dauer der Kontonutzung und der Konfiguration. Nach Kontokündigung werden Daten typischerweise nach 180 Tagen gelöscht. Dies ist vom Betreiber zu verifizieren.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Google Tag Manager [#e-erhobene-daten-beim-einsatz-von-google-tag-manager]

Google Tag Manager selbst ist ein Container und erhebt keine eigenen Daten. Allerdings werden über GTM Daten in die Website eingebettet und weitergeleitet. Je nach Konfiguration der einzelnen Tags können folgende Datenkategorien verarbeitet werden:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** Bei jeder HTTP-Anfrage: IP-Adresse, Datum/Uhrzeit/Zeitzone, angeforderte URL, Referrer-URL, Browser-Typ/Betriebssystem/Gerätetyp, technische Header-Metadaten
* **Klickpfade:** Besuchte Seiten inklusive Referrer, angeklickte Links und Schaltflächen mit Datum und Uhrzeit
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Geräteausrichtung, Touch-Unterstützung, verfügbare Speicherkapazität
* **Browserinformationen:** Browsername, Browserversion, installierte Browser-Erweiterungen
* **Conversion-Ereignisse:** Registrierung, Warenkorberstellung, Produktkauf, Terminbuchung, Kontaktanfrage, Download, Videoansicht, Aufruf bestimmter Seiten
* **Interaktionsdaten:** Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klick-Dauer
* **Technische Telemetriedaten:** Fehlermeldungen, JavaScript-Fehler, Ladezeiten, Datenvolumen, Netzwerk-Latenz

**Hinweis:** Die tatsächlich erhobenen Daten hängen von der jeweiligen Tag-Konfiguration ab. Der Webseitenbetreiber sollte ein Verzeichnis der in GTM konfigurierten Tags führen und deren jeweilige Datenschutzerklärungen kennen.

## F. Nutzungszwecke beim Einsatz von Google Tag Manager [#f-nutzungszwecke-beim-einsatz-von-google-tag-manager]

Die Zwecke der Datenverarbeitung durch GTM sind vielfältig und ergeben sich aus der Konfiguration. Google Tag Manager selbst ermöglicht die Verfolgung dieser Zwecke, fungiert aber nicht als eigenständiger Datenverantwortlicher. Allerdings unterstützt GTM folgende typische Zwecksetzungen:

* **Funktionsbereitstellung:** Erbringung und Gewährleistung der Website-Funktionalität, Fehlererkennung und -behebung
* **Allgemeine Produktverbesserung:** Optimierung auf Basis häufig aufgerufener Inhalte und Funktionen, Geschäftsplanung
* **Allgemeines Marketing:** Ausrichtung von Werbekampagnen insgesamt, Erfolgsmessung und Reichweitenanalyse
* **Nutzerprofil-Erstellung:** Ermittlung von Nutzerinteressen, demographischen Merkmalen, Segmenten (Audience Segmentation)
* **Nutzerindividuelles Marketing:** Remarketing, Anzeige interessenbezogener Inhalte, Personalisierte Werbung in Werbenetzwerken, Direktmarketing
* **Sicherheit und Missbrauchsschutz:** Erkennung und Prävention von Angriffen, Spam- und Botabwehr, Betrugsprävention

**Hinweis:** Die konkrete Zwecksetzung ergibt sich aus den einzelnen Tags, nicht aus GTM selbst.

## G. Rechtsgrundlagen für Google Tag Manager [#g-rechtsgrundlagen-fãr-google-tag-manager]

**Google Tag Manager als Container:**
Google Tag Manager ist primär ein Verwaltungstool und wird oft auf Basis von **berechtigten Interessen des Webseitenbetreibers** (Art. 6 Abs. 1 lit. f DSGVO) betrieben: effiziente Verwaltung von Tracking-Code, Datenqualität, Website-Optimierung.

**Die über GTM geladenen Tags unterliegen eigenen Rechtsgrundlagen:**

* **Marketing-Tracking-Tags** (Meta Pixel, LinkedIn Insight Tag, Microsoft Ads, Google Ads): Typischerweise **Einwilligung** nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (Elektonische Haftungsausschluss-Richtlinie). Diese können auch erst NACH Einwilligung (z.B. via Cookie-Consent-Banner) geladen werden.
* **Analytics-Tags** (Google Analytics): Kann auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung erfolgen, abhängig von Umfang und Konfiguration.
* **Google Tag Manager-Container selbst:** Eher berechtigte Interessen (technische Verwaltung); die Daten-Tags funktionieren nach ihren eigenen Rechtsgrundlagen.

**Praktischer Tipp:** Der Webseitenbetreiber sollte ein Cookie-Consent-Banner einsetzen und darin GTM sowie die einzelnen Tags (Analytics, Ads, Pixel) einzeln listet – nicht als "Google Tag Manager", sondern mit klarem Bezug zu den dahintersteckenden Diensten.

## H. Besonderheiten und Hinweise zu Google Tag Manager [#h-besonderheiten-und-hinweise-zu-google-tag-manager]

**1. Google Tag Manager ist kein eigenständiger Tracking-Dienst**
GTM ist ein Container, kein Tracking-Dienst. Daher sollten Datenschutzerklärungen nicht so klingen, als würde GTM selbst Daten sammeln. Die Kommunikation sollte klar machen: GTM verwaltet Tags, die von Drittanbietern (Google Analytics, Facebook, etc.) die Daten erfassen.

**2. Einwilligungspflicht und Verwaltungsgerichtshof Hannover (März 2025)**
Das Verwaltungsgericht Hannover hat entschieden, dass Google Tag Manager erst NACH Einwilligung geladen werden darf, wenn es Cookies setzt oder zur Aktivierung von Cookie-basierten Tags dient. Dies bedeutet: Ein Cookie-Banner sollte VOR dem Laden von GTM angezeigt werden.

**3. Auftragsverarbeitungsvertrag (AVV)**
Google Ireland Limited stellt einen Standard-AVV zur Verfügung. Dieser ist im GTM-Konto abrufbar. Allerdings sollten folgende Punkte überprüft werden:

* Der AVV deckt nur GTM selbst ab, NICHT die nachgelagerten Tags
* Für jedes Tag (Google Analytics, Meta Pixel etc.) sollte ein eigener AVV oder ein entsprechender Datenschutzzusatz vorhanden sein
* Die Rechtskraft des AVV wird von Experten diskutiert, besonders bei eigenen Verarbeitungszwecken Googles

**4. Datenübermittlung in die USA**
Google LLC und Tochtergesellschaften sind DPF-zertifiziert. Dies ermöglicht Datenübermittlungen auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Eine zusätzliche Sicherungsmaßnahme durch Standard Contractual Clauses (SCCs) ist empfohlen, aber bei DPF-Zertifizierung nicht obligatorisch.

**5. Opt-Out und Kontrolle**
Nutzer können das Laden von GTM in ihrem Browser blockieren (z.B. durch Skript-Blocker). Allerdings ist dies eine technische, keine rechtliche Maßnahme. Ein echtes Opt-Out ist nur durch Einwilligung möglich (Einwilligung kann jederzeit widerrufen werden).

## I. FAQ zu Google Tag Manager [#i-faq-zu-google-tag-manager]

<Accordions type="single">
  <Accordion title="Was ist Google Tag Manager?">
    Google Tag Manager ist ein kostenlos bereitgestelltes Container-System von Google Ireland Limited. Es ermöglicht Webseitenbetreibern, Tracking-Codes (Tags) zentral zu verwalten und zu konfigurieren, ohne den Website-Code direkt anzupassen. GTM selbst erhebt keine Daten; es leitet diese an konfigurierte Tags weiter.
  </Accordion>

  <Accordion title="Welche Daten erfasst Google Tag Manager?">
    GTM erfasst selbst keine Daten. Die Datenerfassung erfolgt durch die in GTM konfigurierten Tags (z.B. Google Analytics, Meta Pixel, LinkedIn Insight Tag). Abhängig von der Tag-Konfiguration können Klickpfade, Interaktionsdaten, IP-Adressen, Browser-Informationen und Conversion-Ereignisse erfasst werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Google Tag Manager?">
    GTM selbst wird oft auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) betrieben – technische Effizienz und Website-Optimierung. Die über GTM geladenen Tags (Analytics, Pixel, Ads) unterliegen ihren eigenen Rechtsgrundlagen, typischerweise Einwilligung (für Ads/Pixel) oder berechtigte Interessen (für Analytics).
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Google Tag Manager einholen?">
    Das hängt ab. Wenn GTM nur zur Verwaltung von bereits einwilligungspflichtigen Tags dient (z.B. Facebook Pixel), benötigt der Nutzer eine separate Einwilligung für diese Tags – nicht zwingend für GTM selbst. Allerdings hat das Verwaltungsgericht Hannover (März 2025) entschieden, dass GTM erst nach Einwilligung geladen werden sollte, wenn es Cookies aktiviert. Praxis: Cookie-Banner VOR GTM-Laden anzeigen.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Google Tag Manager in die Datenschutzerklärung?">
    Statt eines isolierten „Google Tag Manager"-Absatzes wird ein themenorientierter Ansatz empfohlen: Zentrale Erklärung der Zwecke (Website-Optimierung, Marketing, Analytics), Rechtsgrundlagen und eine strukturierte Empfängertabelle, in der alle in GTM konfigurierten Tags aufgelistet sind. So bleibt die Datenschutzerklärung lesbar und DSGVO-konform nach Art. 12 Abs. 1. Der matterius-Generator unterstützt diesen Ansatz.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Google Tag Manager [#j-fazit-und-empfehlung-zu-google-tag-manager]

Google Tag Manager ist ein flexibles und von vielen Webseitenbetreibern genutztes Tag-Management-System. Es ist selbst kein Datencollector, sondern ein administratives Verwaltungswerkzeug. Die Datenschutzherausforderung entsteht durch die Vielzahl der Ziel-Tags: Jedes Tag hat eigene Datenverarbeitungspflichten und Rechtsgrundlagen. Eine Datenschutzerklärung, die GTM in einem separaten Absatz behandelt, wird dem System nicht gerecht und führt zu unpraktischen, unübersichtlichen Texten, die gegen Art. 12 Abs. 1 DSGVO (Verständlichkeit) verstoßen.

**Empfehlung:** Ein themenorientierter Aufbau in der Datenschutzerklärung, bei dem Zwecke (Website-Optimierung, Marketing, Analytics) zentral erklärt werden und eine strukturierte Empfängertabelle alle in GTM konfigurierten Dienste auflistet, ist praktikabler und DSGVO-konformer. Dies fördert Transparenz und reduziert rechtliche Risiken. Die von matterius bereitgestellte Website-Datenschutzerklärung-Generator-Suite unterstützt diesen integrierten Ansatz.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Google Tag Manager und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben beruhen auf Herstellerangaben, öffentlich zugänglichen Quellen und der DSGVO-Rechtsprechung. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Heap Analytics und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/heap-analytics-datenschutzerklaerung)



# Heap Analytics und Datenschutz – Pflichtangaben für die Datenschutzerklärung [#heap-analytics-und-datenschutz--pflichtangaben-für-die-datenschutzerklärung]

Heap Analytics ist ein produktives Analyse-Tool, das mittels Autocapture automatisch alle Nutzerinteraktionen auf einer Webseite erfasst – von Klicks über Formulareingaben bis zu Seitenzugriffe. Webseitenbetreiber, die Heap einsetzen, müssen diese Datenverarbeitung transparent in ihrer Datenschutzerklärung offenlegen und dabei konkrete Angaben zu Datenflüssen, Speicherdauer und Rechtsgrundlagen machen, um DSGVO-konform zu agieren.

## A. Zweck und Funktionsweise von Heap Analytics [#a-zweck-und-funktionsweise-von-heap-analytics]

Heap Analytics ist ein cloudgestütztes Tool für Produktanalyse, das automatisch Nutzerverhalten trackt. Anders als viele Konkurrenten arbeitet Heap mit dem sogenannten **Autocapture-Ansatz**: Ein JavaScript-Snippet wird in die Webseite eingebunden, das von Beginn an und ohne weitere manuelle Konfiguration alle Nutzerinteraktionen erfasst. Das System zeichnet automatisch auf, welche Elemente angeklickt werden, in welche Formulare Daten eingegeben werden, welche Seiten besucht werden und wie lange Nutzer auf bestimmten Seiten verweilen.

Das Besondere am Autocapture: Heap speichert zunächst alle Rohdaten im Hintergrund, ohne dass Webseitenbetreiber vorab Events definiert haben. Dies ermöglicht retrospektive Analysen – auch Events, die erst später definiert werden, können auf historische Daten zurückgreifen. Diese kontinuierliche, voraussetzungslose Datensammlung ist ein zentrales Merkmal von Heap Analytics und unterscheidet es von ereignisgesteuerten Tracking-Systemen.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Die &#x2A;*DSGVO (Datenschutz-Grundverordnung)** verpflichtet Webseitenbetreiber, transparente Datenschutzerklärungen bereitzustellen. Nach Artikel 13 Abs. 1 und 2 DSGVO müssen folgende Informationen dokumentiert werden:

1. **Zweck der Verarbeitung** (Art. 13 Abs. 1 lit. c DSGVO): Wofür werden die Daten erfasst? Bei Heap typischerweise: Produktverbesserung, Nutzerverhalten-Analyse, Konversionsmes­sung.

2. **Rechtsgrundlage der Verarbeitung** (Art. 13 Abs. 1 lit. c DSGVO): Auf welche Ermächtigungsgrund­lage stützt sich die Verarbeitung? Meistens Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d DSGVO): Falls Art. 6 Abs. 1 lit. f herangezogen wird, müssen die konkre­ten berechtigten Interessen beschrieben werden.

4. **Empfänger der Daten** (Art. 13 Abs. 1 lit. e DSGVO): Wer erhält Zugriff auf die Daten? Dies umfasst Heap Inc., ggf. Subprozessoren und weitere Dritte.

5. **Drittlandtransfer** (Art. 13 Abs. 1 lit. f DSGVO): Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Heap speichert auf US-Servern – hier müssen Übermittlungsmechanismen (Data Privacy Framework, Standardvertragsklauseln) erwähnt werden.

6. **Speicherdauer** (Art. 13 Abs. 2 lit. a DSGVO): Wie lange werden die Daten gespeichert? Heap löscht Daten abhängig vom gewählten Plan (kostenloses Modell: 6 Monate; kostenpflichtige Pläne: typischerweise 12 Monate).

**Hinweis zum Datenschutz-Ansatz:** Viele Datenschutzerklärungen nutzen den Ansatz, für jedes einzelne Tool einen separaten, ausführlichen Text­baustein zu verfassen. Dies führt zu undurchsichtigen, sehr langen Datenschutzerklärungen und widerspricht damit dem Transparenzgebot der DSGVO (Art. 12 DSGVO – „klar und verständlich"). Ein **themenorientierter Ansatz** mit zentraler Empfängerliste ist rechtskonformer: Ein Abschnitt „Tracking und Produktanalyse" fasst alle Tools dieser Kategorie zusammen, ergänzt um eine Tabelle mit Anbieter, Zweck, Speicherdauer und Links.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Heap Inc.** ist der Anbieter und Betreiber von Heap Analytics. Das Unternehmen ist in den USA domiziliert.

**Adresse (Hauptsitz):**\
Heap Inc.\
225 Bush Street, Floor 2\
San Francisco, California 94104\
United States of America

**Data Privacy Framework (DPF):**\
Heap Inc., zusammen mit seinen Affiliates Content Square, Inc. und Clicktale Inc., hat sich selbstzertifiziert unter dem **EU-U.S. Data Privacy Framework**, dem **UK Extension** und dem **Swiss-U.S. Data Privacy Framework*&#x2A;. Diese Zertifizierung gewährleistet angemessene Datenschutzniveaus für Übermittlungen aus der EU, dem UK und der Schweiz in die USA. &#x2A;(Stand: 2026 – Webseitenbetreiber sollten den Status unter [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search) überprüfen.)*

**Standardvertragsklauseln (Standard Contractual Clauses, SCC):**\
Heap hat die erforderlichen **Standardvertragsklauseln** unterzeichnet, um Datenübermittlungen in Drittländer rechtmäßig zu gestalten, sofern die DPF-Zertifizierung nicht ausreichen sollte.

**Privacy Policy:**\
Die Datenschutzerklärung von Heap ist unter [https://www.heap.io/privacy](https://www.heap.io/privacy&#x29; einsehbar und regelt, wie Heap die Daten der Besucher von Kundenwebseiten verarbeitet. &#x2A;(Webseitenbetreiber sollten diese Policy regelmäßig überprüfen, um aktuell zu bleiben.)*

**Datenverarbeitungsvertrag (AVV / Data Processing Addendum, DPA):**\
Heap stellt ein vorgefertigtes, unterzeichnetes Datenverarbeitungsabkommen bereit, das die DSGVO-Anforderungen an die Auftragsverarbeitung umsetzt. Der DPA incorporates the Standard Contractual Clauses und ist eine Voraussetzung für die DSGVO-konforme Nutzung von Heap.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

<Steps>
  <Step>
    **Erhebung der Daten:** Das JavaScript-Snippet von Heap wird in den `<head>`- oder `<body>`-Bereich der Webseite eingefügt. Von diesem Moment an erfasst Heap automatisch alle Nutzerinteraktionen – Seitenzugriffe, Klicks, Formulareingaben, Scrollbewegungen – im Browser des Besuchers.
  </Step>

  <Step>
    **Speicherung auf US-Servern:** Die erfassten Daten werden an Heap-Server in den USA übermittelt und dort gespeichert. Dies ist ein **Drittlandtransfer**, der unter dem Data Privacy Framework und/oder Standardvertragsklauseln erfolgt.
  </Step>

  <Step>
    **Speicherdauer:** Heap löscht die Rohdaten nach Ablauf der im Plan festgelegten Retention-Periode. Kostenloses Modell: 6 Monate; kostenpflichtige Pläne: üblicherweise 12 Monate.
  </Step>

  <Step>
    **Verarbeitung und Analyse:** Webseitenbetreiber können die erfassten Daten im Heap-Dashboard einsehen, Berichte erstellen und Analysen durchführen (z.B. Funnel-Analysen, Session Replay, Nutzersegmentierung).
  </Step>

  <Step>
    **Subprozessoren und Weitergabe:** Heap kann die Daten an Subprozessoren weitergeben, z.B. für Hosting, Support oder Analytics. Diese müssen im DPA aufgelistet sein.
  </Step>

  <Step>
    **Löschung:** Nach Ablauf der Speicherdauer werden die Daten automatisch gelöscht. Darüber hinaus können Webseitenbetreiber über die User Deletion API oder in-app Tools explizite Löschanforderungen einreichen.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Heap erfasst durch das Autocapture-System ein breites Spektrum an Daten über Nutzer und deren Verhalten:

**Webserver-Protokolldaten:**

* **IP-Adresse:** Wird erfasst (nach neuerer Heap-Einstellung standardmäßig nicht zusammen mit anderen Identifikatoren verknüpft)
* **Zeitstempel:** Datum und Uhrzeit jeder Interaktion

**Interaktionsdaten:**

* **Klickpfade:** Welche Elemente (Links, Buttons, Bilder) wurden angeklickt?
* **Besuchte Seiten:** Welche URLs wurden aufgerufen? (inklusive Referrer, d.h. von welcher Seite kam der Nutzer?)
* **Scrollbewegungen:** Wie weit scrollt der Nutzer auf einer Seite herunter?
* **Formulareingaben:** Welche Felder wurden ausgefüllt? (Achtung: PII-Scrubbing beachten)
* **Mausbewegungen:** Ungefähre Cursor-Positionen
* **Verweildauer:** Wie lange verweilt der Nutzer auf einer Seite oder in einem Element?

**Endgeräte- und Browser-Daten:**

* **Gerätetyp:** Desktop, Tablet, Smartphone
* **Betriebssystem:** Windows, macOS, iOS, Android, etc.
* **Browser:** Chrome, Firefox, Safari, Edge, Versionsinfo
* **Bildschirmauflösung:** Viewport-Größe

**Standort-Daten:**

* **Grobe Standortinformation:** Abgeleitet aus der IP-Adresse (typischerweise Stadt/Region, nicht exakt)

**Nutzer-Profile und Session-Daten:**

* **Session-ID:** Eindeutiger Identifier pro Browsersession
* **User-ID:** Abhängig von der Heap-Konfiguration; wenn manuell gesetzt (via Identify API), können das Kundenbenutzer-IDs, E-Mail-Adressen oder sonstige Identifikatoren sein
* **Sessiondauer:** Wie lange war der Nutzer aktiv? (Heap definiert Sessions mit einer 30-minütigen Inaktivitätsgrenze)

**Conversion- und Event-Daten:**

* **Definierte Events:** Webseitenbetreiber können eigene Events einstellen (z.B. „Kauf abgeschlossen", „Newsletter angemeldet")
* **Retroaktive Events:** Heap kann auch historisch festgelegte Events auf alte Daten anwenden

**Technische Telemetriedaten:**

* **Performance-Metriken:** Lade- und Ausführungszeiten von Heap selbst
* **Fehlerberichte:** JavaScript-Fehler, die während der Nutzerinteraktion auftreten

**Achtung – Sensible Daten in Formularen:**\
Durch die automatische Erfassung können auch sensible Daten unbeabsichtigt erfasst werden – etwa Passwörter, Kreditkartennummern oder medizinische Daten, wenn diese in offenen Textfeldern eingegeben werden. Webseitenbetreiber **müssen daher PII-Scrubbing-Funktionen nutzen** (siehe Abschnitt H), um solche Daten zu maskieren, bevor sie Heap verlassen.

## F. Nutzungszwecke [#f-nutzungszwecke]

Heap verarbeitet diese Daten für verschiedene Zwecke:

* **Allgemeine Produktverbesserung und UX-Optimierung:** Heap nutzt aggregierte Daten, um die Benutzerfreundlichkeit der Kundenwebseiten zu optimieren (z.B. durch Funnel-Analysen, Heatmaps, Session Replays).

* **Allgemeines Marketing und Kampagnenmessung:** Webseitenbetreiber können Heap-Daten für Kampagnenbewertung und allgemeine Marketinganalytik heranziehen.

* **Nutzerprofil-Erstellung und Segmentierung:** Heap erstellt Nutzerprofile auf Basis des erfassten Verhaltens, um Nutzersegmentierung durchzuführen (z.B. „häufige Besucher", „Abspringer in Funnel X").

* **Nutzerindividuelle Produktverbesserung und Personalisierung:** Einzelne Nutzererfahrungen können personalisiert werden (z.B. verschiedene Website-Versionen für unterschiedliche Nutzergruppen).

* **Nutzerindividuelles Marketing und Remarketing:** Auf Basis der Heap-Daten können gezielte Werbekampagnen durchgeführt werden (z.B. Retargeting für Nutzer, die einen bestimmten Funnel abgebrochen haben).

Diese Zwecke sind typischerweise **nicht mit der Erbringung der Heap-Software selbst notwendig**, sondern addieren sich je nach Konfiguration und Geschäftslogik des Webseitenbetreibers hinzu.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Heap Analytics fällt in die Kategorie **Tracking- und Statistik-Tools**. Die Rechtsgrundlagen für den Einsatz sind:

**1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG):**\
Dies ist die häufigste Rechtsgrundlage für Tracking-Tools. In Deutschland regelt das &#x2A;*Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG, ehemals ePrivacy-Richtlinie)** explizit, dass vor dem Setzen von nicht-essentiellen Cookies und ähnlichen Tracking-Technologien (wie JavaScript-Snippets) eine aktive Einwilligung erforderlich ist. Die Einwilligung muss:

* **Vorab erfolgen** (vor dem Tracking)
* **Granular sein** (separate Zustimmung für Analytics, Marketing, etc., nicht pauschal)
* **Jederzeit widerrufbar** sein

Typischerweise geschieht dies über einen **Cookie-Consent-Banner**, in dem Nutzer Heap Analytics explizit akzeptieren müssen.

**2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO – mit Einschränkungen):**\
In seltenen Fällen können Webseitenbetreiber argumentieren, dass eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO die Verarbeitung legitimiert. Dies setzt voraus:

* Eine klare Dokumentation der berechtigten Interessen (z.B. Geschäftsoptimierung, Sicherheit)
* Ein Überwiegen dieser Interessen gegenüber den Interessen der Nutzer
* Eine explizite Interessenabwägung im Datenschutzdokument

Diese Rechtsgrundlage ist für Heap **in der Praxis selten ausreichend**, insbesondere in der EU, wo die Tendenz zur strikteren Auslegung neigt.

**Fazit:** Die meisten Webseitenbetreiber werden auf die &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a)** angewiesen sein. Darüber hinaus müssen die Einwilligungsmechanismen (Cookie-Banner) TDDDG-konform ausgestaltet sein.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

<Callout type="warn">
  **Automatische Erfassung sensibler Daten:** Heap erfasst automatisch alle Nutzerinteraktionen, einschließlich Formulareingaben. Wenn in offenen Textfeldern sensible Daten wie Passwörter, Kreditkartennummern oder persönliche Identifikationsnummern eingegeben werden, können diese unbeabsichtigt erfasst werden. Dies ist datenschutzrechtlich problematisch.
</Callout>

**PII-Scrubbing und Daten-Maskierung:**\
Heap bietet mehrere Tools, um sensible Daten zu schützen:

* **Target Text Autocapture Toggle:** Kann über Account-Einstellungen deaktiviert werden, um zu verhindern, dass sichtbarer Text aus Elementen erfasst wird.
* **data-heap-redact-text:** Attribut für HTML-Elemente, das Heap anweist, bestimmte Textinhalte vor Speicherung zu maskieren (wird als `****` angezeigt).
* **data-heap-redact-attributes:** Attribut zum Maskieren von HTML-Attributen (z.B. value-Attribute von Input-Feldern).

Webseitenbetreiber **sollten diese Funktionen konsequent nutzen**, insbesondere für Passwort-Felder, Kreditkarten-Eingaben und andere sensitive Formularbereiche.

**Opt-Out-Möglichkeiten:**

* Heap gestattet es Nutzern, sich von der Datenerfassung abzumelden, typischerweise über ein Consent-Banner oder Heap-spezifische Opt-Out-Mechanismen.
* Für CCPA-Compliance: Nutzer können in Banner die Zustimmung zur „Veräußerung oder Weitergabe" von Daten ablehnen (CCPA-Anforderung).

**Drittlandtransfer und rechtliche Mechanismen:**

* **Data Privacy Framework (DPF):** Heap hat sich zertifiziert und nutzt dies als primären Übermittlungsmechanismus.
* **Standardvertragsklauseln (SCC):** Fungieren als Fallback und sind im DPA verankert.
* **Datenverarbeitungsvertrag (DPA):** Webseitenbetreiber müssen mit Heap einen DPA unterzeichnet haben. Heap stellt einen vorgefertigten, unterzeichneten DPA zur Verfügung, der alle GDPR-Anforderungen abdeckt.

**Datenverantwortlichkeit:**

* **Webseitenbetreiber = Datenverantwortlicher (Data Controller)**
* **Heap Inc. = Auftragsverarbeiter (Data Processor)**

Webseitenbetreiber sind primär verantwortlich für die Rechtmäßigkeit der Verarbeitung, müssen Datenschutzhinweise bereitstellen und können für Verstöße zur Verantwortung gezogen werden.

**Identity Tracking und User-IDs:**

* Heap kann Nutzern über die Identify API manuelle IDs zuordnen (z.B. Kundennummern, E-Mail-Adressen). Dies ermöglicht Nutzerverfolgung über mehrere Sessions.
* Webseitenbetreiber müssen sicherstellen, dass keine sensiblen Daten (Passwörter, Kreditkartennummern) via Identify API an Heap gesendet werden.

**ISO-Zertifizierungen:**\
Heap ist ISO 27001, 27701, 27017 und 27018 zertifiziert, was Informationssicherheit, Datenschutz und Cloud-Sicherheit abdeckt.

## I. Häufige Fragen zu Heap Analytics und Datenschutz [#i-häufige-fragen-zu-heap-analytics-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist Heap Analytics – und wie unterscheidet es sich von anderen Tracking-Tools?">
    Heap Analytics ist ein Produktanalyse-Tool, das auf dem Autocapture-Prinzip basiert: Ein JavaScript-Snippet erfasst automatisch alle Nutzerinteraktionen auf einer Webseite – von Klicks über Formular­eintragungen bis zu Seitenzugriffen – ohne dass Ereignisse vorab definiert werden müssen. Diese Rohdaten werden kontinuierlich im Hintergrund gesammelt. Dies unterscheidet Heap von ereignisgesteuerten Tools wie Google Analytics 4, wo Ereignisse erst manuell konfiguriert werden müssen. Das macht Heap flexibler für retrospektive Analysen, bringt aber auch höheres Datenvolumen und mehr Datenschutzrisiken mit sich.
  </Accordion>

  <Accordion title="Welche Daten erhebt Heap Analytics konkret?">
    Heap erfasst eine breite Palette von Daten:

    * **Nutzerverhalten:** Klicks, Scrollposition, Verweilzeiten, Formulareingaben
    * **Technische Daten:** IP-Adresse, Browser, Betriebssystem, Gerätetyp, Bildschirmauflösung
    * **Session-Daten:** Session-IDs, Dauer, Abfolge von Seiten
    * **Geolocation:** Grobe Standortinformation aus IP-Adresse
    * **Custom Data:** Alles, was Webseitenbetreiber über die Identify API oder benutzerdefinierte Events einstellen

    Das Risiko: Unbeabsichtigt können auch sensible Daten erfasst werden, wenn diese in Formularen eingegeben werden (z.B. Passwörter, Kreditkartennummern). Webseitenbetreiber müssen PII-Scrubbing-Tools nutzen, um dies zu verhindern.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Heap Analytics?">
    Heap Analytics wird typischerweise auf Basis von &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)** eingesetzt. Das heißt: Nutzer müssen vorab aktiv zustimmen, bevor das Tracking beginnt – üblicherweise über einen Cookie-Consent-Banner. Die Zustimmung muss **granular** sein (separate Akzeptanz für Analytics), **vor dem Tracking erfolgen** und jederzeit **widerrufbar** sein.

    In seltenen Fällen können berechtigte Interessen (Art. 6 Abs. 1 lit. f) herangezogen werden, erfordern aber eine explizite Interessenabwägung, die in der Praxis für breites Tracking schwer zu rechtfertigen ist.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung einholen, bevor Heap auf meiner Seite lädt?">
    Ja, in der EU und Deutschland ist eine **vorherige Einwilligung erforderlich**. Das TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) schreibt vor, dass nicht-essentielles Tracking (wie Heap) nur mit aktiver vorheriger Zustimmung erfolgen darf. Dies geschieht normalerweise über einen Cookie-Consent-Banner, in dem Nutzer Heap Analytics explizit akzeptieren. Ein Pre-Checked Box ist nicht zulässig; die Einwilligung muss durch aktive Handlung (Klick auf „Akzeptieren") erfolgen.
  </Accordion>

  <Accordion title="Welcher Text gehört in meine Datenschutzerklärung für Heap Analytics?">
    Anstelle eines langen, tool-spezifischen Textbausteins empfiehlt sich ein **themenorientierter Ansatz**: Ein Abschnitt „Produktanalyse und Tracking" beschreibt allgemein, wie und warum Tracking erfolgt, welche Daten erfasst werden und welche Rechtsgrundlagen gelten. Dazu kommt eine **Tabelle oder Liste aller Anbieter** (Heap, Google Analytics, etc.) mit je kurzen Stichpunkten zu Anbieter, Zweck, Speicherdauer und Opt-Out. Dies ist transparenter, lesbarer und DSGVO-konformer als lange, isolierte Tool-Beschreibungen. Der matterius Datenschutzerklärung-Generator unterstützt diesen themenorientierten Ansatz.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

**Heap Analytics ist ein leistungsstarkes, aber datenschutzintensives Tool.** Das Autocapture-Prinzip ermöglicht umfassende Nutzerverhaltensdaten, bringt aber auch erhebliche Transparenz- und Sicherheitsanforderungen mit sich. Webseitenbetreiber müssen:

1. **Rechtmäßige Rechtsgrundlage sicherstellen:** Typischerweise über Einwilligung (Art. 6 Abs. 1 lit. a) mit TDDDG-konformem Consent-Banner.

2. **Vollständige und verständliche Datenschutzerklärung:** Nicht über isolierte Tool-Bausteine, sondern über einen **themenorientierten Ansatz** mit zentraler Empfängerliste.

3. **Datenverarbeitungsvertrag (DPA) unterzeichnen:** Heap stellt einen vorgefertigten DPA bereit, der GDPR-Anforderungen erfüllt.

4. **Sensible Daten schützen:** PII-Scrubbing-Funktionen aktiv nutzen, um unbeabsichtigte Erfassung von Passwörtern, Kreditkartendaten oder ähnlichem zu verhindern.

5. **Drittlandtransfer dokumentieren:** Daten gehen in die USA; der Data Privacy Framework oder Standardvertragsklauseln müssen angemessen dokumentiert werden.

Ein **datenschutzkonformes Datenschutzerklärung-Konzept** ersetzt die klassische „Textbaustein-pro-Tool"-Methode durch logische Gruppierung nach Verarbeitungszwecken (Statistik, Marketing, Sicherheit, etc.) und eine Übersichtstabelle. Dies schafft Klarheit für Nutzer, vermeidet Redundanz und erfüllt das DSGVO-Transparenzgebot besser.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer:** Diese Informationen stellen eine allgemeine Orientierung dar und sind keine Rechtsberatung. Die Datenschutzkonformität muss im Einzelfall überprüft werden. Angaben beruhen auf öffentlich einsehbaren Informationen von Heap Inc. und sollten durch die aktuelle Privacy Policy von Heap ([https://www.heap.io/privacy](https://www.heap.io/privacy)) und den geltenden DPA überprüft werden. Stand: April 2026.
</Callout>

<AuthorBlock />


# Hotjar und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/hotjar-datenschutzerklaerung)



# Hotjar und Datenschutz – Was Webseitenbetreiber wissen müssen [#hotjar-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Hotjar ein, verarbeitet er Nutzungsdaten (Klickpfade, Scrollbewegungen, Session Recordings, Heatmaps) zum Zweck der Webseitenoptimierung und Nutzerverhaltenserkennung auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Hotjar speichert diese Daten auf Servern in der Europäischen Union (Irland) und fungiert als Auftragsverarbeiter. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Hotjar zu beachten sind.

## A. Zweck und Funktionsweise von Hotjar [#a-zweck-und-funktionsweise-von-hotjar]

Hotjar ist ein Web-Analyse- und Feedback-Tool, das Webseitenbetreibern hilft, das Verhalten von Nutzern zu verstehen. Das Tool wird über ein JavaScript-Snippet direkt in den HTML-Quellcode der Website eingebettet (Tracking-Pixel / Code-Snippet). Hotjar erfasst dabei folgende Funktionalitäten:

* **Heatmaps**: Visualisierung, wo Nutzer klicken, scrollen und bewegen sich
* **Session Recordings**: Aufzeichnung von Nutzer-Sitzungen (optional mit Einschränkungen für sensible Daten)
* **Umfragen und Feedback-Tools**: Direkte Kommunikation mit Nutzern
* **Form-Analyse**: Erfassung von Formularinteraktionen

Die Datenspeicherung erfolgt auf Amazon Web Services Infrastruktur in Irland (EU-Rechenzentrum). Das Tracking wird erst aktiviert, nachdem der Nutzer der Nutzung von Hotjar ausdrücklich zugestimmt hat (Einwilligungserfordernis).

## B. Pflichtangaben in der Datenschutzerklärung zu Hotjar [#b-pflichtangaben-in-der-datenschutzerklärung-zu-hotjar]

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten er verarbeitet, zu welchen Zwecken (Art. 13 Abs. 1 lit. c DSGVO) und auf welcher Rechtsgrundlage (Art. 13 Abs. 1 lit. d DSGVO). Bei Hotjar sind die folgenden Angaben erforderlich:

* **Zwecke**: Analyse des Nutzerverhaltens, Verbesserung der Website-Funktionalität und Nutzererfahrung, Erkennung von Usability-Problemen
* **Rechtsgrundlage**: Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG), da Hotjar nicht zur Erbringung einer Kernfunktion der Website erforderlich ist
* **Empfänger/Kategorien**: Hotjar Limited (Malta), ggf. Subprozessoren
* **Drittlandtransfers**: Nicht erforderlich, da Speicherung in der EU (Irland)
* **Speicherdauer**: Nach Angaben von Hotjar: 365 Tage (Standard), konfigurierbar
* **Datenkategorien**: Siehe Abschnitt E (Endgeräte-Daten, Klickpfade, Interaktionsdaten etc.)

**Wichtiger Hinweis**: Toolspezifische Textbausteine, die exakt der Hotjar-Dokumentation folgen, widersprechen Art. 12 Abs. 1 DSGVO (klare und verständliche Sprache). Ein themenorientierter Ansatz (z.B. „Analytics-Tools") ist datenschutzfreundlicher und übersichtlicher für Nutzer. Der matterius-Generator unterstützt Sie dabei, solche integrierten Formulierungen zu erstellen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Hotjar: Hotjar Limited [#c-anbieter-von-hotjar-hotjar-limited]

**Juristischer Name**: Hotjar Limited\
**Anschrift**: 3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta\
**Sitzland**: Malta (Europäische Union)\
**DPF-Status**: Nicht erforderlich (EU-Unternehmen, nicht US-basiert)\
**Datenschutzerklärung**: [https://www.hotjar.com/legal/policies/privacy/de/](https://www.hotjar.com/legal/policies/privacy/de/)\
**AVV/DPA**: Data Processing Agreement abrufbar unter [https://www.hotjar.com/de/legal/support/dpa/](https://www.hotjar.com/de/legal/support/dpa/) – wurde mit deutschem und maltesischem Recht aktualisiert\
**Opt-Out**: [https://www.hotjar.com/legal/compliance/opt-out](https://www.hotjar.com/legal/compliance/opt-out)

Bei Fragen zum Datenschutz kann Hotjar unter [legal@hotjar.com](mailto:legal@hotjar.com) kontaktiert werden.

## D. Datenverarbeitung durch Hotjar – Ablauf [#d-datenverarbeitung-durch-hotjar--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Das Hotjar-Snippet wird beim Seitenaufruf ausgelöst. Sofort nach dem Laden der Website sendet Hotjar eine Anfrage an die Hotjar-Server. Ist der Nutzer noch nicht angemeldet oder hat keine Einwilligung gegeben, wird die Nutzerdaten nicht erfasst. Nach Einwilligung (z.B. über Cookie-Banner) werden dann bei jedem Seitenaufruf Klicks, Scrollbewegungen, Mauszeigerposition, Formulareingaben und Geräte-Metadaten erfasst.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die erfassten Daten werden verschlüsselt und auf Amazon Web Services Servern in Irland (EU-Rechenzentrum) gespeichert. Hotjar speichert Daten standardmäßig für 365 Tage, danach erfolgt automatische Löschung. Session Recordings werden getrennt von anderen Metriken gespeichert und können per Konfiguration auf kürzere Speicherfristen begrenzt werden.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Hotjar nutzt die Daten, um Heatmaps zu generieren, Session Recordings anzuzeigen, Umfrage-Ergebnisse zu aggregieren und Trend-Berichte zu erstellen. Die Plattform erlaubt es dem Webseitenbetreiber, spezifische Sessions anzuschauen, Nutzer-Segmente zu bilden und A/B-Tests durchzuführen. Hotjar kann dabei auch automatische Analysen durchführen, um Bottlenecks zu erkennen.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Hotjar teilt Daten mit Subprozessoren, die für die Erbringung des Services erforderlich sind (z.B. Cloud-Anbieter, Analyse-Services). Mit allen Subprozessoren hat Hotjar Data Processing Agreements und ggf. Standard Contractual Clauses vereinbart. Eine aktuelle Liste der Subprozessoren ist auf der Hotjar-Website einsehbar.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der konfigurierten Speicherfrist (Standard: 365 Tage) werden die Daten automatisch vom System gelöscht. Nutzer können ihren Opt-Out setzen und damit verhindern, dass künftige Daten erfasst werden. Der Webseitenbetreiber kann auch manuell Daten oder ganze Sessions löschen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Hotjar [#e-erhobene-daten-beim-einsatz-von-hotjar]

Hotjar erfasst verschiedene Kategorien von Nutzungsdaten, um ein vollständiges Bild des Nutzerverhaltens zu zeichnen. Die verarbeiteten Daten werden von Hotjar nach dem Standard-Datenschutzmodell der deutschen Datenschutzbehörden klassifiziert. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
* **Browserinformationen**: Browsername, Browserversion, installierte Erweiterungen
* **Interaktionsdaten**: Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klicks
* **Technische Telemetriedaten**: Fehlermeldungen, Ladezeiten, Datenvolumen

Bei Session Recordings können auch Text-Eingaben, hochgeladene Dateien und Formularinhalte erfasst werden. Hotjar bietet jedoch Masking-Funktionen, um sensible Felder (z.B. Passwörter, Kreditkartendaten) automatisch zu redaktionieren.

## F. Nutzungszwecke beim Einsatz von Hotjar [#f-nutzungszwecke-beim-einsatz-von-hotjar]

Hotjar verarbeitet Daten zu mehreren Zwecken, die vom Webseitenbetreiber klar in der Datenschutzerklärung dargelegt sein sollten. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

* **Funktionsbereitstellung**: Fehlerkennung/-behebung, Performance-Monitoring, Darstellung von Analytics-Dashboards
* **Allgemeine Produktverbesserung**: Optimierung auf Basis häufig aufgerufener Inhalte, Identifikation von Usability-Problemen
* **Nutzerprofile-Erstellung**: Ermittlung von Nutzer-Segmenten (z.B. "Abbrecher", "Power-User"), Verhalten-Cluster
* **Nutzerindividuelle Produktverbesserung**: A/B-Tests, Heatmap-Analyse, personalisierte Optimierung von Seiten-Elementen
* **Kommunikation**: Feedback-Formulare, Umfragen, direkte Fragen an Nutzer

## G. Rechtsgrundlagen für Hotjar [#g-rechtsgrundlagen-für-hotjar]

Die Rechtsgrundlage für die Nutzung von Hotjar ist in der Regel die &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)**, da Hotjar nicht zur Erbringung einer Kernfunktion der Website erforderlich ist. Die Einwilligung muss nach § 25 Abs. 1 TDDDG (Telemediengesetz) eingeholt werden, bevor das Hotjar-Snippet aktiviert wird.

Ein themenscharfer Prüfungspunkt: Könnte ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bestehen, z.B. wenn die Webseitenoptimierung ein echtes Geschäftsinteresse darstellt und die Einwilligung abgelehnt wird? **Im Einzelfall zu prüfen** – die Balancierung zwischen Nutzer-Interessen und Unternehmensinteressen ist oft nicht eindeutig. Einwilligung ist aber der sicherere Weg und ist gesetzlich vorgesehen.

## H. Besonderheiten und Hinweise zu Hotjar [#h-besonderheiten-und-hinweise-zu-hotjar]

* **Opt-Out**: Nutzer können sich gegen Hotjar-Tracking abmelden unter [https://www.hotjar.com/legal/compliance/opt-out](https://www.hotjar.com/legal/compliance/opt-out). Diese Information sollte in der Datenschutzerklärung verlinkt sein.
* **Session Recordings und Sensibilität**: Die Aufzeichnung von Nutzer-Sitzungen kann (insbesondere wenn Audio/Video enthalten ist) unter den Schutzbereich von § 4 Abs. 25 TMG fallen. Empfehlung: Sensitive Daten explizit masken und in der Datenschutzerklärung offenlegen.
* **Standard Contractual Clauses**: Obwohl Hotjar in der EU angesiedelt ist, hat das Unternehmen für Subprozessoren Standard Contractual Clauses vereinbart.
* **AVV/DPA verfügbar**: Das Data Processing Agreement ist unter [https://www.hotjar.com/de/legal/support/dpa/](https://www.hotjar.com/de/legal/support/dpa/) abrufbar und sollte unterzeichnet sein.
* **Konfiguration**: Der Webseitenbetreiber sollte in den Hotjar-Einstellungen die Speicherdauer, Masking-Regeln und die Liste der erfassten Daten überprüfen und dokumentieren.

## I. FAQ zu Hotjar [#i-faq-zu-hotjar]

<Accordions type="single">
  <Accordion title="Was ist Hotjar?">
    Hotjar ist ein Web-Analyse- und Feedback-Tool, das über ein JavaScript-Snippet Nutzungsverhalten (Klicks, Scrolls, Session Recordings) erfasst und visualisiert. Es wird zur Identifikation von Usability-Problemen und Website-Optimierung eingesetzt.
  </Accordion>

  <Accordion title="Welche Daten erfasst Hotjar?">
    Hotjar erfasst Webserver-Protokolldaten (IP-Adresse, Browser), Klickpfade, Scrollbewegungen, Mauszeigerposition, Formulareingaben, Geräte-Metadaten und optional Session Recordings. Sensible Daten können über Masking-Funktionen geschützt werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Hotjar?">
    Die Rechtsgrundlage ist in der Regel die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG), da Hotjar nicht für die Erbringung der Website-Kernfunktion erforderlich ist. Ein berechtigtes Interesse ist im Einzelfall zu prüfen.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Hotjar einholen?">
    Ja. Da Hotjar über ein Tracking-Pixel/Cookie arbeitet und nicht zur Kernfunktion der Website erforderlich ist, ist eine ausdrückliche Nutzer-Einwilligung erforderlich. Dies geschieht üblicherweise über einen Cookie-Banner mit Opt-In (nicht Opt-Out).
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Hotjar in die Datenschutzerklärung?">
    Ein guter Textbaustein integriert Hotjar in einen übergeordneten Abschnitt „Analytics und Tracking", beschreibt die Daten, Zwecke, Speicherdauer und Rechtsgrundlagen und verlinkt zur Privacy Policy und zum Opt-Out. Der matterius-Generator erstellt solche themenorientierten Formulierungen automatisch und berücksichtigt dabei alle relevanten DSGVO-Anforderungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Hotjar [#j-fazit-und-empfehlung-zu-hotjar]

Hotjar ist ein beliebtes Analytics-Tool mit EU-Datenspeicherung und guter Dokumentation. Für die DSGVO-konforme Nutzung sind folgende Punkte essentiell: (1) Einwilligung vor Aktivierung, (2) transparente Offenlegung in der Datenschutzerklärung, (3) unterzeichnetes Data Processing Agreement, (4) regelmäßige Überprüfung der Speicherdauer und Masking-Regeln.

**Problematisch**: Toolspezifische Textbausteine, die exakt aus der Hotjar-Dokumentation kopiert sind. Sie sind oft zu technisch, zu lang und nicht benutzerfreundlich (Art. 12 Abs. 1 DSGVO). Besser ist ein themenorientierter Ansatz, der Hotjar in den Kontext anderer Analytics-Tools einordnet und klare, allgemeinverständliche Sprache nutzt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Hotjar und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# HubSpot und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/hubspot-datenschutzerklaerung)



# HubSpot und Datenschutz – Was Webseitenbetreiber wissen müssen [#hubspot-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber HubSpot ein, verarbeitet er Besucher-, Kontakt- und Interaktionsdaten zum Zweck des Customer Relationship Managements (CRM), Marketing Automation und Website-Analytics auf Basis von Einwilligung (bei Tracking), berechtigten Interessen (bei Formularen) oder Vertragsdurchführung (bei Kundenbeziehungen) gemäß DSGVO. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von HubSpot [#a-zweck-und-funktionsweise-von-hubspot]

HubSpot ist eine umfassende CRM- und Marketing-Automation-Plattform der US-amerikanischen HubSpot Inc. mit EU-Niederlassung HubSpot Ireland Ltd. Sie ermöglicht Webseitenbetreibern:

1. **Website-Tracking**: Ein Tracking-Pixel (HubSpot Analytics Code) erfasst Besucherdaten (Pages-View, Klicks, Verweildauer)
2. **Formular-Management**: HubSpot-Formulare auf der Website erfassen Kontaktdaten (Name, E-Mail, Telefon, etc.)
3. **Chat und Live Support**: Ein Chat-Widget ermöglicht Echtzeit-Kommunikation mit Besuchern
4. **E-Mail-Marketing**: Automatisierte E-Mail-Kampagnen an Kontakte
5. **CRM-Datenbank**: Zentrales System zur Verwaltung von Kundendaten, Deals und Interaktionshistorie
6. **Personalisierung**: Inhalte und Angebote werden basierend auf Besucherprofil angepasst

**Technische Integration:** Der Webseitenbetreiber bindet den HubSpot-Tracking-Code (ein asynchrones JavaScript-Snippet) in den `<head>`- oder `<body>`-Bereich seiner Website ein. Zusätzlich können HubSpot-Formulare und Chat-Widgets eingefügt werden. Der Tracking-Code setzt beim Laden einen Cookie auf dem Gerät des Besuchers und sendet Daten an HubSpots Server.

## B. Pflichtangaben in der Datenschutzerklärung zu HubSpot [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-hubspot]

Die DSGVO verlangt von Webseitenbetreibern, folgende Punkte transparent zu erläutern:

* **Verarbeitungszwecke** (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
* **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d): Falls über berechtigte Interessen legitimiert
* **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
* **Drittlandtransfers** (Art. 13 Abs. 1 lit. f): Werden Daten in Länder außerhalb der EU/des EWR übermittelt?
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?
* **Betroffenenrechte** (Art. 13 Abs. 2 lit. b und c): Auskunfts-, Lösch- und Widerspruchsrechte

**Häufiger Fehler:** Viele Webseitenbetreiber verwenden HubSpots Standard-Datenschutztext direkt in ihre Erklärung. Dies widerspricht Art. 12 Abs. 1 DSGVO (Klarheit und Verständlichkeit). Ein **themenorientierter Ansatz** ist besser: Strukturieren Sie nach Verarbeitungszwecken (z. B. „Website-Analytics", „CRM und Marketing"), nicht nach einzelnen Tools.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von HubSpot: HubSpot Inc. / HubSpot Ireland Ltd. [#c-anbieter-von-hubspot-hubspot-inc--hubspot-ireland-ltd]

| Aspekt                              | Information                                                                                      |
| ----------------------------------- | ------------------------------------------------------------------------------------------------ |
| **Juristischer Name**               | HubSpot Inc. (USA) und HubSpot Ireland Limited (EU)                                              |
| **Anschrift (USA)**                 | 25 First Street, 2nd Floor, Cambridge, MA 02141, USA                                             |
| **Anschrift (EU)**                  | HubSpot Ireland Limited, 2nd Floor, 30 North Wall Quay, Dublin 1, Ireland                        |
| **Sitzland**                        | USA (Hauptsitz); Irland (EU-Niederlassung)                                                       |
| **Registernummer (Irland)**         | Irish Company Registration Office CHN 706302                                                     |
| **DPF-Status**                      | Zertifiziert unter dem EU-U.S., UK Extension, und Swiss-U.S. Data Privacy Framework              |
| **Privacy Policy**                  | [https://legal.hubspot.com/privacy-policy](https://legal.hubspot.com/privacy-policy)             |
| **Data Processing Agreement (AVV)** | [https://legal.hubspot.com/dpa](https://legal.hubspot.com/dpa)                                   |
| **EU-Datenschutz-Info**             | [https://legal.hubspot.com/dp-eu-data-transfers](https://legal.hubspot.com/dp-eu-data-transfers) |
| **Rolle**                           | Auftragsverarbeiter gemäß Art. 28 DSGVO (bei Website-Integration)                              |

**Hinweis:** HubSpot hat eine EU-Niederlassung in Irland und ist DPF-zertifiziert, was die Rechtskonformität von Datentransfers in die USA gewährleistet.

## D. Datenverarbeitung durch HubSpot – Ablauf [#d-datenverarbeitung-durch-hubspot-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der HubSpot-Tracking-Code wird beim Laden der Website ausgeführt. Er erfasst Besucherdaten (Page-View, Referrer, Browser, Gerät, Zeitstempel). Zusätzlich werden Daten durch Formulare (Name, E-Mail, etc.), Chat-Widgets (Nachrichten, IP) und externe Datenquellen (CRM, E-Mail-Listen) erfasst.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Daten werden in HubSpots Datenbanken gespeichert. HubSpot hat EU-Rechenzentren, aber auch US-Server. Die Speicherdauer hängt vom Kundenvertrag ab, typischerweise werden Daten so lange gespeichert, wie das HubSpot-Konto aktiv ist.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    HubSpot nutzt die Daten für:

    * Kontaktverwaltung und CRM-Funktionalität
    * Website-Analytics und Besucherverfolgung
    * Marketing Automation und E-Mail-Kampagnen
    * Personalisierung von Website-Inhalten
    * Chat und Support-Funktionen
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    HubSpot gibt Daten an integrierten Partner-Tools (z. B. Slack, Salesforce, Google Analytics), an Service-Provider (Hosting, Analytics) und ggf. an andere HubSpot-User (je nach Kontostruktur) weiter. Für EU-Nutzer werden SCCs verwendet.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Nutzer können Kontakte in HubSpot löschen. Beim Account-Löschung werden Daten nach einer Karenzzeit gelöscht. Betroffene können Löschanträge stellen, die HubSpot verarbeiten muss.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von HubSpot [#e-erhobene-daten-beim-einsatz-von-hubspot]

HubSpot erfasst ein breites Spektrum an Daten:

**Tracking-Daten (via Analytics Code):**

* IP-Adresse
* Cookie-ID (HubSpot-Cookie: `hubspotutk`)
* Besuchte URLs und Referrer
* Page-View-Zeit und Verweilldauer
* Klicks und angeklickte Links/Buttons
* Scroll-Tiefe und Engagement-Metadaten
* Browser, Betriebssystem, Gerätetyp
* Zeitzone und grobe Standortdaten
* Session-Informationen

**Formular-Daten:**

* Name, E-Mail-Adresse, Telefonnummer
* Unternehmensname
* Jobtitel
* Benutzerdefinierte Formularfelder (je nach Konfiguration)

**Chat-Daten:**

* Chat-Nachrichten und Zeitstempel
* IP-Adresse und Browser-Info
* Besucheridentifizierung

**CRM-Daten (extern hinzugefügt):**

* Kundendaten aus externen Systemen
* Purchase-Historie
* Kundeninteraktionshistorie
* Vertragsinformationen

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung
* **Browserinformationen**: Browsername, Browserversion, installierte Erweiterungen
* **Grobe Standortdaten**: IP-basierter grober Standort auf Stadt-/Gemeindeebene
* **Nutzungskonto-Daten**: Benutzername/-kennung, E-Mail-Adresse, Name, Telefon
* **Interaktionsdaten**: Chat-Nachrichten, Formular-Eingaben, Engagements (E-Mail-Öffnungen, Link-Klicks)
* **Konversions-Ereignisse**: Formular-Abmeldung, Chat-Initiierung, Download, Angebot-Anfrage
* **Technische Telemetriedaten**: Fehlerquoten, Ladezeiten, Session-Informationen

## F. Nutzungszwecke beim Einsatz von HubSpot [#f-nutzungszwecke-beim-einsatz-von-hubspot]

HubSpot verarbeitet Daten mit folgenden Zwecken:

* **Funktionsbereitstellung**: Website-Analytics, Kontaktverwaltung, Chat-Support, E-Mail-Marketing
* **CRM und Kundenbeziehungsmanagement**: Zentraler Ort zur Verwaltung aller Kundeninteraktionen
* **Marketing Automation**: Automatisierte E-Mail-Kampagnen, Lead-Scoring, Personalisierung
* **Allgemeines Marketing**: Ausrichtung von E-Mail-Kampagnen, Erfolgsmessung, A/B-Testing
* **Nutzerprofil-Erstellung**: Erstellung von Kontaktprofilen, Segmentierung, Personalisierung
* **Nutzerindividuelles Marketing**: Personalisierte Website-Inhalte, dynamische Landing Pages
* **Kommunikation**: Support via Chat, E-Mail-Kampagnen, Lead-Nurturing
* **Allgemeine Produktverbesserung**: Optimierung der HubSpot-Plattform auf Basis von Nutzungsdaten

## G. Rechtsgrundlagen für HubSpot [#g-rechtsgrundlagen-fãr-hubspot]

**HubSpot ist ein großes Tool mit mehreren Funktionen und daher mehreren potentiellen Rechtsgrundlagen:**

**1. Website-Tracking (Analytics Code):**

* **Rechtsgrundlage:** Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG
* **Einwilligung erforderlich:** Ja, vor dem Laden des Tracking-Codes
* **Cookie-Banner nötig:** Ja, mit expliziter Opt-in-Option für HubSpot

**2. Formulare (Name, E-Mail-Adresse):**

* **Rechtsgrundlage:** Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung / Vertragsanbahnung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
* **Einwilligung erforderlich:** In der Regel nicht – der Nutzer willigt implizit durch Absenden des Formulars ein
* **Cookie-Banner:** Für die Speicherung in der CRM nicht erforderlich

**3. Chat-Widget:**

* **Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen, wenn es nur zur Funktionalität dient)
* **Einwilligung erforderlich:** Abhängig von Konfiguration – wenn Daten auch zu Marketing-Zwecken verwendet werden: Ja

**4. E-Mail-Marketing:**

* **Rechtsgrundlage:** Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) + § 7 Abs. 2 Nr. 1 UWG (Opt-In für E-Mail-Werbung)
* **Einwilligung erforderlich:** Ja, spezifische Einwilligung zum Empfang von Marketing-E-Mails
* **Double-Opt-In empfohlen:** Standard bei E-Mail-Marketing

**Pauschale Aussage:** Im Einzelfall sollte die Rechtsgrundlage mit einem Juristen geprüft werden, da sie von der genauen Konfiguration abhängt.

## H. Besonderheiten und Hinweise zu HubSpot [#h-besonderheiten-und-hinweise-zu-hubspot]

* **DPF-Zertifizierung:** HubSpot ist DPF-zertifiziert, was die Rechtskonformität von Datentransfers in die USA gewährleistet. Die Zertifizierung sollte regelmäßig überprüft werden.
* **EU-Rechenzentren:** HubSpot hat EU-Rechenzentren, aber auch US-Server. Der Betreiber kann in den HubSpot-Einstellungen EU-Datenspeicherung konfigurieren.
* **Auftragsverarbeiter:** HubSpot handelt als Auftragsverarbeiter (Art. 28 DSGVO) für Website-Integration. Ein DPA (Data Processing Agreement) ist unter [https://legal.hubspot.com/dpa](https://legal.hubspot.com/dpa) abrufbar und sollte unterzeichnet sein.
* **Standard Contractual Clauses (SCCs):** HubSpot nutzt SCCs für Datentransfers in die USA (zusätzlich zur DPF-Zertifizierung).
* **Subprozessoren:** HubSpot nutzt Subprozessoren (z. B. AWS für Hosting, Slack für Integrationen). Eine aktuelle Liste ist auf der HubSpot-Website verfügbar.
* **Datenschutzmitteilungen:** HubSpot stellt Datenschutzmitteilungen bereit, die in die Website integriert werden können. Diese sollten überprüft werden.
* **Betroffenenrechte:** Nutzer haben Rechte auf Auskunft, Berichtigung, Löschung und Widerspruch. HubSpot hat Tools zur Verarbeitung dieser Anfragen.
* **Marketing Compliance:** Bei E-Mail-Marketing müssen Gesetze wie UWG § 7 beachtet werden (Double-Opt-In, Abmeldung möglich).
* **Datenschutz-Kontakt:** Der Datenschutzbeauftragte von HubSpot ist über [https://legal.hubspot.com/](https://legal.hubspot.com/) erreichbar.

## I. FAQ zu HubSpot [#i-faq-zu-hubspot]

<Accordions type="single">
  <Accordion title="Was ist HubSpot?">
    HubSpot ist eine All-in-One-CRM- und Marketing-Automation-Plattform. Sie kombiniert Website-Analytics, Kontaktverwaltung, Chat-Support, E-Mail-Marketing und Sales-Tools in einem System.
  </Accordion>

  <Accordion title="Welche Daten erfasst HubSpot?">
    HubSpot erfasst Besucherdaten (Page-Views, Klicks, Scroll, Browser, IP), Kontaktdaten (Name, E-Mail, Telefon), Chat-Nachrichten, E-Mail-Öffnungen, Formular-Abmeldungen und CRM-Daten. Das Ausmaß hängt von der Konfiguration ab.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für HubSpot?">
    Abhängig von der Funktion:

    * Tracking: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
    * Formulare: Meist Vertragsanbahnung oder Einwilligung
    * E-Mail: Einwilligung + UWG § 7 Abs. 2
    * Chat: Einwilligung oder berechtigte Interessen (im Einzelfall zu prüfen)
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für HubSpot einholen?">
    Ja, mindestens für Website-Tracking und E-Mail-Marketing. Ein Cookie-Banner mit Opt-in für HubSpot sollte vorhanden sein. Bei Formularen ist die Situation differenzierter.
  </Accordion>

  <Accordion title="Brauche ich einen Auftragsverarbeitungsvertrag (DPA) mit HubSpot?">
    Ja, für Website-Integration. Ein DPA ist unter [https://legal.hubspot.com/dpa](https://legal.hubspot.com/dpa) erhältlich und sollte unterzeichnet sein. Dies ist eine Pflicht gemäß Art. 28 DSGVO.
  </Accordion>

  <Accordion title="Ist HubSpot DSGVO-konform?">
    HubSpot hat Datenschutzmechanismen und ist DPF-zertifiziert. Mit korrekter Konfiguration (Einwilligungen, EU-Rechenzentren, DPA) ist HubSpot DSGVO-konform. Eine regelmäßige Überprüfung wird empfohlen.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für HubSpot in die Datenschutzerklärung?">
    Verwenden Sie keinen toolspezifischen Textbaustein. Strukturieren Sie nach Verarbeitungszwecken, z. B. „Website-Analytics und CRM", „Marketing-Automation und E-Mail-Marketing". Nennen Sie HubSpot als Empfänger und erläutern Sie transparent, welche Daten erfasst und zu welchen Zwecken verarbeitet werden. Nutzen Sie unseren Datenschutzerklärung-Generator für eine maßgeschneiderte Erklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu HubSpot [#j-fazit-und-empfehlung-zu-hubspot]

**Zusammenfassung:** HubSpot ist ein umfangreiches CRM- und Marketing-Tool mit mehreren Datenschutz-Anforderungen je nach eingesetzten Funktionen. Mit korrekter Konfiguration und Dokumentation ist HubSpot DSGVO-konform.

**Warum Textbausteine problematisch sind:** Die Datenschutzerklärung sollte nicht einfach HubSpots Standard-Text kopieren. Dies widerspricht Art. 12 Abs. 1 DSGVO. Nutzer sollen verstehen, welche Daten für welche Zwecke verarbeitet werden – nicht durch technische Dokumentation verwirrt werden.

**Empfohlener Ansatz:** Eine themenorientierte Datenschutzerklärung mit klarer Struktur ist besser:

1. **Website-Analytics**: Erklären Sie, dass HubSpot Besucherdaten erfasst
2. **CRM und Marketing**: Erklären Sie, dass Kontaktdaten gespeichert und Marketing-automatisiert werden
3. **E-Mail-Marketing**: Spezifische Informationen zu E-Mail-Kampagnen und Opt-Out
4. **Empfänger-Anhang**: Nennen Sie HubSpot und weitere Empfänger

**Empfehlungen für Betreiber:**

* DPA unter [https://legal.hubspot.com/dpa](https://legal.hubspot.com/dpa) unterschreiben
* Cookie-Banner mit spezifischer Opt-in für HubSpot implementieren
* EU-Rechenzentren in HubSpot konfigurieren (falls möglich)
* Regelmäßig DPF-Zertifizierungsstatus überprüfen
* Betroffenenrechte-Anfragen dokumentieren

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu HubSpot und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Datenschutz Website – Übersicht (/docs/privacy-policy-website)



<AutoCards path="privacy-policy-website" />


# Inxmail Professional und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/inxmail-datenschutzerklaerung)



# Inxmail Professional und Datenschutz – Was Webseitenbetreiber wissen müssen [#inxmail-professional-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Inxmail Professional für Newsletter-Versand ein, integriert er Anmeldeformulare und Tracking-Pixel auf seiner Website und verarbeitet damit E-Mail-Adressen, Nutzerprofile und Interaktionsdaten zum Zweck des E-Mail-Marketings auf Basis ausdrücklicher Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 UWG. Inxmail fungiert dabei als Auftragsverarbeiter mit Datenspeicherung in Deutschland und ist ISO 27001 zertifiziert. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von Inxmail Professional [#a-zweck-und-funktionsweise-von-inxmail-professional]

Inxmail ist eine **E-Mail-Marketing-Software** – eine cloudbasierte Plattform zur Verwaltung von Kontaktlisten, zum Versand von Newslettern und zur Analyse von E-Mail-Kampagnen-Performance. Die Plattform wird von Betreibern eingesetzt, um Newsletter-Abonnenten zu pflegen und regelmäßig mit Inhalten zu versorgen.

**Integrationsfunktion:** Der Betreiber integriert typischerweise:

1. **Newsletter-Anmeldeformular**: HTML-Formular auf der Website zur Erfassung von E-Mail-Adresse und optionalen Daten (Name, Segmentierung)
2. **Tracking-Pixel**: Invisibles 1x1 Pixel-Bild, das in E-Mails eingebettet wird und Open-Rates und Click-Through-Rates erfasst
3. **Link-Tracking**: URL-Umschreibung in E-Mails zur Erfassung von Klicks auf Links
4. **Double-Opt-In-Bestätigung** (empfohlen): Versand einer Bestätigungs-E-Mail, auf die Nutzer klicken müssen

Diese Komponenten ermöglichen das DSGVO- und UWG-konforme Einsammeln und Verwaltung von Newsletter-Abonnements.

## B. Pflichtangaben in der Datenschutzerklärung zu Inxmail [#b-pflichtangaben-in-der-datenschutzerklärung-zu-inxmail]

Nach DSGVO und UWG muss der Betreiber folgende Informationen zu Inxmail offenlegen:

* **Zweck** (Art. 13 Abs. 1 lit. c): Newsletter-Versand, Tracking von E-Mail-Interaktionen, Kontaktverwaltung
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. a + d): Ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a), berechtigte Interessen für Einwilligungsnachweise (Art. 6 Abs. 1 lit. f)
* **Empfänger** (Art. 13 Abs. 1 lit. e): Inxmail GmbH als Auftragsverarbeiter
* **Drittlandtransfer** (Art. 13 Abs. 1 lit. f): Keine; Datenspeicherung ausschließlich in Deutschland (EWR)
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Solange aktives Newsletter-Abonnement besteht; nach Abmeldung Löschung

**Hinweis:** Toolspezifische Textbausteine sind problematisch. Besser: Themenorientierter Aufbau (Kapitel "Newsletter und E-Mail-Marketing") mit klarer Darstellung: Einwilligung erforderlich, Datenempfänger, Speicherort, Abmeldung.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Inxmail: Inxmail GmbH [#c-anbieter-von-inxmail-inxmail-gmbh]

* **Juristischer Name:** Inxmail GmbH
* **Sitz:** Wentzingerstraße 17, 79106 Freiburg im Breisgau, Deutschland
* **Sitzland:** Deutschland (Europäischer Wirtschaftsraum)
* **Privacy Policy:** [https://www.inxmail.de/datenschutz](https://www.inxmail.de/datenschutz)
* **DPF-Status:** Nicht erforderlich (Sitz im EWR)
* **AVV/DPA:** Verfügbar; ISO 27001 zertifiziert (TÜV Rheinland Standard ISO/IEC 27001:2022)
* **Zertifizierungen:** ISO 27001, ePrivacy-Siegel
* **Datenspeicherung:** Ausschließlich auf deutschen/EU-Servern (kein Drittlandtransfer zu USA)

## D. Datenverarbeitung durch Inxmail – Ablauf [#d-datenverarbeitung-durch-inxmail--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Nutzer trägt seine E-Mail-Adresse und ggf. Namen/Vorname und Segmentierungskriteria in das Anmeldeformular ein. Das Formular kann direkt auf der Website des Betreibers platziert sein oder zu Inxmail-Hosted-Formularen verlinken. Beim E-Mail-Versand: Inxmail erfasst Open-Events (Pixel-Abruf) und Click-Events (URL-Klicks).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Inxmail speichert die E-Mail-Adresse, Namen, Segmentierungsdaten, Abonnement-Status und alle Interaktionsereignisse (Opens, Clicks) in seinen deutschen Rechenzentren. Nach Angaben des Anbieters: Datenspeicherung ausschließlich in Deutschland / EU, keine Übermittlung in Drittländer.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Inxmail nutzt die Daten zu: Newsletter-Versand, Berechnung von Open- und Click-Raten, Segmentierung für zielgerichtete Kampagnen, Verbesserung von Zustellungsraten, Betrugserkennung (Spam).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Subprozessoren: Nach Angaben des Anbieters minimale Nutzung von Subprozessoren (hauptsächlich Cloud-Infrastruktur in Deutschland/EU). Kein Drittlandtransfer. Exakte Subprozessor-Liste im DPA erhältlich.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Abmeldung vom Newsletter: E-Mail-Adresse und Interaktionsdaten werden unverzüglich gelöscht. Abmeldung via Unsubscribe-Link in jeder E-Mail (DSGVO Art. 7, UWG § 7 Abs. 3).
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Inxmail [#e-erhobene-daten-beim-einsatz-von-inxmail]

Inxmail erfasst verschiedene Kategorien von Nutzerdaten für Newsletter-Marketing:

* **Nutzungskonto-Daten**: E-Mail-Adresse, Vorname, Nachname (falls erfasst), Anmeldedatum, Abmeldedatum
* **Segmentierungsdaten**: Kundentyp, Branche, Region, Interessen-Kategorien (vom Betreiber definiert)
* **Interaktionsdaten**: E-Mail-Opens (Zeitstempel), Link-Klicks (welcher Link, wann), Download-Events, Conversion-Ereignisse
* **Geräteinformationen**: Bei E-Mail-Opens: Gerätetyp (Desktop/Mobil), E-Mail-Client (Outlook, Gmail, Apple Mail etc.), Betriebssystem
* **Verhalten-Daten**: Klickpfad in der E-Mail (welche Links in welcher Reihenfolge), Verweilzeiten pro Link
* **IP-Adressen**: IP-Adresse bei E-Mail-Open (kann für Standort-Analyse genutzt werden; optional anonymisierbar)
* **Einwilligungsdaten**: Double-Opt-In-Status, Einwilligungsdatum, Abmeldungsdatum, Abmeldungsgrund (falls erfasst)

## F. Nutzungszwecke beim Einsatz von Inxmail [#f-nutzungszwecke-beim-einsatz-von-inxmail]

Die Daten werden für folgende Zwecke verarbeitet:

* **Funktionsbereitstellung**: Versand von Newslettern an Abonnenten
* **Allgemeine Produktverbesserung**: Optimierung von Betreff-Zeilen, Versand-Zeiten, Layout basierend auf aggregierten Open/Click-Raten
* **Allgemeines Marketing**: Reichweitenanalyse, Performance-Reporting von Kampagnen
* **Nutzerindividuelle Produktverbesserung**: Personalisierte Kampagnen basierend auf Segment und Klickverhalten
* **Nutzerprofil-Erstellung**: Segmentierung basierend auf Öffnungs- und Klickverhalten für zielgerichtete Versände
* **Sicherheit und Missbrauchsschutz**: Spam- und Bouncing-Detektion, Betrugserkennung
* **Kommunikation**: Newsletter-Versand selbst, Transaktions-E-Mails (Willkommens-E-Mail, Abmeldungsbestätigung)
* **Compliance**: Dokumentation von Einwilligungen und Abmeldungen für Rechtskonformität

## G. Rechtsgrundlagen für Inxmail [#g-rechtsgrundlagen-für-inxmail]

**Schritt 1 – Kategorisierung:** Inxmail ist eine **E-Mail-Marketing-Plattform** für direkte Nutzer-Kommunikation.

**Schritt 2 – Rechtsgrundlagen:**

* **Für Newsletter-Versand**: Ausdrückliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 7 Abs. 2 UWG (Gebot der ausdrücklichen Einwilligung vor Versand). **Double-Opt-In wird empfohlen**, ist aber nicht zwingend erforderlich (Single-Opt-In ist rechtlich ausreichend).
* **Für Einwilligungsnachweise**: Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO (Betreiber muss Einwilligungen dokumentieren können)
* **Für Tracking von Opens/Clicks**: Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO (Verbesserung von Kampagnen-Performance)

**Hinweis:** § 25 Abs. 1 TDDDG (Cookies in E-Mails) ist nicht anwendbar, da E-Mails keine Cookies als Browser-Cookies enthalten. Allerdings: Tracking-Pixel und URL-Rewriting sind datenschutzrelevant und sollten in Einwilligung und Datenschutzerklärung erwähnt sein.

## H. Besonderheiten und Hinweise zu Inxmail [#h-besonderheiten-und-hinweise-zu-inxmail]

* **Auftragsverarbeitungsverhältnis erforderlich:** Der Betreiber MUSS einen DPA mit Inxmail abschließen. Inxmail stellt DPA-Vorlagen bereit.
* **Datenspeicherung in Deutschland:** Großer Compliance-Vorteil – Inxmail speichert ausschließlich in Deutschland/EU, keine Drittlandtransfers zu USA.
* **Opt-Out-Funktion mandatory:** Jede Newsletter-E-Mail muss einen funktionierenden Abmeldelink enthalten (DSGVO Art. 7 Abs. 3, UWG § 7 Abs. 3). Inxmail bietet automatische Unsubscribe-Links.
* **Double-Opt-In empfohlen:** Obwohl nicht zwingend, ist Double-Opt-In best practice und reduziert Missbrauchsrisiken. Inxmail unterstützt Double-Opt-In-Workflows.
* **Tracking-Pixel Dokumentation:** Der Einsatz von Tracking-Pixeln (Open-Tracking) sollte explizit in der Datenschutzerklärung erwähnt werden.
* **Segmentierungsdaten:** Falls Nutzer segmentiert werden (z.B. nach Kundentyp), müssen die Segmentierungskriterien dokumentiert sein.
* **ISO 27001 Zertifizierung:** Inxmail ist ISO 27001 zertifiziert, was Sicherheitsstandards nachweist.
* **Rechenschaftspflicht:** Betreiber sollte dokumentieren, dass ein DPA vorliegt und dass Einwilligungen korrekt eingeholt wurden.

## I. FAQ zu Inxmail [#i-faq-zu-inxmail]

<Accordions type="single">
  <Accordion title="Was ist Inxmail Professional?">
    Inxmail Professional ist eine E-Mail-Marketing-Plattform für Newsletter-Verwaltung, Versand und Performance-Tracking. Sie wird von Betreibern eingesetzt, um Newsletter-Abonnenten zu verwalten und regelmäßig mit Inhalten zu versorgen. Inxmail sitzt in Deutschland (Freiburg) und speichert alle Daten deutschlandweit.
  </Accordion>

  <Accordion title="Welche Daten erfasst Inxmail?">
    Inxmail erfasst: E-Mail-Adresse, Name (falls angegeben), Segmentierungsdaten (Kundentyp, Region etc.), Opens (Zeitstempel), Click-Events (welcher Link, wann), geöffnetes Gerät/E-Mail-Client, IP-Adresse bei Open (optional anonymisierbar).
  </Accordion>

  <Accordion title="Ist Inxmail DSGVO-konform?">
    Ja, nach Angaben des Anbieters – unter folgenden Bedingungen: (1) DPA mit Inxmail abgeschlossen, (2) Einwilligung vor Versand erhoben (Art. 6 Abs. 1 lit. a DSGVO + § 7 UWG), (3) Abmeldelink in jeder E-Mail, (4) Datenspeicherung bleibt in Deutschland/EU.
  </Accordion>

  <Accordion title="Muss ich für Inxmail eine Einwilligung von Nutzern einholen?">
    JA – ausdrücklich. Nach DSGVO Art. 6 Abs. 1 lit. a und UWG § 7 Abs. 2 benötigt der Betreiber ausdrückliche Einwilligung VOR dem Newsletter-Versand. Double-Opt-In wird empfohlen ist aber nicht zwingend erforderlich.
  </Accordion>

  <Accordion title="Was ist der Unterschied zwischen Single-Opt-In und Double-Opt-In?">
    **Single-Opt-In**: Nutzer trägt E-Mail ein, Newsletter-Versand beginnt sofort. Rechtlich ausreichend, aber höheres Missbrauchsrisiko.
    **Double-Opt-In**: Nutzer trägt E-Mail ein, erhält Bestätigungs-E-Mail mit Link, muss Link klicken. Erst dann Versand. Best Practice, empfohlen von Datenschutzexperten.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Inxmail in die Datenschutzerklärung?">
    Empfehlung: Kapitel "Newsletter und E-Mail-Marketing" mit klaren Angaben:

    * Zweck: Newsletter-Versand, Performance-Tracking
    * Rechtsgrundlage: Ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 7 Abs. 2 UWG)
    * Empfänger: Inxmail GmbH (Auftragsverarbeiter)
    * Speicherort: Deutschland (kein Drittlandtransfer)
    * Abmeldung: Via Unsubscribe-Link in jeder E-Mail
      Nutzen Sie unseren Privacy Policy Generator für konsistente, rechtssichere Formulierungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Inxmail [#j-fazit-und-empfehlung-zu-inxmail]

**Zusammenfassung:** Inxmail ist eine datenschutzfreundliche E-Mail-Marketing-Lösung mit Speicherung in Deutschland und ohne Drittlandtransfer zu den USA. Der Hauptkompliance-Punkt ist die **Einwilligung**: Sie muss ausdrücklich vorliegen, vor dem Newsletter-Versand eingeholt sein und dokumentiert werden.

**Häufiger Fehler:** Betreiber nutzen Inxmail, ohne explizit Einwilligung zu dokumentieren oder ohne einen DPA abzuschließen. Das führt zu DSGVO-Verstößen. Besser: **Einwilligungsverwaltung ernst nehmen**, Double-Opt-In erwägen, regelmäßig dokumentieren.

**Best Practice:**

1. Einwilligungsformular mit klarer Information ("Ich akzeptiere Newsletter")
2. Double-Opt-In-Mail versenden und Bestätigung einholen
3. DPA mit Inxmail abschließen und pflegen
4. Abmeldelink in jeder E-Mail (ist Inxmail-Standard)
5. In Datenschutzerklärung transparent über Newsletter berichten

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Inxmail und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# LinkedIn Insight Tag und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/linkedin-insight-tag-datenschutzerklaerung)



# LinkedIn Insight Tag und Datenschutz – Was Webseitenbetreiber wissen müssen [#linkedin-insight-tag-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber das LinkedIn Insight Tag (ehemals LinkedIn Pixel) zur Conversion-Messung und B2B-Audience-Erstellung ein, verarbeitet er zusammen mit LinkedIn Ireland Unlimited Company als **gemeinsame Verantwortliche** (Joint Controller) personenbezogene Daten wie Besucherdaten, Conversion-Ereignisse und berufliche Profilinformationen auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Wie Meta Pixel ist auch LinkedIn Insight Tag eine Joint-Controller-Konstellation, nicht eine reine Auftragsverarbeiter-Beziehung. Dies unterscheidet sich grundlegend von Analytics-Tools wie Google Analytics und hat erhebliche rechtliche Implikationen für die Datenschutzerklärung. Die vorliegende Anleitung erklärt diese Besonderheit und die Anforderungen an die Datenschutzkonformität. Stand: 2026-04-22.

## A. Zweck und Funktionsweise von LinkedIn Insight Tag [#a-zweck-und-funktionsweise-von-linkedin-insight-tag]

Das LinkedIn Insight Tag ist ein Tracking-Code-Snippet, das Webseitenbetreiber (typischerweise B2B-Unternehmen, SaaS-Anbieter, Dienstleister) in ihre Website einbetten. Es erfasst Besucherdaten und Conversion-Ereignisse und sendet diese an LinkedIn zum Zweck der Kampagnen-Messung und Audience-Erstellung.

**Zentrale Funktionen:**

**1. Conversion-Tracking für LinkedIn Ads:**
Das Insight Tag registriert, wann Website-Besucher bestimmte Zielaktionen durchführen (z.B. Lead-Form-Ausfüllung, Demo-Anfrage, Download von Case Studies, Produktkauf). Diese Conversion-Daten ermöglichen dem Webseitenbetreiber, die Effektivität von LinkedIn-Werbekampagnen zu messen.

**2. Website-Audience-Erstellung (Matched Audiences):**
Das Tag sendet eine Liste von Website-Besuchern an LinkedIn. LinkedIn erstellt daraus Zielgruppen, basierend auf den besucht Seiten und erfassten Interaktionen. Der Webseitenbetreiber kann diese Zielgruppen für LinkedIn-Anzeigen-Kampagnen nutzen.

**3. Page-Analytics (LinkedIn Page Insights):**
Für Unternehmens-Seiten auf LinkedIn bietet das Tag demografische Insights (Branche, Jobfunktion, Senioritätsstufe der Besucher), zeitliche Muster (wann Besucher die Website aufrufen), und Engagement-Metriken.

**Die Besonderheit: Joint Controller**
LinkedIn und der Webseitenbetreiber sind gemeinsame Verantwortliche für die Datenerhebung und Übermittlung. Dies wird durch das LinkedIn Pages Joint Controller Addendum geregelt und entspricht der DSGVO Art. 26.

## B. Pflichtangaben in der Datenschutzerklärung zu LinkedIn Insight Tag [#b-pflichtangaben-in-der-datenschutzerklärung-zu-linkedin-insight-tag]

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von LinkedIn Insight Tag folgende Angaben machen:

* **Identität und Kontaktdaten der Verantwortlichen** (Art. 13 Abs. 1 lit. a) – hier: Webseitenbetreiber UND LinkedIn Ireland Unlimited Company
* **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* **Rechtsgrundlage(n)** (Art. 13 Abs. 1 lit. d)
* **Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e)
* **Speicherdauer** oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
* **Verteilung der Verantwortlichkeiten zwischen Joint Controllers** (Art. 26 DSGVO)

Ein wesentliches Problem: Viele Datenschutzerklärungen enthalten isolierte LinkedIn-Absätze, ohne die Joint-Controller-Struktur klar zu machen. Dies ist unzureichend. Art. 26 Abs. 3 DSGVO verlangt, dass Verantwortliche Informationen über die Verteilung von Verantwortlichkeiten bereitstellen.

**Besserer Ansatz:** Ein eigenständiges Kapitel zu den Datenempfängern, in dem LinkedIn als Joint Controller und nicht als Auftragsverarbeiter ausgewiesen ist, mit Verlinkung des LinkedIn Pages Joint Controller Addendum.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von LinkedIn Insight Tag: LinkedIn Ireland Unlimited Company [#c-anbieter-von-linkedin-insight-tag-linkedin-ireland-unlimited-company]

**Juridische Basis:**

* **Vollständiger Name:** LinkedIn Ireland Unlimited Company
* **Anschrift:** Wilton Place, Dublin 2, D02 AF30, Irland
* **Sitzland:** Irland (Europäischer Wirtschaftsraum)
* **Mutterkonzern:** LinkedIn Corporation (Microsoft/USA) – allerdings ist für LinkedIn-Dienste in der EU LinkedIn Ireland die Vertragspartei
* **Rolle:** Joint Controller (gemeinsamer Verantwortlicher) zusammen mit dem Webseitenbetreiber

**LinkedIn Pages Joint Controller Addendum:**
LinkedIn hat ein offizielles Joint Controller Addendum für die Nutzung von LinkedIn Insight Tag auf Unternehmens-Websites. Das Addendum beschreibt die Verteilung von Verantwortlichkeiten zwischen LinkedIn und dem Webseitenbetreiber:

* Der Webseitenbetreiber ist Verantwortlicher für die Entscheidung, das Tag einzusetzen, und für die Definition von Conversion-Ereignissen
* LinkedIn ist Verantwortlicher für die nachfolgende Verarbeitung und Nutzung der Daten in Linkedins Infrastruktur zu Linkedins eigenen Zwecken

Linkspezifische URL vom Betreiber zu verifizieren (typischerweise über LinkedIn Legal oder das LinkedIn Kampagnen-Manager-Dashboard abrufbar).

**Data Privacy Framework (DPF):**
LinkedIn Corporation ist nicht explizit als DPF-zertifiziert bekannt. Dies ist vom Betreiber zu überprüfen. Eine DSFA (Datenschutz-Folgenabschätzung) wird empfohlen, insbesondere für Datenübermittlungen in die USA.

**Datenschutzerklärung:**
[https://www.linkedin.com/legal/privacy-policy](https://www.linkedin.com/legal/privacy-policy)

**AVV/DPA:**
LinkedIn stellt keinen klassischen Auftragsverarbeitungsvertrag bereit. Stattdessen gelten das Pages Joint Controller Addendum und Linkedins Datenschutzerklärung. Der Webseitenbetreiber sollte direkt mit LinkedIn klären, ob eine DPA verfügbar ist.

## D. Datenverarbeitung durch LinkedIn Insight Tag – Ablauf [#d-datenverarbeitung-durch-linkedin-insight-tag--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der LinkedIn-Insight-Tag-Code wird in die Website eingebettet. Sobald ein Nutzer die Website aufruft, wird das Tag ausgelöst und erfasst Nutzerdaten wie IP-Adresse, User-Agent (Browser, Betriebssystem, Gerätetyp), LinkedIn-Cookie (falls vorhanden), besuchte Seiten, Referrer, Conversion-Ereignisse (z.B. Form-Einreichung, Demo-Anfrage), und zeitliche Metadaten.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Daten werden in Linkedins Infrastruktur gespeichert. LinkedIn speichert diese Daten in Rechenzentren, die sich typischerweise in den USA oder EU befinden (je nach Nutzerherkunft und Konfiguration). Die Speicherdauer variiert: aktuelle Campagnen-Daten werden kurzzeitig (Tage bis Wochen) gespeichert, während Audience-Daten längerfristig (Monate bis Jahre) für Remarketing-Zwecke beibehalten werden.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    LinkedIn nutzt Insight-Tag-Daten zu mehreren Zwecken: (1) Bereitstellung von Conversion-Reports für den Webseitenbetreiber, (2) Erstellung und Verwaltung von Matched Audiences (Website-Besucher-Zielgruppen), (3) Profil-Anreicherung von LinkedIn-Nutzern mit Website-Besuch-Daten, (4) Algorithmen-Training für bessere Ads-Targeting, (5) interne Geschäftszwecke bei LinkedIn (z.B. Produktoptimierung, Betrugserkennung).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    LinkedIn kann Daten an seine eigenen Plattformen (LinkedIn.com, LinkedIn Learning, LinkedIn Sales Navigator) weitergeben. In begrenztem Umfang können Marketing-Partner von LinkedIn (z.B. Agentur-Partner) auf anonymisierte Berichte zugreifen. Eine Weitergabe an Dritte findet nicht statt.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber kann das Insight Tag deaktivieren oder sein LinkedIn Ads-Konto löschen. LinkedIn führt automatische Deletions-Routinen durch, die je nach Datentyp variieren. Matched Audiences werden typischerweise nach 90 Tagen Inaktivität gelöscht, während längerfristige Datenhistorien länger verbleiben können. Die exakte Löschdauer ist vom Betreiber zu verifizieren.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von LinkedIn Insight Tag [#e-erhobene-daten-beim-einsatz-von-linkedin-insight-tag]

Das LinkedIn Insight Tag erfasst Website-Daten und berufliche Kontext-Informationen:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, HTTP-Header, Request-Timestamp, User-Agent (Browser, Betriebssystem, Gerätetyp), geografische Lokalisierung (auf IP-Basis)
* **Klickpfade:** Besuchte Website-Seiten, Referrer-URLs, angeklickte Elemente, Scroll-Verhalten, Verweilzeiten auf einzelnen Seiten
* **Endgeräte-Daten:** Gerätetyp (Desktop, Tablet, Mobile), Bildschirmauflösung, Betriebssystem-Version, Netzwerk-Typ (WiFi, Mobilfunk)
* **Browserinformationen:** Browsername, Browserversion, Third-Party-Cookies, LinkedIn-spezifische Tracking-IDs (z.B. li\_sugar)
* **Conversion-Ereignisse:** Lead-Form-Ausfüllung, Demo-Anfrage, Download (von Whitepapers, Case Studies, etc.), Account-Erstellung, Produktkauf mit Metadaten (Produktkategorie, Wert, etc.)
* **Profil-Daten:** (Bei LinkedIn-angemeldeten Nutzern) Unternehmensbranche, Jobfunktion, Senioritätsstufe, Unternehmensgröße, geografischer Standort – dies wird von LinkedIn aus dem LinkedIn-Profil des Nutzers abgeleitet und mit Website-Besuch-Daten verbunden
* **Technische Telemetriedaten:** Fehlermeldungen, Ladezeiten, Datenvolumen, Netzwerk-Metriken

## F. Nutzungszwecke beim Einsatz von LinkedIn Insight Tag [#f-nutzungszwecke-beim-einsatz-von-linkedin-insight-tag]

LinkedIn gibt an, dass Insight-Tag-Daten zu folgenden Zwecken verarbeitet werden:

* **Conversion-Tracking und Kampagnen-Messung:** Verfolgung, ob Website-Besucher als Folge einer LinkedIn-Anzeige eine gewünschte Aktion durchführen
* **Audience-Erstellung (Matched Audiences):** Segmentierung von Website-Besuchern zur gezielten Ansprache in LinkedIn-Kampagnen
* **Page Insights:** Bereitstellung von demografischen und zeitlichen Insights zu Website-Besuchern für den Webseitenbetreiber
* **Profil-Anreicherung:** Verknüpfung von Website-Besuchs-Daten mit existierenden LinkedIn-Profilen zur Profilverbesserung
* **Algorithmen-Optimierung:** Training von Möglichkeits-Modellen für besseres Ads-Targeting und Empfehlungs-Systeme
* **Sicherheit und Missbrauchserkennung:** Identifikation betrügerischer oder verdächtiger Aktivitäten
* **Interne Geschäftszwecke:** Mögliche Nutzung für Produktentwicklung, Marktforschung, und Verbesserung von Linkedins Services

## G. Rechtsgrundlagen für LinkedIn Insight Tag [#g-rechtsgrundlagen-für-linkedin-insight-tag]

**Kernrechtsgrundlage: Einwilligung**
Das LinkedIn Insight Tag basiert primär auf **Einwilligung** gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die Einwilligung ist für das Setzen von Cookies und das Tracking erforderlich.

**Besonderheit: Joint Controller Status**
Wie Meta Pixel ist auch LinkedIn Insight Tag eine Joint-Controller-Konstellation nach Art. 26 DSGVO:

* Der Webseitenbetreiber trifft die Entscheidung, das Tag einzusetzen, und definiert Conversion-Ereignisse
* LinkedIn trifft Entscheidungen über die weitere Verarbeitung der Daten in Linkedins Infrastruktur
* Beide sind gemeinsam Verantwortliche für die Datenerhebung und Übermittlung

Das LinkedIn Pages Joint Controller Addendum regelt die Verteilung der Verantwortlichkeiten im Detail.

**DPF-Status prüfen**
LinkedIn Corporation ist nicht explizit auf der DPF-Teilnehmerliste bekannt. Falls DPF nicht verfügbar ist, muss die Datenübermittlung in die USA auf Basis von Standard Contractual Clauses (SCCs) oder einer entsprechenden DSFA erfolgen.

## H. Besonderheiten und Hinweise zu LinkedIn Insight Tag [#h-besonderheiten-und-hinweise-zu-linkedin-insight-tag]

**1. Joint Controller ist nicht verhandelbar**
Der Webseitenbetreiber und LinkedIn sind aufgrund der Natur des Tags automatisch Joint Controller, unabhängig davon, ob ein formales Addendum unterzeichnet wird. Dies ist eine Realität der DSGVO, nicht eine Verhandlungsfrage.

**2. LinkedIn Pages Joint Controller Addendum**
LinkedIn bietet ein Addendum speziell für die gemeinsame Verantwortlichkeit. Dieses sollte in der Datenschutzerklärung verlinkt oder zumindest erwähnt werden. Der genaue Link ist vom Betreiber zu ermitteln (typischerweise über das LinkedIn Kampagnen-Manager-Dashboard oder LinkedIn Legal).

**3. Matched Audiences vs. Page Insights**

* **Matched Audiences:** Website-Besucher werden als Zielgruppe für LinkedIn Ads verwendet. Dies erfordert explizite Einwilligung
* **Page Insights:** Aggregierte, anonyme Demografien von Website-Besuchern (z.B. „40% der Besucher sind in der IT-Branche tätig"). Dies ist weniger datenschutzintensiv, erfordert aber auch Einwilligung für das Tag selbst

**4. DPF-Zertifizierung und Datentransfers**
LinkedIn Corporation ist nicht explizit DPF-zertifiziert. Dies bedeutet, dass Datenübermittlungen in die USA auf Standard Contractual Clauses oder andere Mechanismen gestützt sein müssen. Eine DSFA ist empfohlen.

**5. Opt-Out-Möglichkeiten**
LinkedIn bietet Nutzern die Möglichkeit, ihre Einwilligungen in den Account-Einstellungen zu verwalten:

* LinkedIn.com > Einstellungen > Datenschutz
* Nutzer können individuelle Targeting-Präferenzen einstellen

**6. B2B-Spezifika**
LinkedIn Insight Tag ist primär ein B2B-Tool. Die Daten sind oft berufsbezogen und beziehen sich auf berufliche Interessen und Jobfunktionen, nicht auf persönliche Präferenzen. Dies kann datenschutzrechtlich vorteilhaft sein (weniger invasiv als B2C-Tracking), ändert aber nichts an der Einwilligungspflicht.

## I. FAQ zu LinkedIn Insight Tag [#i-faq-zu-linkedin-insight-tag]

<Accordions type="single">
  <Accordion title="Was ist das LinkedIn Insight Tag?">
    Das LinkedIn Insight Tag (ehemals LinkedIn Pixel) ist ein Tracking-Code-Snippet, das B2B-Webseitenbetreiber einbetten. Es erfasst Website-Besucherdaten und Conversion-Ereignisse und sendet diese an LinkedIn für Conversion-Tracking und Audience-Erstellung in LinkedIn-Ads-Kampagnen.
  </Accordion>

  <Accordion title="Ist LinkedIn Insight Tag ein Auftragsverarbeiter oder Joint Controller?">
    LinkedIn Insight Tag führt zu einer Joint-Controller-Beziehung (gemeinsame Verantwortlichkeit). Der Webseitenbetreiber und LinkedIn Ireland Unlimited Company sind beide Verantwortliche. Dies ist geregelt im LinkedIn Pages Joint Controller Addendum und entspricht DSGVO Art. 26. Es ist NICHT eine klassische Auftragsverarbeiter-Beziehung.
  </Accordion>

  <Accordion title="Welche Daten erfasst das LinkedIn Insight Tag?">
    Das Tag erfasst Klickpfade, Geräte-Informationen, Browser-Daten, Conversion-Ereignisse (Lead-Anfragen, Downloads, Käufe), und bei LinkedIn-angemeldeten Nutzern auch berufliche Profildaten (Branche, Jobfunktion, Senioritätsstufe). Diese werden zur Conversion-Messung und Audience-Erstellung an LinkedIn übermittelt.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für das LinkedIn Insight Tag?">
    Die Rechtsgrundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Der Nutzer muss explizit einwilligen, dass das Tag sein Verhalten trackt und die Daten an LinkedIn gesendet werden.
  </Accordion>

  <Accordion title="Muss ich die Joint-Controller-Beziehung in der Datenschutzerklärung erwähnen?">
    Ja, definitiv. Art. 26 Abs. 3 DSGVO verlangt, dass Verantwortliche Informationen über die Verteilung der Verantwortlichkeiten geben. Die Datenschutzerklärung muss klar machen, dass Webseitenbetreiber und LinkedIn gemeinsame Verantwortliche sind. Ein isolierter LinkedIn-Absatz wird diesem Anspruch nicht gerecht.
  </Accordion>

  <Accordion title="Ist das LinkedIn Insight Tag DPF-zertifiziert?">
    LinkedIn Corporation ist nicht explizit auf der DPF-Teilnehmerliste verzeichnet. Dies bedeutet, dass Datenübermittlungen auf Basis anderer Mechanismen (SCCs, DSFA) erfolgen müssen. Dies ist vom Webseitenbetreiber zu überprüfen und ggf. mit LinkedIn zu klären.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für LinkedIn Insight Tag in die Datenschutzerklärung?">
    Statt eines isolierten Absatzes wird ein integrierter Ansatz empfohlen: Ein Kapitel zu den Datenempfängern, in dem LinkedIn als Joint Controller ausgewiesen ist, das Pages Joint Controller Addendum verlinkt ist, und die Zwecke (Conversion-Tracking, Audience-Erstellung) erklärt werden. Eine Tabelle mit Linkedins Kontaktdaten, Sitz, Rolle und Links ist ebenfalls sinnvoll.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu LinkedIn Insight Tag [#j-fazit-und-empfehlung-zu-linkedin-insight-tag]

Das LinkedIn Insight Tag ist ein spezialisiertes B2B-Tracking-Tool, das insbesondere für SaaS-Anbieter, Consulting-Agenturen und B2B-Dienstleister relevant ist. Seine zentrale Besonderheit ist die Joint-Controller-Struktur: Der Webseitenbetreiber und LinkedIn sind nicht in einer klassischen Auftragsverarbeiter-Beziehung, sondern teilen sich die Verantwortlichkeit für die Datenerhebung und Übermittlung.

Eine präzise Darstellung dieser Struktur in der Datenschutzerklärung ist nicht optional. Art. 26 Abs. 3 DSGVO verlangt explizite Informationen über die Verteilung der Verantwortlichkeiten. Ein isolierter LinkedIn-Absatz ist unzureichend.

**Empfehlung:** Ein eigenständiges Kapitel zu den Datenempfängern mit klarer Klassifikation Linkedins als Joint Controller, Verlinkung des Pages Joint Controller Addendum, und Erklärung der Zwecke und Rechtsgrundlagen ist praktikabler und rechtskonformer. Ein themenorientierter Aufbau reduziert Komplexität und fördert Transparenz.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu LinkedIn Insight Tag und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben beruhen auf Herstellerangaben (LinkedIn), öffentlich zugänglichen Quellen und der DSGVO. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Matomo Analytics und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/matomo-datenschutzerklaerung)



# Matomo Analytics und Datenschutz – Was Webseitenbetreiber wissen müssen [#matomo-analytics-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Matomo ein – ob Self-hosted oder Cloud – verarbeitet er Website-Besuchsdaten zur Analyse und Optimierung. Die Datenschutz-Anforderungen unterscheiden sich deutlich: Bei **Self-hosted** Matomo ist der Betreiber selbst Verantwortlicher ohne Drittlandtransfer (falls Server in Deutschland/EU sitzt); bei **Matomo Cloud** ist InnoCraft Ltd (Wellington, Neuseeland) der Auftragsverarbeiter mit potenziellem Drittlandtransfer nach Neuseeland. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von Matomo Analytics [#a-zweck-und-funktionsweise-von-matomo-analytics]

Matomo ist eine **Open-Source-Web-Analytics-Plattform** (ehemals Piwik) – eine Lösung zur Erfassung und Analyse von Website-Besuchsdaten. Sie wird von Betreibern eingesetzt, um Nutzer-Verhalten zu verstehen, Conversion-Raten zu messen und Website-Performance zu optimieren.

**Integrationsfunktion:** Der Betreiber bindet einen JavaScript-Tracking-Code in seine Website ein. Dieser Code erfasst beim Besuch ähnlich wie Google Analytics oder etracker:

* Besuchte Seiten (URLs)
* Verweildauer, Klicks, Scroll-Tiefe
* Conversion-Ereignisse (Kauf, Anfrage, Registrierung)
* Gerät-, Browser-, Standortinformationen

**Besonderheit: Matomo ist die einzige Google Analytics-Alternative, die es als Open-Source gibt – und damit in zwei Varianten betrieben werden kann:**

1. **Matomo Self-Hosted**: Betreiber installiert Matomo auf eigenem Server (z.B. in eigenem Rechenzentrum oder gemieteter Infrastruktur). **Betreiber ist Verantwortlicher** – nur sein eigener Server, keine Drittlandtransfers (falls Server in Deutschland/EU).

2. **Matomo Cloud**: Betreiber nutzt Matomo-Hosting von InnoCraft Ltd. **InnoCraft ist Auftragsverarbeiter**, Server sind in EU (Deutschland, Frankreich) – aber Mutterunternehmen sitzt in Neuseeland.

## B. Pflichtangaben in der Datenschutzerklärung zu Matomo [#b-pflichtangaben-in-der-datenschutzerklärung-zu-matomo]

Nach DSGVO muss der Betreiber je nach Variante unterschiedliche Informationen offenlegen:

**Allgemein (beide Varianten):**

* **Zweck** (Art. 13 Abs. 1 lit. c): Website-Analyse, Besuchermessung, Conversion-Tracking, Optimierung
* **Empfänger** (Art. 13 Abs. 1 lit. e):
  * Self-Hosted: Nur der Betreiber (Verantwortlicher)
  * Cloud: InnoCraft Ltd als Auftragsverarbeiter
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Konfigurierbar (typisch: 3-36 Monate)
* **Opt-Out** (wichtig): Matomo Opt-Out URL

**Spezifisch Self-Hosted:**

* **Rechtsgrundlage**: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung (Art. 6 Abs. 1 lit. a) – abhängig von Konfiguration
* **Drittlandtransfer**: Keiner (falls Server EU/Deutschland)

**Spezifisch Cloud:**

* **Rechtsgrundlage**: Berechtigte Interessen (Art. 6 Abs. 1 lit. f) oder Einwilligung (Art. 6 Abs. 1 lit. a)
* **Drittlandtransfer** (Art. 13 Abs. 1 lit. f): Zu Neuseeland; Rechtmäßigung erforderlich (SCC oder ähnlich)

**Hinweis:** Toolspezifische Textbausteine sind problematisch. Besser: Themenorientierter Aufbau (Kapitel "Website-Analyse") mit klarer Unterscheidung Self-Hosted vs. Cloud.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Matomo: InnoCraft Ltd [#c-anbieter-von-matomo-innocraft-ltd]

(Relevant nur für Matomo Cloud; bei Self-Hosted ist der Betreiber selbst Verantwortlicher)

* **Juristischer Name:** InnoCraft Limited
* **Sitz:** 150 Willis Street, Wellington 6011, Neuseeland
* **Sitzland:** Neuseeland (Drittland, nicht im EWR)
* **Privacy Policy:** [https://matomo.org/privacy-policy/](https://matomo.org/privacy-policy/)
* **DPF-Status:** Matomo (InnoCraft) ist **nicht** unter dem Data Privacy Framework (DPF) zertifiziert. DPF-Zertifizierung würde Datentransfers USA↔EU regeln, aber Wellington ist nicht in der DPF-Liste.
* **AVV/DPA:** Verfügbar für Cloud-Kunden; DPA-Vorlage auf Matomo-Website unter [https://matomo.org/](https://matomo.org/)
* **Datenspeicherung Matomo Cloud:** Server in EU (Deutschland, Frankreich); aber Konzernmutter in Neuseeland

## D. Datenverarbeitung durch Matomo – Ablauf [#d-datenverarbeitung-durch-matomo--ablauf]

### D.1 Self-Hosted Matomo [#d1-self-hosted-matomo]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Website-Besuch wird der Matomo Tracking-Code aufgerufen. Erfasst werden: IP-Adresse, URL, Referrer, Browser-Typ, Geräte-Typ, Betriebssystem, Geolokalisation (IP-basiert), Klicks, Verweildauer, Events.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Daten werden in der Matomo-Datenbank des Betreibers gespeichert – auf seinem eigenen Server. **Keinen Drittlandtransfer**, sofern Server in Deutschland/EU sitzt. Betreiber hat Kontrolle über Speicherort und -dauer.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Betreiber nutzt die Daten selbst zur Website-Analyse über Matomo-Dashboard. Datenzugriff nur über Matomo-Frontend.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Optional: Betreiber kann Matomo-Daten an andere Systeme exportieren (z.B. BI-Tools, Google Sheets). Aber: Kein Drittlandtransfer zu InnoCraft oder anderen Parteien, falls nicht explizit konfiguriert.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Betreiber konfiguriert Löschfristen in Matomo. Nach Ablauf werden Daten automatisch gelöscht oder auf Antrag des Betreibers.
  </Step>
</Steps>

### D.2 Matomo Cloud [#d2-matomo-cloud]

<Steps>
  <Step>
    ### Erhebung [#erhebung-1]

    Beim Website-Besuch wird der Matomo Cloud Tracking-Code aufgerufen (gleich wie Self-Hosted). Erfasst werden: IP-Adresse, URL, Referrer, Browser-Typ, Geräte-Typ, Betriebssystem, Geolokalisation, Klicks, Verweildauer, Events.
  </Step>

  <Step>
    ### Speicherung [#speicherung-1]

    Daten werden in InnoCraft-Servern in EU (Deutschland, Frankreich) gespeichert. Jedoch: Konzernmutter InnoCraft sitzt in Neuseeland – potentieller Drittlandtransfer auf konzerninterner Ebene. Betreiber sollte beim Anbieter klären, ob Daten nach Neuseeland transferiert werden.
  </Step>

  <Step>
    ### Nutzung [#nutzung-1]

    InnoCraft (Auftragsverarbeiter) nutzt Daten zu: Bereitstellung der Cloud-Plattform, Verbesserung der Matomo-Software, Infrastruktur-Optimierung. Betreiber nutzt über Matomo-Dashboard.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe-1]

    InnoCraft kann mit Subprozessoren arbeiten (z.B. Cloud-Infrastruktur AWS, Azure). Exakte Liste im DPA aufgeführt. Drittlandtransfer: Zu prüfen; Cloud-Server sind EU, aber Konzern in Neuseeland.
  </Step>

  <Step>
    ### Löschung [#löschung-1]

    Nach Ablauf der Aufbewahrungsfrist (konfigurierbar) werden Daten gelöscht. Nutzer können Opt-Out verwenden.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Matomo [#e-erhobene-daten-beim-einsatz-von-matomo]

Matomo erfasst ähnliche Datenarten wie andere Web-Analytics-Tools:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, Request-URL, HTTP-Referrer, HTTP-Status-Code, User-Agent
* **Klickpfade**: Besuchte Seiten in Reihenfolge, angeklickte Links, interne Suchbegriffe (falls Matomo-Suchtracking aktiviert)
* **Endgeräte-Daten**: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Displayauflösung, Plug-in-Informationen
* **Browserinformationen**: Browsername, Browserversion, User-Agent-String, Do-Not-Track-Einstellung
* **Grobe Standortdaten**: IP-basierter Standort (bis Stadt-Ebene; genauere Geolokalisation möglich aber datenschutzrelevant)
* **Conversion-Ereignisse**: Benutzerdefinierte Events (z.B. Kauf, Download, Kontaktanfrage, Video-Play)
* **Interaktionsdaten**: Scroll-Tiefe (falls aktiviert), Mausbewegungen (falls aktiviert), Verweildauer pro Seite
* **Nutzerkonto-Daten**: Falls Nutzer-ID-Tracking aktiviert: Benutzername, E-Mail-Adresse, anonymisierte User-ID
* **Suchbegriffe**: Bei internen Website-Suchen: Suchtext, Suchergebnisse, Klicks auf Suchergebnisse

**Hinweis:** Matomo ist sehr konfigurierbar – je nach Aktivierung können mehr oder weniger Daten erfasst werden.

## F. Nutzungszwecke beim Einsatz von Matomo [#f-nutzungszwecke-beim-einsatz-von-matomo]

Die Daten werden für folgende Zwecke verarbeitet:

* **Funktionsbereitstellung**: Erbringung des Analytics-Service (Reporting, Dashboards, API)
* **Allgemeine Produktverbesserung**: Optimierung häufig besuchter Inhalte, Performance-Verbesserung
* **Allgemeines Marketing**: Reichweitenanalyse, Traffic-Quellen-Attribution, Kampagnen-Messung
* **Nutzerindividuelle Produktverbesserung**: Personalisierung basierend auf User-Segmenten, Optimierung nach Nutzer-Verhalten
* **Sicherheit und Missbrauchsschutz**: Bot-Detektion, Spam-Filterung, Anomalie-Erkennung
* **Geschäftsplanung und -steuerung**: Datengrundlage für strategische Entscheidungen
* **Compliance** (nur Cloud): Matomo kann Rohdaten-Logs für Audit und Support bereitstellen

## G. Rechtsgrundlagen für Matomo Analytics [#g-rechtsgrundlagen-für-matomo-analytics]

### G.1 Matomo Self-Hosted [#g1-matomo-self-hosted]

**Schritt 1 – Kategorisierung:** Matomo Self-Hosted ist **unter Kontrolle des Betreibers** – der Betreiber ist Verantwortlicher.

**Schritt 2 – Rechtsgrundlagen:**

* **Cookielose Anonymisierung möglich**: Berechtigte Interessen Art. 6 Abs. 1 lit. f DSGVO (falls IP sofort anonymisiert wird)
* **Mit Cookies**: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG oder Berechtigte Interessen (umstritten)

**Hinweis:** Bei Self-Hosted sollte der Betreiber Matomo so konfigurieren, dass keine oder anonymisierte Cookies gesetzt werden, um Einwilligung zu vermeiden.

### G.2 Matomo Cloud [#g2-matomo-cloud]

**Schritt 1 – Kategorisierung:** Matomo Cloud ist ein **Auftragsverarbeitungs-Verhältnis** (Art. 28 DSGVO). InnoCraft ist Auftragsverarbeiter.

**Schritt 2 – Rechtsgrundlagen:**

* **Standard**: Berechtigte Interessen Art. 6 Abs. 1 lit. f DSGVO (Betreiber hat Interesse an Website-Optimierung)
* **Mit Tracking-Cookies**: Einwilligung Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG

**Drittlandtransfer zu Neuseeland:**

* Status: **Unklar**. Matomo ist nicht unter DPF zertifiziert.
* Rechtmäßigung erforderlich: Prüfung ob SCC (Standard Contractual Clauses) oder ähnliche Mechanismen vorhanden sind
* **Datenschutzfolgeabschätzung (DPIA) empfohlen**, besonders wenn Conversion-Daten oder User-IDs verarbeitet werden

**Einzelfallprüfung erforderlich:** Betreiber sollte mit Matomo klären, wie Drittlandtransfer zu Neuseeland geregelt ist.

## H. Besonderheiten und Hinweise zu Matomo [#h-besonderheiten-und-hinweise-zu-matomo]

### H.1 Self-Hosted [#h1-self-hosted]

* **Vollständige Kontrolle**: Betreiber ist Verantwortlicher, nicht Matomo. Volle Kontrolle über Daten, Speicherort, Speicherdauer.
* **Kein Drittlandtransfer**: Falls Server in Deutschland/EU sitzt, keine Drittlandtransfers.
* **Keine Auftragsverarbeitung nötig**: Kein DPA mit Matomo erforderlich (Matomo ist nur Software).
* **Technische Anforderungen**: Betreiber muss Server bereitstellen, SSL-Zertifikat einrichten, Backups durchführen, Updates einspielen.
* **Kostenmodell**: Open-Source, kostenlos; nur Server-Infrastruktur kostet.
* **Einwilligungsfreie Variante möglich**: IP-Anonymisierung und Cookie-Deaktivierung ermöglichen berechtigte Interessen ohne Einwilligung.

### H.2 Matomo Cloud [#h2-matomo-cloud]

* **Auftragsverarbeitung erforderlich**: DPA mit InnoCraft abschließen (ist standardmäßig vorhanden).
* **Drittlandtransfer unklar**: Neuseeland sitzt außerhalb DPF. Betreiber sollte klären, wie Datenschutz gewährleistet ist. Evtl. Datenschutzfolgeabschätzung erforderlich.
* **Server in EU**: Matomo Cloud speichert in Deutschland/Frankreich (EU). Aber Konzernmutter sitzt in Neuseeland.
* **Technische Einfachheit**: Keine Server-Administration notwendig; Matomo betreut Infrastruktur.
* **Kostenmodell**: Abonnement-basiert (monatliche/jährliche Gebühren).
* **Subprozessoren**: Matomo kann mit Cloud-Infrastruktur-Anbietern arbeiten; Subprozessor-Liste im DPA.
* **Rechenschaftspflicht**: Betreiber muss dokumentieren, dass DPA abgeschlossen ist und dass Drittlandtransfer-Rechtmäßigung geprüft wurde.

## I. FAQ zu Matomo Analytics [#i-faq-zu-matomo-analytics]

<Accordions type="single">
  <Accordion title="Was ist Matomo und wie unterscheidet es sich von Google Analytics?">
    Matomo ist eine Open-Source-Alternative zu Google Analytics. Hauptunterschiede: (1) Matomo kann selbst gehostet werden – Betreiber behält volle Kontrolle. (2) Keine Datentransfers zu Google/USA. (3) Matomo Cloud speichert in EU (Deutschland/Frankreich). (4) Kostenlos als Self-Hosted (nur Server-Kosten); Cloud ist kostenpflichtig.
  </Accordion>

  <Accordion title="Sollte ich Self-Hosted oder Cloud Matomo nutzen?">
    **Self-Hosted, wenn:** Sie volle Kontrolle und keine Drittland-Concerns haben wollen; Sie technisch versiert sind; Sie Kosten sparen wollen.
    &#x2A;*Cloud, wenn:** Sie Server-Administration nicht selbst machen wollen; Sie einfache Verwaltung bevorzugen; Sie willens sind, DPA und Drittlandtransfer zu akzeptieren.
  </Accordion>

  <Accordion title="Ist Matomo Self-Hosted DSGVO-konform?">
    Ja, wenn Sie es richtig konfigurieren: (1) IP-Anonymisierung aktivieren, (2) Cookies deaktivieren oder anonymisieren, (3) Speicherfrist auf 3-6 Monate setzen, (4) Server in Deutschland/EU. Dann: Berechtigte Interessen, keine Einwilligung nötig.
  </Accordion>

  <Accordion title="Ist Matomo Cloud DSGVO-konform?">
    Bedingt. Nach Angaben des Anbieters: Ja, sofern (1) DPA mit InnoCraft abgeschlossen, (2) Drittlandtransfer zu Neuseeland rechtmäßig gewährleistet. Aber: Neuseeland ist nicht unter DPF zertifiziert. Datenschutzfolgeabschätzung (DPIA) wird empfohlen.
  </Accordion>

  <Accordion title="Muss ich für Matomo eine Einwilligung einholen?">
    **Self-Hosted, cookielose Variante:** Nein (berechtigte Interessen ausreichend).
    &#x2A;*Self-Hosted mit Cookies:** Ja (Einwilligung via CMP-Banner erforderlich).
    &#x2A;*Cloud:** Ja, empfohlen (Einwilligung via CMP-Banner). Ohne Cookies: Berechtigte Interessen möglich.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Matomo in die Datenschutzerklärung?">
    Empfehlung: Kapitel "Website-Analyse" mit Unterscheidung:

    **Für Self-Hosted:** "Wir nutzen Matomo Analytics auf unserem eigenen Server (Self-Hosted). Daten bleiben auf unserem Server in \[Land]; kein Drittlandtransfer. Rechtsgrundlage: berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) / Einwilligung (Art. 6 Abs. 1 lit. a). Opt-Out: \[Matomo Opt-Out URL]"

    **Für Cloud:** "Wir nutzen Matomo Analytics Cloud (InnoCraft Ltd). Daten werden auf EU-Servern gespeichert; Auftragsverarbeiter-Verhältnis. Drittlandtransfer zu Neuseeland geregelt durch \[SCC/ggf. DPIA]. Rechtsgrundlage: berechtigte Interessen / Einwilligung."

    Nutzen Sie unseren Privacy Policy Generator für konsistente Formulierungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Matomo Analytics [#j-fazit-und-empfehlung-zu-matomo-analytics]

**Zusammenfassung:** Matomo ist eine europäischerfreundliche Analytics-Alternative zu Google Analytics – besonders die Self-Hosted-Variante, die dem Betreiber volle Kontrolle gibt und keinen Drittlandtransfer erfordert. Cloud-Variante ist bequemer, hat aber Drittlandtransfer zu Neuseeland.

**Häufiger Fehler bei Self-Hosted:** Betreiber installieren Matomo und setzen Standard-Cookies, ohne IP-Anonymisierung und Cookie-Deaktivierung zu konfigurieren. Das erfordert dann CMP-Banner und Einwilligung. Besser: &#x2A;*Von Anfang an cookielose Konfiguration.**

**Häufiger Fehler bei Cloud:** Betreiber nutzen Matomo Cloud, ohne zu prüfen, wie Drittlandtransfer zu Neuseeland rechtmäßig gewährleistet ist. DPIA sollte durchgeführt werden.

**Best Practice:**

1. **Self-Hosted bevorzugen** (wenn Sie technisch fit sind) → Volle Kontrolle, kein Drittlandtransfer
2. **Cookielose Konfiguration** → IP-Anonymisierung aktivieren, Cookies deaktivieren → Keine Einwilligung nötig
3. **Speicherfrist kurz halten** (3-6 Monate)
4. **Transparente Datenschutzerklärung** unterscheidet zwischen Self-Hosted und Cloud
5. Für Cloud: **DPIA durchführen**, Drittlandtransfer-Rechtmäßigkeit dokumentieren

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Matomo Analytics und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Meta Pixel (Facebook Ads) und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/meta-pixel-datenschutzerklaerung)



# Meta Pixel (Facebook Ads) und Datenschutz – Was Webseitenbetreiber wissen müssen [#meta-pixel-facebook-ads-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber das Meta Pixel (ehemals Facebook Pixel) zur Conversion-Messung und Remarketing-Audienz-Erstellung ein, verarbeitet er zusammen mit Meta Platforms Ireland Limited als **gemeinsame Verantwortliche** (Joint Controller) personenbezogene Daten wie Besucherdaten, Conversion-Ereignisse und Profilinformationen auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die Rolle des Meta Pixel im DSGVO-System unterscheidet sich grundlegend von reinen Analytics-Tools: Der Webseitenbetreiber und Meta sind gemeinsam Verantwortliche, nicht in einer Auftragsverarbeiter-Beziehung. Dies hat erhebliche datenschutzrechtliche Konsequenzen. Die vorliegende Anleitung erklärt diese Joint-Controller-Struktur und die Anforderungen an die Datenschutzerklärung. Stand: 2026-04-22.

## A. Zweck und Funktionsweise von Meta Pixel [#a-zweck-und-funktionsweise-von-meta-pixel]

Das Meta Pixel ist ein Tracking-Code-Snippet, das Webseitenbetreiber in ihre Website einbetten. Es erfasst Nutzerinteraktionen und sendet diese als Conversion-Ereignisse an die Meta-Infrastruktur (Facebook, Instagram, Messenger). Das Pixel hat zwei Hauptfunktionen:

**1. Conversion-Tracking:**
Das Pixel registriert, wann Nutzer bestimmte Zielaktionen durchführen (z.B. Produktkauf, Kontaktformular-Ausfüllung, Download, Videoansicht). Diese Conversion-Daten ermöglichen dem Webseitenbetreiber, die Effektivität von Facebook-Werbekampagnen zu messen.

**2. Custom Audiences und Remarketing:**
Das Pixel sendet eine Liste von Website-Besuchern an Meta (sowie deren Browsing-Verhalten und Interaktionen). Meta erstellt daraus digitale Zielgruppen (Audiences), die der Webseitenbetreiber in künftigen Ads-Kampagnen nutzen kann, um ehemalige Besucher zu erneut ansprechen.

**Extended Matching (Erweiterte Zuordnung):**
Bei aktivierter erwiterter Zuordnung sendet das Pixel auch Kundendaten aus dem CRM des Webseitenbetreibers an Meta (z.B. E-Mail-Adressen, Telefonnummern, Namen). Meta nutzt diese zur Zuordnung zu bestehenden Meta-Profilen.

**Die Besonderheit: Joint Controller**
Anders als reine Tracking-Tools (Google Analytics) ist das Meta Pixel nicht nur ein Auftragsverarbeitungs-Instrument. Meta und der Webseitenbetreiber sind gemeinsame Verantwortliche (Art. 26 DSGVO) für die Datenerhebung und -übermittlung. Dies ergibt sich aus der Meta Business Tools Joint Controller Terms.

## B. Pflichtangaben in der Datenschutzerklärung zu Meta Pixel [#b-pflichtangaben-in-der-datenschutzerklärung-zu-meta-pixel]

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Meta Pixel folgende Angaben machen:

* **Identität und Kontaktdaten der Verantwortlichen** (Art. 13 Abs. 1 lit. a) – hier: Webseitenbetreiber UND Meta Platforms Ireland Limited (als Joint Controllers)
* **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* **Rechtsgrundlage(n)** (Art. 13 Abs. 1 lit. d)
* **Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e)
* **Speicherdauer** oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)
* **Berechtigungen und Pflichten der Joint Controllers** (Art. 26 DSGVO)

Ein zentraler Punkt: Die typischerweise in Datenschutzerklärungen vorfindlichen **isolierten Tool-Absätze** (z.B. „Meta Pixel: Wir nutzen das Meta Pixel...") sind nicht ausreichend. Stattdessen erfordert Art. 26 Abs. 3 DSGVO, dass die Verteilung von Verantwortlichkeiten zwischen den Joint Controllers für Nutzer transparent gemacht wird. Ein isolierter Absatz wird dem nicht gerecht.

**Besserer Ansatz:** Ein zentral erklärtes Kapitel zu den Datenempfängern (mit Nennung von Meta), eine klare Aufschlüsselung der Joint-Controller-Beziehung, und eine Empfängertabelle, die Meta als Joint Controller ausweist.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Meta Pixel: Meta Platforms Ireland Limited [#c-anbieter-von-meta-pixel-meta-platforms-ireland-limited]

**Juridische Basis (Betreiber, nicht Mutterkonzern):**

* **Vollständiger Name:** Meta Platforms Ireland Limited
* **Anschrift:** 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, D02 AX86, Irland
* **Sitzland:** Irland (Europäischer Wirtschaftsraum)
* **Mutterkonzern:** Meta Platforms Inc. (USA) – für Datenschutz-Fragen ist aber Meta Ireland zuständig
* **Rolle:** Joint Controller (gemeinsamer Verantwortlicher) zusammen mit dem Webseitenbetreiber, nicht Auftragsverarbeiter

**Data Privacy Framework (DPF):**
Meta Platforms Inc. (USA) und ihre Tochtergesellschaften sind DPF-zertifiziert. Dies ermöglicht Datenübermittlungen von der EU in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Die Zertifizierung wurde nach der Schrems-II-Entscheidung des EuGH wieder hergestellt (Juli 2023).

**Joint Controller Terms (Wichtig):**
[https://www.facebook.com/legal/terms/businesstools](https://www.facebook.com/legal/terms/businesstools)
Diese Terms sind zwingend zu beachten und sollten in der Datenschutzerklärung verlinkt sein. Darin wird die Verteilung von Verantwortlichkeiten und Pflichten zwischen Meta und dem Webseitenbetreiber geregelt.

**Datenschutzerklärung:**
[https://www.facebook.com/privacy/policy](https://www.facebook.com/privacy/policy)

**AVV/DPA:**
Bei Meta Pixel gibt es keinen klassischen Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO, da Meta nicht als Auftragsverarbeiter fungiert. Stattdessen gelten die Joint Controller Terms und Metas Datenschutzerklärung.

## D. Datenverarbeitung durch Meta Pixel – Ablauf [#d-datenverarbeitung-durch-meta-pixel--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Meta-Pixel-Code wird in die Website eingebettet. Sobald ein Nutzer die Website aufruft, wird das Pixel ausgelöst und erfasst Nutzerdaten wie IP-Adresse, User-Agent (Browser, Betriebssystem), Pixelkennung, Nutzer-Identifikatoren (z.B. über Cookies oder Hashed Email), besuchte Seite, Referrer und Conversion-Ereignisse. Bei Extended Matching werden zusätzlich CRM-Daten (E-Mail, Telefon) gesendet.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Daten werden in Metas Infrastruktur gespeichert. Je nach Aktivität und Account-Status werden Daten kurzfristig (für aktuelle Kampagnen-Auswertungen) oder längerfristig (für Audience-Erstellung und Remarketing) gespeichert. Bei Webseitenbetreibern in der EU werden Daten typischerweise in EU-Rechenzentren gespeichert, können aber auch in die USA übertragen werden (DPF-Zertifizierung beachten).
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Meta nutzt die Pixel-Daten zu mehreren Zwecken: (1) Erfolgsmessung von Facebook-Ads-Kampagnen für den Webseitenbetreiber, (2) Erstellung von Custom Audiences für Remarketing, (3) Matching von Websitebesucher-Daten mit Meta-Profilen zur Profilverbesserung, (4) Training von Metas eigenen Machine-Learning-Modellen und Recommendation-Systemen, (5) ggf. auch für Metas interne Geschäftszwecke (z.B. Systeme zur Betrugserkennung).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Meta kann Pixel-Daten an seine anderen Dienste weitergeben (Instagram, Messenger, Audience Network). Ferner können Daten an Werbeagenturen weitergegeben werden, die das Account des Webseitenbetreibers verwalten. Die Daten werden nicht verkauft, aber Metas Partner und Advertiser in Metas Ökosystem können indirekt von der Nutzerprofilierung profitieren.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber kann das Pixel-Tracking jederzeit deaktivieren oder sein Meta-Ads-Konto löschen. Meta führt automatische Deletions-Routinen durch, die je nach Datentyp variieren. Der Standard ist typischerweise 90 Tage nach der letzten Aktivität, kann aber je nach Datentyp unterschiedlich sein. Die exakte Löschdauer ist vom Betreiber zu verifizieren.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Meta Pixel [#e-erhobene-daten-beim-einsatz-von-meta-pixel]

Das Meta Pixel erfasst umfangreiche Daten. Im Standard-Modus sind es:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, HTTP-Header, Anfrage-Timestamp, User-Agent (Browser, Betriebssystem, Gerätetyp), Geolocation (auf IP-Basis)
* **Klickpfade:** Besuchte Seiten der Website, Referrer-URL, angeklickte Elemente (Buttons, Links), Scroll-Verhalten, Verweilzeiten auf einzelnen Seiten
* **Endgeräte-Daten:** Gerätetyp (Desktop, Tablet, Mobile), Bildschirmauflösung, Betriebssystem-Version, Netzwerk-Typ (WiFi, Mobilfunk)
* **Browserinformationen:** Browsername, Browserversion, Cookies (First-Party und Third-Party), Local Storage, Pixel ID (Meta-Cookie)
* **Conversion-Ereignisse:** Warenkorb-Addition, Checkout-Abschluss, Kaufabschluss, Registrierung, Kontaktformular-Ausfüllung, Download, Video-View, Lead-Generierung mit zugehörigen Inhalten (Produktname, Preis, Kategorie, Menge)
* **Nutzerprofil-Daten:** (Bei Extended Matching) E-Mail-Adressen (gehasht), Telefonnummern (gehasht), Namen, Geburtsdatum, Anschrift, Geschlecht – sofern vom Webseitenbetreiber an Meta gesendet
* **Tracking-Identifizierer:** Meta Pixel ID, Nutzer-IDs, Hashed Email-Adressen, werbe-spezifische IDs (z.B. GAID für Android)

## F. Nutzungszwecke beim Einsatz von Meta Pixel [#f-nutzungszwecke-beim-einsatz-von-meta-pixel]

Meta gibt an, dass Pixel-Daten zu folgenden Zwecken verarbeitet werden:

* **Conversion-Tracking:** Messung, ob und wann Website-Besucher als Folge einer Meta-Anzeige eine Aktion durchführen (Kauf, Anmeldung etc.)
* **Audience-Erstellung:** Segmentierung von Website-Besuchern in Custom Audiences für gezieltes Remarketing
* **Profilverbesserung:** Anreicherung von Meta-Nutzerprofilen mit Daten aus der Website (Kaufhistorie, Interessen, Kundensegment)
* **Nutzerprofil-Erstellung und Interessensegmentierung:** Entwicklung von Vorhersagen über Nutzerinteressen basierend auf Website-Behavior
* **Werbe-Optimierung:** Training von Metas Algorithmen zur Verbesserung der Anzeigen-Targeting-Genauigkeit
* **Systeme zur Betrugserkennung und Sicherheit:** Erkennung verdächtiger Aktivitäten auf der Website oder in Metas Werbenetzwerk
* **Ggf. Metas interne Geschäftszwecke:** Metas Dokumentation räumt ein, dass Daten auch für Systeme zur Produktverbesserung genutzt werden

## G. Rechtsgrundlagen für Meta Pixel [#g-rechtsgrundlagen-für-meta-pixel]

**Kernrechtsgrundlage: Einwilligung**
Das Meta Pixel basiert primär auf **Einwilligung** gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die Einwilligung ist für das Setzen von Cookies und das Tracking erforderlich.

**Besonderheit: Joint Controller**
Gemäß Art. 26 DSGVO sind der Webseitenbetreiber und Meta gemeinsame Verantwortliche. Dies bedeutet:

* Beide sind verpflichtet, Transparent über die gemeinsame Verarbeitung zu berichten
* Beide müssen Informationen über die Verteilung der Verantwortlichkeiten geben
* Beide können ggf. haftbar sein, wenn Betroffene Rechte geltend machen

Die Meta Business Tools Joint Controller Terms regeln die Verteilung:

* Der Webseitenbetreiber ist Verantwortlicher für die Entscheidung, das Pixel einzusetzen und die Conversion-Ereignisse zu definieren
* Meta ist Verantwortlicher für die weitere Verarbeitung der Daten in Metas Infrastruktur und zu Metas eigenen Zwecken

**Rechtsgrund für Joint-Controller-Beziehung:**
Art. 26 DSGVO erlaubt es zwei Parteien, gemeinsam Verantwortliche zu sein, sofern dies der Realität der Datenverarbeitung entspricht. Bei Meta Pixel ist dies der Fall: Beide Parteien treffen gemeinsam Entscheidungen über Mittel und Zwecke der Erhebung und Übermittlung.

## H. Besonderheiten und Hinweise zu Meta Pixel [#h-besonderheiten-und-hinweise-zu-meta-pixel]

**1. Joint Controller Status ist nicht Optional**
Der EuGH hat in der Fashion-ID-Entscheidung (C-40/17) festgestellt, dass bei gemeinsamer Mitverantwortung für die Datenverarbeitung ein Joint-Controller-Verhältnis vorliegt. Dies ist nicht verhandelbar – unabhängig davon, ob die Parteien dies vertraglich regeln oder nicht.

**2. Meta Business Tools Joint Controller Terms**
Link: [https://www.facebook.com/legal/terms/businesstools](https://www.facebook.com/legal/terms/businesstools)
Diese Terms sollten gelesen und verlinkt werden. Sie enthalten wesentliche Verteilungen von Verantwortlichkeiten und Datenschutzpflichten.

**3. DPF-Zertifizierung und Datentransfers in die USA**
Meta Platforms Inc. ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis von Art. 45 DSGVO. Eine zusätzliche DSFA (Datenschutz-Folgenabschätzung) wird von Datenschützern dennoch empfohlen, insbesondere bei sensitiven Daten.

**4. Opt-Out-Links für Nutzer**

* **Facebook**: [https://www.facebook.com/help/109378269482053/](https://www.facebook.com/help/109378269482053/) (Einstellungen für Werbung)
* **Instagram**: Nutzer können Remarketing-Ads in den Kontoeinstellungen deaktivieren
* **Breitere Kontrolle:** Ad Preferences im Facebook/Meta-Konto

**5. Extended Matching und Kundendaten**
Wenn Extended Matching aktiviert ist, können CRM-Daten (E-Mail, Telefon, Name) an Meta gesendet werden. Dies erhöht die Anforderungen an die Einwilligung: Die Datenschutzerklärung muss explizit darauf hinweisen, dass auch CRM-Daten an Meta gehen.

**6. Custom Audiences und Third-Party Data**
Meta warnt vor der Hochladung von kundenidentifizierenden Daten (PIIs), die nicht vom Webseitenbetreiber selbst erfasst wurden. Die Verantwortung für Datenschutzkonformität bleibt beim Webseitenbetreiber.

## I. FAQ zu Meta Pixel [#i-faq-zu-meta-pixel]

<Accordions type="single">
  <Accordion title="Was ist Meta Pixel?">
    Das Meta Pixel (ehemals Facebook Pixel) ist ein Tracking-Code-Snippet, das Webseitenbetreiber in ihre Website einbetten. Es erfasst Website-Besuche und Conversion-Ereignisse und sendet diese an Meta (Facebook, Instagram). Der Zweck ist Conversion-Tracking und die Erstellung von Zielgruppen für Ads-Kampagnen.
  </Accordion>

  <Accordion title="Ist Meta Pixel ein Auftragsverarbeiter oder Joint Controller?">
    Meta Pixel führt zu einer Joint-Controller-Beziehung (gemeinsame Verantwortlichkeit). Der Webseitenbetreiber und Meta Platforms Ireland Limited sind beide Verantwortliche für die Datenerhebung und -übermittlung. Dies wurde durch den EuGH (Fashion-ID-Urteil) und die Meta Business Tools Terms bestätigt. Es ist NICHT eine reine Auftragsverarbeiter-Beziehung wie bei manchen Analytics-Tools.
  </Accordion>

  <Accordion title="Welche Daten erfasst Meta Pixel?">
    Das Meta Pixel erfasst Klickpfade, Geräte-Informationen, Browser-Daten, Conversion-Ereignisse (Kauf, Anmeldung etc.), und bei Extended Matching auch CRM-Daten wie gehashte E-Mails und Telefonnummern. Die Daten werden zur Conversion-Messung und Audience-Erstellung an Meta übermittelt.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Meta Pixel?">
    Die Rechtsgrundlage ist primär die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Der Nutzer muss explizit einwilligen, dass das Pixel sein Verhalten trackt und die Daten an Meta gesendet werden.
  </Accordion>

  <Accordion title="Muss ich die Joint-Controller-Beziehung in der Datenschutzerklärung erwähnen?">
    Ja, dringend. Art. 26 Abs. 3 DSGVO verlangt, dass Verantwortliche Informationen über die Verteilung von Pflichten geben. Die Datenschutzerklärung sollte klar machen: Webseitenbetreiber und Meta sind gemeinsam Verantwortliche. Ein isolierter „Meta Pixel"-Absatz wird dem nicht gerecht – ein explizites Kapitel zur Joint-Controller-Beziehung ist erforderlich.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Meta Pixel in die Datenschutzerklärung?">
    Statt eines isolierten Absatzes wird ein integrierter Ansatz empfohlen: Ein Kapitel zu den Datenempfängern, in dem Meta als Joint Controller ausgewiesen ist, die Joint Controller Terms verlinkt sind, und die Zwecke (Conversion-Tracking, Audience-Erstellung) erklärt werden. Eine Tabelle mit Metas Kontaktdaten, Sitz, Rolle und Links zur Datenschutzerklärung ist ebenfalls sinnvoll.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Meta Pixel [#j-fazit-und-empfehlung-zu-meta-pixel]

Meta Pixel ist eines der verbreitetsten Tracking-Tools im E-Commerce und Digital Marketing. Seine Besonderheit liegt in der Joint-Controller-Struktur: Der Webseitenbetreiber und Meta sind nicht in einer klassischen Auftragsverarbeiter-Beziehung, sondern gemeinsame Verantwortliche. Dies ist rechtlich komplex und erfordert eine präzise Darstellung in der Datenschutzerklärung.

Isolierte Tool-Absätze sind unzureichend und widersprechen Art. 26 Abs. 3 DSGVO. Stattdessen sollten Joint-Controller-Verhältnisse transparent kommuniziert werden: mit Klärung der Rollen, Verlinkung der Meta Business Tools Terms, und expliziter Nennung von Meta als Verantwortlicher neben dem Webseitenbetreiber selbst.

Ein themenorientierter Aufbau mit zentraler Erklärung der Datenempfänger und ihrer Rollen ist praktikabler und rechtskonformer als traditionelle Textbausteine.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Meta Pixel und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben beruhen auf Herstellerangaben (Meta), öffentlich zugänglichen Quellen, EuGH-Rechtsprechung und der DSGVO. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Microsoft Advertising (Bing Ads) und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/microsoft-advertising-datenschutzerklaerung)



# Microsoft Advertising (Bing Ads) und Datenschutz – Was Webseitenbetreiber wissen müssen [#microsoft-advertising-bing-ads-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Microsoft Advertising (ehemals Bing Ads) zur Conversion-Messung und Audience-Tracking ein, verarbeitet er Nutzer- und Interaktionsdaten zum Zweck der Werbekampagnen-Messung und des Zielgruppen-Targetings auf Basis von Einwilligung und/oder berechtigten Interessen. Im Gegensatz zu Meta Pixel oder LinkedIn Insight Tag fungiert Microsoft Advertising als **Auftragsverarbeiter** im Sinne von DSGVO Art. 28, nicht als Joint Controller. Der Webseitenbetreiber ist alleiniger Verantwortlicher. Dies vereinfacht die rechtliche Struktur, legt aber neue Anforderungen an die Datenschutzerklärung und den Auftragsverarbeitungsvertrag (AVV) fest. Die vorliegende Anleitung erklärt Microsofts Rolle, die Datenverarbeitung und die Anforderungen an Transparenz und Compliance. Stand: 2026-04-22.

## A. Zweck und Funktionsweise von Microsoft Advertising [#a-zweck-und-funktionsweise-von-microsoft-advertising]

Microsoft Advertising ist die Werbe- und Tracking-Plattform von Microsoft, die auf dem Bing-Suchmaschinen-Ökosystem und Microsoft-Partnerseiten basiert. Webseitenbetreiber können Microsoft Advertising nutzen, um:

**1. Conversion-Tracking:**
Der UET-Tag (Universal Event Tracking) wird in die Website eingebettet und erfasst Conversion-Ereignisse (z.B. Produktkauf, Lead-Form-Ausfüllung, Download). Dies ermöglicht dem Webseitenbetreiber, die Performance von Microsoft-Ads-Kampagnen zu messen.

**2. Audience-Erstellung und Remarketing:**
Microsoft erstellt aus den erfassten Website-Besucherdaten digitale Zielgruppen (Audiences), die für Remarketing-Kampagnen in Bing, Microsoft-Partner-Seiten (z.B. Yahoo), oder dem Microsoft Audience Network genutzt werden.

**3. Demographic und Interest Targeting:**
Auf Basis der erfassten Daten und Microsofts User-Profiling erstellt Microsoft Zielgruppen nach demografischen Merkmalen (Alter, Geschlecht, Einkommen) und Interessen, um Anzeigen präzise auszusteuern.

**Integrationen:**
Microsoft Advertising kann mit Google Tag Manager und anderen Tag-Management-Systemen integriert werden (UET-Tag im GTM-Code, Event-Tracking via API).

**Unterschied zu Facebook/LinkedIn:**
Im Gegensatz zu Meta Pixel und LinkedIn Insight Tag ist Microsoft Advertising eine **reine Auftragsverarbeiter-Lösung**. Microsoft verarbeitet Daten im Auftrag des Webseitenbetreibers, nicht als eigenständiger Verantwortlicher. Dies ist rechtlich klarer geregelt und erfordert einen formalen Auftragsverarbeitungsvertrag (AVV).

## B. Pflichtangaben in der Datenschutzerklärung zu Microsoft Advertising [#b-pflichtangaben-in-der-datenschutzerklärung-zu-microsoft-advertising]

Nach DSGVO Art. 13 Abs. 1 und Art. 14 müssen Webseitenbetreiber bei Einsatz von Microsoft Advertising folgende Angaben machen:

* **Zwecke** der Verarbeitung (Art. 13 Abs. 1 lit. c)
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. d)
* **Berechtigte Interessen**, sofern diese Grundlage ist (Art. 13 Abs. 1 lit. d)
* **Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e) – hier: Microsoft Ireland Operations Limited als Auftragsverarbeiter
* **Drittlandtransfers** und Schutzgarantien (Art. 13 Abs. 1 lit. f)
* **Speicherdauer** oder Kriterien zur Bestimmung (Art. 13 Abs. 2 lit. a)

Ein zentrales Element ist die **klare Benennung Microsofts als Auftragsverarbeiter**. Dies unterscheidet sich grundlegend von Joint-Controller-Szenarien: Der Webseitenbetreiber trägt die volle datenschutzrechtliche Verantwortung.

**Besserer Ansatz:** Ein zentral erklärtes Kapitel zu Zwecken und Rechtsgrundlagen, eine Empfängertabelle, die Microsoft als Auftragsverarbeiter ausweist, und ein Hinweis auf die Verfügbarkeit des AVV.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Microsoft Advertising: Microsoft Ireland Operations Limited [#c-anbieter-von-microsoft-advertising-microsoft-ireland-operations-limited]

**Juridische Basis:**

* **Vollständiger Name:** Microsoft Ireland Operations Limited
* **Anschrift:** One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland
* **Sitzland:** Irland (Europäischer Wirtschaftsraum)
* **Mutterkonzern:** Microsoft Corporation (USA)
* **Rolle:** Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28, nicht Verantwortlicher

**Data Privacy Framework (DPF):**
Microsoft Corporation ist DPF-zertifiziert. Dies bedeutet, dass Datenübermittlungen von der EU in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO) zulässig sind, sofern der Datenempfänger tatsächlich DPF-zertifiziert ist. Dies ist vom Webseitenbetreiber zu überprüfen.

**Datenschutzerklärung:**
[https://privacy.microsoft.com/de-de/privacystatement](https://privacy.microsoft.com/de-de/privacystatement)

**Auftragsverarbeitungsvertrag (AVV/DPA):**
Microsoft stellt einen Standard-Auftragsverarbeitungsvertrag zur Verfügung. Dieser ist in der Regel in den Microsoft-Ads-Kontoeinstellungen oder über ein Anfrage-Formular abrufbar. Der AVV regelt die technischen und organisatorischen Maßnahmen Microsofts als Auftragsverarbeiter und ist eine Pflicht-Voraussetzung für die DSGVO-konforme Nutzung.

**URL zum AVV:** Der genaue Link ist vom Webseitenbetreiber zu überprüfen (typischerweise unter [https://about.ads.microsoft.com/resources/](https://about.ads.microsoft.com/resources/) oder direkt im Account Dashboard).

## D. Datenverarbeitung durch Microsoft Advertising – Ablauf [#d-datenverarbeitung-durch-microsoft-advertising--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Microsoft-UET-Tag (Universal Event Tracking) wird in die Website eingebettet oder via Google Tag Manager geladen. Sobald ein Nutzer die Website aufruft, wird das Tag ausgelöst und erfasst Website-Besuch-Daten: IP-Adresse, User-Agent (Browser, Betriebssystem), besuchte Seite, Referrer, zeitliche Metadaten, Geolocation (IP-basiert), und Conversion-Ereignisse (falls definiert). Bei datengestützer Kampagnen-Attribution werden auch CRM-Daten (E-Mail, Telefon) übermittelt, sofern vom Webseitenbetreiber konfiguriert.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Daten werden in Microsofts Infrastruktur gespeichert. Microsofts Datenzentren befinden sich typischerweise in der EU oder USA, je nach Konfiguration und Nutzerherkunft. Bei DPF-Zertifizierung ist auch eine Speicherung in den USA zulässig. Die Speicherdauer variiert je nach Datentyp: aktuelle Conversion-Daten werden für Auswertungen kurzfristig (Tage bis Wochen) gespeichert; Audience-Daten für Remarketing längerfristig (Monate bis Jahre).
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Microsoft nutzt die Daten im Auftrag des Webseitenbetreibers zu folgenden Zwecken: (1) Bereitstellung von Conversion-Reports für das Ads-Konto, (2) Erstellung und Verwaltung von Audiences für Remarketing und Targeting, (3) Optimierung von Microsoft-Ads-Algorithmen auf Basis der erfassten Daten, (4) Attribution von Conversions zu bestimmten Ads oder Keywords. Als Auftragsverarbeiter darf Microsoft die Daten nicht zu eigenen Geschäftszwecken nutzen, es sei denn, der Webseitenbetreiber hat explizit zugestimmt.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Microsoft kann die Daten an seine Subprozessoren weitergeben. Diese müssen im AVV aufgelistet sein. Häufige Subprozessoren sind: Microsoft Azure (Cloud-Speicher), Telemetrie-Partner für Sicherheit und Missbrauchserkennung. Eine Weitergabe an Dritte zu deren eigenen Zwecken ist nicht vorgesehen (allerdings erfordert dies Überprüfung durch den Betreiber).
  </Step>

  <Step>
    ### Löschung [#löschung]

    Der Webseitenbetreiber kann das UET-Tag deaktivieren, Audiences löschen, oder sein Microsoft-Ads-Konto kündigen. Microsoft löscht Daten in Übereinstimmung mit dem AVV und geltenden Aufbewahrungsrichtlinien. Die Standardlöschdauer beträgt typischerweise 90 Tage nach Kontokündigung, kann aber länger sein. Dies ist vom Betreiber zu verifizieren.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Microsoft Advertising [#e-erhobene-daten-beim-einsatz-von-microsoft-advertising]

Microsoft Advertising erfasst Website- und Besucher-Daten:

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, HTTP-Header, Request-Timestamp, User-Agent (Browser, Betriebssystem, Gerätetyp), geografische Lokalisierung (auf IP-Basis)
* **Klickpfade:** Besuchte Website-Seiten, Referrer-URLs, angeklickte Links und Buttons, Scroll-Verhalten, Verweilzeiten auf einzelnen Seiten
* **Endgeräte-Daten:** Gerätetyp (Desktop, Tablet, Mobile), Bildschirmauflösung, Betriebssystem-Version, Netzwerk-Typ (WiFi, Mobilfunk), Hardware-Merkmale
* **Browserinformationen:** Browsername, Browserversion, Cookies (UET-Cookie, Third-Party-Cookies), LocalStorage, Tracking-IDs (z.B. MSIDA für Microsoft Identity)
* **Conversion-Ereignisse:** Produktkauf, Lead-Form-Ausfüllung, Anmeldung, Download, Videoansicht, Warenkorb-Addition mit zugehörigen Metadaten (Produktname, Preis, Kategorie, Order-Wert)
* **Profil-Daten:** (Bei datengestütztem Targeting) Gehashte oder anonymisierte Kundendaten aus CRM-Systemen (E-Mail, Telefon, Name, Kundensegment), wenn vom Webseitenbetreiber hochgeladen
* **Tracking-Identifizierer:** Microsoft UET-Cookie, Nutzer-IDs, Werbe-IDs (z.B. GAID für Android, IDFA für iOS), gehashte E-Mail-Adressen

## F. Nutzungszwecke beim Einsatz von Microsoft Advertising [#f-nutzungszwecke-beim-einsatz-von-microsoft-advertising]

Microsoft gibt an, dass Advertising-Daten zu folgenden Zwecken verarbeitet werden:

* **Conversion-Tracking:** Messung und Attribution von Conversions zu bestimmten Ads oder Keywords
* **Campaign-Performance-Reporting:** Bereitstellung von detaillierten Kampagnen-Auswertungen für den Webseitenbetreiber
* **Audience-Erstellung und Verwaltung:** Segmentierung von Website-Besuchern für Remarketing und Zielgruppen-Targeting
* **Algorithmen-Optimierung:** Verbesserung der Machine-Learning-Modelle für besseres Bid-Management und Zielgruppen-Matching
* **Attribution-Modellierung:** Mehrkanal-Attribution, um zu verstehen, welche Touchpoints zu Conversions führen
* **Sicherheit und Missbrauchserkennung:** Identifikation verdächtiger Aktivitäten und Betrugsprävention
* **Ggf. Microsoft-interne Geschäftszwecke:** Abhängig von der AVV-Konfiguration; normalerweise nur mit expliziter Zustimmung

## G. Rechtsgrundlagen für Microsoft Advertising [#g-rechtsgrundlagen-für-microsoft-advertising]

**Rechtsgrundlage hängt vom Nutzungszweck ab:**

**1. Conversion-Tracking und Remarketing (Marketing-Tags):**
**Einwilligung** nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG ist typischerweise erforderlich. Der Nutzer muss explizit einwilligen, dass Tracking-Tags sein Verhalten erfassen und Daten an Microsoft übermittelt werden.

**2. Funktional erforderliche Nutzung (z.B. Conversion-Attribution für eigene Optimierung):**
**Berechtigte Interessen** des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) können unter Umständen eine Grundlage sein: Optimierung der eigenen Website-Performance, Kampagnen-Erfolgsanalyse. Dies erfordert eine Interessensabwägung und ist im Einzelfall zu prüfen.

**3. Datenübermittlung in die USA:**
Bei DPF-Zertifizierung: Art. 45 DSGVO (Angemessenheitsbeschluss). Ohne DPF: Art. 46 DSGVO (Standard Contractual Clauses) oder andere geeignete Garantien.

**Praktischer Ansatz:**
Der sicherste Weg ist die Einstufung als Marketing-Tag, das eine explizite Einwilligung erfordert. Dies vermeidet komplexe Interessensabwägungen und ist transparent für Nutzer.

## H. Besonderheiten und Hinweise zu Microsoft Advertising [#h-besonderheiten-und-hinweise-zu-microsoft-advertising]

**1. Auftragsverarbeiter-Status ist klar**
Anders als Meta Pixel oder LinkedIn Insight Tag ist Microsoft Advertising eine klare Auftragsverarbeiter-Konstellation. Microsoft verarbeitet Daten im Auftrag des Webseitenbetreibers. Dies vereinfacht die rechtliche Struktur und legt weniger komplexe Anforderungen an die Datenschutzerklärung fest.

**2. Auftragsverarbeitungsvertrag (AVV) ist Pflicht**
Ein formal unterzeichneter oder akzeptierter AVV ist eine zwingende Voraussetzung für die DSGVO-konforme Nutzung. Der Webseitenbetreiber muss diesen abrufen und aufbewahren. Der AVV sollte in der Datenschutzerklärung erwähnt werden.

**3. UET-Tag und Google Tag Manager Integration**
Das Microsoft-UET-Tag kann via Google Tag Manager geladen werden. Der Webseitenbetreiber sollte sicherstellen, dass das Tag erst NACH Einwilligung (z.B. via Cookie-Banner) geladen wird.

**4. DPF-Zertifizierung**
Microsoft Corporation ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses. Jedoch wird die regelmäßige Überprüfung des DPF-Status empfohlen, da dieser sich ändern kann.

**5. Subprozessoren und deren Transparenz**
Der AVV sollte eine Liste genehmigter Subprozessoren enthalten. Der Webseitenbetreiber hat das Recht, von Subprozessoren-Änderungen informiert zu werden und dieser zu widersprechen (Opt-Out-Recht).

**6. Datenübermittlung in die USA und DSFA**
Eine DSFA (Datenschutz-Folgenabschätzung) wird empfohlen, insbesondere bei großen Datenmengen oder sensitiven Daten. Die DSFA sollte die Transfermechanismen (DPF, SCCs) und Schutzmaßnahmen dokumentieren.

**7. Opt-Out und Nutzer-Kontrolle**
Microsoft bietet Nutzern begrenzte Opt-Out-Möglichkeiten:

* Deaktivierung von Interest-Based Ads in den Kontoeinstellungen
* Nutzer können unter [https://account.microsoft.com/privacy](https://account.microsoft.com/privacy) Werbe-Präferenzen verwalten
* Allerdings funktioniert eine vollständige Opt-Out nur durch Einwilligung (Einwilligung kann widerrufen werden)

## I. FAQ zu Microsoft Advertising [#i-faq-zu-microsoft-advertising]

<Accordions type="single">
  <Accordion title="Was ist Microsoft Advertising?">
    Microsoft Advertising (ehemals Bing Ads) ist eine Werbe- und Tracking-Plattform von Microsoft. Webseitenbetreiber können das UET-Tag (Universal Event Tracking) einbetten, um Conversions zu tracken, Zielgruppen zu erstellen und Remarketing-Kampagnen durchzuführen. Es ist enger mit Bing, Yahoo und dem Microsoft Audience Network integriert.
  </Accordion>

  <Accordion title="Ist Microsoft Advertising ein Auftragsverarbeiter oder Verantwortlicher?">
    Microsoft Advertising funktioniert als Auftragsverarbeiter (Data Processor) im Sinne von DSGVO Art. 28. Der Webseitenbetreiber ist alleiniger Verantwortlicher. Dies unterscheidet sich von Meta Pixel und LinkedIn Insight Tag, die Joint-Controller-Szenarien sind.
  </Accordion>

  <Accordion title="Welche Daten erfasst Microsoft Advertising?">
    Das UET-Tag erfasst IP-Adressen, Browser-Informationen, besuchte Seiten, Referrer, Conversion-Ereignisse (Kauf, Lead-Anfrage, etc.), und bei datengestütztem Targeting auch CRM-Daten (gehashte E-Mails, Telefonnummern). Diese werden an Microsoft übermittelt für Conversion-Tracking und Audience-Erstellung.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Microsoft Advertising?">
    Die primäre Rechtsgrundlage ist die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG (für Marketing-Tags). Der Nutzer muss explizit einwilligen, dass Tracking stattfindet. Alternativ können berechtigte Interessen eine Grundlage sein, erfordern aber eine Interessensabwägung.
  </Accordion>

  <Accordion title="Muss ich einen Auftragsverarbeitungsvertrag (AVV) mit Microsoft abschließen?">
    Ja, definitiv. Ein AVV ist eine Pflicht-Voraussetzung für die DSGVO-konforme Nutzung von Microsoft Advertising. Der Webseitenbetreiber muss diesen abrufen, unterzeichnen (oder akzeptieren) und aufbewahren. Der AVV regelt Microsofts Pflichten als Auftragsverarbeiter.
  </Accordion>

  <Accordion title="Ist Microsoft Advertising DPF-zertifiziert?">
    Microsoft Corporation ist DPF-zertifiziert. Dies ermöglicht Datenübermittlungen in die USA auf Basis eines Angemessenheitsbeschlusses (Art. 45 DSGVO). Der Status sollte regelmäßig überprüft werden.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Microsoft Advertising in die Datenschutzerklärung?">
    Ein separater „Microsoft Advertising"-Absatz ist nicht nötig. Stattdessen wird ein integrierter Ansatz empfohlen: Zentrale Erklärung der Zwecke (Conversion-Tracking, Remarketing, Audience-Erstellung), Rechtsgrundlagen (Einwilligung), und eine Empfängertabelle, die Microsoft als Auftragsverarbeiter ausweist. Ein Hinweis auf die Verfügbarkeit des AVV sollte nicht fehlen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Microsoft Advertising [#j-fazit-und-empfehlung-zu-microsoft-advertising]

Microsoft Advertising ist eine spezialisierte Werbe-Plattform für Conversion-Tracking und Audience-Management, mit einer klaren Auftragsverarbeiter-Rolle. Dies ist datenschutzrechtlich transparenter als Joint-Controller-Szenarien wie Meta Pixel oder LinkedIn Insight Tag.

Der entscheidende Punkt ist die Verfügbarkeit und Verwendung eines formalen Auftragsverarbeitungsvertrags (AVV). Ohne AVV ist die Nutzung nicht DSGVO-konform. Der Webseitenbetreiber trägt die volle Verantwortung für die Einhaltung der Datenschutzanforderungen.

Eine Datenschutzerklärung für Microsoft Advertising muss nicht in einem separaten Absatz erfolgen, sondern kann integriert werden: mit klarer Nennung von Microsoft als Auftragsverarbeiter, Angabe der Zwecke, Rechtsgrundlagen und Speicherdauer, sowie einem Hinweis auf den vorhandenen AVV.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Microsoft Advertising und ersetzt keine rechtliche Beratung im Einzelfall. Die Angaben beruhen auf Herstellerangaben (Microsoft), öffentlich zugänglichen Quellen und der DSGVO. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Mollie Checkout und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/mollie-checkout-datenschutzerklaerung)



# Mollie Checkout und Datenschutz – Was in die Datenschutzerklärung gehört [#mollie-checkout-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Wer Mollie Checkout in seine Webseite oder seinen Onlineshop integriert, bindet einen regulierten europäischen Zahlungsdienstleister ein. Mollie verarbeitet dabei Zahlungsdaten – von Bankdaten bis zu Kreditkartennummern – nach den Regeln der DSGVO. Diese Verarbeitung muss in der Datenschutzerklärung korrekt offengelegt werden.

## A. Zweck und Funktionsweise von Mollie Checkout [#a-zweck-und-funktionsweise-von-mollie-checkout]

Mollie ist ein Zahlungsdienstleister mit Sitz in Amsterdam (Niederlande), der von der niederländischen Zentralbank (De Nederlandsche Bank, DNB) reguliert wird. Das Unternehmen ermöglicht es Webseitenbetreibern, Zahlungen von Kunden entgegenzunehmen – eine zentrale Funktion im E-Commerce.

**Checkout-Integration:**

Mollie stellt verschiedene Integrationsmöglichkeiten zur Verfügung:

* **Hosted Payment Page (HPP):** Der Kunde wird zu einer externen, verschlüsselten Checkout-Seite von Mollie weitergeleitet, gibt dort seine Zahlungsdaten ein und wird nach erfolgreicher Zahlung zurück zur Webseite geleitet. Diese Variante minimiert den Datenkontakt des Webseitenbetreibers mit Zahlungsdaten.

* **Embedded Checkout / Mollie Components:** Zahlungsfelder (z. B. für Kreditkarten) werden direkt in die Webseite eingebettet. Die Eingabe erfolgt über ein verschlüsseltes iFrame, das zu Mollie-Servern kommuniziert – der Webseitenbetreiber sieht die eingegebenen Daten nicht.

* **Build-Your-Own-Checkout (API):** Fortgeschrittene Integration über die Mollie-API, bei der der Entwickler ein Custom-Checkout baut.

**Andere Mollie-Funktionen** (wie Rechnungsverwaltung, Subscriptions, Dashboard) werden hier nicht behandelt, da sie nicht zur Checkout-Integration gehören.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Nach Art. 13 und 14 DSGVO (Datenschutz-Grundverordnung) müssen Webseitenbetreiber ihre Nutzer transparent darüber aufklären, welche Daten verarbeitet werden und zu welchem Zweck. Eine bloße Erwähnung von „Mollie wird für Zahlungen genutzt" genügt nicht.

**DSGVO-Anforderungen:**

Ihre Datenschutzerklärung sollte folgende Punkte zu Mollie enthalten:

1. **Anbietername und Sitz:** Mollie B.V., Amsterdam (Niederlande)
2. **Art der verarbeiteten Daten:** Welche Zahlungs-, Kunden- und technischen Daten werden erfasst?
3. **Verarbeitungszwecke:** Zahlungsabwicklung, Betrugserkennung, regulatorische Compliance
4. **Rechtsgrundlage:** Welcher Artikel der DSGVO legitimiert die Verarbeitung? (typischerweise Art. 6 Abs. 1 lit. b – Vertragsdurchführung)
5. **Speicherdauer:** Wie lange speichert Mollie die Daten?
6. **Empfänger:** Welche Dritten (Banken, Zahlungsnetzwerke, etc.) erhalten die Daten?
7. **Mollie als Verantwortlicher:** Klarstellung, dass Mollie eigenständiger Verantwortlicher ist und eigene Datenschutzrichtlinien hat

**Häufiger Fehler:** Viele Webseitenbetreiber verwenden vorgefertigte Textbausteine, die sie selbst nicht überprüft haben. Das kann zu rechtlichen Unstimmigkeiten führen. Besser: Daten recherchieren, dann präzise Formulierungen selbst schreiben oder mit professioneller Hilfe überprüfen lassen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter – Mollie B.V. [#c-anbieter--mollie-bv]

**Unternehmensangaben:**

* **Name:** Mollie B.V.
* **Sitz:** Keizersgracht 126, 1015 CW Amsterdam, Niederlande
* **Registrierung:** KvK (Niederländisches Handelsregister) Nr. 30204462
* **Regulierung:** DNB (De Nederlandsche Bank), elektronisches Geldunternehmen (WFTEG-Lizenz, Relationsnummer F0038)
* **Status:** Zahlungsdienstleister gemäß Payment Services Directive (PSD2), sitzend in der EU/EWR

**Datenschutz-Kontakt:**

Mollie veröffentlicht seine Datenschutzerklärung unter [https://www.mollie.com/de/privacy](https://www.mollie.com/de/privacy).

**Rechtsgrundlage:**

Mollie unterliegt der deutschen DSGVO, da es mit Nutzern in Deutschland kommuniziert und in der EU tätig ist. Kein Drittlandtransfer im Sinne der DSGVO Art. 44–49 (Mollie sitzt in der EWR-Schengen-Zone). Ein Angemessenheitsbeschluss ist nicht erforderlich.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Die Verarbeitung von Zahlungsdaten durch Mollie folgt einem typischen Ablauf, der in Ihrer Datenschutzerklärung chronologisch dargestellt werden kann:

<Steps>
  <Step>
    **Erhebung:** Der Kunde klickt auf den Checkout-Button oder wird zur Mollie HPP weitergeleitet. Dabei werden erste Daten erfasst: IP-Adresse, Zeitstempel, Gerätetyp, Browser.
  </Step>

  <Step>
    **Dateneingabe:** Der Kunde gibt Zahlungsdaten ein (IBAN bei Lastschrift, Kartendaten bei Kreditkarte, PayPal-Login, etc.). Bei der HPP oder bei Mollie Components sieht der Webseitenbetreiber diese Daten nicht – sie gehen direkt zu Mollie-Servern.
  </Step>

  <Step>
    **Speicherung:** Mollie speichert die Zahlungsdaten auf seinen EU-Servern (Amsterdam). Kreditkartendaten werden gemäß PCI-DSS-Standard (Payment Card Industry Data Security Standard, Zertifizierung Level 1) verschlüsselt und tokenisiert.
  </Step>

  <Step>
    **Verarbeitung und Prüfung:** Mollie prüft die Zahlung auf Authentizität, Betrug und regulatorische Compliance (AML, KYC, Geldwäsche-Richtlinie).
  </Step>

  <Step>
    **Weitergabe an Dritte:** Zahlungsdaten werden an die involvierten Zahlungsnetzwerke (Mastercard, Visa), Banken, Acquirer und ggf. Drittanbieter-Zahlungsdienste (PayPal, Klarna, etc.) weitergeleitet.
  </Step>

  <Step>
    **Löschung:** Nach Ablauf der Aufbewahrungsfristen (z. B. 6 Jahre für Transaktionsdaten gemäß HGB/Handelsgesetzbuch oder GDPR-Anforderungen) löscht Mollie die Daten.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Mollie erhebt und verarbeitet folgende Datenkategorien:

**Webserver-Protokolldaten**

* IP-Adresse des Kunden zum Zeitpunkt des Checkout-Aufrufs
* HTTP-Referrer (von welcher Seite kam der Nutzer)
* Zeitstempel und Dauer der Sitzung

**Endgeräte-Daten**

* Gerätetyp (Desktop, Tablet, Smartphone)
* Betriebssystem und dessen Version
* Geräte-Identifier (falls vorhanden)

**Browserinformationen**

* Browser-Typ und -Version
* User-Agent-String
* Installierte Browser-Erweiterungen (optional, für Betrugserkennung)

**Grobe Standortdaten**

* Abgeleitet aus der IP-Adresse (Land, Region, Stadt)
* Ggf. GPS-Daten (falls der Kunde diese freigegeben hat)

**Zahlungskonto-Daten**

* Name des Käufers
* E-Mail-Adresse
* Rechnungsadresse
* Lieferadresse (falls unterschiedlich)
* Telefonnummer
* **Zahlungsdaten:** IBAN/Kontonummer (für Lastschrift) oder Kreditkartennummer (wird tokenisiert und nicht gespeichert), Karteneigentümer, Gültigkeitsdatum
* Kundennummer/Kundenkonto (falls vorhanden)

**Transaktionsdaten**

* Bestellnummer / Transaktions-ID
* Kaufbetrag und Währung
* Gekaufte Produkte / Dienstleistungen (ggf. Warenkorbinhalt)
* Zahlungsmethode
* Zahlungsstatus (erfolgreich, ausstehend, fehlgeschlagen, zurückgebucht)

**Betrugserkennung und Risikoanalyse**

* Vergleich mit bekannten Betrugsmeldungen
* Verhaltensanalysen (z. B. Abweichungen beim Standort, Geräte-Wechsel, Häufigkeit der Transaktionen)
* Machine-Learning-Scores zur Risikobewertung

**Wichtiger Hinweis:** Kreditkartendaten (Kartennummer, CVV) werden weder von Mollie noch vom Webseitenbetreiber dauerhaft gespeichert. Sie werden unmittelbar nach der Autorisierung durch einen **Token** ersetzt – eine sichere, nicht dekodierbare Referenz. Das ermöglicht Mollie, zukünftige Zahlungen ohne erneute Eingabe zu verarbeiten (z. B. für Abonnements), ohne die Kartendaten zu speichern.

## F. Nutzungszwecke [#f-nutzungszwecke]

Mollie verarbeitet die Zahlungsdaten zu folgenden Zwecken:

**Vertragsdurchführung**

* Transaktionen zwischen Käufer und Verkäufer abwickeln
* Zahlungsbestätigung erzeugen und versenden
* Rechnungen erstellen (ggf. über integrierte Abrechnungsfunktionen)

**Sicherheit und Missbrauchsschutz**

* Betrugserkennung und Betrugsbekämpfung (Duplicate Detection, Velocity Checking, Device Fingerprinting)
* Prüfung auf verdächtige Zahlungsmuster
* Chargeback-Prävention (Rückbelastungsschutz)
* 3D-Secure-Authentifizierung für Kreditkartenzahlungen

**Regulatorische Compliance**

* Anti-Money-Laundering (AML) und Know-Your-Customer (KYC) nach der 5. EU-Geldwäscherichtlinie
* Implementierung des Geldwäschegesetzes (GwG) und der Verordnung zur Bekämpfung der Geldwäsche und Terrorismusfinanzierung (GwV)
* PSD2-Compliance (Payment Services Directive 2)
* Reporting an Finanzbehörden, Zentralbanken und andere regulatorische Stellen

**Erfüllung von Aufbewahrungspflichten**

* Aufbewahrung von Transaktionsdaten für 6 Jahre (Handelsgesetzbuch, Steuerrecht)
* Archivierung zu Audit- und Revisionszwecken

**Rechtsdurchsetzung und Streitbeilegung**

* Bearbeitung von Zahlungsstreitigkeiten
* Chargeback-Verfahren
* Geltendmachung von Schadensersatzansprüchen
* Zusammenarbeit mit Strafverfolgungsbehörden (z. B. bei Verdacht von Straftaten)

**Technische Optimierung und Service-Verbesserung**

* Monitoring der Plattformverfügbarkeit
* Performance-Analysen
* A/B-Tests für Checkout-Optimierung (anonymisiert)

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Verarbeitung von Zahlungsdaten durch Mollie wird durch mehrere Rechtsgrundlagen der DSGVO legitimiert:

**Art. 6 Abs. 1 lit. b DSGVO – Vertragsdurchführung**

* Dies ist die Hauptrechtsgrundlage für die Zahlung selbst. Der Vertrag zwischen Käufer und Verkäufer erfordert die Zahlungsabwicklung, die Mollie durchführt.
* Umfasst: Transaktionsdaten, Zahlungsdaten, Rechnungsadresse, Lieferadresse

**Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung**

* Mollie unterliegt als Zahlungsdienstleister gesetzlichen Pflichten (GwG, PSD2, GDPR-Compliance, steuerrechtliche Aufbewahrung).
* Umfasst: AML/KYC-Screening, Betrugsmeldungen an Behörden, Speicherung für Compliance

**Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse**

* Für Betrugserkennung und Risikoanalyse, da dies im Interesse des Zahlungsanbieters (Schutz vor Verlusten) und des Käufers (Schutz vor Identitätsdiebstahl) liegt.
* Abwägung: Das Sicherheitsinteresse überwiegt das Datenschutzinteresse des Käufers

**Einwilligung (Art. 7 DSGVO) – NICHT erforderlich**

* Die Zahlungsabwicklung durch Mollie erfordert **keine ausdrückliche Cookie-Einwilligung** für die Kernfunktion (PCI-DSS und sichere Zahlungsverarbeitung sind systemische Anforderungen).
* Allerdings: Andere Tracking-Funktionen (z. B. Google Analytics, Remarketing) benötigen Einwilligung.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Mollie als eigenständiger Verantwortlicher**

Mollie ist **nicht** der Auftragsverarbeiter des Webseitenbetreibers (wie z. B. ein E-Mail-Marketing-Dienstleister). Stattdessen ist Mollie für die Zahlungsabwicklung eigenständiger Verantwortlicher nach Art. 4 Nr. 7 DSGVO. Das bedeutet:

* Mollie trifft selbst Entscheidungen über Zweck und Mittel der Datenverarbeitung (Betrugserkennung, Compliance, Datenspeicherung)
* Mollie ist selbst für die Einhaltung der DSGVO verantwortlich (eigener Datenschutzbeauftragte, eigner Audit-Prozess)
* Der Webseitenbetreiber und Mollie sind gleichberechtigte Verantwortliche (Joint Controllers im Sinne von Art. 26 DSGVO)

**Datenschutzhinweis im Checkout**

In Ihrem Datenschutzhinweis sollten Sie präzisieren:

> „Zur Verarbeitung Ihrer Zahlung arbeiten wir mit Mollie B.V. (Amsterdam, Niederlande) zusammen. Mollie ist eigenständiger Verantwortlicher und unterliegt eigenen Datenschutzrichtlinien (siehe [https://www.mollie.com/de/privacy](https://www.mollie.com/de/privacy)). Ihre Zahlungsdaten werden direkt an Mollie übermittelt und nicht auf unserem System gespeichert."

**Andere Zahlungsanbieter separat nennen**

Falls Sie mehrere Zahlungsanbieter einbinden (z. B. PayPal, Stripe, Klarna), sollten Sie für jeden eigenständige Abschnitte in der Datenschutzerklärung erstellen. PayPal, Klarna und andere sind ebenfalls eigenständige Verantwortliche mit eigenen Datenschutzrichtlinien.

**Data Processing Agreement (DPA)**

Nach Mollie Support-Dokumentation ist ein **formales DPA mit Mollie nicht verfügbar**, da Mollie nicht im klassischen Sinne als Auftragsverarbeiter fungiert. Allerdings gibt Mollie seine Datenschutzverpflichtungen in den Terms of Service und der Privacy Policy an. Eine Absicherung ist dennoch ratsam – beauftragen Sie einen Datenschutzbeauftragten oder Rechtsanwalt, um zu klären, ob Ihre spezifische Mollie-Integration eine weitere Vereinbarung erfordert.

**Regulierung und Aufsicht**

* Mollie ist bei der niederländischen Zentralbank (DNB) als elektronisches Geldunternehmen (WFTEG) lizenziert
* Unterliegt der EU-Zahlungsrichtlinie (PSD2) und deutschem Geldwäschegesetz (GwG)
* Aufsicht durch DNB und ggf. BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) im Hinblick auf deutsche Kunden

## I. Häufige Fragen zu Mollie Checkout und Datenschutz [#i-häufige-fragen-zu-mollie-checkout-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist Mollie Checkout genau?">
    Mollie Checkout ist ein Zahlungs-Gateway, das Webseitenbetreiber integrieren können, um Zahlungen entgegenzunehmen. Mollie bietet verschiedene Integrationsvarianten: die Hosted Payment Page (Kunden werden zu Mollie weitergeleitet), Embedded Checkout (Zahlungsfelder auf der Website), und API-Integration (Custom Checkout). Der Fokus liegt auf Sicherheit, Betrugserkennung und Unterstützung mehrerer Zahlungsmethoden (iDEAL, SEPA, Kreditkarte, PayPal, Klarna, etc.).
  </Accordion>

  <Accordion title="Welche Daten verarbeitet Mollie konkret?">
    Mollie erhebt: IP-Adresse, Gerätetyp, Browser, Zahlungsdaten (Name, IBAN oder Kreditkartennummer – diese werden tokenisiert), Rechnungsadresse, E-Mail, Bestellnummer, Kaufbetrag, Zahlungsstatus, Betrugsindikatoren und Verhaltensmuster. Wichtig: Kreditkartennummern werden nicht dauerhaft gespeichert, sondern durch einen Token ersetzt.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage ist für Mollie-Zahlungen relevant?">
    Die Hauptrechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung). Zusätzlich gilt Art. 6 Abs. 1 lit. c (rechtliche Verpflichtungen wie AML/KYC und Aufbewahrung) und Art. 6 Abs. 1 lit. f (berechtigtes Interesse für Betrugserkennung). Eine separate Einwilligung für die Kernzahlung ist nicht erforderlich.
  </Accordion>

  <Accordion title="Brauche ich eine Einwilligung für Mollie Checkout?">
    Nein. Die Zahlung über Mollie ist eine essenzielle, vertragliche Funktion und erfordert keine Cookie-Einwilligung nach DSGVO oder TMG. Sie sollten aber transparent in Ihrer Datenschutzerklärung erklären, dass und wie Mollie Daten verarbeitet. Falls Mollie zusätzliche Tracking-Cookies setzt (z. B. für Analytics), benötigen diese eine separate Einwilligung.
  </Accordion>

  <Accordion title="Was gehört in meinen Datenschutzhinweis zu Mollie?">
    Ihr Hinweis sollte enthalten: (1) Mollie B.V., Amsterdam als Anbieter, (2) welche Daten (Zahlungsdaten, IP, Adresse, etc.), (3) wer diese Daten erhält (Mollie, Banken, Zahlungsnetzwerke), (4) dass Mollie eigenständiger Verantwortlicher ist, (5) Link zu Mollies Privacy Policy ([https://www.mollie.com/de/privacy](https://www.mollie.com/de/privacy)), (6) Speicherdauer der Transaktionsdaten (typischerweise 6 Jahre für Compliance). Verwenden Sie einen professionellen Textbaustein oder lassen Sie die Formulierung von einem Datenschutzexperten überprüfen – fertige, nicht überprüfte Muster können problematisch sein.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Mollie Checkout ist ein moderner, regulierter Zahlungsdienstleister, der Zahlungen sicher und DSGVO-konform abwickelt. Webseitenbetreiber sind verpflichtet, diese Verarbeitung transparent in ihrer Datenschutzerklärung offenzulegen.

**Zentrale Punkte für Ihre Dokumentation:**

1. Nennen Sie Mollie B.V. als eigenständigen Verantwortlichen, nicht als Auftragsverarbeiter
2. Auflisten Sie die konkreten erhobenen Daten (nicht vage, sondern spezifisch)
3. Begründen Sie die Rechtsgrundlage (Art. 6 Abs. 1 lit. b für Vertragserfüllung, ggf. lit. c und f für Compliance und Sicherheit)
4. Geben Sie die Speicherdauer an (6 Jahre für Transaktionsdaten gemäß Handelsrecht)
5. Verlinken Sie Mollies Datenschutzerklärung
6. Klären Sie, dass Kreditkartendaten nicht auf Ihrem System gespeichert werden

**Häufiges Problem:** Viele Webseitenbetreiber verwenden pauschale Textbausteine für alle Zahlungsanbieter. Das führt zu inhaltlichen Fehlern und kann zu Abmahnungen führen. Besser: Recherchieren Sie die genaue Praxis des Anbieters, beraten Sie sich mit einem Datenschutzbeauftragten und formulieren Sie präzise, anbieter-spezifische Angaben.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer:** Dieser Artikel bietet einen Überblick über datenschutzrechtliche Anforderungen bei der Nutzung von Mollie Checkout. Er stellt keine Rechtsberatung dar. Für Ihre spezifische Situation sollten Sie einen Datenschutzbeauftragten oder Rechtsanwalt konsultieren. Stand: April 2026.
</Callout>

<AuthorBlock />


# New Relic Browser Agent und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/new-relic-browser-agent-datenschutzerklaerung)



# New Relic Browser Agent und Datenschutz – Was in die Datenschutzerklärung gehört [#new-relic-browser-agent-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Der New Relic Browser Agent ermöglicht Real User Monitoring (RUM) und misst die Performance von Webseiten aus dem Browser des Endnutzers. Die JavaScript-Integration erhebt dabei technische Daten zu Ladezeiten, Fehlern und Nutzerinteraktionen. Dieser Leitfaden dokumentiert, welche Datenschutzinformationen in eine Datenschutzerklärung gehören, wenn New Relic Browser Monitoring eingesetzt wird.

## A. Zweck und Funktionsweise des New Relic Browser Agent [#a-zweck-und-funktionsweise-des-new-relic-browser-agent]

Der New Relic Browser Agent ist ein JavaScript-Code-Schnipsel, das in die Webseite eingebunden wird (entweder direkt in den `<head>`-Bereich oder via APM-Agent) und kontinuierlich Performance-Daten erfasst. Das Tool konzentriert sich auf Frontend-Performance-Monitoring und misst:

* **Seitenladezeiten** und Ressourcen-Ladezeiten
* **Core Web Vitals**: Largest Contentful Paint (LCP), First Input Delay (FID) und Cumulative Layout Shift (CLS)
* **JavaScript-Fehler** im Browser des Nutzers
* **AJAX- und HTTP-Requests** sowie deren Antwortzeiten
* **Seiten-Navigation** (Klickpfade) und Nutzerinteraktionen
* **Technische Telemetriedaten** wie Gerätetyp, Betriebssystem, Browser-Version

**Abgrenzung:** New Relic ist eine umfassende Observability-Plattform mit vielen Produkten (APM, Infrastructure, Logs, Synthetics). Dieser Leitfaden behandelt ausschließlich den **Browser Agent** zur Webseiten-Integration. Andere New Relic-Funktionen erfordern separate Datenschutz-Dokumentation.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Nach der Datenschutz-Grundverordnung (DSGVO) und dem Telemediengesetz (TMG) müssen Website-Betreiber Nutzern transparent über Datenverarbeitung berichten. Eine Datenschutzerklärung muss gemäß Art. 13, 14 DSGVO folgende Informationen enthalten:

1. **Verantwortlicher** (Website-Betreiber) und **Auftragsverarbeiter** (New Relic)
2. **Zwecke** der Datenverarbeitung
3. **Kategorien personenbezogener Daten**, die erhoben werden
4. **Rechtsgrundlagen** für die Verarbeitung
5. **Speicherdauer** und Löschungspolitik
6. **Betroffenenrechte** (Auskunft, Berichtigung, Löschung, Datenportabilität)
7. Bei Drittlandtransfers: **Garantien** (Data Privacy Framework, Standardvertragsklauseln)

Die Angaben müssen präzise, verständlich und nicht zu allgemein formuliert sein. Pauschale Aussagen wie „wir nutzen Analyse-Tools" genügen nicht—konkrete Angaben zu New Relic sind erforderlich.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Verantwortlicher (Website-Betreiber):**\
Sie selbst (oder Ihre Organisation)

**Auftragsverarbeiter:**\
New Relic, Inc.\
188 Spear Street, Suite 1200\
San Francisco, CA 94105, USA

**Datenschutzbeauftragter:**\&#xA;New Relic hat einen Datenschutzbeauftragten (DPO) mit Sitz in Deutschland, erreichbar unter: &#x2A;*[Privacy@newrelic.com](mailto:Privacy@newrelic.com)**

**Rechtsform:**\
New Relic ist ein US-amerikanisches Unternehmen (Delaware Corporation), unterliegt aber als Auftragsverarbeiter der DSGVO und hat einen **Datenschutz-Auskunftspflicht-Mechanismus** eingerichtet.

**Zertifizierungen:**

* **EU-U.S. Data Privacy Framework (DPF):** New Relic ist unter der DPF-Initiative zertifiziert (ersetzt das ehemals ungültige Privacy Shield)
* **Standardvertragsklauseln (SCCs 2021):** Als Fallback-Mechanismus in der Data Processing Addendum (DPA) enthalten
* **GDPR-Compliance:** New Relic ist ein EU-GDPR und UK-GDPR konformer Auftragsverarbeiter

**Rechenzentren und Datenspeicherung:**\
New Relic bietet Kunden die Wahl zwischen **US-Rechenzentren** und **EU-Rechenzentren** (Irland). Kundenendaten werden in der vom Account-Inhaber gewählten Region gespeichert. Systemoperationsdaten (Billing, Lizenzen, interne Monitoring) werden in den USA gehostet und in die EU repliziert.

**Privacy Policy:**\
[https://newrelic.com/termsandconditions/privacy](https://newrelic.com/termsandconditions/privacy)

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

<Steps>
  <Step>
    **Datenerhebung:** Der Browser Agent wird als JavaScript-Schnipsel auf der Webseite geladen und beginnt sofort mit der Erfassung von Performance-Metriken aus dem Browser des Nutzers (ohne vorherige Einwilligung für technische Daten).
  </Step>

  <Step>
    **Datensammlung und Aggregation:** Der Agent sammelt lokal im Browser des Nutzers Daten und aggregiert diese periodisch (z.B. stündlich oder bei Page-Events wie Load, Unload, Pageshow, Pagehide).
  </Step>

  <Step>
    **Datenübertragung:** Aggregierte Daten werden verschlüsselt via HTTPS an New Relic-Server übertragen (Domains: bam.nr-data.net oder bam-cell.nr-data.net).
  </Step>

  <Step>
    **Speicherung auf New Relic-Servern:** Daten werden in den New Relic-Rechenzentren der gewählten Region (US oder EU) mit Verschlüsselung im Ruhezustand (at-rest encryption) und SOC-2-Zertifizierung gespeichert.
  </Step>

  <Step>
    **Nutzung und Analyse:** Sie (als Website-Betreiber) können Daten in der New Relic-Oberfläche einsehen und für Performance-Analyse, Fehlerdiagnose und Optimierung nutzen.
  </Step>

  <Step>
    **Datenlöschung:** Die Aufbewahrungsdauer ist in Ihrem New Relic-Account konfigurierbar (Standard: verschiedene Aufbewahrungsrichtlinien je nach Datentyp). Sie können die Löschung manuell steuern oder über New Relic-Richtlinien automatisieren.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Der Browser Agent erhebt folgende Kategorien personenbezogener und technischer Daten:

**Webserver-Protokolldaten:**

* **IP-Adresse** des Nutzers (New Relic gibt an: wird zur Bestimmung der groben geografischen Lage verwendet, aber **nicht** zur Identifikation des Nutzers herangezogen; wird nicht langfristig protokolliert)
* **Zeitstempel** der Anfrage (Datum und Uhrzeit)

**Klickpfade und Navigation:**

* Besuchte Seiten und interne Navigationspfade
* Verweis-URLs (Referrer) — **ohne Query-String** (New Relic deaktiviert die Erfassung von URL-Parametern aus Datenschutzgründen)

**Endgeräte- und Systeminformationen:**

* **Gerätetyp** (Desktop, Tablet, Smartphone)
* **Betriebssystem** und Version
* **Bildschirmauflösung**
* **Browser-Informationen** (Typ, Version)

**Grobe Standortdaten:**

* Geografische Region (abgeleitet aus IP-Adresse auf groben Ebene)

**Technische Telemetriedaten (Core Web Vitals):**

* **Largest Contentful Paint (LCP):** Zeit bis zum Rendering des größten Inhalts-Elements
* **First Input Delay (FID):** Verzögerung zwischen Nutzerinteraktion und Browser-Reaktion
* **Cumulative Layout Shift (CLS):** Unerwartete visuelle Verschiebungen während des Seitenladeablaufs
* Allgemeine Ressourcen-Ladezeiten (CSS, Bilder, Scripts)

**Fehlertelemetrie:**

* **JavaScript-Fehler:** Fehlermeldungen, Stacktraces
* **Netzwerkfehler:** Fehlgeschlagene AJAX-/HTTP-Requests

**AJAX- und HTTP-Request-Daten:**

* Request-URLs, HTTP-Methoden, Antwort-Statuscodes
* Response-Zeiten

**Session-Management:**

* **Session-ID:** Ein eindeutiger Identifikator für eine Browser-Sitzung (in modernen Browser-Agent-Versionen ≥ 1220 über DOM Storage, nicht via Cookies)
* Session-Timeout: 30 Minuten Inaktivität beendet eine Session

**Abhängig von Konfiguration:**

* Cookie-Daten (bei aktivierter Cookie-Collection in älteren Agent-Versionen)
* Zusätzliche benutzerdefinierte Daten (falls Sie diese explizit an New Relic senden)

## F. Nutzungszwecke [#f-nutzungszwecke]

**Funktionsbereitstellung und Fehlerdiagnose:**

* Echtzeit-Erkennung und Behebung technischer Fehler und Performance-Probleme auf Ihrer Website
* Identifikation fehlerhafter Ressourcen oder langsamer API-Endpunkte

**Allgemeine Produktverbesserung:**

* Analyse und Optimierung der Website-Performance
* Monitoring von Nutzererfahrung (User Experience / Digital Experience)
* Bedarfsgerechte Weiterentwicklung und Verbesserung Ihrer Website-Architektur

**Sicherheit und Anomalieerkennung:**

* Erkennung von ungewöhnlichen Mustern, Bot-Aktivitäten oder Missbrauchsindikatoren
* Sicherung gegen Fehlfunktionen und Ausfallschutz

**Interne Analytik und Reporting (begrenzt):**

* Aggregierte Statistiken für interne Geschäfts- und Optimierungszwecke
* **Keine** Erstellung von Nutzerprofilen oder Verhaltensprofilierung für externe Zwecke

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

**Primäre Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)**

Die Nutzung von New Relic Browser Agent wird in den meisten Fällen durch **berechtigtes Interesse** gerechtfertigt, wenn folgende Bedingungen erfüllt sind:

1. **Keine Profilbildung:** Daten werden ausschließlich für technische Performance-Analyse verwendet, nicht zur Erstellung von Nutzerprofilen oder Verhaltensprofilierung
2. **Minimale Datenerhebung:** Nur technisch notwendige Daten werden erhoben (Query-Strings, IP-Adressen zur Nutzeridentifikation sind deaktiviert)
3. **Outweighing Test:** Das Interesse an Website-Sicherheit und -Optimierung überwiegt die Interessen der Nutzer (da die Datenverarbeitung eher unfreiwillig und Nutzer üblich über solche Tools informiert sind)

**Sekundäre Rechtsgrundlagen (kontextabhängig):**

* **Vertragserfüllung (Art. 6 Abs. 1 lit. b):** Falls Sie als SaaS-Provider oder E-Commerce-Betreiber vertraglich verpflichtet sind, die Website-Verfügbarkeit zu garantieren
* **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c):** Falls branchenspezifische Compliance-Anforderungen Performance-Monitoring verpflichtend machen
* **Einwilligung (Art. 6 Abs. 1 lit. a):** Falls Sie sich bewusst für eine Einwilligungs-Strategie entscheiden (z.B. Cookie-Banner mit explizitem Opt-in für Analytics)

**Besonderheit: Cookie-Nutzung und Elektronische Privatspähre (TDDDG / ePrivacy-Richtlinie)**

Falls der New Relic Browser Agent **Session-Tracking über Cookies*&#x2A; durchführt (ältere Agent-Versionen \< 1220), ist zusätzlich eine Rechtfertigung gemäß **§ 25 TDDDG** (Telemediengesetz Deutschland) oder &#x2A;*EU-ePrivacy-Richtlinie (2002/58/EG)** erforderlich:

* Bei nicht-essentiellen Cookies: **Einwilligung erforderlich** (Cookie-Banner mit Opt-in)
* Bei essentiellen / funktionalen Cookies: Einwilligung nicht zwingend erforderlich

**Fazit:** Moderne New Relic Browser Agent-Versionen (≥ 1220) verwenden DOM Storage statt Cookies und erfordern somit keine separate ePrivacy-Einwilligung. Eine Dokumentation der Rechtsgrundlage (berechtigtes Interesse oder Einwilligung) in der Datenschutzerklärung ist jedoch mandatory.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Data Processing Addendum (DPA) und Auftragsverarbeitung:**

New Relic und Ihre Website-Domain haben automatisch einen &#x2A;*Data Processing Addendum (DPA)** abgeschlossen, falls Sie personenbezogene Daten an New Relic übertragen. Der DPA ist **nicht zu unterschreiben**—er gilt automatisch für alle GDPR-relevanten Datenübertragungen. Der DPA regelt:

* Umfang und Vertraulichkeit der Datenverarbeitung
* Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle, Datenschutzbeauftragter)
* Meldungspflicht bei Datenpannen (Notification Timeline)
* Unter-Auftragsverarbeiter (Sub-processors)
* Audit- und Überprüfungsrechte

**Link zum DPA:**\
Aktueller DPA: [https://newrelic.com/termsandconditions/dataprotection](https://newrelic.com/termsandconditions/dataprotection)

**Drittlandtransfer und internationale Datenströme:**

Die USA gelten als Drittland bez. DSGVO. New Relic hat folgende Garantien implementiert:

1. **EU-U.S. Data Privacy Framework (DPF):** New Relic ist unter DPF zertifiziert (ersetzt das ungültige Privacy Shield). Diese Zertifizierung gewährleistet angemessenes Datenschutzniveau bei Transfer zu New Relic in den USA.
2. **Standardvertragsklauseln (SCCs, 2021-Version):** Im DPA integriert als Fallback-Garantie, falls DPF invalidiert wird
3. **EU-Datenspeicherung möglich:** Sie können bei New Relic EU-Datenspeicherung (Irland, one.eu.newrelic.com) wählen, um Drittlandtransfers zu vermeiden

**Bei EU-Datenspeicherung:** Kundenendaten bleiben in der EU; Systemoperationsdaten (Billing) werden dennoch in den USA gespeichert und in die EU repliziert.

**Empfehlung:** Falls Sie unter strikter DSGVO-Compliance-Anforderung arbeiten, sollten Sie die **EU-Datenspeicherungs-Option** wählen und dies in Ihrer Datenschutzerklärung dokumentieren.

**Datenobfuscation und sensible Daten:**

New Relic Browser Agent bietet **Obfuscation-Regeln** zur Maskierung sensibler Daten. Ab Browser Agent v1216+ können Sie Obfuscation-Selector und -Replacements konfigurieren:

```javascript
init: {
  obfuscate: [
    {
      regex: /password.*?=/gi,
      replacement: "password=***"
    },
    {
      regex: /ssn/gi,
      replacement: "XXX-XX-XXXX"
    }
  ]
}
```

**Maßnahmen:**

* **MASK:** Ersetzt alle Zeichen mit Xes (z.B. Formularfeld-Werte)
* **HASH:** Ersetzt sensible Daten mit SHA-256-Hash-Wert
* **Prüfung:** Sie sollten konfigurieren, dass Passwörter, Kreditkartennummern, Sozialversicherungsnummern und andere PII nicht von New Relic erfasst werden

**Session-Tracking und Cookie-Management (Browser Agent ≥ 1220):**

* **Moderne Versionen** verwenden DOM Storage (localStorage) statt Cookies
* **Session-ID:** Wird lokal im Browser gespeichert und ermöglicht Session-Kontinuität über Tabs hinweg
* **Session-Timeout:** 30 Minuten Inaktivität beendet die Session
* **Keine Third-Party-Cookies:** Third-Party-Cookies sind deprecated und werden nicht mehr verwendet
* **Kontrolle:** Sie können Cookie-Collection in den Browser-App-Einstellungen (Privacy Settings) aktivieren/deaktivieren

**Datenspeicherdauer und Aufbewahrung:**

Die Aufbewahrungsdauer von Daten bei New Relic ist **konfigurierbar** in Ihrem New Relic-Account. Typischerweise:

* **Raw-Event-Daten:** 8–30 Tage (je nach Plan)
* **Aggregierte Metriken:** bis zu 13 Monate
* Sie können kürzere Aufbewahrungsfristen setzen oder Daten manuell löschen

**Empfehlung für Datenschutzerklärung:** Dokumentieren Sie, welche Aufbewahrungsfristen Sie konkret konfiguriert haben.

**Besucherrechte und Datenportabilität:**

New Relic unterstützt gemäß DSGVO-Anforderungen:

* **Auskunftsanfragen (Art. 15):** Nutzer können anfragen, welche Daten New Relic über sie speichert
* **Löschungsanfragen (Art. 17):** New Relic kann Daten zu einem Nutzer (z.B. via Session-ID) löschen
* **Datenportabilität (Art. 20):** Export von Daten in maschinenlesbarem Format

**Link für persönliche Datenpflichten:**\
[https://docs.newrelic.com/docs/security/security-privacy/data-privacy/new-relic-personal-data-requests/](https://docs.newrelic.com/docs/security/security-privacy/data-privacy/new-relic-personal-data-requests/)

## I. Häufige Fragen zu New Relic Browser Agent und Datenschutz [#i-häufige-fragen-zu-new-relic-browser-agent-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist der New Relic Browser Agent und wie unterscheidet er sich von anderen New Relic-Produkten?">
    Der New Relic Browser Agent ist ein JavaScript-Schnipsel für &#x2A;*Frontend-Performance-Monitoring (Real User Monitoring, RUM)** auf Webseiten. Er misst Ladezeiten, Fehler und Nutzerinteraktionen direkt im Browser.

    New Relic ist eine umfassende Observability-Plattform mit vielen zusätzlichen Produkten:

    * **APM (Application Performance Monitoring):** Backend-Server-Monitoring
    * **Infrastructure Monitoring:** Infrastruktur- und Systemmetriken
    * **Logs:** Log-Aggregation und -Analyse
    * **Synthetics:** Automatisierte Test-Monitoring
    * **Mobile Monitoring:** App-Performance auf Mobilgeräten

    Diese Anleitung behandelt **nur den Browser Agent**. Andere Produkte erfordern separate datenschutzrechtliche Dokumentation.
  </Accordion>

  <Accordion title="Welche personenbezogenen Daten erhebt der New Relic Browser Agent konkret?">
    Der Browser Agent erhebt:

    1. **Technische Daten:** Ladezeiten, Core Web Vitals (LCP, FID, CLS), JS-Fehler, AJAX-Anfragen
    2. **Geräte-Daten:** Betriebssystem, Browser, Bildschirmauflösung, Gerätetyp
    3. **Netzwerk-Daten:** Grobe geografische Lage (aus IP-Adresse), aber **keine exakte IP-Adresse**
    4. **Navigationsdaten:** Besuchte Seiten, Klickpfade (ohne URL-Query-Strings)
    5. **Session-ID:** Eindeutiger Sitzungsidentifikator (in modernen Versionen in DOM Storage)
    6. **Fehlertelemetrie:** JavaScript-Fehler und Fehlermeldungen

    Die IP-Adresse wird **nicht zur Nutzeridentifikation** verwendet und **nicht langfristig** protokolliert. URL-Query-Strings (z.B. ?user=123\&token=abc) werden aus Datenschutzgründen **nicht erfasst**.

    Falls Sie Obfuscation konfiguriert haben, können zusätzlich sensitive Daten (Passwörter, Kreditkartennummern) maskiert werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für die Nutzung von New Relic Browser Agent unter DSGVO?">
    **Primäre Rechtsgrundlage:** Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wenn:

    * Daten nur für technische Performance-Analyse verwendet werden (keine Profilbildung)
    * Minimale Datenmengen erhoben werden
    * Ihr Interesse an Website-Sicherheit und -Optimierung die Nutzer-Interessen überwiegt

    **Sekundäre Optionen:**

    * **Vertragserfüllung (Art. 6 lit. b):** Falls Sie vertraglich zu Service-Level-Garantien verpflichtet sind
    * **Einwilligung (Art. 6 lit. a):** Falls Sie einen Einwilligungs-Cookie-Banner verwenden

    **Cookie-Besonderheit (falls zutreffend):**
    Falls der Browser Agent Session-Tracking via Cookies durchführt (ältere Versionen), ist zusätzlich eine ePrivacy-Einwilligung (§ 25 TDDDG) erforderlich. Moderne Versionen (≥ 1220) verwenden DOM Storage und benötigen keine separate Cookie-Einwilligung.

    **Empfehlung:** Dokumentieren Sie die gewählte Rechtsgrundlage explizit in Ihrer Datenschutzerklärung.
  </Accordion>

  <Accordion title="Brauche ich eine Einwilligung von Nutzern für den New Relic Browser Agent?">
    Das hängt von Ihrer Konfiguration ab:

    **Einwilligung NICHT zwingend erforderlich, wenn:**

    * Sie moderne Browser Agent-Versionen (≥ 1220) nutzen, die DOM Storage verwenden
    * Sie die Daten nur für technische Performance-Analyse verwenden
    * Sie die Rechtsgrundlage auf **berechtigtes Interesse** abstützen
    * Sie transparent in der Datenschutzerklärung informieren

    **Einwilligung erforderlich, wenn:**

    * Sie ältere Agent-Versionen (\< 1220) mit Session-Tracking via Cookies nutzen
    * Sie sich bewusst für eine Einwilligungs-Strategie entscheiden (z.B. Cookie-Banner mit Opt-in)
    * Branchenspezifische Compliance-Vorgaben dies vorsehen (z.B. Finanzdienstleistungen, Gesundheit)

    **Best Practice:** Informieren Sie Nutzer transparent in der Datenschutzerklärung und ggf. via Cookie-Banner, auch wenn keine explizite Einwilligung erforderlich ist.
  </Accordion>

  <Accordion title="Wie kann ich diese Informationen in meine Datenschutzerklärung integrieren?">
    Fügen Sie einen **eigenen Abschnitt** zu New Relic Browser Agent ein mit folgender Struktur:

    1. **Anbieter:** Name, Adresse, Kontakt von New Relic
    2. **Zweck:** „Monitoring der Website-Performance, Fehlerdiagnose und Optimierung"
    3. **Verarbeitete Daten:** Konkrete Liste (siehe Abschnitt E oben)
    4. **Rechtsgrundlage:** Berechtigtes Interesse oder Einwilligung (je nach Ihrer Wahl)
    5. **Speicherdauer:** Ihre konkret konfigurierte Aufbewahrungsfrist
    6. **Drittlandtransfer:** Falls US-Rechenzentrum, DPF und SCC erwähnen
    7. **Betroffenenrechte:** Verweis auf Auskunfts-, Löschungs- und Datenportabilitätsrechte
    8. **Kontakt:** DPO von New Relic ([Privacy@newrelic.com](mailto:Privacy@newrelic.com))

    **Beispiel-Textbaustein:**

    „Wir nutzen New Relic Browser Agent, einen JavaScript-basierten Performance-Monitor von New Relic, Inc. (188 Spear Street, Suite 1200, San Francisco, CA 94105, USA), zur Überwachung und Verbesserung der technischen Performance unserer Website. Der Agent erhebt technische Daten wie Ladezeiten, Core Web Vitals, JavaScript-Fehler, Geräte- und Browserinformationen sowie eine Session-ID. Die Datenverarbeitung erfolgt auf Basis unseres berechtigten Interesses an Website-Sicherheit und Optimierung (Art. 6 Abs. 1 lit. f DSGVO). \[Bei EU-Datenspeicherung:] Ihre Daten werden in EU-Rechenzentren gespeichert. \[Bei US-Datenspeicherung:] Daten werden in die USA übertragen; New Relic ist unter dem EU-U.S. Data Privacy Framework zertifiziert und hat Standardvertragsklauseln implementiert. Die Aufbewahrung erfolgt bis zu \[Ihre konfigurierte Dauer]. Sie haben das Recht, Auskunft, Berichtigung und Löschung Ihrer Daten zu verlangen. Bei Fragen kontaktieren Sie den Datenschutzbeauftragten von New Relic unter [Privacy@newrelic.com](mailto:Privacy@newrelic.com)."

    Nutzen Sie gerne auch unseren **Website Privacy Policy Generator** zur assistierten Erstellung.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Der New Relic Browser Agent ist ein weit verbreitetes und datenschutzfreundliches Tool für Website-Performance-Monitoring, wenn die richtigen Vorkehrungen getroffen werden. Eine transparent formulierte Datenschutzerklärung mit konkreten Angaben zu Datentypen, Zwecken, Rechtsgrundlagen und Drittlandtransfers ist **mandatory**—allgemeine Formulierungen zu „Analyse-Tools" sind unzureichend.

**Wichtigste Schritte:**

1. **Rechtsgrundlage wählen:** Berechtigtes Interesse oder Einwilligung
2. **Konfiguration überprüfen:** Obfuscation für sensitive Daten aktivieren, EU-Datenspeicherung bei Bedarf
3. **DPA beachten:** New Relic DPA ist automatisch gültig—Sie müssen nicht aktiv unterschreiben
4. **Aufbewahrung dokumentieren:** Konkrete Fristen in Ihrem New Relic-Account setzen und dokumentieren
5. **Datenschutzerklärung anpassen:** Spezifische Angaben zu New Relic Browser Agent einfügen (nicht generisch)
6. **Regelmäßige Überprüfung:** Besonders bei Updates zu New Relic oder Änderungen an den Datenschutzbestimmungen

Nutzen Sie hierzu auch unseren **Website Privacy Policy Generator**, um eine prüffähige, DSGVO-konforme Datenschutzerklärung zu erstellen.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer:** Dieser Leitfaden bietet allgemeine datenschutzrechtliche Informationen. Er ersetzt nicht die individuelle rechtliche Beratung durch einen Datenschutzanwalt oder -beauftragten. Stand: April 2026. Die Informationen basieren auf Recherchen zu New Relic's öffentlichen Dokumentationen, Policies und Zertifizierungen (DPF, SCC). Änderungen an New Relic's Diensten, Policies oder Rechtsbestimmungen können die Gültigkeit dieser Angaben beeinflussen.
</Callout>

<AuthorBlock />


# New Relic und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/new-relic-datenschutzerklaerung)



# New Relic und Datenschutz – Was Webseitenbetreiber wissen müssen [#new-relic-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber New Relic für Application Performance Monitoring (APM) und Observability ein, verarbeitet er technische Telemetriedaten (Fehler, Ladezeiten, Datenvolumen, Datenbankabfragen) zum Zweck der Systemüberwachung, Fehleranalyse und Produktverbesserung auf Basis berechtigter Interessen. New Relic Inc. (USA), zertifiziert unter dem &#x2A;*Data Privacy Framework (DPF)**, fungiert dabei als **Auftragsverarbeiter** und überträgt Daten in die USA mit entsprechenden Transfermechanismen.

Diese Anleitung richtet sich an Webseitenbetreiber, die New Relic für Website- und Application-Monitoring nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

## A. Zweck und Funktionsweise von New Relic [#a-zweck-und-funktionsweise-von-new-relic]

New Relic ist eine **Observability-Plattform** für Application Performance Monitoring (APM), mit Schwerpunkt auf:

* **Application Performance Monitoring (APM):** Echtzeit-Ãœberwachung der Website- oder App-Performance (Antwortzeiten, Fehlerquoten, Datenbankabfragen)
* **Browser Monitoring:** Erfassung von Client-seitigen Performance-Metriken (Seitenladezeit, Rendering, JavaScript-Fehler)
* **Real User Monitoring (RUM):** Verfolgung echten Nutzerverhaltens und deren Performance-Erleben
* **Log Management:** Erfassung und Analyse von Server-Logs
* **Infrastructure Monitoring:** Ãœberwachung von Servern, Container, Netzwerk
* **Alerting & Incidents:** Automatische Benachrichtigungen bei Problemen

**Integrationsfunktion auf der Website:**

1. **JavaScript Agent (Browser Monitoring):** Ein kleines JavaScript-Snippet wird auf jeder Seite implementiert
2. **Agent Libraries:** Für Backend-Monit­oring werden Agenten in der Programmiersprache der Website installiert (Node.js, Python, Java, Ruby, PHP, etc.)
3. **API & Webhooks:** Die Website-Anwendung sendet Performance-Daten direkt an New Relic
4. **Echtzeit-Dashboard:** Der Entwickler/DevOps-Engineer sieht in der New Relic-Konsole Echtzeit-Metriken und Fehler

**Typischer Datenfluss:**

* Nutzer besucht die Website (JavaScript Agent wird geladen)
* Agent erfasst Performance-Daten (Seitenladezeit, JavaScript-Fehler, Netzwerk-Latenzen)
* Agent sendet Daten an New Relic-Server in USA (anonymisiert, ohne personenbezogene Daten)
* Entwickler sieht Dashboard in New Relic mit allen Metrics
* Bei Fehler: Alert wird gesendet, Entwickler kann Problem analysieren

## B. Pflichtangaben in der Datenschutzerklärung zu New Relic [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-new-relic]

Die DSGVO verlangt: **Zwecke** (Art. 13 Abs. 1 lit. c), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. a), **Empfängerkategorien** (Art. 13 Abs. 1 lit. e), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f) und **Speicherdauer** (Art. 13 Abs. 2 lit. a).

**Sichtweise auf New Relic-Integration:** Viele Websitebetreiber schreiben zu New Relic gar nichts in ihre Datenschutzerklärung oder schreiben »New Relic monitort die Website« – dies ist zu vage. Stattdessen sollte transparent werden:

* Was sind New Relic (APM-Tool für Websitenbetreiber)?
* Welche technischen Daten werden erhoben (Ladezeiten, Fehler, Netzwerk-Performance)?
* Zu welchem Zweck (Webseitenoptimierung, Fehleranalyse)?
* Aufgrund welcher Rechtsgrundlage (berechtigte Interessen)?
* Wo werden die Daten verarbeitet (USA mit DPF)?
* Werden personenbezogene Daten verarbeitet (normalerweise **nein** – New Relic ist anonymisiert)?

**Besonders wichtig:** New Relic **erhebt standardmäßig keine personenbezogenen Daten** – nur technische Telemetrie. Daher ist die Compliance-Anforderung geringer als bei Tools wie Braze oder Zendesk.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von New Relic: New Relic Inc. [#c-anbieter-von-new-relic-new-relic-inc]

**Juristischer Name:** New Relic, Inc.

**Sitzland:** USA

**Datenschutzerklärung:** [https://newrelic.com/termsandconditions/privacy](https://newrelic.com/termsandconditions/privacy)

**DPA-Link:** [https://newrelic.com/termsandconditions/dataprotection](https://newrelic.com/termsandconditions/dataprotection)

**DPF-Status:** &#x2A;*Ja, DPF-zertifiziert.** New Relic Inc. ist zertifiziert unter dem EU-U.S. Data Privacy Framework (DPF), dem Swiss-U.S. DPF und der UK Extension zum DPF ([https://newrelic.com/blog/observability/eu-us-dpf-international-transfers](https://newrelic.com/blog/observability/eu-us-dpf-international-transfers)). Das DPF sichert angemessenes Datenschutzniveau für Transfers von der EU in die USA zu.

Sie können die Zertifizierung prüfen unter: [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search)

**Datenschutzvereinbarung (DPA/AVV):** New Relic bietet eine &#x2A;*Data Protection Addendum (DPA)** an. Diese ist verfügbar unter [https://newrelic.com/termsandconditions/dataprotection](https://newrelic.com/termsandconditions/dataprotection). Die DPA regelt:

* New Relic-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
* Sicherheitsstandards (Verschlüsselung, Zugriffskontrolle)
* Data Privacy Framework und Standard Contractual Clauses (SCC) als Transfer-Mechanismen
* Subprozessoren-Verwaltung
* Unterstützung bei Betroffenenrechten

Die DPA **muss unterzeichnet** sein, um New Relic DSGVO-konform zu nutzen.

## D. Datenverarbeitung durch New Relic – Ablauf [#d-datenverarbeitung-durch-new-relic-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    New Relic erhebt technische Telemetriedaten, typischerweise **ohne personenbezogene Daten**:

    * **Browser-Agent-Daten:** Seitenladezeit, Rendering-Zeit, JavaScript-Fehler, Netzwerk-Latenzen, Ressourcen-Downloads
    * **Backend-Agent-Daten:** Datenbankabfragen-Dauer, API-Antwortzeiten, CPU/Speicher-Nutzung, Exception-Traces
    * **IP-Adresse:** Zur Geolokalisierung (wird aber anonymisiert/aggregiert)
    * **User-Agent:** Browser-Typ, Betriebssystem, Device-Typ (wird aggregiert, nicht einzelnen Nutzern zugeordnet)
    * **HTTP-Headers:** Referrer, Content-Type (zur Analyse von Anfrage-Mustern)
    * **Session-Daten:** Eindeutige Session-ID (nicht personbezogen), Verweildauer auf Seite
    * **Custom Events:** Falls der Websitenbetreiber zusätzliche Events definiert hat (z.B. »Benutzer hat auf Button X geklickt«)
    * **Fehler-Stack-Traces:** Vollständige Fehler-Informationen mit Code-Zeilen, Funktion-Namen, Parameter
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    * New Relic speichert Daten auf Servern in der USA (oder EU, falls EU-Option gewählt)
    * Speicherdauer:
      * **Standard**: 30 Tage für alle Metrics (Abweichung je nach Plan möglich)
      * **Extended Retention**: Optional bis zu 13 Monate (gegen Gebühr)
      * **Raw Daten**: Können nach Datenerfassung aggregiert/reduziert werden
    * Nach Ablauf der Aufbewahrung: Automatische Löschung
    * Backups: Bis zu 7 Tage für Disaster Recovery
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    * Echtzeit-Dashboard: Der Websitenbetreiber sieht Live-Metriken zu Webseitenperformance
    * Fehler-Tracking: New Relic aggregiert und kategorisiert Fehler
    * Performance-Analyse: Identifikation von Bottlenecks (z.B. langsame Datenbankabfragen)
    * Alerting: Automatische Benachrichtigungen bei Anomalien
    * Trend-Analyse: Vergleich von Performance über Zeit
    * Capacity Planning: Analyse von Ressourcennutzung zur Planung von Skalierung
    * Interne Analytics: New Relic nutzt anonymisierte Daten zur Verbesserung des eigenen Produkts
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    * **Subprozessoren:** AWS, Azure oder eigene New Relic-Infrastruktur für Hosting
    * **Geschäftspartner:** Zahlungsdienstleister, Support-Partner
    * **Drittländer:** Übermittlung an New Relic Inc. (USA) zum Speichern und Verarbeiten
    * **API/Integrationen:** Falls der Websitenbetreiber New Relic mit anderen Tools integriert (Slack, PagerDuty, Webhook), können Daten an diese übermittelt werden
    * **Auskunftsersuchen:** Bei behördlichen Anfragen (mit Ausnahmeregelungen für US-Sicherheitsbehörden)
  </Step>

  <Step>
    ### Löschung [#lãschung]

    * Nach Ablauf der definierten Aufbewahrungsdauer (standardmäßig 30 Tage): Automatische Löschung
    * Der Websitenbetreiber kann Daten in der New Relic-Konsole nicht manuell löschen (nur aggregiert über Retention-Einstellungen)
    * Backup-Daten: Bis zu 7 Tage nach Löschung
    * Betroffenenrechte: Falls personenbezogene Daten durch Custom Events erhoben wurden, können Betroffene Löschung verlangen (sehr selten der Fall bei Standard-New Relic)
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von New Relic [#e-erhobene-daten-beim-einsatz-von-new-relic]

Bei der Integration von New Relic erhebt der Websitenbetreiber folgende Datenarten – &#x2A;*wichtig: New Relic erhebt standardmäßig KEINE personenbezogenen Daten:**

**Technische Telemetriedaten (Standard):**

* Seitenladezeiten (in Millisekunden)
* JavaScript-Fehler und Stack-Traces
* Netzwerk-Latenzen
* Datenbankabfrage-Dauer
* CPU- und Speichernutzung
* Request-Raten (Requests pro Minute)
* Fehlerquoten
* User-Agent (aggregiert, nicht einzelnen Nutzern zugeordnet)
* IP-basierte Geolokation (aggregiert, nicht für einzelne Nutzer)
* Session-IDs (nicht personengebunden)
* HTTP-Status-Codes
* Verweildauer auf Seiten (aggregiert)

**Custom Events (falls vom Websitenbetreiber konfiguriert):**

* Falls der Websitenbetreiber zusätzliche Events tracking (z.B. »Benutzer hat Checkout gestartet«), können optional personenbezogene Daten enthalten sein
* Diese müssen aber vom Websitenbetreiber ausdrücklich parametrisiert und New Relic übermittelt werden – nicht Standard

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse (aggregiert), HTTP-Status, Response-Zeit, User-Agent
* **Technische Telemetriedaten:** Fehlerquoten, Ladezeiten, CPU/Memory, Datenbankabfragen-Dauer
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem (aggregiert, nicht einzelnen Nutzern)
* **Browserinformationen:** Browsername, -version (aggregiert)
* **Grobe Standortdaten:** IP-basierter Standort auf Land-/Regions-Ebene (aggregiert)

**Wichtig:** Personenbezogene Daten sind **nicht** standard-mäßig enthalten. Falls der Websitenbetreiber Custom Events mit Namen, E-Mail oder ähnlichem definiert hat, sind diese Daten personenbezogen und müssen entsprechend behandelt werden.

## F. Nutzungszwecke beim Einsatz von New Relic [#f-nutzungszwecke-beim-einsatz-von-new-relic]

Bei der Nutzung von New Relic werden technische Daten zu folgenden Zwecken verarbeitet:

**Primäre Zwecke:**

* **Funktionsbereitstellung:** Bereitstellung des Monitoring-Dashboards und APM-Features
* **Sicherheit und Fehleranalyse:** Identifikation von Bugs, Performance-Problemen, Sicherheitslücken
* **Allgemeine Produktverbesserung:** Analyse von Website-Performance, Identifikation von Bottlenecks, Optimierungsempfehlungen
* **Alerting und Benachrichtigungen:** Warnung bei Performance-Degradation oder Fehlern
* **Trend-Analyse:** Vergleich von Performance über Zeit, Kapazitätsplanung
* **Compliance und Auditing:** Dokumentation der Website-Performance für SLA-Nachweis

**Sekundäre Zwecke (falls aktiviert):**

* **Produktverbesserung durch New Relic:** New Relic nutzt anonymisierte Daten zur Verbesserung des eigenen Produkts
* **Analytik:** Branchenbenchmarks, Vergleiche mit anderen Kunden (anonymisiert)

## G. Rechtsgrundlagen für New Relic [#g-rechtsgrundlagen-fãr-new-relic]

**Schritt 1: Kategorisierung von New Relic**
New Relic ist ein **Auftragsverarbeiter** (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher. Da New Relic **standardmäßig keine personenbezogenen Daten** erhebt, ist die DSGVO-Anforderung geringer als bei Tools wie Braze oder Zendesk.

**Schritt 2: Anwendbare Rechtsgrundlagen**

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Primär:**
   * Der Websitenbetreiber hat ein starkes berechtigtes Interesse, seine Website zu monitoren und zu optimieren
   * Fehleranalyse und Performance-Überwachung sind notwendig für Betriebssicherheit und Benutzerfreundlichkeit
   * Die Interessen des Websitebetreibers überwiegen die Interessen des Nutzers deutlich, da:
     * Daten sind anonymisiert/aggregiert (kein hoher Eingriff)
     * Nutzer erwartet, dass Websites optimiert werden
     * Fehlersuche ist notwendig für stabilen Betrieb

2. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Sekundär:**
   * Falls der Websitebetreiber eine Kundenbeziehung mit Nutzern hat (Verkauf, Abonnement), können Performance-Daten zur Verbesserung des Services notwendig sein
   * Nicht primär, da Nutzer keine explizite Leistung von »Performance-Monitoring« erhalten

**Besonderheit – § 25 TDDDG und Cookies:**
Falls New Relic-Agent auch **Cookies** setzt (z.B. zur Session-Verfolgung), ist **Opt-in-Einwilligung** erforderlich (§ 25 Abs. 1 TDDDG). Dies ist unabhängig von der Datenschutzerklärung und erfordert:

* Cookie-Banner mit Auswahl »New Relic Monitoring« (nicht vorgeprüft)
* Explicit Opt-in vor Agent-Laden
* Dokumentation des Consent

**Wichtig:** Reine Performance-Daten ohne Cookies benötigen keine Einwilligung, nur Erwähnung in Datenschutzerklärung.

## H. Besonderheiten und Hinweise zu New Relic [#h-besonderheiten-und-hinweise-zu-new-relic]

**1. New Relic erhebt standardmäßig keine personenbezogenen Daten**
Dies ist ein großer Vorteil gegenüber Marketing-Tools:

* Der Standardfall: Nur technische Telemetrie (Fehler, Ladezeiten, etc.)
* Keine Namen, E-Mails, IP-Adressen von einzelnen Nutzern (nur aggregiert)
* Daher ist die Datenschutz-Anforderung **deutlich geringer**

**Aber Vorsicht:** Falls der Websitenbetreiber Custom Events mit personenbezogenen Daten definiert hat, müssen diese als personenbezogene Daten behandelt werden.

**2. New Relic ist DPF-zertifiziert**
New Relic nutzt das &#x2A;*Data Privacy Framework (DPF)** für Drittlandtransfers. Das bedeutet:

* Daten werden in die USA übermittelt
* New Relic hat sich selbst zertifiziert, dass es die DPF-Anforderungen erfüllt
* Im Fall der Invalidierung des DPF hat New Relic &#x2A;*Standard Contractual Clauses (SCC)** als automatischer Fallback

Sie sollten in Ihrer Datenschutzerklärung erwähnen: »New Relic ist Data Privacy Framework zertifiziert und nutzt SCC als Fallback.«

**3. DPA ist zwingend erforderlich**
Sie **müssen** eine Data Processing Agreement (DPA) mit New Relic haben. Verfügbar unter: [https://newrelic.com/termsandconditions/dataprotection](https://newrelic.com/termsandconditions/dataprotection). Die DPA muss unterzeichnet sein.

**4. Speicherdauer und Retention**
New Relic speichert Daten standardmäßig **30 Tage**. Danach automatische Löschung. Sie können optional:

* Extended Retention kaufen (bis 13 Monate)
* Oder Daten exportieren und lokal speichern

Dies ist ein großer Unterschied zu anderen Tools und vereinfacht die DSGVO-Compliance.

**5. Cookies und § 25 TDDDG**
Falls der New Relic-Agent Cookies setzt (was normalerweise der Fall ist):

* Sie benötigen **Opt-in-Einwilligung** (§ 25 Abs. 1 TDDDG)
* Ein Cookie-Banner muss »New Relic Monitoring« als separate Option anbieten
* Default sollte ausgeschaltet sein (nicht vorgeprüft)

Dies ist unabhängig von der Datenschutzerklärung und betrifft den Consent-Mechanismus.

**6. Betroffenenrechte**
Da New Relic standardmäßig keine personenbezogenen Daten erhebt:

* Betroffene können nicht »ihre« Daten anfragen (es gibt keine)
* Ausnahme: Falls Custom Events personenbezogene Daten enthalten, müssen Betroffenenrechte unterstützt werden

**7. Subprozessoren**
New Relic nutzt Subprozessoren für Hosting (AWS, Azure). Prüfen Sie die New Relic-Subprozessoren-Liste und dokumentieren Sie diese in Ihrer Datenschutzerklärung oder Datenschutzerklärung-Anhänge.

## I. FAQ zu New Relic [#i-faq-zu-new-relic]

<Accordions type="single">
  <Accordion title="Was ist New Relic?">
    New Relic ist eine Observability-Plattform für Website- und Application-Monitoring. Der Websitebetreiber installiert einen New Relic-Agent auf seiner Website; dieser erfasst Performance-Daten (Fehler, Ladezeiten, Datenbankabfragen) und sendet sie an New Relic. Der Websitebetreiber sieht diese Daten in einem Dashboard und kann Probleme analysieren.
  </Accordion>

  <Accordion title="Welche Daten erfasst New Relic?">
    New Relic erfasst technische Telemetriedaten: Seitenladezeiten, JavaScript-Fehler, Netzwerk-Latenzen, Datenbankabfrage-Dauer, CPU/Memory-Nutzung, User-Agent (aggregiert), IP-Adresse (aggregiert). &#x2A;*Wichtig: Standardmäßig KEINE personenbezogenen Daten.**
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für New Relic?">
    Primär **berechtigte Interessen** (Art. 6 Abs. 1 lit. f DSGVO) für Website-Optimierung und Fehleranalyse. Die Interessen des Websitebetreibers überwiegen die Interessen der Nutzer, da Daten anonymisiert/aggregiert sind.
  </Accordion>

  <Accordion title="Brauche ich eine Einwilligung für New Relic?">
    Nein – berechtigte Interessen reichen aus. &#x2A;*ABER:** Falls der New Relic-Agent Cookies setzt, benötigen Sie **Opt-in-Einwilligung** für Cookies (§ 25 TDDDG). Dies ist ein separater Consent-Mechanismus.
  </Accordion>

  <Accordion title="Brauche ich eine DPA für New Relic?">
    Ja, zwingend erforderlich. Verfügbar unter: [https://newrelic.com/termsandconditions/dataprotection](https://newrelic.com/termsandconditions/dataprotection). Muss unterzeichnet sein.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für New Relic in die Datenschutzerklärung?">
    Statt »New Relic monitort die Website« empfehlen wir einen &#x2A;*themenorientierten Abschnitt:**

    »&#x2A;*Website-Monitoring und Performance:** Wir nutzen New Relic (New Relic Inc., USA) zum Monitoring der Website-Performance. New Relic erhebt technische Daten wie Ladezeiten, Fehler und Datenbankabfrage-Dauer zum Zweck der Fehleranalyse und Webseitenoptimierung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). New Relic erhebt standardmäßig keine personenbezogenen Daten (Daten sind aggregiert/anonymisiert). Daten werden in die USA übermittelt; New Relic ist Data Privacy Framework zertifiziert. Speicherdauer: 30 Tage.«

    **Cookie-Hinweis (separat in Cookie-Banner):** »New Relic kann Cookies für Session-Tracking setzen. Sie müssen diesem zustimmen, wenn Sie das Monitoring erlauben möchten.«

    Verwenden Sie dazu unser **kostenloses Generator-Tool** (s.u.).
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu New Relic [#j-fazit-und-empfehlung-zu-new-relic]

New Relic ist ein **technisches Monitoring-Tool mit geringer Datenschutz-Komplexität**, da es standardmäßig keine personenbezogenen Daten erhebt:

* Berechtigte Interessen reichen als Rechtsgrundlage
* Keine explizite Einwilligung erforderlich (außer für Cookies)
* Kurze Aufbewahrungsdauer (30 Tage Standard)
* Keine Komplexität mit Subprozessoren-Consent wie bei Marketing-Tools

**Toolspezifische Textbausteine** (»New Relic monitort die Website«) sind zu kurz und erklären nicht, wozu und wie die Daten genutzt werden.

**Empfehlung:** Nutzen Sie einen &#x2A;*themenorientierten Aufbau:**

* Sektion »Website-Monitoring und Performance« mit Beschreibung des Tools
* Klare Information: »New Relic erhebt technische Daten, keine personenbezogenen Daten«
* Sektion »Drittlandtransfers« mit Verweis auf DPF/SCC
* Sektion »Ihre Rechte« (mit Hinweis: normale Betroffenenrechte gelten, da keine personenbezogenen Daten)
* Cookie-Banner mit separater Option für »New Relic Monitoring« (falls Cookies gesetzt)

Stellen Sie sicher, dass:

* Die DPA mit New Relic unterzeichnet ist
* Der New Relic-Agent korrekt konfiguriert ist (keine Custom Events mit personenbezogenen Daten)
* Die Cookie-Einstellung im Banner »New Relic Monitoring« anbietet
* Die Aufbewahrungsdauer in der Datenschutzerklärung dokumentiert ist

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu New Relic und ersetzt keine rechtliche Beratung im Einzelfall. Information beruht auf New Relic-Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22).
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# OneTrust Consent Management Platform und Datenschutz – Was Webseitenbetreiber wissen müssen (/docs/privacy-policy-website/onetrust-datenschutzerklaerung)



# OneTrust Consent Management Platform und Datenschutz – Was Webseitenbetreiber wissen müssen [#onetrust-consent-management-platform-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Nutzt ein Webseitenbetreiber OneTrust als Consent Management Platform (CMP), verarbeitet OneTrust Daten zum Zweck der Verwaltung von Benutzereinwilligungen und Datenschutz-Compliance auf Basis von berechtigten Interessen und teilweise auf Basis von Einwilligung. OneTrust ist eine Datenschutz- und Compliance-Plattform, die Webseitenbetreibern ermöglicht, Cookies, Tracking-Tools und andere datenverarbeitende Services zu verwalten und Einwilligungsnachweise zu dokumentieren. Diese Datenschutzerklärung richtet sich an Webseitenbetreiber und erläutert, welche Angaben zu OneTrust rechtlich in die eigene Datenschutzerklärung gehören.

## A. Zweck und Funktionsweise von OneTrust CMP [#a-zweck-und-funktionsweise-von-onetrust-cmp]

Eine Consent Management Platform (CMP) ist ein Tool, das Webseitenbetreibern hilft, Einwilligungen von Besuchern zu verwalten. OneTrust zeigt auf einer Website ein Consent-Banner (Cookie-Banner) an, das den Besucher fragt, welche Cookies und Tracking-Tools er erlaubt. OneTrust speichert die Antwort des Besuchers und teilt diese Einwilligungen anderen Tools (z. B. Google Analytics, Advertising Networks) mit.

OneTrust wird integriert, indem ein JavaScript-Tag auf der Website eingebunden wird. Dieses Tag lädt das OneTrust-Banner, erfasst Besucher-Interaktionen mit dem Banner und speichert die Einwilligungsentscheidungen.

Neben dem Banner bietet OneTrust auch:

* **Einwilligungsverwaltung**: Speicherung und Verwaltung von Einwilligungsnachweisen
* **Mapping zu Datenschutz-Frameworks**: Integration mit IAB TCF (Transparency and Consent Framework)
* **Audit-Trails**: Dokumentation von Einwilligungen für Compliance-Zwecke
* **Cookie-Scanning**: Automatische Erkennung von Cookies und Services auf der Website

Die Besonderheit von OneTrust: **OneTrust selbst verarbeitet Daten** (Einwilligungsdaten), was bedeutet, dass OneTrust nicht nur ein Tool ist, sondern selbst als Datenverarbeiter fungiert und in die Datenschutzerklärung aufgenommen werden muss.

## B. Pflichtangaben in der Datenschutzerklärung zu OneTrust [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-onetrust]

Nach DSGVO Art. 13 Abs. 1 lit. c muss ein Webseitenbetreiber die **Zwecke** der Verarbeitung offenlegen. Art. 13 Abs. 1 lit. d verlangt die **Rechtsgrundlagen**, Art. 13 Abs. 1 lit. e die **Empfänger oder Kategorien von Empfängern**. Art. 13 Abs. 1 lit. f fordert, dass **Drittlandtransfers** offengelegt und begründet werden.

Besonderheit: **OneTrust verarbeitet auch selbstständig Einwilligungsdaten**, daher muss OneTrust sowohl als Auftragsverarbeiter (für die Verwaltung von Einwilligungen im Namen des Webseitenbetreibers) als auch als eigenständiger Datenverantwortlicher (für die Speicherung von Einwilligungsnachweisen und Audit-Trails) gekennzeichnet werden.

Ein themenorientierter Ansatz ist hier empfohlen: Ein Abschnitt „Einwilligungsverwaltung und Datenschutz-Compliance" sollte erläutern, dass OneTrust zur Verwaltung von Besucher-Einwilligungen eingesetzt wird.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von OneTrust: OneTrust LLC [#c-anbieter-von-onetrust-onetrust-llc]

**Juristischer Name:** OneTrust LLC\
&#x2A;*Anschrift:** 1200 Abernathy Road, Building 1200, Suite 1500, Atlanta, GA 30328, USA\
&#x2A;*Sitzland:** USA (Georgia)\
&#x2A;*EU-Niederlassung:** OneTrust hat auch Niederlassungen in Europa (z. B. Irland)\
&#x2A;*Rolle:** Auftragsverarbeiter (für Einwilligungsverwaltung) und eigenständiger Datenverantwortlicher (für Einwilligungsnachweise und Compliance-Daten)

**DPF-Status:** OneTrust LLC ist nicht auf der DPF-Liste zertifiziert. Daher beruht die Datenübermittlung in die USA auf Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte vor der Nutzung prüfen, ob und auf welcher Basis OneTrust Daten in die USA übermittelt (vom Betreiber zu verifizieren).

**Datenschutzerklärung:** [https://www.onetrust.com/privacy-notice/](https://www.onetrust.com/privacy-notice/)

**Data Processing Addendum (DPA/AVV):** OneTrust stellt ein DPA bereit, das Webseitenbetreiber mit OneTrust abschließen sollten. Das DPA regelt die Verarbeitung personenbezogener Daten (insbesondere Einwilligungsdaten), Subprozessoren und Drittlandtransfers.

## D. Datenverarbeitung durch OneTrust – Ablauf [#d-datenverarbeitung-durch-onetrust-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Wenn ein Besucher die Website aufruft, lädt das OneTrust-Tag das Consent-Banner. Das Banner erfasst Besucherkennungen (z. B. Geräte-ID, Cookie-ID), Browser-Infos, IP-Adresse und speichert diese zusammen mit der Einwilligungsentscheidung des Besuchers.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    OneTrust speichert die Einwilligungsdaten (welche Cookies der Besucher erlaubt hat, wann, welche Einstellungen) auf seinen Servern, die sich in den USA befinden. Die Daten werden langfristig archiviert für Audit- und Compliance-Zwecke.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    OneTrust nutzt die Daten, um (a) Besucher-Einwilligungen zu verwalten, (b) anderen Tools (Google Analytics, Ads, etc.) mitzuteilen, welche Cookies erlaubt sind, (c) Audit-Trails zu erstellen und (d) Compliance-Reports zu generieren. OneTrust kann die Daten auch für eigene Produktentwicklung und Sicherheit nutzen.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    OneTrust gibt Einwilligungsdaten an andere Dienste (Ads Networks, Analytics-Tools) weiter, wenn der Besucher diese erlaubt hat. OneTrust kann auch Subprozessoren einsetzen (z. B. für Speicherung, Sicherheit). Eine Liste findet sich im DPA.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    OneTrust speichert Einwilligungsnachweise langfristig (oft jahrelang) für Compliance und Audit-Zwecke. Ein Webseitenbetreiber kann Löschanfragen stellen, aber OneTrust behält möglicherweise aggregierte oder anonymisierte Daten.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von OneTrust [#e-erhobene-daten-beim-einsatz-von-onetrust]

OneTrust erfasst automatisch Daten, die für die Einwilligungsverwaltung und Compliance erforderlich sind.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Geräte- und Browserinformationen**: Browser-Typ, Browser-Version, Betriebssystem, Geräte-Identifier
* **Eindeutige Identifikatoren**: Cookies, Geräte-ID, Besucher-ID, die OneTrust zur Identifikation des Besuchers nutzt
* **Einwilligungsdaten**: Welche Cookies erlaubt wurden, welche abgelehnt, Datum/Uhrzeit der Entscheidung, Einwilligungstext, den der Besucher sah
* **Benutzerinteraktionen**: Klicks auf Banner-Buttons (Akzeptieren, Ablehnen, Einstellungen), Mausbewegungen, Scrollbewegungen
* **Grobe Standortdaten**: IP-basierter grober Standort auf Land-/Regionsebene
* **Konfigurationsdaten**: Welche Services auf der Website sind, welche Cookies verwendet werden (wenn OneTrust Cookie-Scanning aktiv ist)

Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (OneTrust dokumentiert seine Datenerfassung in technischen Dokumentationen und der Datenschutzerklärung).

## F. Nutzungszwecke beim Einsatz von OneTrust [#f-nutzungszwecke-beim-einsatz-von-onetrust]

OneTrust wird in der Regel zu folgenden Zwecken eingesetzt:

* **Einwilligungsverwaltung**: Erfassung, Speicherung und Verwaltung von Besucher-Einwilligungen für Cookies und Tracking-Tools
* **Compliance**: Nachweis von Einwilligungen für DSGVO-Compliance, Einhaltung von Vorschriften
* **Rechtsdurchsetzung**: Einwilligungsnachweise als Beweis gegenüber Behörden oder in Rechtsstreitigkeiten
* **Integration mit IAB TCF**: Teilnahme am IAB Europe Transparency and Consent Framework
* **Produktentwicklung**: Interne Auswertungen zur Verbesserung der OneTrust-Plattform und Sicherheit
* **Sicherheit und Missbrauchsschutz**: Erkennung von Bot-Angriffen oder Anomalien

## G. Rechtsgrundlagen für OneTrust [#g-rechtsgrundlagen-fãr-onetrust]

OneTrust ist ein Compliance- und Einwilligungsverwaltungs-Tool. Für die Datenverarbeitung sind folgende Rechtsgrundlagen relevant:

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):** Der Webseitenbetreiber hat ein berechtigtes Interesse, Einwilligungen zu verwalten und nachzuweisen. Dies ist für die DSGVO-Compliance notwendig. Eine Interessenabwägung zeigt typischerweise, dass dieses Interesse überwiegt.

2. **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):** Für die Verwaltung von Einwilligungen in Compliance mit DSGVO und TDDDG ist die Datenverarbeitung durch OneTrust teilweise rechtlich verpflichtet.

3. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):** Soweit OneTrust Daten für andere Zwecke nutzt (z. B. Produktentwicklung, Sicherheit), kann OneTrust auch auf Einwilligung angewiesen sein.

Hinweis: Eine Einzelfallprüfung ist notwendig. OneTrust-Nutzung wird hauptsächlich über berechtigte Interessen und rechtliche Verpflichtungen begründet, aber OneTrust benötigt möglicherweise auch Einwilligung für bestimmte Sekundärnutzungen.

## H. Besonderheiten und Hinweise zu OneTrust [#h-besonderheiten-und-hinweise-zu-onetrust]

* **Duale Rolle**: OneTrust fungiert als Auftragsverarbeiter (für die Einwilligungsverwaltung im Auftrag des Webseitenbetreibers) und als eigenständiger Datenverantwortlicher (für die Langzeit-Speicherung von Einwilligungsnachweisen und Audit-Trails).
* **Fehlende DPF-Zertifizierung**: OneTrust LLC ist nicht DPF-zertifiziert. Die Datenübermittlung in die USA erfolgt auf Basis von Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte dies klären (vom Betreiber zu verifizieren).
* **IAB TCF Integration**: OneTrust integriert sich mit IAB Europe's Transparency and Consent Framework (TCF), was bedeutet, dass Einwilligungsdaten auch an andere TCF-Partner weitergegeben werden können.
* **Langzeit-Speicherung**: OneTrust speichert Einwilligungsnachweise oft für mehrere Jahre (teilweise 7+ Jahre), um Audit-Anforderungen zu erfüllen.
* **Subprozessoren**: OneTrust nutzt Subprozessoren (z. B. für Hosting, Sicherheit, Datenanalyse). Eine aktuelle Liste sollte im DPA verfügbar sein.
* **Datensicherheit**: OneTrust ist ISO 27001 zertifiziert und implementiert Verschlüsselung, Zugriffskontrollen und weitere Sicherheitsmaßnahmen.
* **Benutzerrechte**: Besucher können ihre Einwilligungen jederzeit widerrufen und ihre Einwilligungsdaten bei OneTrust anfragen.

## I. FAQ zu OneTrust CMP [#i-faq-zu-onetrust-cmp]

<Accordions type="single">
  <Accordion title="Was ist OneTrust?">
    OneTrust ist eine Consent Management Platform (CMP), die Webseitenbetreibern ermöglicht, Besucher-Einwilligungen zu verwalten. OneTrust zeigt ein Consent-Banner an, erfasst Einwilligungsentscheidungen und dokumentiert diese für Compliance-Zwecke.
  </Accordion>

  <Accordion title="Welche Daten erfasst OneTrust?">
    OneTrust erfasst IP-Adressen, Cookie-IDs, Browser-Informationen, Geräte-Identifikatoren, Datum/Uhrzeit der Einwilligungsentscheidung, welche Cookies der Besucher erlaubt hat, und technische Metadaten zur Website-Konfiguration.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für OneTrust?">
    OneTrust-Nutzung wird hauptsächlich auf Basis berechtigter Interessen begründet (Art. 6 Abs. 1 lit. f DSGVO) – nämlich Compliance mit Datenschutzgesetzen – und teilweise auf Basis rechtlicher Verpflichtung (Art. 6 Abs. 1 lit. c). Eine explizite Einwilligung für OneTrust selbst ist normalerweise nicht erforderlich.
  </Accordion>

  <Accordion title="Muss ich ein DPA mit OneTrust abschließen?">
    Ja. OneTrust fungiert als Auftragsverarbeiter (für Einwilligungsverwaltung) und eigenständiger Datenverantwortlicher (für Einwilligungsnachweise), daher ist ein DPA erforderlich. OneTrust stellt ein standardisiertes DPA bereit.
  </Accordion>

  <Accordion title="Ist OneTrust DPF-zertifiziert?">
    Nein. OneTrust LLC ist nicht DPF-zertifiziert. Die Datenübermittlung in die USA erfolgt auf Basis von Standard Contractual Clauses (SCC). Der Webseitenbetreiber sollte prüfen, ob dies für seine Situation akzeptabel ist (vom Betreiber zu verifizieren).
  </Accordion>

  <Accordion title="Speichert OneTrust Einwilligungen für immer?">
    Nein, aber OneTrust speichert Einwilligungsnachweise oft langfristig (oft 3-7 Jahre) für Audit- und Compliance-Zwecke. Ein Besucher kann seinen Widerruf einreichen, aber OneTrust behält möglicherweise aggregierte oder anonymisierte Daten.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für OneTrust in die Datenschutzerklärung?">
    Anstelle eines OneTrust-spezifischen Bausteins wird empfohlen, einen themenorientierten Absatz unter „Einwilligungsverwaltung und Datenschutz-Compliance" einzuführen, der erläutert, dass OneTrust zur Verwaltung von Einwilligungen eingesetzt wird. Nutzen Sie den matterius Privacy Policy Generator für eine automatisierte Datenschutzerklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlungen zu OneTrust [#j-fazit-und-empfehlungen-zu-onetrust]

OneTrust ist ein unverzichtbares Compliance-Tool für Websites, die Cookie-Einwilligungen verwalten müssen. Datenschutzrechtlich ist OneTrust besonders interessant, weil das Tool selbst Daten verarbeitet und daher in der Datenschutzerklärung erwähnt werden muss.

Webseitenbetreiber sollten beachten, dass OneTrust nicht nur als Auftragsverarbeiter fungiert (für die Verwaltung im Namen des Betreibers), sondern auch als eigenständiger Datenverantwortlicher (für die Speicherung von Einwilligungsnachweisen und Audit-Trails). Ein &#x2A;*Data Processing Addendum (DPA)** mit OneTrust ist erforderlich.

Ein themenorientierter Ansatz in der Datenschutzerklärung, der unter „Einwilligungsverwaltung und Compliance" erklärt, dass OneTrust zur Verwaltung von Einwilligungen eingesetzt wird, ist ausreichend. Ein **Empfänger-Anhang** zur Datenschutzerklärung erhöht die Klarheit zusätzlich.

Webseitenbetreiber sollten prüfen, ob die Speicherungsdauer von Einwilligungsnachweisen mit ihren Compliance-Anforderungen übereinstimmt und ob die Weitergabe an IAB TCF-Partner akzeptabel ist.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu OneTrust CMP und ersetzt keine rechtliche Beratung im Einzelfall. Die Informationen beruhen auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Webseitenbetreiber sollten ihre Datenschutzerklärung und ihre Verträge mit OneTrust mit einem Datenschutzbeauftragten oder Rechtsanwalt abstimmen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# PayPal und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/paypal-datenschutzerklaerung)



# PayPal und Datenschutz – Was Webseitenbetreiber wissen müssen [#paypal-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber PayPal als Zahlungsdienstleister ein, verarbeitet er Zahlungsdaten (Konto, Betrag, Empfänger, Käuferdaten) zum Zweck der Zahlungsabwicklung, Betrugsprävention und Compliance auf Basis einer Vertragserfüllung und rechtlichen Verpflichtung. PayPal (Europe) S.à r.l. et Cie, S.C.A. agiert dabei nicht nur als Auftragsverarbeiter, sondern auch als eigenständiger Verantwortlicher für Zahlungsdaten, was die datenschutzrechtliche Einordnung entscheidend prägt.

Diese Anleitung richtet sich an Webseitenbetreiber, die PayPal-Checkout-Lösungen, Payment Buttons oder PayPal-Zahlung als Zahlungsart anbieten und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

## A. Zweck und Funktionsweise von PayPal [#a-zweck-und-funktionsweise-von-paypal]

PayPal ist ein weltweit führender Online-Zahlungsdienstleister für E-Commerce-Transaktionen. Ein Webseitenbetreiber integriert PayPal typischerweise über einen **PayPal-Button** (»Checkout Button«), ein **Zahlung-Widget** oder eine **API** auf seiner Website.

Beim Checkout-Prozess wird der Käufer auf PayPal weitergeleitet oder sieht ein eingebettetes PayPal-Formular. Der Käufer gibt seine PayPal-Anmeldedaten, Zahlungsinstrument und Versandadresse ein. PayPal verarbeitet diese Daten, überprüft die Zahlungsfähigkeit, prüft auf Betrugssignale und führt die Zahlung durch. Nach erfolgreicher Zahlung erhält der Webseitenbetreiber eine Zahlungsbestätigung (IPN = Instant Payment Notification oder Webhook-Callback).

Die PayPal-Anbindung erfolgt über eine **Merchant-Integration** – der Webseitenbetreiber wird Partner von PayPal (Merchant) und unterzeichnet die PayPal-Vertragsbedingungen sowie die Datenschutzerklärung.

## B. Pflichtangaben in der Datenschutzerklärung zu PayPal [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-paypal]

Die DSGVO verlangt, dass eine Datenschutzerklärung folgende Angaben zu jedem Empfänger oder jeder Empfängerkategorie enthält: **Zwecke** (Art. 13 Abs. 1 lit. c), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. a), **berechtigte Interessen** (Art. 13 Abs. 1 lit. d, sofern relevant), **Empfängerkategorien** (Art. 13 Abs. 1 lit. e), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f) und **Speicherdauer** (Art. 13 Abs. 2 lit. a).

**Sichtweise auf PayPal-Integration:** Viele Webseitenbetreiber fügen zu PayPal einen bloßen Textbaustein ein wie »PayPal erhebt und verarbeitet Zahlungsdaten«. Dies widerspricht Art. 12 Abs. 1 DSGVO, der fordert, dass Datenschutzerklärungen in »klarer und einfacher Sprache« zu verfassen sind. Toolspezifische Textbausteine sind häufig zu kurz, zu vage oder nicht an die konkrete Integrationskonfiguration des Webseitenbetreibers angepasst.

**Besser:** Ordnen Sie PayPal in Ihren themenorientierten Datenschutzsektionen ein:

* **»Zahlungsverarbeitung«** – hier beschreiben Sie, welche Zahlungsdienstleister Sie nutzen, welche Daten fließen und warum
* **»Vertragsabwicklung«** – Rechtsgrundlage Art. 6 Abs. 1 lit. b DSGVO
* **»Sicherheit und Betrugsprävention«** – Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen)
* **»Datenschutzerklärungen von Drittanbietern«** – Verweis auf PayPals eigene Privacy Policy

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von PayPal: PayPal (Europe) S.à r.l. et Cie, S.C.A. [#c-anbieter-von-paypal-paypal-europe-sã-rl-et-cie-sca]

**Juristischer Name:** PayPal (Europe) S.à r.l. et Cie, S.C.A.

**Anschrift:** 22–24 Boulevard Royal, L-2449 Luxemburg, Luxemburg

**Sitzland:** Luxemburg (Europäische Union / EWR)

**Rechtsform:** Limited Liability Company / Commandite simple

**Datenschutzerklärung:** [https://www.paypal.com/de/webapps/mpp/ua/privacy-full](https://www.paypal.com/de/webapps/mpp/ua/privacy-full)

**DPF-Status:** PayPal (Europe) S.à r.l. et Cie, S.C.A. ist eine EU-Gesellschaft und unterliegt nicht dem Data Privacy Framework (DPF). Das DPF gilt nur für US-Unternehmen. PayPal bedient sich jedoch &#x2A;*Standard Contractual Clauses (SCC)** und &#x2A;*Binding Corporate Rules (BCR)** für Drittlandtransfers an PayPal-Konzerngesellschaften in den USA. Prüfen Sie im Einzelfall, welche Drittlandtransfers für Ihr Setup relevant sind.

**Datenschutzvereinbarung (AVV/DPA):** PayPal bietet eine **Data Protection Addendum** an (siehe [https://www.paypal.com/us/legalhub/paypal/data-protection](https://www.paypal.com/us/legalhub/paypal/data-protection)). Diese definiert PayPal als **eigenständigen Verantwortlichen** für Zahlungsdaten und nicht als reinen Auftragsverarbeiter. Das hat zur Folge, dass PayPal für Zahlungsdaten unabhängig von der Datenschutzerklärung des Webseitenbetreibers handelt.

## D. Datenverarbeitung durch PayPal – Ablauf [#d-datenverarbeitung-durch-paypal-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    PayPal erhebt Daten in mehreren Phasen:

    * **Beim Checkout:** Zahlungsdaten (Kartennummer oder Kontoverbindung), Name, E-Mail, Rechnungs- und Lieferadresse, Telefon
    * **Bei der Anmeldung/Registrierung:** Falls der Käufer sich bei PayPal anmelden muss: Passwort, Sicherheitsfragen, IP-Adresse, Geräte-Informationen
    * **Bei der Transaktion:** Betrag, Währung, Artikel-Beschreibung (vom Shop übermittelt), Referenznummer, Zeitstempel
    * **Zur Betrugsprävention:** IP-Adresse, Geräteinformationen, Standortdaten, Verhaltensprofile, frühere Transaktionsmuster
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    * PayPal speichert Zahlungsdaten auf Servern in mehreren Regionen, darunter die USA (Dublin-Datencenter als Hub für EU-Daten)
    * Speicherdauer für Zahlungsdaten: Mind. 6 Jahre für Rechnungslegung und Compliance (GwG, AO)
    * Darüber hinaus sind länger erforderlich für Streitbeilegung, Rückbuchungsschutz und Betrugsprävention
    * Betrugsprofildaten werden zur Verbesserung der Sicherheitsmodelle länger gehalten
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    * Zahlungsfreigabe und Kontobelastung des Käufers
    * Validierung von Zahlungsmitteln (Kartengültigkeit, Kontodeckung)
    * Betrugserkennung durch Scoring-Algorithmen
    * Aufstellung von Rechnungslegungsunterlagen für Merchant und Käufer
    * Einhaltung von Geldwäschebekämpfungs- (GwG) und Steuerbestimmungen (AO, HGB)
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    * **Subprozessoren:** PayPal arbeitet mit Zahlungsnetzen (Visa, Mastercard, Banken) zusammen
    * **Geschäftspartner:** Betrugsbekämpfungsdienste, KYC/AML-Compliance-Dienstleister
    * **Drittländer:** Übermittlung an PayPal Inc. (USA) zum Zweck der Speicherung, Verarbeitung und Geschäftskontinuität
    * **Auskunftsersuchen:** Bei Ersuchen von Behörden (Finanzamt, Staatsanwaltschaft, Zentralbank)
  </Step>

  <Step>
    ### Löschung [#lãschung]

    * Nach Ende einer Geschäftsbeziehung: 6 Jahre Aufbewahrung für steuerliche Verpflichtungen
    * Nach 6 Jahren: Pseudonymisierung oder Löschung, sofern keine längerfristigen Aufbewahrungsgründe bestehen
    * Käufer können einzelne Transaktionsdaten nicht selbst löschen; Löschung nur durch Merchant oder PayPal auf Anfrage
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von PayPal [#e-erhobene-daten-beim-einsatz-von-paypal]

Bei der Integration von PayPal als Zahlungsdienstleister verarbeitet der Webseitenbetreiber (als gemeinsam Verantwortlicher mit PayPal) und PayPal selbst folgende Datenarten:

**Erhobene Daten bei der Zahlungsabwicklung:**

* Name und E-Mail-Adresse des Käufers
* Rechnungsadresse und Lieferadresse
* Telefonnummer
* Betrag, Währung, Transaktionsreferenz
* Betrag und Artikel-Beschreibung (vom Webseitenbetreiber an PayPal übermittelt)
* IP-Adresse des Käufers
* Geräte- und Browserinformationen (User-Agent, Betriebssystem, Bildschirmauflösung)
* Zahlungsmitteltyp (Kreditkarte, Kontoverbindung, PayPal-Guthaben)
* Geburtsdatum (falls vom Webseitenbetreiber oder PayPal erforderlich)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, Datum/Uhrzeit, Browser/OS, technische Metadaten
* **Nutzungskonto-Daten:** E-Mail-Adresse, Name, Rechnungs- und Lieferadressen, Passwort (einwegverschlüsselt bei PayPal)
* **Grobe Standortdaten:** IP-basierter Standort auf Stadt-/Gemeindeebene
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
* **Browserinformationen:** Browsername, -version, installierte Plug-ins
* **Konversionsereignisse:** Produktkauf, Betrag, Transaktionszeitpunkt, Erfolg/Fehler
* **Technische Telemetriedaten:** Ladezeiten bei Checkout, Fehlerquoten, Session-Dauer

## F. Nutzungszwecke beim Einsatz von PayPal [#f-nutzungszwecke-beim-einsatz-von-paypal]

Bei der Zahlungsabwicklung mit PayPal werden Daten zu folgenden Zwecken verarbeitet:

**Hauptzwecke:**

* **Funktionsbereitstellung:** Ermöglichung des Checkout-Prozesses, Darstellung des PayPal-Buttons und des Bezahlformulars
* **Vertragsdurchführung:** Zahlungsabwicklung, Bestätigung von Transaktionen, Rechnungslegung gegenüber Käufer und Merchant
* **Sicherheit und Missbrauchsschutz:** Betrugserkennung durch Scoring, Identitätsprüfung, AML-Compliance (Geldwäschebekämpfung), Prüfung gegen Sanktionslisten
* **Allgemeine Produktverbesserung:** Verbesserung der Zahlungsabwicklungsgeschwindigkeit, Fehleranalyse beim Checkout, Nutzerfreundlichkeit
* **Compliance:** Einhaltung von AO (Abgabenordnung), HGB (Handelsgesetzbuch), GwG (Geldwäschegesetz), AIFMD und anderen Finanzvorschriften
* **Rechtsdurchsetzung:** Streitbeilegung, Rückbuchungsschutz, Nachweis von Transaktionen
* **Kommunikation:** Bestätigung der Zahlung, Rechnungen, Kundensupport bei Zahlungsproblemen

## G. Rechtsgrundlagen für PayPal [#g-rechtsgrundlagen-fãr-paypal]

**Schritt 1: Kategorisierung von PayPal**
PayPal ist ein Zahlungsdienstleister, den der Webseitenbetreiber als **eigenständigen Verantwortlichen und partiellen Auftragsverarbeiter** beauftragt. Die Rollenverteilung ist gemischt:

* Der Webseitenbetreiber ist Verantwortlicher für die Entscheidung, PayPal zu nutzen
* PayPal ist Verantwortlicher für die Zahlungsabwicklung und Betrugsprävention
* Im Zahlungsfluss fungiert PayPal zugleich als Auftragsverarbeiter für vom Webseitenbetreiber übermittelte Daten (z.B. Artikel-Beschreibung)

**Schritt 2: Anwendbare Rechtsgrundlagen**

1. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO):**
   * Notwendig zur Erfüllung eines Kaufvertrags zwischen Käufer und Webseitenbetreiber
   * Zahlungsabwicklung, Rechnungslegung, Versandbestätigung
   * Dies ist die primäre Rechtsgrundlage

2. **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO):**
   * GwG (Geldwäschegesetz): KYC-Prüfung des Käufers bei PayPal
   * AO (Abgabenordnung): 6-jährige Speicherung von Rechnungsunterlagen
   * HGB (Handelsgesetzbuch): Buchhaltungspflichten
   * AIFMD (Finanzmarktrichtlinie): Falls PayPal auch Finanzprodukte verwaltet

3. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO):**
   * Betrugsprävention und Sicherheit der Zahlungen
   * Schutz des Webseitenbetreibers vor Chargeback-Ansprüchen
   * Verhinderung von Geldwäsche und Terrorismusfinanzierung
   * Verbesserung der Zahlungsabwicklungsgeschwindigkeit
   * Gegenüberstellung: Die Interessen des Webseitenbetreibers und von PayPal überwiegen die Interessen der Betroffenen, da ohne Betrugsprävention der E-Commerce unmöglich wäre

4. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO):**
   * Nicht erforderlich, da Verträge und Rechtspflichten ausreichend sind
   * Optional: Falls der Webseitenbetreiber Marketing über PayPal-Daten plant (z.B. Kundenlisten), ist Einwilligung oder ein anderer Grund nötig

**Besonderheit – § 25 TDDDG (Telemediengesetz):**
Falls der Webseitenbetreiber einen PayPal-Button oder ein Tracking-Pixel auf der Website hat, das auch **außerhalb des Checkout-Prozesses** lädt (z.B. zur Conversion-Verfolgung), ist gemäß § 25 TDDDG eine **Opt-in-Einwilligung** erforderlich. Dies gilt für Cookies und Tracking-Technologien, nicht für die Zahlungsabwicklung selbst.

## H. Besonderheiten und Hinweise zu PayPal [#h-besonderheiten-und-hinweise-zu-paypal]

**1. PayPal ist eigenständiger Verantwortlicher**
PayPal verarbeitet Zahlungsdaten nicht nur auf Weisung des Webseitenbetreibers, sondern trifft eigene Entscheidungen über Sicherheitsscores, Betrugsprävention und Aufbewahrung. Das bedeutet, dass PayPals eigene Datenschutzerklärung ([https://www.paypal.com/de/webapps/mpp/ua/privacy-full](https://www.paypal.com/de/webapps/mpp/ua/privacy-full)) **direkt auf den Käufer anwendbar** ist, unabhängig von Ihrer Datenschutzerklärung.

**2. Duales Datenschutzregime**
Der Käufer hat Rechte gegenüber **beiden** Verantwortlichen:

* **Gegenüber dem Webseitenbetreiber:** Auskunft, Berichtigung, Löschung über die Webseitendaten
* **Gegenüber PayPal:** Auskunft, Berichtigung, Löschung über die Zahlungs- und Sicherheitsdaten

Sie sollten in Ihrer Datenschutzerklärung darauf hinweisen, dass PayPal Betroffenenrechte entgegennimmt.

**3. Datenschutzvereinbarung (DPA/AVV)**
PayPal bietet eine Data Protection Addendum ([https://www.paypal.com/us/legalhub/paypal/data-protection](https://www.paypal.com/us/legalhub/paypal/data-protection)). Diese beschreibt:

* Die Rolle des Webseitenbetreibers als Co-Verantwortlicher
* Die Behandlung von Subprozessoren
* Die Verwendung von Standard Contractual Clauses (SCC) für Drittlandtransfers
* Die Verpflichtung zur Zusammenarbeit bei Datenschutzanfragen

Sie sollten diese DPA unterzeichnet haben, falls Sie PayPal einsetzen.

**4. Drittlandtransfers und Transfermechanismen**
PayPal transferiert Daten in die USA. Gemäß Art. 13 Abs. 1 lit. f DSGVO müssen Sie dies offenlegen:

* **Data Privacy Framework (DPF):** PayPal Inc. (USA) ist DPF-zertifiziert (prüfen Sie dies auf [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search))
* **Standard Contractual Clauses (SCC):** Als Fallback und für weitere Transfers
* **Binding Corporate Rules (BCR):** PayPal unterliegt eigenen BCR für Intragruppen-Transfers

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Zahlungsdaten werden teilweise in die USA übermittelt. PayPal ist zertifiziert unter dem Data Privacy Framework und nutzt Standard Contractual Clauses.«

**5. § 25 TDDDG und PayPal-Tracking**
Falls der PayPal-Button nicht nur beim Checkout, sondern auch zur Conversion-Verfolgung trackt (»PayPal Pixel«), ist **Opt-in-Einwilligung** nötig (§ 25 Abs. 1 TDDDG). Dies ist unabhängig von der Zahlungsabwicklung.

## I. FAQ zu PayPal [#i-faq-zu-paypal]

<Accordions type="single">
  <Accordion title="Was ist PayPal?">
    PayPal ist ein Zahlungsdienstleister für Online-Zahlungen. Ein Käufer gibt seine Zahlungsdaten in ein PayPal-Formular ein, und PayPal leitet die Zahlung an den Merchant weiter. PayPal fungiert als eigenständiger Verantwortlicher für Zahlungs- und Sicherheitsdaten.
  </Accordion>

  <Accordion title="Welche Daten erfasst PayPal?">
    PayPal erfasst Name, E-Mail, Rechnungs- und Lieferadresse, Telefon, Zahlungsmitteltyp, Betrag, IP-Adresse, Geräte- und Browserinformationen sowie Verhaltensdaten zur Betrugsprävention.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für PayPal?">
    Primär Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) für die Zahlungsabwicklung. Sekundär rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) für Compliance und berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für Betrugsprävention.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für PayPal einholen?">
    Für die Zahlungsabwicklung nein – die Vertragserfüllung reicht aus. Aber: Falls der PayPal-Button auch zur Conversion-Verfolgung trackt (PayPal Pixel), brauchen Sie Opt-in-Einwilligung (§ 25 TDDDG).
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für PayPal in die Datenschutzerklärung?">
    Statt »PayPal erhebt Zahlungsdaten« empfehlen wir einen &#x2A;*themenorientierten Ansatz:**

    »&#x2A;*Zahlungsverarbeitung:** Wir bieten verschiedene Zahlungsarten an, darunter PayPal. Die Zahlungsabwicklung erfolgt durch PayPal (Europe) S.à r.l. et Cie, S.C.A., 22–24 Boulevard Royal, L-2449 Luxemburg. PayPal erhebt Name, Adresse, E-Mail und Geräte-Informationen zum Zweck der Zahlungsabwicklung und Betrugsprävention auf Basis von Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). PayPal ist Verantwortlicher für seine Verarbeitung und unterliegt eigenen Datenschutzbestimmungen ([https://www.paypal.com/de/webapps/mpp/ua/privacy-full](https://www.paypal.com/de/webapps/mpp/ua/privacy-full)). Daten werden teilweise in die USA transferiert; PayPal ist Data Privacy Framework zertifiziert.«

    Verwenden Sie dazu unser **kostenloses Generator-Tool** (s.u.).
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu PayPal [#j-fazit-und-empfehlung-zu-paypal]

PayPal ist als Zahlungsdienstleister für E-Commerce unverzichtbar, stellt aber erhebliche datenschutzrechtliche Anforderungen an den Webseitenbetreiber: Dual-Verantwortlichkeit, Drittlandtransfers in die USA, 6-jährige Aufbewahrung für Compliance, und verschiedene Rechtsgrundlagen je nach Verarbeitungsphase.

**Toolspezifische Textbausteine** (»PayPal verarbeitet Zahlungsdaten«) sind häufig zu kurz und erfüllen nicht die Anforderung der Art. 12 Abs. 1 DSGVO (»klare und einfache Sprache«).

**Empfehlung:** Nutzen Sie einen **themenorientierten Aufbau** Ihrer Datenschutzerklärung:

* Sektion »Zahlungsverarbeitung« mit Kurzbeschreibung aller Zahlungsanbieter
* Sektion »Sicherheit und Betrugsprävention« für den Zweck
* Sektion »Drittlandtransfers« mit Verweis auf DPF und SCC
* Anhang mit Empfängerlisten und Subprozessoren

Dies ist für Lesbarkeit und DSGVO-Konformität deutlich besser als Toolspezifische Boxen.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu PayPal und ersetzt keine rechtliche Beratung im Einzelfall. Information beruht auf PayPal-Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22).
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Qualtrics Surveys und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/qualtrics-datenschutzerklaerung)



# Qualtrics Surveys und Datenschutz – Was Webseitenbetreiber wissen müssen [#qualtrics-surveys-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Qualtrics Surveys ein, verarbeitet er Umfrage-Daten (Befragungsergebnisse, Nutzer-Antworten, Kontaktinformationen) zum Zweck der Nutzer-Feedback-Erhebung und -Analyse auf Basis von berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) oder Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Qualtrics fungiert als Auftragsverarbeiter und speichert Daten mit Hilfe von Standard Contractual Clauses (SCC) und ggf. dem Data Privacy Framework (DPF). Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Qualtrics zu beachten sind.

## A. Zweck und Funktionsweise von Qualtrics [#a-zweck-und-funktionsweise-von-qualtrics]

Qualtrics ist eine Cloud-basierte Umfrage- und Experience Management-Plattform, mit der Webseitenbetreiber gezielte Befragungen durchführen können. Das Tool wird typically über einen iFrame, einen Embed-Code oder einen Pop-up-Link in die Website integriert. Qualtrics unterstützt verschiedene Funktionalitäten:

* **Online-Umfragen**: Erstellung und Verteilung von Fragebögen an Besucher
* **Feedback-Widgets**: Pop-ups oder Inline-Widgets zur Echtzeiterfassung von Nutzerfeedback
* **Kontaktmanagement**: Verwaltung von Kontaktlisten und Respondent-Profilen
* **Analytische Auswertung**: Echtzeit-Auswertung von Umfrageergebnissen und Trend-Analysen
* **Integration**: Kopplung mit CRM- und Analytics-Systemen

Die Plattform wird von der US-amerikanischen Qualtrics LLC betrieben, hat aber eine EU-Niederlassung in Dublin, Irland (Qualtrics Ireland Limited, One Clarendon Row, Dublin 2), die als EU-Datenrepräsentant fungiert. Die Speicherung von Kundendaten erfolgt auf AWS-Infrastruktur in der EU, es sei denn, der Kunde konfiguriert eine andere Region.

## B. Pflichtangaben in der Datenschutzerklärung zu Qualtrics [#b-pflichtangaben-in-der-datenschutzerklärung-zu-qualtrics]

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung offenlegen, welche Daten verarbeitet werden (Art. 13 Abs. 1 lit. a DSGVO), zu welchen Zwecken (Art. 13 Abs. 1 lit. c), auf welcher Rechtsgrundlage (Art. 13 Abs. 1 lit. d) und welche Empfänger-Kategorien (Art. 13 Abs. 1 lit. e). Bei Qualtrics sind folgende Angaben erforderlich:

* **Zwecke**: Erhebung von Nutzerfeedback, Kundenzufriedenheitsmessung, Nutzerverhaltenserkennung, Produktverbesserung
* **Rechtsgrundlage**: Berechtigte Interessen (Art. 6 Abs. 1 lit. f – falls Umfrage nicht obligatorisch) oder Einwilligung (Art. 6 Abs. 1 lit. a), wenn persönliche Daten erfasst werden
* **Empfänger/Kategorien**: Qualtrics LLC (USA) / Qualtrics Ireland Limited (EU), Subprozessoren
* **Drittlandtransfers**: Erfolgt unter Standard Contractual Clauses (SCC) und ggf. EU-US Data Privacy Framework (DPF) – Einzelheiten siehe unten
* **Speicherdauer**: Abhängig von Konfiguration; vom Betreiber zu verifizieren
* **Datenkategorien**: Siehe Abschnitt E

**Wichtiger Hinweis**: Ein toolspezifisches Plug-&-Play-Textbaustein kann zu Verwirrung führen, da Qualtrics sehr viele Funktionen hat und die Rechtsgrundlagen je nach Einsatzszenario unterschiedlich sein können. Ein themenorientierter Ansatz (z.B. Abschnitt „Feedback und Umfragen") ist besser. Der matterius-Generator unterstützt Sie, solche flexiblen Formulierungen zu erstellen.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Qualtrics: Qualtrics LLC / Qualtrics Ireland Limited [#c-anbieter-von-qualtrics-qualtrics-llc--qualtrics-ireland-limited]

**Juristischer Name (USA)**: Qualtrics LLC\
&#x2A;*Juristischer Name (EU-Repräsentant)**: Qualtrics Ireland Limited\
**EU-Adresse**: One Clarendon Row, Dublin 2, Irland\
&#x2A;*Sitzland (Hauptunternehmen)**: USA (Kalifornien)\
**DPF-Status**: Qualtrics ist DPF-zertifiziert und hat sich zur Einhaltung der EU-US DPF und Swiss-US DPF Principles verpflichtet. **Wichtig**: Qualtrics verlässt sich derzeit primär auf Standard Contractual Clauses (SCCs), nicht auf DPF – aber DPF ist zusätzlich verfügbar.\
**Datenschutzerklärung**: [https://www.qualtrics.com/privacy-statement/](https://www.qualtrics.com/privacy-statement/)\
**AVV/DPA**: Data Processing Agreement mit Standard Contractual Clauses (SCCs) ist in den allgemeinen Geschäftsbedingungen (Terms of Service) integriert und wurde 2021 auf EU-Standard aktualisiert.\
**Recht & Zuständigkeit**: Nach deutschem und iländischem Recht; Dispute Resolution vor irischen Gerichten

## D. Datenverarbeitung durch Qualtrics – Ablauf [#d-datenverarbeitung-durch-qualtrics--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Webseitenbetreiber integriert ein Qualtrics-Widget oder einen iFrame in seine Website. Wenn ein Nutzer die Seite besucht, wird das Widget geladen. Entweder erfolgt eine automatische Umfrage (z.B. nach X Sekunden), oder der Nutzer muss manuell auf den Umfrage-Link klicken. Bei der Interaktion erfasst Qualtrics die Umfrage-Antworten und optional Meta-Daten (IP-Adresse, Browser, Timestamp, User-Agent).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Umfrage-Antworten und Meta-Daten werden auf Qualtrics-Servern (primär EU-Rechenzentren) gespeichert. Die genaue Speicherdauer ist in der Qualtrics-Konfiguration definiert und vom Webseitenbetreiber konfigurierbar. Historische Daten können über die Plattform gelöscht oder exportiert werden. Eine Speicherung auf US-Servern ist möglich, wenn der Webseitenbetreiber dies konfiguriert hat – dann greift SCC.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Qualtrics aggregiert die Umfrage-Daten und stellt dem Webseitenbetreiber Dashboards, Statistiken, Trend-Berichte und Segmentierungen zur Verfügung. Automatische Analysen (z.B. Text-Mining, Sentiment-Analyse) können optional aktiviert werden. Der Webseitenbetreiber kann auch einzelne Antworten einsehen (was datenschutzmäßig relevant ist, wenn personalisierte Daten erfasst wurden).
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Qualtrics teilt Daten mit Subprozessoren (z.B. Cloud-Provider, Analyse-Tooling). Mit allen Subprozessoren hat Qualtrics Data Processing Agreements und SCCs vereinbart. Die Liste ist auf Anfrage einsehbar. Optional kann der Webseitenbetreiber Daten auch an andere Tools (z.B. CRM, Analytics) integrieren.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der konfigurierten Aufbewahrungsfrist werden Daten automatisch gelöscht. Der Webseitenbetreiber kann auch manuell Umfragenergebnisse oder komplette Surveys löschen. Nutzer können ihr Recht auf Löschung (Art. 17 DSGVO) geltend machen – Qualtrics muss diese in angemessener Zeit bearbeiten.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Qualtrics [#e-erhobene-daten-beim-einsatz-von-qualtrics]

Qualtrics erfasst eine Vielzahl von Daten, abhängig davon, wie die Umfrage konfiguriert ist. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent, Browser/OS/Gerät
* **Nutzerprofile**: Benutzername/-kennung (falls Login erforderlich), E-Mail-Adresse, Login-Verläufe
* **Nutzer-Inhalte**: Antworten auf Umfrage-Fragen, Text-Eingaben, Bewertungen, Kommentare
* **Interaktionsdaten**: Klicks auf Fragen, Verweilzeit pro Frage, Abbruchpunkte
* **Technische Telemetriedaten**: Ladezeiten, Fehler, Vollständigkeit der Antworten

Optional können auch aufgerufene URLs, Referrer und weitere technische Metadaten erfasst werden, wenn der Webseitenbetreiber dies konfiguriert hat.

## F. Nutzungszwecke beim Einsatz von Qualtrics [#f-nutzungszwecke-beim-einsatz-von-qualtrics]

Qualtrics wird primär zur Kundenfeedback und Marktforschung eingesetzt. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

* **Kommunikation**: Direkte Erhebung von Nutzerfeedback, Kundenumfragen, Kundenzufriedenheitsmessung
* **Allgemeine Produktverbesserung**: Ermittlung von Verbesserungspotenzialen, Identifikation von Nutzerwünschen
* **Nutzerprofile-Erstellung**: Segmentierung von Nutzern nach Zufriedenheit, Verhalten, Demografie (falls erfasst)
* **Allgemeines Marketing**: Ermittlung von Marktrends, Benchmarking gegen Wettbewerber
* **Compliance**: Dokumentation von Kundenfeedback für Qualitätssicherung, interne Audits

## G. Rechtsgrundlagen für Qualtrics [#g-rechtsgrundlagen-für-qualtrics]

Die Rechtsgrundlage hängt vom Einsatzszenario ab:

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)**: Wenn die Umfrage zur Produktverbesserung dient und der Nutzer nicht verpflichtet ist teilzunehmen, kann eine Abwägung der Interessen erfolgen. Der Nutzer hat ein Interesse an guten Produkten; das Unternehmen ein berechtigtes Interesse an Feedback.

2. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)**: Wenn personenbezogene Daten (z.B. E-Mail, Name) erfasst werden, ist eine ausdrückliche Einwilligung erforderlich.

3. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)**: In seltenen Fällen, wenn die Umfrage Bestandteil eines Vertrags ist.

**Im Einzelfall zu prüfen**, welche Rechtsgrundlage zutrifft und ob mehrere kombiniert werden müssen.

## H. Besonderheiten und Hinweise zu Qualtrics [#h-besonderheiten-und-hinweise-zu-qualtrics]

* **DPF und SCC**: Qualtrics ist DPF-zertifiziert, verlässt sich aber primär auf Standard Contractual Clauses (SCCs). Die SCCs sind in die AGB integriert.
* **Datentransfer in die USA**: Ein Transfer von Daten in die USA ist möglich, wenn Qualtrics dies technisch erforderlich macht (z.B. für Backup oder Analyse-Services). Dies ist über SCC und ggf. DPF rechtlich gedeckt.
* **ISO 27001 Zertifizierung**: Qualtrics ist nach ISO 27001 zertifiziert und unterliegt FedRAMP-Autorisierung.
* **Datensubjekt-Rechte**: Qualtrics unterstützt Data Subject Rights (Export, Löschung, Korrekt, Portabilität) über seine Plattform-Funktionen. Der Webseitenbetreiber muss diese aber aktivieren und dokumentieren.
* **Einzelheiten zu Speicherdauer**: Die Standard-Aufbewahrungsrichtlinie von Qualtrics sollte mit dem Webseitenbetreiber abgeklärt werden.

## I. FAQ zu Qualtrics [#i-faq-zu-qualtrics]

<Accordions type="single">
  <Accordion title="Was ist Qualtrics?">
    Qualtrics ist eine Cloud-basierte Umfrage- und Customer Experience Management-Plattform, die es Webseitenbetreibern ermöglicht, Nutzerfeedback zu sammeln und zu analysieren.
  </Accordion>

  <Accordion title="Welche Daten erfasst Qualtrics?">
    Qualtrics erfasst Umfrage-Antworten, optional IP-Adresse, Browser-Informationen, Geräte-Metadaten und E-Mail-Adressen (falls konfiguriert). Auch Interaktionsdaten wie Verweilzeit pro Frage und Abbruchpunkte werden erfasst.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Qualtrics?">
    Dies hängt vom Einsatzszenario ab: Berechtigte Interessen (Art. 6 Abs. 1 lit. f – für Feedback und Produktverbesserung), Einwilligung (Art. 6 Abs. 1 lit. a – wenn personenbezogene Daten erfasst werden), oder Vertragsdurchführung (Art. 6 Abs. 1 lit. b – selten). Im Einzelfall zu prüfen.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Qualtrics einholen?">
    Wenn die Umfrage nicht obligatorisch ist und keine personenbezogenen Daten erfasst werden, ist eine Einwilligung nicht zwingend erforderlich – berechtigte Interessen reichen aus. Wenn aber E-Mail oder Name erfasst werden, ist eine Einwilligung erforderlich.
  </Accordion>

  <Accordion title="Gibt es ein DPA/AVV für Qualtrics?">
    Ja. Das Data Processing Agreement mit Standard Contractual Clauses ist in Qualtrics' Terms of Service integriert und wurde auf EU-Standard (2021 SCCs) aktualisiert. Das AVV kann auf Anfrage zur Einsicht angefordert werden.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Qualtrics in die Datenschutzerklärung?">
    Ein guter Textbaustein integriert Qualtrics in einen übergeordneten Abschnitt „Feedback und Umfragen", beschreibt die Zwecke, die erfassten Daten, die Rechtsgrundlage(n) und verweist auf Qualtrics' Privacy Policy. Der matterius-Generator erstellt solche Formulierungen dynamisch und berücksichtigt dabei die konfigurierte Rechtsgrundlage und die Art der erfassten Daten.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Qualtrics [#j-fazit-und-empfehlung-zu-qualtrics]

Qualtrics ist ein umfassendes Feedback-Tool mit solider DSGVO-Dokumentation, Standard Contractual Clauses und DPF-Zertifizierung. Für eine DSGVO-konforme Nutzung sind folgende Punkte essentiell: (1) klare Auslegung der Rechtsgrundlage (berechtigte Interessen oder Einwilligung), (2) transparente Offenlegung in der Datenschutzerklärung, (3) ggf. Einholung einer Einwilligung bei personenbezogenen Daten, (4) Überprüfung der konfigurierten Speicherdauer.

**Problematisch**: Ein toolspezifischer Copy-Paste-Textbaustein aus Qualtrics-Dokumentation. Besser ist ein themenorientierter Ansatz, der alle Umfrage-Tools (Qualtrics, Typeform, SurveySparrow etc.) unter einem Dach behandelt und eine klare, verständliche Sprache nutzt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Qualtrics und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# SAP Customer Data Cloud und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/sap-customer-data-cloud-datenschutzerklaerung)



# SAP Customer Data Cloud und Datenschutz – Was Webseitenbetreiber wissen müssen [#sap-customer-data-cloud-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber die SAP Customer Data Cloud (ehemals Gigya) für Nutzerregistrierung, Login und Einwilligungsmanagement ein, verarbeitet er Kundendaten (Name, E-Mail, Passwort-Hash, Profildaten, Consent-Status) zum Zweck der Authentifizierung, Identitätsverwaltung und Compliance mit Datenschutzvorschriften auf Basis von Vertragsdurchführung und berechtigten Interessen. SAP SE, Walldorf, Deutschland, fungiert dabei als **Auftragsverarbeiter** und ein deutsches Unternehmen – was das datenschutzrechtliche Profil gegenüber US-basierten Anbietern grundlegend vereinfacht.

Diese Anleitung richtet sich an Webseitenbetreiber, die SAP Customer Data Cloud für Registration-as-a-Service (RaaS), Login-Management und Consent/Preference Management einsetzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

## A. Zweck und Funktionsweise von SAP Customer Data Cloud [#a-zweck-und-funktionsweise-von-sap-customer-data-cloud]

Die SAP Customer Data Cloud (ehemals »Gigya« – ein von SAP 2017 akquiriertes Unternehmen) ist eine **Customer Identity and Access Management (CIAM) Plattform** mit Schwerpunkt auf:

* **Registration-as-a-Service (RaaS):** Verwaltete Registrierungs- und Login-Prozesse für Websites
* **Social Login:** Authentifizierung über Social-Networks (Facebook, Google, LinkedIn, etc.)
* **Consent und Preference Management:** Zentrale Verwaltung und Dokumentation von Benutzereinwilligungen zu Datennutzung, Marketing, Cookies
* **Profile Data Management:** Zentrale Nutzerdatenbank mit erweiterbaren Profil-Feldern
* **Progressive Profiling:** Stufenweise Erfassung von Nutzerinformationen über mehrere Besuche

**Integrationsfunktion auf der Website:**

1. **Gigya Screen-Sets (UI-Komponenten):** SAP stellt vorgefertigte Registrierungs- und Login-Formulare bereit, die der Websitenbetreiber auf seiner Website einbindet (als HTML/CSS/JavaScript)
2. **JavaScript SDK:** Ein Skript wird auf der Website implementiert, das Nutzerinteraktionen verfolgt und mit den SAP-Servern kommuniziert
3. **Consent Vault:** Ein Speicher für alle Nutzereintretungen (Zeitstempel, Formulierung, Versionnummer)
4. **Social Provider Integration:** Bei Bedarf werden Social-Network-Profile mit dem lokalen Nutzerkonto verbunden

**Typischer Ablauf:**

* Nutzer besucht die Website
* Nutzer klickt »Registrieren« oder »Mit Google anmelden«
* Gigya Screen-Set zeigt Registrierungsformular
* Nutzer gibt Name, E-Mail, Passwort ein und stimmt Datenschutzerklärung zu
* Gigya speichert das Profil und den Consent-Status
* Nutzer ist angemeldet und kann auf die Website zugreifen

## B. Pflichtangaben in der Datenschutzerklärung zu SAP CDC [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-sap-cdc]

Die DSGVO verlangt: **Zwecke** (Art. 13 Abs. 1 lit. c), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. a), **Empfängerkategorien** (Art. 13 Abs. 1 lit. e), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f, falls relevant) und **Speicherdauer** (Art. 13 Abs. 2 lit. a).

**Sichtweise auf SAP CDC-Integration:** Viele Websitenbetreiber schreiben zu SAP CDC nur »SAP verwaltet Nutzerdaten« – dies ist zu allgemein. Stattdessen sollte transparent werden:

* Wofür die Registrierung nötig ist (Zugang zu Website, Newsletter, Kundenkonto)?
* Welche Daten gesammelt werden (Name, E-Mail, Profilfelder, Consent-Status)?
* Zu welchem Zweck (Authentifizierung, Consent-Dokumentation, Compliance)?
* Aufgrund welcher Rechtsgrundlage (Vertrag, berechtigte Interessen)?
* Wo werden die Daten verarbeitet (in der EU, da SAP deutsch ist)?

**Besser:** Ein themenorientierter Abschnitt »Nutzerregistrierung und Authentifizierung« mit Beschreibung aller Identitäts-Management-Systeme.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von SAP Customer Data Cloud: SAP SE [#c-anbieter-von-sap-customer-data-cloud-sap-se]

**Juristischer Name:** SAP SE

**Anschrift:** Dietmar-Hopp-Allee 16, 69190 Walldorf, Deutschland

**Sitzland:** Deutschland (Europäische Union)

**Datenschutzerklärung:** [https://www.sap.com/about/legal/privacy.html](https://www.sap.com/about/legal/privacy.html)

**DPF-Status:** SAP SE ist ein deutsches (EU-based) Unternehmen und unterliegt nicht dem Data Privacy Framework (DPF). Das DPF gilt nur für US-Unternehmen. SAP unterliegt direkt der EU-DSGVO ohne Transfermechanismen, was das Datenschutzprofil **deutlich vereinfacht**.

**Datenschutzvereinbarung (DPA/AVV):** SAP bietet eine standardisierte &#x2A;*Cloud DPA (Data Processing Addendum)** an. Diese ist verfügbar unter:

* **Englisch:** [https://www.sap.com/about/legal/privacy.html](https://www.sap.com/about/legal/privacy.html) (Link zu Cloud Terms and Conditions)
* **Deutsch:** [https://www.sap.com/germany/about/legal/privacy.html](https://www.sap.com/germany/about/legal/privacy.html)

Die Cloud DPA regelt:

* SAP-Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
* Sicherheitsstandards (ISO 27001, BSI C5 für deutsche Datencenter)
* Unterstützung bei Betroffenenrechten
* Subprozessoren-Verwaltung
* EU-Datenspeicherung (ohne Drittlandtransfers, falls EU-Datencenter gewählt)
* Ggf. Standard Contractual Clauses (SCC) für Subprozessoren außerhalb der EU

Die DPA **muss unterzeichnet** sein, um SAP CDC DSGVO-konform zu nutzen.

## D. Datenverarbeitung durch SAP CDC – Ablauf [#d-datenverarbeitung-durch-sap-cdc-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    SAP Customer Data Cloud erhebt Daten bei der Registrierung und während der Nutzung:

    * **Registrierung:** Name, Vorname, E-Mail-Adresse, Passwort (gehashed), Geburtsdatum (optional), Land/Region
    * **Profil-Daten:** Alle zusätzlichen Felder, die der Websitenbetreiber in das Registrierungsformular eingefügt hat (Branche, Rolle, Interessen, Präferenzen)
    * **Consent-Daten:** Status jeder Einwilligung (Marketing, Cookies, Datenschutzerklärung), Zeitstempel, Versionnummer, IP-Adresse, User-Agent
    * **Login-Verhalten:** Zeitstempel von Logins, IP-Adresse, Browser-Informationen, erfolgreiche und fehlgeschlagene Anmeldeversuche
    * **Social-Profile-Daten:** Falls der Nutzer Social Login nutzt, werden Daten vom Social-Provider abgerufen (Facebook ID, Google ID, etc.)
    * **Technische Metadaten:** Session-ID, Cookie-Informationen, User-Agent, Referrer
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    * SAP speichert Daten auf Servern, die der Websitenbetreiber wählen kann:
      * **EU-Datencenter:** Deutschland, Irland, oder andere EU-Länder (DSGVO-konform, keine Drittlandtransfers)
      * **Globale Datencenter:** Falls der Websitenbetreiber sich nicht für EU-exklusiven Speicher entscheidet, können Daten auch außerhalb der EU verarbeitet werden
    * Speicherdauer: So lange das Nutzerkonto besteht, plus Archivierung für Compliance
    * Nach Kontolöschung: Daten werden nach \[Zeitraum] gelöscht (z.B. 30 Tage für Backup-Recovery)
    * Consent-Daten: Werden länger aufbewahrt für Audit-Trail und Compliance (typisch 3–7 Jahre)
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    * Authentifizierung: Validierung von Anmeldedaten beim Login
    * Zugriffskontrolle: Feststellung, auf welche Funktionen der Website der Nutzer Zugriff hat
    * Profil-Management: Der Nutzer kann sein Profil jederzeit bearbeiten
    * Consent-Dokumentation: SAP speichert alle Einwilligungen mit Datum und Inhalt (für DSGVO-Compliance)
    * Reporting: Der Websitenbetreiber kann über SAP-Dashboards Statistiken zu Registrierungen und Logins sehen
    * Kontoadministration: Support für Passwort-Resets, Kontosperren, Datenexporten
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    * **Subprozessoren:** AWS (falls nicht EU-exklusiv), Zahlungsdienstleister, Email-Zustelldienste (für Willkommensmails)
    * **SAP-Konzern:** Daten können an andere SAP-Gesellschaften weltweit übermittelt werden (mit SCC, falls nötig)
    * **Third-Party-Provider:** Falls der Websitenbetreiber Social Login aktiviert hat, werden Daten mit Facebook/Google/LinkedIn ausgetauscht
    * **Auskunftsersuchen:** Bei behördlichen Anfragen (wie in den SAP-Rechtsbedingungen vorgesehen)
    * **Subprozessoren-Liste:** Verfügbar über SAP Trust Center ([https://www.sap.com/about/trust-center/data-privacy.html](https://www.sap.com/about/trust-center/data-privacy.html))
  </Step>

  <Step>
    ### Löschung [#lãschung]

    * Der Nutzer kann sein Konto jederzeit selbst löschen (Betroffenenrecht Art. 17 DSGVO)
    * Der Websitenbetreiber kann Konten über das SAP-Admin-Interface löschen
    * Nach Löschung: Daten werden aus den aktiven Systemen entfernt
    * Backup-Aufbewahrung: Bis zu 30 Tage für technische Recovery (danach permanent gelöscht)
    * Consent-Audit-Trail: Kann länger aufbewahrt werden (z.B. für Steuernachweise)
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von SAP CDC [#e-erhobene-daten-beim-einsatz-von-sap-cdc]

Bei der Nutzung von SAP Customer Data Cloud verarbeitet der Websitenbetreiber folgende Datenarten:

* Vorname und Nachname
* E-Mail-Adresse
* Passwort (einwegverschlüsselt/gehashed)
* Geburtsdatum (optional)
* Land/Region
* Zusätzliche Profil-Felder (je nach Konfiguration durch Websitenbetreiber: Branche, Job Title, Unternehmen, Telefon, Adresse)
* Consent-Status (ja/nein für Marketing, Cookies, Datenschutzerklärung, etc.)
* Consent-Zeitstempel und Versionnummer
* IP-Adresse (bei Registrierung und Login)
* User-Agent und Browser-Informationen
* Social-Provider-ID (falls Social Login genutzt)
* Login-Verläufe (Datum/Uhrzeit, erfolgreiche/fehlgeschlagene Versuche)
* Session-IDs und technische Session-Daten

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, Datum/Uhrzeit, Browser/OS, User-Agent
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem, Bildschirmauflösung
* **Browserinformationen:** Browsername, -version, installierte Plug-ins
* **Nutzungskonto-Daten:** Name, E-Mail-Adresse, Passwort (gehashed), Geburtsdatum, Adresse
* **Nutzerprofile:** Branche, Job-Titel, Unternehmen, Interessen, Kontakt-Informationen
* **Interaktionsdaten:** Login-Verläufe, Session-Dauer, Besuche im Profil-Editor

## F. Nutzungszwecke beim Einsatz von SAP CDC [#f-nutzungszwecke-beim-einsatz-von-sap-cdc]

Bei der Nutzung von SAP Customer Data Cloud werden Daten zu folgenden Zwecken verarbeitet:

**Primäre Zwecke:**

* **Funktionsbereitstellung:** Bereitstellung des Registrierungs- und Login-Systems
* **Authentifizierung:** Validierung der Benutzeridentität bei jedem Login
* **Zugriffskontrolle:** Feststellung der Zugriffsberechtigung auf Website-Funktionen und geschützte Inhalte
* **Kontoverwaltung:** Profil-Bearbeitung, Passwort-Reset, Kontosicherheit
* **Compliance und Einwilligungsmanagement:** Dokumentation und Speicherung aller Benutzereinwilligungen (DSGVO-Anforderung)
* **Sicherheit:** Betrugsprävention, Erkennung ungewöhnlicher Anmeldeversuche, Bot-Protection
* **Vertragsdurchführung:** Erfüllung eines ggf. bestehenden Kundenbindungsvertrags

**Sekundäre Zwecke (falls aktiviert):**

* **Produktverbesserung:** Analyse von Registrierungs- und Login-Mustern
* **Betroffenenrechte:** Bereithaltung von Datenexporten und Verwaltung von Löschanfragen
* **Kommunikation:** Versand von Willkommensmails, Passwort-Reset-Links, Sicherheitsbenachrichtigungen

## G. Rechtsgrundlagen für SAP CDC [#g-rechtsgrundlagen-fãr-sap-cdc]

**Schritt 1: Kategorisierung von SAP CDC**
SAP Customer Data Cloud ist ein **Auftragsverarbeiter** (Art. 28 DSGVO) für die Speicherung und Verwaltung von Nutzerprofilen. Der Websitenbetreiber ist Verantwortlicher und muss sicherstellen, dass:

* Eine Rechtsgrundlage für die Datenerhebung besteht
* Die DPA mit SAP unterzeichnet ist
* Eine Datenschutzerklärung Nutzer über die Verarbeitung informiert

**Schritt 2: Anwendbare Rechtsgrundlagen**

1. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Primär für Registrierung/Login:**
   * Die Bereitstellung eines Nutzerkontos ist typischerweise **notwendig** zur Erfüllung eines Vertrags mit dem Nutzer (Zugang zu Website-Funktionen, Download von Inhalten, etc.)
   * Die Speicherung von Name, E-Mail und Passwort ist zur Authentifizierung notwendig
   * Diese ist die stärkste Rechtsgrundlage für die Kern-Funktionen

2. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Für Sicherheit und Optimierung:**
   * Der Websitenbetreiber hat ein berechtigtes Interesse, sein Konto-System sicher zu halten (Betrugsprävention, Bot-Schutz)
   * Der Websitenbetreiber hat ein berechtigtes Interesse, Registrierungs- und Login-Prozesse zu verbessern
   * **Abwägung:** Diese Interessen überwiegen die Interessen des Nutzers, da sie zum Schutz und zur Verbesserung des Dienstes notwendig sind

3. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Optional:**
   * Nicht erforderlich für Basis-Funktionen (Registrierung, Authentifizierung)
   * Optional: Falls der Websitenbetreiber zusätzliche Profil-Felder sammelt (z.B. »Interessiert an Marketing?«), kann Einwilligung verlangt werden

4. **Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) – Für Compliance:**
   * Keine direkten Gesetze für Registrierungssysteme, aber allgemein: Aufbewahrung von Dokumenten für Betroffenenrechtsanfragen und Audit-Trails

**Besonderheit – Consent Management und Dokumentation:**
Der Zweck von SAP CDC beinhaltet auch das **Dokumentieren von Einwilligungen** (z.B. zu Marketing, Cookies, Datenschutzerklärung). Dieses Dokumentieren ist selbst eine **Datenverarbeitung** und benötigt eine Rechtsgrundlage. Typisch:

* **Vertragsdurchführung:** Falls die Einwilligung notwendig ist, um den Service zu erbringen
* **Berechtigte Interessen:** Der Websitenbetreiber hat Interesse, Einwilligungen zu dokumentieren (für DSGVO-Compliance und Audit-Trail)

## H. Besonderheiten und Hinweise zu SAP CDC [#h-besonderheiten-und-hinweise-zu-sap-cdc]

**1. SAP ist ein deutsches Unternehmen – großer Vorteil**
SAP SE ist in Walldorf, Deutschland ansässig und unterliegt direkt der DSGVO. Das bedeutet:

* **Keine Drittlandtransfers erforderlich** (im Gegensatz zu US-Anbietern wie Braze oder PayPal)
* **Keine Data Privacy Framework Zertifizierung nötig** (SAP ist EU-Unternehmen)
* **Einfachere Rechtsstruktur**: Kein zusätzliches Transfermechanismus-Management
* **Deutsche Behördenkooperation**: Anfragen von deutschen Datenschutzbehörden sind leichter zu handhaben

Dies ist ein erheblicher Compliance-Vorteil gegenüber US-Tools.

**2. SAP Customer Data Cloud ist nicht SAP SuccessFactors**
Wichtige Unterscheidung:

* **SAP Customer Data Cloud (ehemals Gigya):** Für Websites – Nutzer-Registrierung, Login, Consent Management
* **SAP SuccessFactors:** HR-Software für Mitarbeiterdaten – für interne Personalverwaltung
  Diese Anleitung fokussiert auf **SAP Customer Data Cloud für Websites**. SuccessFactors ist ein separates Produkt mit anderer Datenschutzlogik.

**3. DPA ist zwingend erforderlich**
Sie **müssen** eine Cloud DPA mit SAP haben. Diese regelt:

* SAP als Auftragsverarbeiter (Art. 28 DSGVO)
* Sicherheitsstandards
* Datencenter-Standorte (ideal: EU-exklusiv)
* Unterstützung bei Betroffenenrechten
  Verfügbar unter SAP Trust Center.

**4. EU-Datencenter-Option nutzen**
SAP bietet die Möglichkeit, Daten ausschließlich in EU-Rechenzentern zu speichern (z.B. Deutschland, Irland). Dies ist **empfohlen**:

* Keine Drittlandtransfers
* Einfachere Compliance
* Bessere Performance für EU-Nutzer
  Prüfen Sie dies bei der Konfiguration von SAP CDC.

**5. Consent Vault und Audit-Trail**
SAP CDC beinhaltet eine **Consent Vault**, die alle Einwilligungen mit:

* Datum und Uhrzeit
* Formulierung der Zustimmung
* Versionnummer
* IP-Adresse
  speichert. Dies ist eine DSGVO-Anforderung (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO) und ein großer Vorteil für die Dokumentation.

**6. Betroffenenrechte und Recht auf Vergessenwerden**
Nutzer können:

* Auskunft über ihre Daten verlangen (Art. 15 DSGVO)
* Ihre Daten korrigieren (Art. 16 DSGVO)
* Ihr Konto löschen (Art. 17 DSGVO – »Recht auf Vergessenwerden«)

SAP CDC unterstützt diese Funktionen über Admin-Interface. Sie sollten einen Prozess haben, Anfragen entgegenzunehmen und umzusetzen.

**7. Subprozessoren und Datenflüsse**
Prüfen Sie die SAP-Subprozessoren-Liste (im SAP Trust Center):

* Wo werden Backups gespeichert?
* Welche Cloud-Infrastruktur wird genutzt (AWS, Azure, etc.)?
* Welche Drittanbieter (Email-Services, etc.) haben Zugriff auf Daten?

## I. FAQ zu SAP Customer Data Cloud [#i-faq-zu-sap-customer-data-cloud]

<Accordions type="single">
  <Accordion title="Was ist SAP Customer Data Cloud?">
    SAP Customer Data Cloud (ehemals Gigya) ist ein Identity and Access Management System für Websites. Es ermöglicht Websitebetreibern, Nutzer zu registrieren, Login-Verwaltung anzubieten und Einwilligungen zu dokumentieren (Consent Management).
  </Accordion>

  <Accordion title="Welche Daten erfasst SAP CDC?">
    SAP CDC erfasst Name, E-Mail, Passwort (gehashed), zusätzliche Profil-Felder (je nach Konfiguration), Consent-Status, Login-Verläufe, IP-Adresse und Geräte-Informationen.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für SAP CDC?">
    Primär **Vertragsdurchführung** (Art. 6 Abs. 1 lit. b DSGVO) für Registrierung und Authentifizierung, da der Zugang zum Nutzerkonto typischerweise vertraglich vorgesehen ist. Sekundär **berechtigte Interessen** (Art. 6 Abs. 1 lit. f DSGVO) für Sicherheit und Produktverbesserung.
  </Accordion>

  <Accordion title="Brauche ich eine DPA für SAP CDC?">
    Ja, zwingend erforderlich. Die Cloud DPA ist über das SAP Trust Center verfügbar und regelt SAP als Auftragsverarbeiter.
  </Accordion>

  <Accordion title="Ist SAP CDC DSGVO-konform?">
    Ja, SAP CDC kann DSGVO-konform genutzt werden, insbesondere wenn Sie:

    * Die DPA mit SAP unterzeichnet haben
    * EU-Datencenter-Optionen nutzen (keine Drittlandtransfers)
    * Consent Vault für Einwilligungsdokumentation verwenden
    * Betroffenenrechte ermöglichen
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für SAP CDC in die Datenschutzerklärung?">
    Statt »SAP verwaltet Nutzerdaten« empfehlen wir einen &#x2A;*themenorientierten Abschnitt:**

    »&#x2A;*Nutzerregistrierung und Authentifizierung:** Für den Zugang zu bestimmten Website-Funktionen müssen Sie sich registrieren. Wir nutzen die SAP Customer Data Cloud (SAP SE, Walldorf, Deutschland), um Ihre Registrierungsdaten zu verwalten. Folgende Daten werden erhoben: Name, E-Mail-Adresse, Passwort (gehashed), sowie alle Profilfelder, die Sie ausfüllen. Diese Daten werden zum Zweck der Authentifizierung und Kontoverwaltung verarbeitet auf Basis Ihrer Zustimmung zur Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO). Daten werden in EU-Datencenter verarbeitet und gespeichert. Sie können Ihr Konto jederzeit löschen. Alle Ihre Einwilligungen werden in einer Consent Vault dokumentiert.«

    Verwenden Sie dazu unser **kostenloses Generator-Tool** (s.u.).
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu SAP CDC [#j-fazit-und-empfehlung-zu-sap-cdc]

SAP Customer Data Cloud ist ein **EU-konformes, deutsches Identitätsverwaltungs-Tool**, das viele datenschutzrechtliche Vorteile gegenüber US-basierten Alternativen bietet:

* **Deutsches Unternehmen** (SAP SE) – direkt DSGVO-unterworfen
* **Consent Vault** – Audit-Trail für alle Einwilligungen
* **EU-Datencenter-Optionen** – keine Drittlandtransfers erforderlich
* **Unterstützung für Betroffenenrechte** – Datenexport, Löschung, Änderung

**Toolspezifische Textbausteine** (»SAP verwaltet Daten«) sind zu kurz und erklären nicht, was ein Registrierungssystem tut und wie es datenschutzrechtlich funktioniert.

**Empfehlung:** Nutzen Sie einen &#x2A;*themenorientierten Aufbau:**

* Sektion »Nutzerregistrierung und Authentifizierung« mit Beschreibung des Registrierungsprozesses
* Klare Information: »Wir nutzen SAP Customer Data Cloud, ein deutsches Identitätsverwaltungssystem«
* Sektion »Betroffenenrechte« mit Info zu Datenexport, Änderung, Löschung
* Verweis auf die Consent Vault für Einwilligungsdokumentation
* Sektion »Datensicherheit« mit Info zu EU-Datencenter und Verschlüsselung

Stellen Sie sicher, dass:

* Die Cloud DPA mit SAP unterzeichnet ist
* EU-Datencenter konfiguriert ist (falls möglich)
* Nutzer ihre Konten selbst verwalten können
* Ein Prozess für Betroffenenrechtsanfragen besteht

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu SAP Customer Data Cloud und ersetzt keine rechtliche Beratung im Einzelfall. Information beruht auf SAP-Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22).
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/surveymonkey-embeds-datenschutzerklaerung)



# SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehört [#surveymonkey-embeds-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Webseitenbetreiber bettet häufig SurveyMonkey-Umfragen mittels iFrame oder JavaScript-Widget direkt in ihre Webseite ein, um Nutzerfeedback zu sammeln. Dabei werden personenbezogene Daten der Umfrageteilnehmer an SurveyMonkey-Server übertragen – insbesondere IP-Adresse, Standortdaten, Browserinformationen und die Umfrageantworten selbst. Die Aufnahme angemessener Datenschutzhinweise in der Datenschutzerklärung ist rechtlich erforderlich und sollte transparent über die Verarbeitung, den Anbieter und die Betroffenenrechte informieren.

## A. Zweck und Funktionsweise von SurveyMonkey Embeds [#a-zweck-und-funktionsweise-von-surveymonkey-embeds]

SurveyMonkey ist eine cloudbasierte Umfrage- und Formularverwaltungsplattform der Momentive Global Inc. (USA) mit europäischer Niederlassung SurveyMonkey Europe UC in Dublin, Irland. Die Embed-Funktion ermöglicht es Webseitenbetreibern, Umfragen direkt in ihre Webseite zu integrieren – ohne dass Nutzer die Website verlassen müssen.

Die Integration erfolgt typischerweise auf zwei Wegen:

1. **iFrame-Einbettung**: Der Webseitenbetreiber bindet einen iFrame-Code ein, der auf einen SurveyMonkey-Server verweist. Der Browser lädt dabei Inhalte direkt von den SurveyMonkey-Servern.
2. **JavaScript-Widget**: Ein minimalistisches JavaScript-Skript wird in die Webseite eingebunden, das die Umfrage als interaktives Element anzeigt.

Bei beiden Methoden stellt der Browser des Nutzers automatisch eine Verbindung zu SurveyMonkey-Servern her – unabhängig davon, ob der Nutzer die Umfrage tatsächlich ausfüllt. Diese Verbindung ist es, bei der personenbezogene Daten wie die IP-Adresse übertragen werden.

**Hinweis**: Die umfangreiche SurveyMonkey-Plattform mit Login, Dashboard und Umfrageerstellung wird hier nicht behandelt. Fokus liegt auf der Embed-Integration für Website-Besucher.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Unter der EU-Datenschutz-Grundverordnung (DSGVO) müssen Webseitenbetreiber in ihrer Datenschutzerklärung transparent offenlegen, welche personenbezogenen Daten durch eingebundene Drittanbieter-Tools verarbeitet werden und unter welchen Bedingungen (Art. 13, 14 DSGVO). Das betrifft auch technische Komponenten wie JavaScript-Codes und iFrames, die automatisch personenbezogene Daten übertragen.

**Folgender Inhalt sollte die Datenschutzerklärung abdecken:**

* **Identität des Anbieters**: Name, Adresse, Kontaktdaten
* **Art und Umfang der Datenverarbeitung**: Welche Datentypen werden erfasst?
* **Zwecke der Verarbeitung**: Zu welchen Zwecken nutzt der Anbieter die Daten?
* **Rechtsgrundlage**: Auf Basis welcher Rechtsgrundlage findet die Verarbeitung statt?
* **Datenkategorien und Speicherdauer**: Wie lange werden Daten behalten?
* **Betroffenenrechte**: Wie können Nutzer ihre Rechte ausüben?
* **Drittlandtransfer**: Falls Daten in die USA übertragen werden, welche Schutzmechanismen gelten?

**Kritik an generischen Textbausteinen**: Viele Online-Generatoren bieten pauschale Textbausteine, die nicht die spezifische Konfiguration der eigenen Umfrage abbilden. Wenn beispielsweise die Umfrage keine E-Mail-Adresse erhebt, aber der Textbaustein dies aufführt, ist die Datenschutzerklärung inhaltlich falsch und widersprüchlich. Eine maßgeschneiderte Anpassung ist notwendig.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Primärer Anbieter:**

* **Name**: SurveyMonkey Inc. (bekannt unter Momentive Global Inc.)
* **Europäische Niederlassung**: SurveyMonkey Europe UC
* **Adresse**: 70 Sir John Rogerson's Quay, Dublin 2, D02 R296, Irland
* **Privacy Notice**: [https://www.surveymonkey.com/mp/legal/privacy/](https://www.surveymonkey.com/mp/legal/privacy/)
* **Datenschutzerklärung (Deutsch)**: [https://de.surveymonkey.com/mp/legal/privacy/](https://de.surveymonkey.com/mp/legal/privacy/)

**Muttergesellschaft und Datenverarbeitung:**

* **Momentive Global Inc.** (USA) fungiert als Mutterkonzern und ist verantwortlich für globale Datenverarbeitung
* SurveyMonkey Inc. ist selbstzertifiziert unter dem EU-U.S. Data Privacy Framework (DPF) für Datenübertragungen in die USA
* Der DPF-Status ist einsehbar unter [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search)

**Rechtlicher Status:**
SurveyMonkey handelt als **Auftragsverarbeiter** für Umfragedaten, die von Website-Betreibern erhoben werden. Gleichzeitig verarbeitet SurveyMonkey personenbezogene Daten auch als eigenständiger Verantwortlicher für eigene geschäftliche Zwecke (Produktverbesserung, Sicherheit, Analytik). Diese duale Rolle sollte in der Datenschutzerklärung differenziert werden.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

<Steps>
  <Step title="Erhebung">
    Nutzer ruft eine Webseite auf, die ein SurveyMonkey-Embed enthält. Der Browser stellt automatisch eine Verbindung zu SurveyMonkey-Servern her, um das Widget/iFrame zu laden. Dabei werden bereits technische Daten (IP-Adresse, User-Agent, Zeitstempel) übertragen – **ohne dass der Nutzer die Umfrage ausfüllen muss**.
  </Step>

  <Step title="Speicherung">
    SurveyMonkey speichert diese Daten in seinen Datenbanken. IP-Adressen werden in Backend-Logs nach 13 Monaten automatisch gelöscht. Umfrageantworten werden länger gespeichert, Speicherdauer ist abhängig von Plan und Konfiguration.
  </Step>

  <Step title="Nutzung">
    SurveyMonkey nutzt die Daten für zwei Zwecke: (1) um dem Website-Betreiber die Umfrageergebnisse bereitzustellen (Auftragsverarbeitung) und (2) für eigene Betriebszwecke wie Sicherheitsüberwachung, Missbrauchprävention und Produktverbesserung (eigenständige Verantwortung).
  </Step>

  <Step title="Weitergabe">
    Umfrageantworten werden dem Website-Betreiber über das SurveyMonkey-Dashboard bereitgestellt. Technische Logs können potenziell an Sicherheitspartner oder Behörden weitergegeben werden (je nach Anforderung und Gerichtsbarkeit).
  </Step>

  <Step title="Löschung">
    Umfrageantworten können vom Website-Betreiber manuell gelöscht werden. IP-Adressen in Logs werden automatisch nach 13 Monaten anonymisiert. Andere Daten unterliegen längeren Aufbewahrungszeiten.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

SurveyMonkey erhebt beim Laden eines Embeds mehrere Kategorien personenbezogener Daten. Der genaue Umfang hängt von der technischen Konfiguration ab. Folgende Datentypen werden typischerweise verarbeitet:

* **Webserver-Protokolldaten**: IP-Adresse des anfragenden Gerätes, exakte Zeitstempel des Abrufs, HTTP-Referrer (von welcher Seite kommt der Zugriff?)
* **Endgeräte-Daten**: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und dessen Version
* **Browserinformationen**: Browser-Typ, Browser-Version, installierte Plugins
* **Grobe Standortdaten**: Geografischer Standort (auf Länder/Regions-Ebene), abgeleitet aus IP-Adresse
* **Nutzer-Inhalte**: Alle Antworten, die in der Umfrage gegeben werden – diese können personenbezogene Daten sein, je nach Umfragedesign (z. B. wenn Name, E-Mail oder sensible Kategorien abgefragt werden)
* **Nutzungskonto-Daten**: Falls der Nutzer bei SurveyMonkey angemeldet ist, werden auch Account-Informationen mit der Antwort verknüpft

**Wichtig**: Der Website-Betreiber bestimmt durch die Umfragegestaltung selbst, welche sensiblen Daten erhoben werden. SurveyMonkey stellt die technische Infrastruktur bereit, trägt aber Mitverantwortung für die Einhaltung von Datenschutzprinzipien.

## F. Nutzungszwecke [#f-nutzungszwecke]

Die Daten werden von SurveyMonkey für folgende Zwecke verarbeitet:

* **Funktionsbereitstellung**: Darstellung und Ausführung der eingebetteten Umfrage im Browser des Nutzers; technische Verarbeitung der Nutzereingaben
* **Kommunikation mit dem Website-Betreiber**: Übermittlung der Umfrageergebnisse an den Kundendashboard; Reporting und Analyse der Antworten
* **Allgemeine Produktverbesserung**: Verwendung anonymisierter oder aggregierter Daten zur Verbesserung des SurveyMonkey-Dienstes, zur Optimierung der Embed-Funktionalität und zur Identifizierung von Fehlern
* **Sicherheit und Missbrauchsprävention**: Überwachung auf verdächtige Aktivitäten, Mehrfach-Antworten von gleicher IP-Adresse (Ballot Stuffing), Authentifizierung
* **Rechtliche Verpflichtungen**: Einhaltung von Gesetzen, Behördenaufforderungen, Durchsetzung von Nutzungsbedingungen

Die Nutzung zu Analysezwecken (Punkt 3) erfolgt unter eigenständiger Verantwortung SurveyMonkeys und ist nicht Teil der Auftragsverarbeitung für den Website-Betreiber.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Rechtsgrundlagen für die Datenverarbeitung sind differenziert zu betrachten:

**Beim automatischen Laden des Embeds (IP-Adresse, Browser-Daten):**

* Für die reine Funktionsbereitstellung des Widgets kann argumentiert werden, dass berechtigtes Interesse gemäß Art. 6 Abs. 1 f) DSGVO vorliegt (Website-Betreiber hat Interesse an Nutzerfeedback)
* Falls das Embed jedoch ohne Nutzereinwilligung externe Server abfragt (was typischerweise der Fall ist), greifen § 25 TDDDG (Telemediengesetz) und ePrivacy-Richtlinie: **Einwilligung erforderlich** für das Setzen von Cookies oder das Verarbeiten von Terminalzugriffen

**Für Umfrageantworten (Inhalte):**

* Wenn Nutzer die Umfrage freiwillig ausfüllt: Einwilligung des Umfrageteilnehmers (Art. 6 Abs. 1 a) DSGVO)
* Falls die Umfrage als Teil eines Vertrags erforderlich ist: Vertragsdurchführung (Art. 6 Abs. 1 b) DSGVO)
* Eigene Nutzung durch SurveyMonkey (Produktverbesserung): Berechtigtes Interesse (Art. 6 Abs. 1 f) DSGVO)

**Drittlandtransfer (USA):**

* SurveyMonkey Inc. ist unter dem Data Privacy Framework zertifiziert
* Ergänzend gelten Standard Contractual Clauses (Standardverträge) für Transfers in die USA
* Ein DPA (Data Processing Agreement) mit SCCs ist bei Premium-Plänen verfügbar

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**1. Sensible Datentypen in Umfragen:**
Je nach Umfragedesign können Umfrageantworten sensible Daten enthalten (Gesundheit, politische Überzeugung, Gewerkschaftsmitgliedschaft, etc.). In solchen Fällen greift Art. 9 DSGVO (Verarbeitung besonderer Kategorien). Eine Einwilligung ist dann zwingend erforderlich.

**2. Rolle des Website-Betreibers:**
Der Website-Betreiber ist selbst Verantwortlicher (Art. 4 Nr. 7 DSGVO) für die Entscheidung, SurveyMonkey einzubauen. Er muss daher selbst überprüfen, ob die rechtlichen Voraussetzungen erfüllt sind.

**3. Einwilligung vs. berechtigtes Interesse:**
Das automatische Laden des Embeds beim Seitenaufruf ist typischerweise **nicht** durch berechtigtes Interesse gerechtfertigt, sondern erfordert Einwilligung (§ 25 TDDDG). Der Website-Betreiber sollte vor dem Laden des Embeds eine Einwilligung einholen – beispielsweise durch einen Cookie-Banner oder Einwilligungsmanagement (CMP).

**4. Datenverarbeitungsvertrag (AVV/DPA):**
SurveyMonkey bietet einen Data Processing Agreement an. Dieser ist verfügbar über [https://www.surveymonkey.com/mp/legal/data-processing-agreement/](https://www.surveymonkey.com/mp/legal/data-processing-agreement/). Ein AVV sollte vom Website-Betreiber abgeschlossen werden, um die Auftragsverarbeitung dokumentiert abzusichern.

**5. Drittlandtransfer und DPF:**
Die meisten europäischen Kundendaten werden auf Servern in den USA gespeichert. SurveyMonkey ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert, was einen angemessenen Schutz gewährleistet. Allerdings sollte dies in der Datenschutzerklärung genannt werden.

**6. Opt-Out und Nutzer-Kontrolle:**
Bei iFrame-Einbettung ist es schwierig, Nutzern ein echtes Opt-Out anzubieten. Technisch könnte man das Embed nur nach Einwilligung laden, was die Nutzerfreundlichkeit beeinträchtigt. Diese Spannung sollte transparent dargelegt werden.

**7. Speicherdauer:**
IP-Adressen: max. 13 Monate
Umfrageantworten: abhängig von Kundenkonfiguration, typischerweise bis zur Löschung durch den Kunden
Account-Daten: so lange wie das Kundenkonto aktiv ist

## I. Häufige Fragen zu SurveyMonkey Embeds und Datenschutz [#i-häufige-fragen-zu-surveymonkey-embeds-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was genau ist ein SurveyMonkey Embed?">
    Ein SurveyMonkey Embed ist eine Umfrage, die direkt in eine Website eingebettet wird. Der Website-Betreiber bindet entweder einen iFrame-Code oder ein JavaScript-Widget ein, das es Besuchern ermöglicht, eine Umfrage auszufüllen, ohne die Website zu verlassen. Das Embed stellt eine direkte Verbindung zu SurveyMonkey-Servern her.
  </Accordion>

  <Accordion title="Welche Daten werden beim Laden eines SurveyMonkey Embeds erhoben?">
    Beim bloßen Laden des Embeds werden bereits IP-Adresse, Browser-Typ, Betriebssystem und Zeitstempel übertragen. Diese Daten sind Webserver-Protokolldaten. Zusätzlich werden alle Antworten erhoben, die der Nutzer in die Umfrage eingibt. Falls die Umfrage E-Mail-Adressen oder andere personenbezogene Inhalte abfragt, werden auch diese Daten erfasst.
  </Accordion>

  <Accordion title="Auf welcher Rechtsgrundlage darf ich SurveyMonkey Embeds auf meiner Website verwenden?">
    Das Laden des Embeds selbst (=Datenübertragung an SurveyMonkey) erfordert typischerweise eine Einwilligung des Nutzers nach § 25 TDDDG und DSGVO Art. 6. Eine bloße Berufung auf berechtigtes Interesse ist in der Regel nicht ausreichend. Der Website-Betreiber sollte vor dem Laden des Embeds eine Einwilligung einholen – beispielsweise über einen Cookie-Banner oder ein Einwilligungsmanagementsystem (CMP).
  </Accordion>

  <Accordion title="Brauche ich einen Data Processing Agreement (DPA/AVV) mit SurveyMonkey?">
    Ja. Als Website-Betreiber sind Sie Verantwortlicher, SurveyMonkey ist Auftragsverarbeiter. Ein schriftlicher Datenverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO ist rechtlich erforderlich. SurveyMonkey stellt ein Standard-DPA bereit, das über ihre Rechtsdokumentation erreichbar ist. Das DPA sollte die Standard Contractual Clauses (SCCs) für den Transfer in die USA beinhalten.
  </Accordion>

  <Accordion title="Wie sollte ich SurveyMonkey Embeds in meiner Datenschutzerklärung dokumentieren?">
    Ihre Datenschutzerklärung sollte mindestens folgende Punkte zu SurveyMonkey enthalten:

    1. Identität des Anbieters (Name, Adresse, Kontaktdaten)
    2. Art und Umfang der erhobenen Daten
    3. Zweck und Dauer der Speicherung
    4. Hinweis auf Drittlandtransfer in die USA und DPF-Zertifizierung
    5. Betroffenenrechte und deren Ausübung
    6. Besonderheiten (z. B. sensible Daten in Umfrageantworten)

    Eine maßgeschneiderte Anpassung ist notwendig – pauschale Textbausteine führen oft zu inhaltlichen Widersprüchen, wenn sie nicht auf Ihre konkrete Umfragenkonfiguration zugeschnitten sind.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

SurveyMonkey Embeds sind ein funktionales Feedback-Tool, das aber – wie alle Drittanbieter-Integrations – Datenschutzverantwortlichkeiten mit sich bringt. Website-Betreiber müssen transparent offenlegen, dass bei der Nutzung des Embeds personenbezogene Daten an einen US-amerikanischen Anbieter übertragen werden.

Die Datenschutzerklärung sollte nicht nur existieren, sondern maßgeschneidert sein: Ein generischer Textbaustein, der nicht die spezifische Datenerhebung der eigenen Umfrage abbildet, ist nicht ausreichend und kann im Fall von Behördenchecks oder Datenschutzbeschwerden zu Rügen führen.

Ein schriftlicher Datenverarbeitungsvertrag mit SurveyMonkey ist essentiell. SurveyMonkey stellt ein Standard-DPA mit Standard Contractual Clauses bereit, das die Legalität der Datenübertragung in die USA absichert.

Zusammengefasst: &#x2A;*Einwilligung vor dem Laden des Embeds, DPA abschließen, Datenschutzerklärung anpassen, Betroffenenrechte ermöglichen – diese vier Schritte sind die Basis für datenschutzkonformes Embedding.**

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer und Gültigkeitsstand**: Dieser Artikel stellt allgemeine Informationen bereit und keine Rechtsberatung. Die Anwendbarkeit der Regelungen kann im Einzelfall variieren. Stand: April 2026.
</Callout>

<AuthorBlock />


# Tawk.to und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/tawkto-datenschutzerklaerung)



# Tawk.to und Datenschutz – Was in die Datenschutzerklärung gehört [#tawkto-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Wer Tawk.to Live-Chat auf seiner Webseite einsetzt, muss in der Datenschutzerklärung dokumentieren, welche persönlichen Daten dieses JavaScript-Widget erhebt und wie diese verarbeitet werden. Dazu gehören technische Daten wie IP-Adressen, Browserdaten, Geräte-Informationen sowie die Chat-Nachrichten selbst. Dieser Leitfaden zeigt, welche rechtliche und informationelle Basis Webseitenbetreiber schaffen müssen und welche Besonderheiten Tawk.to mit sich bringt – von der Rechtsgrundlage über Drittlandtransfers bis hin zu praktischen Einstellungen.

## A. Zweck und Funktionsweise von Tawk.to [#a-zweck-und-funktionsweise-von-tawkto]

Tawk.to ist ein kostenloses Live-Chat-Tool, mit dem Betreiber einer Webseite ihren Besuchern ermöglichen können, direkt über ein Widget auf der Seite zu chatten. Die Integration funktioniert denkbar einfach: Der Betreiber kopiert eine Zeile JavaScript-Code in die HTML-Seite seiner Website ein, und das Chat-Widget wird sofort aktiv. Besucher sehen daraufhin ein Chat-Fenster, in dem sie mit den Agenten des Betreibers in Echtzeit kommunizieren können.

Das Widget lädt automatisch beim Besuch der Webseite und stellt eine Verbindung zu den Servern von Tawk.to her – unabhängig davon, ob der Besucher tatsächlich ein Chat-Fenster öffnet. Neben der Live-Chat-Funktion bietet Tawk.to auch ein Dashboard für den Betreiber, auf dem Chats verwaltet, Agenten koordiniert und Besucherdaten einsehbar sind. Für größere Teams ermöglicht das System unbegrenzte Agenten und ist damit auch für Unternehmen ohne größere Budgets einsetzbar.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Gemäß Datenschutz-Grundverordnung (DSGVO) muss jeder Webseitenbetreiber gegenüber den Besuchern transparent sein, wenn er Technologien einsetzt, die personenbezogene Daten verarbeiten. Das betrifft auch Live-Chat-Tools wie Tawk.to.

**Erforderliche Angaben nach Art. 13, 14 DSGVO:**

* Name und Kontaktdaten des Verantwortlichen (des Webseitenbetreibers)
* Zwecke der Verarbeitung
* Rechtsgrundlagen der Verarbeitung
* Kategorien erhobener personenbezogener Daten
* Informationen über den Empfänger (Tawk.to Inc.)
* Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
* Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch)
* Hinweis auf Beschwerde bei der Aufsichtsbehörde

<Callout type="info">
  Viele Webseitenbetreiber verwenden pauschale „Textbausteine" für Datenschutzerklärungen. Dies ist problematisch, da jede Webseite unterschiedliche Tools einsetzt und unterschiedliche Daten verarbeitet. Eine individuelle Anpassung ist rechtlich erforderlich und schafft Sicherheit.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Unternehmensname:** Tawk.to Inc.\
&#x2A;*Sitz:** 187 East Warm Springs Road SB 298, Las Vegas, Nevada 89119, USA\
&#x2A;*Status:** US-Unternehmen

Für deutsche und europäische Webseitenbetreiber ist Tawk.to Inc. die direkte Vertragspartei. Es gibt keine europäische Tochtergesellschaft, die als Auftragsverarbeiter tätig wird – die Datenverarbeitung erfolgt direkt durch das US-Unternehmen.

**Data Privacy Framework (DPF):** Tawk.to Inc. hat sich selbst zertifiziert unter dem EU-U.S. Data Privacy Framework, dem UK Extension und dem Swiss-U.S. Data Privacy Framework. Diese Zertifizierungen bieten einen Rechtsrahmen für die Übermittlung von Daten aus der EU, Großbritannien und der Schweiz in die USA.

**Privacy Policy und Rechtsdokumente:**

* [Privacy Policy von Tawk.to](https://www.tawk.to/privacy-policy/)
* [GDPR-Dokumentation](https://www.tawk.to/data-protection/gdpr-2/)
* [Data Protection Information](https://www.tawk.to/data-protection/)

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Die Verarbeitung von Daten durch Tawk.to verläuft in mehreren Schritten:

<Steps>
  <Step title="Erhebung">
    Das JavaScript-Widget lädt beim Aufruf der Webseite und stellt unmittelbar Verbindung zu den Servern von Tawk.to her. Dabei werden automatisch technische Daten erfasst: IP-Adresse, Browser-Typ, Betriebssystem, Geräte-Informationen und weitere Nutzer-Agenten-Daten. Falls der Besucher ein Chat-Fenster öffnet und antwortet, werden auch die Chat-Nachrichten erfasst sowie ggf. E-Mail und Name (sofern vom Besucher angegeben).
  </Step>

  <Step title="Speicherung">
    Alle Daten werden auf Servern von Tawk.to in den USA gespeichert. Chats und Tickets sind verschlüsselt (SHA-256 SSL) und bleiben auf den Servern gespeichert, solange sie nicht aktiv gelöscht werden. Es gibt keine automatische Löschung nach einer Frist – die Speicherdauer ist unbegrenzt, es sei denn, der Betreiber löscht Chats manual in seinem Dashboard.
  </Step>

  <Step title="Nutzung">
    Tawk.to nutzt die Daten zur Bereitstellung des Live-Chat-Dienstes, zur Kommunikation mit Besuchern, zur Fehleranalyse und zur Verbesserung des Services. Der Betreiber kann über sein Dashboard auf alle Chat-Inhalte, Besucherdaten und Kontaktinformationen zugreifen.
  </Step>

  <Step title="Weitergabe">
    Tawk.to gibt Daten an Subunternehmer und Partner weiter, insbesondere für Hosting, Support und Service-Verbesserungen. Eine detaillierte Liste der Subunternehmer ist in der Privacy Policy enthalten oder kann beim Betreiber von Tawk.to angefordert werden.
  </Step>

  <Step title="Löschung">
    Nur Administratoren des Betreiber-Accounts können Chats löschen. Gelöschte Chats werden in einen Papierkorb verschoben und können später permanent gelöscht werden. In einigen Regionen muss Tawk.to Aufzeichnungen für eine bestimmte Zeit aufbewahren, auch nach Löschung durch den Betreiber, um gesetzlichen Verpflichtungen nachzukommen.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Die folgenden Arten von Daten werden durch Tawk.to erhoben:

**Webserver-Protokolldaten:**\
IP-Adressen (soweit nicht deaktiviert), Zeitstempel der Seitenzugriffe, HTTP-Referrer (woher der Besucher kam), HTTP-Request-Informationen, Größe und Status der Antwort vom Server.

**Seiten- und Klickpfade:**\
Information über die aktuell besuchte Seite (URL), Besuchsdauer auf der Seite, Reihenfolge aufgerufener Seiten auf der Webseite.

**Endgeräte-Daten:**\
Gerätetyp (Desktop, Tablet, Smartphone), Hersteller, Modell, Betriebssystem und Version.

**Browser-Informationen:**\
Browser-Name, Browser-Version, Browser-Plug-ins, Cookies, Web-Storage-Daten.

**Grobe Standortdaten:**\
Land und ggf. Stadt, abgeleitet aus der IP-Adresse (Geolocation).

**Nutzer-Inhalte:**\
Chat-Nachrichten (Text, möglicherweise auch Dateien oder Links), vom Besucher angegebener Name, E-Mail-Adresse (falls im Chat-Formular eingegeben), benutzerdefinierte Felder, sofern vom Betreiber konfiguriert (z. B. Telefonnummer, Nachricht, Grund der Anfrage).

## F. Nutzungszwecke [#f-nutzungszwecke]

Tawk.to und der Betreiber nutzen die erhobenen Daten für folgende Zwecke:

**Funktionsbereitstellung:**\
Ermöglichung der Live-Chat-Kommunikation zwischen Besucher und Agent in Echtzeit.

**Kommunikation:**\
Beantwortung von Kundenanfragen, technischer Support, Kundenservice, Bearbeitung von Anfragen und Beschwerden.

**Sicherheit und Missbrauchsschutz:**\
Erkennung und Verhinderung von Spam, Betrug, Missbrauch und technischen Angriffen; Überwachung der Systemintegrität.

**Produktverbesserung:**\
Analyse von Chat-Mustern, Häufigkeit, Inhalten zur Verbesserung des Services, der Benutzerfreundlichkeit und der KI-basierten Funktionen.

**Kundenunterstützung:**\
Nachverfolgung von Anfragen, Ticketing, Export und Archivierung von Gesprächsverläufen.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Verarbeitung von Daten durch Tawk.to erfolgt auf Basis verschiedener Rechtsgrundlagen:

**Artikel 6 Abs. 1 lit. f) DSGVO (Berechtigtes Interesse):**\
Der Betreiber hat ein berechtigtes Interesse daran, seinen Besuchern einen Live-Chat-Service anzubieten und diese zeitnah zu erreichen. Dies fällt unter die Bereitstellung von Kommunikationskanälen und Kundenservice. Die Verarbeitung ist für den Betreiber notwendig, um diesen Service zu erbringen.

**Artikel 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung):**\
Falls durch das Chat-Tool eine Geschäftsbeziehung angebahnt wird (z. B. Beratung, Verkauf, Vertragsabschluss), können technische und kommunikative Daten zur Vorvertragsvorbereitung erhoben werden.

**Besonderheit: Cookies und Tracking (§ 25 TDDDG):**\
Tawk.to setzt Cookies und andere Tracking-Technologien ein. Für nicht-essenzielle Cookies benötigt der Betreiber in Deutschland regelmäßig eine vorherige Einwilligung des Besuchers (nach § 25 TDDDG / ePrivacy-Richtlinie). Essenzielle Cookies für die Funktionalität des Chat-Widgets können ohne Einwilligung gesetzt werden.

<Callout type="warn">
  Die Rechtsgrundlage im Einzelfall hängt von der Ausgestaltung der Website ab: Wenn der Chat ausschließlich dazu dient, vorvertragliche Anfragen zu beantworten, kann Art. 6 Abs. 1 lit. b) DSGVO ausreichen. Wenn es um Kundenbindung und Service-Verbesserung geht, ist Art. 6 Abs. 1 lit. f) DSGVO wahrscheinlicher. Eine individuelle Prüfung pro Webseite ist erforderlich.
</Callout>

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Data Processing Agreement (DPA):**\
Tawk.to stellt ein Daten-Verarbeitungsabkommen (DPA / AVV) zur Verfügung. Dieses kann unter [https://www.tawk.to/data-protection/dpa-data-processing-addendum/](https://www.tawk.to/data-protection/dpa-data-processing-addendum/) abgerufen oder mit Tawk.to vereinbart werden. Der Abschluss eines DPA ist empfohlen und teilweise erforderlich, um die Verarbeitung als Auftragsverarbeitung rechtmäßig zu gestalten.

**Drittlandtransfer (USA):**\
Alle Daten werden in die USA übermittelt und dort verarbeitet. Dies fällt unter ein Drittlandtransfer-Szenario. Tawk.to hat sich dem EU-U.S. Data Privacy Framework (DPF) unterworfen, was eine Basis für die Rechtmäßigkeit des Transfers bildet. Alternative Garantien (wie Standard-Contractual-Clauses, SCCs) sollten ebenfalls dokumentiert werden.

**Speicherdauer:**\
Chats werden unbegrenzt gespeichert, bis sie aktiv vom Betreiber gelöscht werden. Dies ist ein wichtiger Punkt für die Datenschutzerklärung: Besuchern sollte transparent gemacht werden, dass ihre Chat-Nachrichten nicht automatisch gelöscht werden.

**Konfiguration des Chat-Widgets:**\
Der Betreiber kann verschiedene Einstellungen vornehmen:

* **Offline-Formular:** Welche Felder sollen erhoben werden (Name, E-Mail, Nachricht)?
* **IP-Tracking:** Soll die Besuchter-IP-Adresse aufgezeichnet werden? (Kann deaktiviert werden.)
* **Besucherdaten:** Welche zusätzlichen Informationen werden über die Besucherlandungseite erfasst?
* **Pre-Chat-Formular:** Kann personalisiert werden, um nur notwendige Daten zu erfassen.

**Wichtiger Hinweis zu Chat-Inhalten:**\
Besucherdaten im Chat können sensitiv sein: Kreditkartennummern, Passwörter, Gesundheitsinformationen, rechtliche Informationen. Der Betreiber sollte Agenten instruieren, keine sensitiven Daten im unverschlüsselten Chat zu erfassen. Die Datenschutzerklärung sollte diese Risiken adressieren.

**Widget lädt ohne Interaktion:**\
Das JavaScript-Widget wird beim Besuch der Seite geladen und verbindet sich mit Tawk.to-Servern – auch wenn der Besucher nicht aktiv mit dem Chat interagiert. Dies bedeutet, dass sofort bei Seitenaufruf eine Verbindung zu einem US-Anbieter aufgebaut wird. Dies sollte transparent gemacht werden.

## I. Häufige Fragen zu Tawk.to und Datenschutz [#i-häufige-fragen-zu-tawkto-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist Tawk.to und wie funktioniert es?">
    Tawk.to ist ein Live-Chat-Tool, mit dem Webseitenbetreiber direkten Kontakt mit ihren Besuchern aufnehmen können. Der Betreiber fügt eine Zeile JavaScript-Code in seine Website ein. Dadurch wird ein Chat-Widget geladen, das Besuchern ermöglicht, in Echtzeit mit den Agenten des Betreibers zu kommunizieren. Das Service ist kostenlos und erfordert keine komplexe Konfiguration. Tawk.to speichert alle Chat-Inhalte und Besucherdaten in seinen US-Servern.
  </Accordion>

  <Accordion title="Welche Daten erhebt Tawk.to und wann?">
    Tawk.to erhebt Daten ab dem Moment, in dem das JavaScript-Widget beim Besuch der Webseite lädt. Dabei werden automatisch erfasst: IP-Adresse (sofern nicht deaktiviert), Browser-Type, Betriebssystem, Geräte-Typ, Referrer-Information, besuchte URL. Falls der Besucher ein Chat-Fenster öffnet, werden zusätzlich Chat-Nachrichten, Name und E-Mail-Adresse erhoben. Besucherdaten bleiben auf den US-Servern von Tawk.to speichert, bis sie aktiv gelöscht werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Tawk.to?">
    Die Verarbeitung erfolgt primär unter Artikel 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse des Betreibers an Live-Chat-Kommunikation) oder unter Artikel 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung, falls Chat für Geschäftsanbahnung genutzt wird). Für Cookies und Tracking ist in Deutschland eine vorherige Einwilligung nach § 25 TDDDG erforderlich, sofern diese nicht essenzielle sind. Im Einzelfall ist eine individuelle Bewertung erforderlich.
  </Accordion>

  <Accordion title="Brauche ich eine Einwilligung für Tawk.to?">
    Eine explizite Einwilligung ist nicht immer erforderlich, wenn Sie Tawk.to auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f) DSGVO) einsetzen. Allerdings sollten Sie:

    * **Cookie-Consent:** Ein Cookie-Banner verwenden, um Besucher über Tracking-Cookies zu informieren und (für nicht-essenzielle Cookies) Einwilligung einzuholen.
    * **Transparente Datenschutzerklärung:** Klare Information über Datenverarbeitung, berechtigte Interessen und Drittlandtransfer.
    * **Ggf. Pre-Chat-Zustimmung:** Überlegen, ob Sie vor Nutzung des Chats eine Bestätigung einholen (optional).
      Best Practice ist, zumindest in der Datenschutzerklärung deutlich zu machen, dass Tawk.to verwendet wird.
  </Accordion>

  <Accordion title="Wo finde ich einen Textbaustein für meine Datenschutzerklärung?">
    Pauschale Textbausteine sind problematisch, da jede Webseite anders ist. Besser ist es, die Datenschutzerklärung individuell zu verfassen oder anpassen zu lassen – basierend auf den tatsächlichen Tools, die auf der Webseite eingesetzt werden. Ein spezialisierter Generator oder eine juristische Beratung kann helfen, rechtssicher zu formulieren. Generische Textbausteine können rechtliche Lücken lassen und sind bei Prüfungen weniger belastbar.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Tawk.to ist ein beliebtes, kostenlos nutzbares Live-Chat-Tool, das viele Webseitenbetreiber einsetzen – ohne sich dabei immer der datenschutzrechtlichen Implikationen bewusst zu sein. Besucher einer Website mit Tawk.to-Widget erkennen sofort beim Laden der Seite, dass eine Verbindung zu einem US-Server aufgebaut wird und dass ihre technischen Daten erfasst werden.

Für Betreiber gilt: Eine detaillierte Datenschutzerklärung ist nicht optional, sondern eine Pflicht nach DSGVO. Diese sollte nicht aus pauschalen Textbausteinen zusammengesetzt sein, sondern spiegeln, welche Daten Tawk.to tatsächlich erhebt, wer Verantwortlicher und wer Auftragsverarbeiter ist, auf welche Rechtsgrundlage sich die Verarbeitung stützt und wie Besucher ihre Rechte wahrnehmen können.

Ein professioneller Generator oder spezialisierte Beratung hilft dabei, eine rechtssichere und transparente Datenschutzerklärung zu erstellen – tailored auf die eigene Website und die eingesetzten Tools.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  **Disclaimer:** Dieser Text bietet allgemeine Informationen zu Datenschutz und Tawk.to. Er stellt keine Rechtsberatung dar. Die konkrete Rechtmäßigkeit der Nutzung von Tawk.to hängt von der individuellen Situation, der Konfiguration und geltenden lokalen Gesetzen ab. Für eine verbindliche Bewertung wird rechtliche Beratung empfohlen. Stand: April 2026.
</Callout>

<AuthorBlock />


# The Trade Desk und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/the-trade-desk-datenschutzerklaerung)



# The Trade Desk und Datenschutz – Was Webseitenbetreiber wissen müssen [#the-trade-desk-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber The Trade Desk ein, verarbeitet er Besucher- und Interaktionsdaten zum Zweck der programmatischen Werbung und des Audience-Building auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von The Trade Desk [#a-zweck-und-funktionsweise-von-the-trade-desk]

The Trade Desk ist eine Demand-Side Platform (DSP) für programmatische Werbung, d. h. eine Software-Plattform, die es Werbetreibenden ermöglicht, Werbeplätze im Internet automatisiert, zielgerichtet und in Echtzeit zu buchen. Webseitenbetreiber integrieren einen kleinen Code-Schnipsel – das sogenannte TTD-Pixel oder TTD-Tag – in ihre Website. Dieses Pixel wird ausgeführt, wenn ein Besucher die Website lädt.

Das Pixel erfasst Daten über den Besucher und leitet diese an The Trade Desk weiter. The Trade Desk nutzt diese Daten, um den Besucher in Zielgruppen (Audiences) zu segmentieren und ihm später auf anderen Websites – beispielsweise während des Besuchs von Nachrichtenportalen oder sozialen Medien – gezielte Werbeanzeigen zu zeigen. Dieses Verfahren heißt Retargeting oder Remarketing.

Technisch funktioniert die Integration wie folgt: Das TTD-Pixel wird als JavaScript-Code in den `<head>`- oder `<body>`-Bereich der Website eingefügt. Beim Laden der Seite setzt The Trade Desk über das Pixel einen Tracking-Cookie auf dem Gerät des Besuchers. Darüber hinaus können auch Cookie-Daten von anderen Partnern (z. B. Google Analytics) an The Trade Desk übermittelt werden.

## B. Pflichtangaben in der Datenschutzerklärung zu The Trade Desk [#b-pflichtangaben-in-der-datenschutzerklärung-zu-the-trade-desk]

Die DSGVO verlangt von Webseitenbetreibern, in ihrer Datenschutzerklärung transparent folgende Punkte zu erläutern:

* **Verarbeitungszwecke** (Art. 13 Abs. 1 lit. c DSGVO): Warum werden Daten verarbeitet?
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c DSGVO): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
* **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d DSGVO, falls relevant): Falls Legitimation über berechtigte Interessen erfolgt, müssen diese dargelegt werden.
* **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e DSGVO): An wen werden Daten weitergegeben?
* **Drittlandtransfers** (Art. 13 Abs. 1 lit. f DSGVO): Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Über welche Schutzmechanismen erfolgt die Übermittlung?
* **Speicherdauer** (Art. 13 Abs. 2 lit. a DSGVO): Wie lange werden Daten gespeichert?

**Häufiger Fehler:** Viele Webseitenbetreiber verwenden toolspezifische Textbausteine direkt aus den Datenschutzerklärungen der Anbieter. Dies widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Stattdessen wird empfohlen, einen **themenorientierten Ansatz** zu wählen: Die Datenschutzerklärung sollte nach Verarbeitungszwecken strukturiert sein (z. B. „Webanalytics", „Werbung", „CRM"), nicht nach einzelnen Tools. In einem Anhang oder einer Empfängerliste können dann die eingesetzten Tools aufgeführt werden.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von The Trade Desk: The Trade Desk Inc. / The Trade Desk GmbH [#c-anbieter-von-the-trade-desk-the-trade-desk-inc--the-trade-desk-gmbh]

| Aspekt                      | Information                                                                                                                     |
| --------------------------- | ------------------------------------------------------------------------------------------------------------------------------- |
| **Juristischer Name**       | The Trade Desk Inc. (USA) und The Trade Desk GmbH (EU-Niederlassung)                                                            |
| **Anschrift (USA)**         | 42 N. Chestnut St., Ventura, CA 93001, USA                                                                                      |
| **Anschrift (Deutschland)** | The Trade Desk GmbH, Ballindamm 17, 20095 Hamburg, Deutschland                                                                  |
| **Sitzland**                | USA (Ventura, Kalifornien)                                                                                                      |
| **DPF-Status**              | Zertifiziert unter dem EU-U.S. und Swiss-U.S. Data Privacy Framework                                                            |
| **Privacy Policy**          | [https://www.thetradedesk.com/us/privacy](https://www.thetradedesk.com/us/privacy)                                              |
| **Rolle**                   | Eigenständiger Verantwortlicher gegenüber dem Webseitenbetreiber; für EU-Besucher zugleich Datenempfänger bei Drittlandtransfer |

## D. Datenverarbeitung durch The Trade Desk – Ablauf [#d-datenverarbeitung-durch-the-trade-desk--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    The Trade Desk erfasst Daten beim Laden des TTD-Pixels auf der Website. Dies geschieht jedes Mal, wenn ein Besucher die Website aufruft. Erfasst werden die weiter unten aufgeführten Webserver-Protokolldaten, Klickpfade, Gerätedaten und technische Identifikatoren. Die Einwilligung des Besuchers wird vor der Datenspeicherung durch den Webseitenbetreiber eingeholt.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Daten werden von The Trade Desk in ihren Servern gespeichert, die sich teilweise in den USA befinden (siehe Drittlandtransfers). Die Standard-Speicherdauer für Tracking-Cookies beträgt etwa 13 Monate, nach Angaben des Anbieters.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    The Trade Desk nutzt die gespeicherten Daten zur Segmentierung von Besuchern in Zielgruppen (Audiences). Diese Zielgruppen werden in der Bidding-Plattform verfügbar gemacht. Werbetreibende können diese Zielgruppen beim Einkauf von Werbeplätzen abfragen und ansprechen.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Die Daten werden an Werbetreibende weitergegeben, die über The Trade Desk Werbeplätze buchen und gezielt diese Zielgruppen ansprechen möchten. Darüber hinaus können Daten mit anderen Data-Brokern, Werbenetzwerken und programmatic-Plattformen ausgetauscht werden (siehe auch: Subprozessoren und Partner).
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der Speicherdauer (Standard: 13 Monate) werden die dem Cookie zugeordneten Daten automatisch gelöscht. Ein manueller Löschantrag durch Besucher muss vom Webseitenbetreiber bearbeitet und an The Trade Desk weitergeleitet werden.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von The Trade Desk [#e-erhobene-daten-beim-einsatz-von-the-trade-desk]

The Trade Desk erhebt ein breites Spektrum an Daten über Website-Besucher. Hierzu zählen:

* Der eindeutige Identifier des Besuchers (Cookie-ID oder TTD Unified ID)
* IP-Adresse (teilweise gehashed)
* Zeitpunkt und Dauer des Website-Besuchs
* Alle besuchten Seiten auf der Website (URL und Referrer)
* Angeklickte Links und Schaltflächen
* Scrollbewegungen und Verweildauer auf Seiten
* Gerätetyp, Betriebssystem, Bildschirmauflösung
* Browsername und Browserversion
* Grobe Standortdaten auf Basis der IP-Adresse
* Externe Daten, die der Webseitenbetreiber an The Trade Desk übergibt (z. B. aus CRM-Systemen)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
* **Browserinformationen**: Browsername, Browserversion, installierte Erweiterungen
* **Grobe Standortdaten**: IP-basierter grober Standort auf Stadt-/Gemeindeebene
* **Interaktionsdaten**: Scrollbewegungen, Mausbewegungen, Tastendrücke, Klicks
* **Nutzungsprofile**: Interessenskategorisierungen, Zielgruppen-Zuordnungen, Nutzungshistorien

## F. Nutzungszwecke beim Einsatz von The Trade Desk [#f-nutzungszwecke-beim-einsatz-von-the-trade-desk]

The Trade Desk verarbeitet Daten mit folgenden Zwecken:

* **Allgemeines Marketing**: Ausrichtung von Werbekampagnen insgesamt, Erfolgsmessung und Optimierung von Anzeigenplatzierungen
* **Nutzerprofil-Erstellung**: Automatische Segmentierung von Besuchern in Zielgruppen (Audience Building), Kategorisierung nach Interessen und Verhalten
* **Nutzerindividuelles Marketing**: Remarketing und Retargeting für gezielt personalisierte Werbekampagnen, die der Besucher auf anderen Websites sieht
* **Allgemeine Produktverbesserung**: Optimierung und Entwicklung der Plattform-Funktionalität durch Auswertung von Nutzungsdaten

Diese Zwecke sind für den Betrieb der Plattform erforderlich und werden vom Webseitenbetreiber über die Einwilligung legitimiert.

## G. Rechtsgrundlagen für The Trade Desk [#g-rechtsgrundlagen-für-the-trade-desk]

**Kategorie:** The Trade Desk ist ein Tracking-Tool für programmatische Werbung.

**Rechtsgrundlage:** Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz).

Nach deutschem Recht darf ein Webseitenbetreiber nur mit vorheriger Einwilligung des Besuchers ein Tracking-Cookie setzen oder eine Tracking-Technologie einsetzen. Diese Einwilligung muss:

* **Spezifisch, informiert und eindeutig** sein (Art. 4 Nr. 11 DSGVO)
* **Vor der Datenverarbeitung** eingeholt werden
* **Dokumentiert** werden (Nachweispflicht)
* **Granular strukturiert** sein – d. h., verschiedene Tracking-Zwecke sollten einzeln genehmigt werden können

**Einwilligungsmechanismus:** Der Webseitenbetreiber sollte einen Cookie-Banner oder ein Consent-Management-Tool (CMP) verwenden, das vor dem Laden von The Trade Desk-Pixel fragt: „Darf The Trade Desk Ihr Verhalten zum Zweck der Werbung tracking?" Ein einfaches „Akzeptieren aller Cookies" reicht nicht aus – die Einwilligung muss spezifisch für The Trade Desk (oder zumindest für die Kategorie „Marketing-Tracking") erfolgen.

**Hinweis:** Im Einzelfall sollte die Rechtsgrundlage mit einem Juristen geprüft werden. Sonderregeln können für B2B-Websites gelten.

## H. Besonderheiten und Hinweise zu The Trade Desk [#h-besonderheiten-und-hinweise-zu-the-trade-desk]

* **Opt-Out-Möglichkeit:** Besucher können sich von The Trade Desk-Tracking unter [https://www.thetradedesk.com/us/privacy](https://www.thetradedesk.com/us/privacy) abmelden (Opt-Out-Link). Dies sollte in der Datenschutzerklärung erwähnt werden.
* **TTD Unified ID:** The Trade Desk arbeitet an einer ersten Partei-Alternative (TTD Unified ID), um nach dem Ende von Third-Party-Cookies die Targeting-Funktionalität zu gewährleisten. Diese Technologie ist noch nicht flächendeckend im Einsatz.
* **Rolle des Webseitenbetreibers:** Der Webseitenbetreiber ist Verantwortlicher für die Erhebung der Einwilligung; The Trade Desk ist Datenempfänger und handelt unter dessen Anleitung.
* **Keine eigenständige Auftragsverarbeitung:** The Trade Desk agiert nicht als Auftragsverarbeiter des Webseitenbetreibers, sondern als eigenständiger Verantwortlicher. Es liegt keine klassische Auftragsverarbeitungs-Beziehung (AVV) vor.
* **DPF-Zertifizierung:** The Trade Desk ist unter dem Data Privacy Framework zertifiziert, was die Rechtskonformität von Datentransfers in die USA gewährleistet.

## I. FAQ zu The Trade Desk [#i-faq-zu-the-trade-desk]

<Accordions type="single">
  <Accordion title="Was ist The Trade Desk?">
    The Trade Desk ist eine Demand-Side Platform (DSP) für programmatische Werbung. Sie ermöglicht Werbetreibenden, gezielt und automatisiert Werbeplätze im Internet einzukaufen. Ein Webseitenbetreiber integriert das TTD-Pixel, um Besucherdaten zu erfassen und diese später für gezieltes Retargeting nutzen zu können.
  </Accordion>

  <Accordion title="Welche Daten erfasst The Trade Desk?">
    The Trade Desk erfasst Webserver-Protokolldaten (IP, Browser, Gerät), Klickpfade (besuchte URLs, angeklickte Links), Zeitstempel, grobe Standorte und externe Daten, die der Betreiber übergibt. Die Daten werden über ein Cookie oder die TTD Unified ID dem Besucher zugeordnet.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für The Trade Desk?">
    The Trade Desk erfordert Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Die Einwilligung muss spezifisch, informiert und vor der Datenverarbeitung eingeholt werden. Ein Cookie-Banner mit granularer Opt-in-Option ist notwendig.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für The Trade Desk einholen?">
    Ja, zwingend. Nach deutschem Recht ist eine vorherige Einwilligung erforderlich. Diese muss über einen Cookie-Banner oder ein Consent-Management-System erfolgen, bevor das TTD-Pixel lädt.
  </Accordion>

  <Accordion title="Brauche ich einen Auftragsverarbeitungsvertrag (AVV) mit The Trade Desk?">
    Nein, nicht zwingend. The Trade Desk handelt als eigenständiger Verantwortlicher, nicht als Auftragsverarbeiter. Es handelt sich um eine Datenempfänger-Beziehung. Allerdings sollten die Bedingungen von The Trade Desk gelesen und dokumentiert werden.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für The Trade Desk in die Datenschutzerklärung?">
    Verwenden Sie keinen toolspezifischen Textbaustein. Besser: Strukturieren Sie nach Verarbeitungszwecken, z. B. „Programmatische Werbung und Retargeting". Unter diesem Punkt erläutern Sie, welche Daten erhoben werden, zu welchem Zweck, auf welcher Rechtsgrundlage, und nennen The Trade Desk als einen der Empfänger. Mit unserem Datenschutzerklärung-Generator können Sie eine maßgeschneiderte Erklärung erstellen, die alle DSGVO-Anforderungen erfüllt.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu The Trade Desk [#j-fazit-und-empfehlung-zu-the-trade-desk]

**Zusammenfassung:** The Trade Desk ist eine invasive Tracking-Technologie für programmatische Werbung. Sie erfordert eine ausdrückliche, spezifische und informierte Einwilligung des Besuchers. Ohne Einwilligung ist der Einsatz rechtswidrig.

**Warum Textbausteine problematisch sind:** Viele Webseitenbetreiber kopieren einfach die Privacy Policy von The Trade Desk in ihre eigene Datenschutzerklärung. Das ist nicht konform mit Art. 12 Abs. 1 DSGVO, der Klarheit und Lesbarkeit verlangt. Besucher sollen verstehen, welche ihrer Daten verarbeitet werden und warum – nicht durch eine juristische Fachdokumentation des Anbieters verwirrt werden.

**Empfohlener Ansatz:** Eine themenorientierte Datenschutzerklärung mit einem Empfänger-Anhang ist klarer und rechtssicherer. Die Erklärung sollte z. B. unter dem Punkt „Programmatische Werbung und Remarketing" erläutern, dass Besucherdaten erfasst, gespeichert und an Werbenetzwerke wie The Trade Desk weitergegeben werden – transparent, verständlich, ohne Jargon.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu The Trade Desk und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# TikTok Pixel und Datenschutz – Was Webseitenbetreiber wissen müssen (/docs/privacy-policy-website/tiktok-pixel-datenschutzerklaerung)



# TikTok Pixel und Datenschutz – Was in die Datenschutzerklärung gehört [#tiktok-pixel-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Das TikTok Pixel ist ein Tracking-Code, den Webseitenbetreiber auf ihrer Website einbinden, um Konversionsereignisse zu messen und Zielgruppen für TikTok-Werbeanzeigen zu erstellen. Im Datenschutzrecht ist es eine datenverarbeitende Komponente, die personenbezogene Daten an TikTok Technology Limited (Dublin, Irland) und deren chinesische Muttergesellschaft ByteDance Ltd. übermittelt. Dieser Beitrag fasst zusammen, welche Angaben in die Datenschutzerklärung einer Website mit TikTok Pixel gehören, welche Daten erhoben werden und welche rechtlichen Besonderheiten zu beachten sind.

## A. Zweck und Funktionsweise des TikTok Pixel [#a-zweck-und-funktionsweise-des-tiktok-pixel]

Das TikTok Pixel ist ein JavaScript-Code, den Webseitenbetreiber im Quelltext ihrer Website einbauen. Es unterscheidet sich von TikTok als Social-Media-Plattform: TikTok ist ein Dienst zum Teilen von Videos und zur Nutzung sozialer Inhalte, während TikTok Pixel ein reines Werbemessungs- und Tracking-Tool darstellt.

Das Pixel funktioniert wie folgt: Sobald ein Besucher die Website aufruft, sendet der JavaScript-Code automatisch Daten an TikTok-Server. Diese Daten werden zur Messung von Werbekampagnen, zur Erstellung von Custom Audiences (maßgeschneiderte Zielgruppen) und zum Remarketing verwendet. Das Pixel kann verschiedene Events tracken, darunter Seitenaufrufe (PageView), Produktansichten, Warenkorbhinzufügungen, Käufe, Registrierungen und benutzerdefinierte Events.

Im Gegensatz zur Social-Media-Nutzung ist die Verwendung des TikTok Pixel nicht erforderlich für den Betrieb der Website selbst – es dient ausschließlich Werbe- und Optimierungszwecken und ist daher datenschutzrechtlich kritisch zu bewerten.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Jede Website, die das TikTok Pixel einsetzt, ist nach Art. 13 DSGVO verpflichtet, in ihrer Datenschutzerklärung vollständige, verständliche Angaben zu machen. Die folgenden Informationen gehören in diesen Abschnitt:

1. **Identität des Verantwortlichen oder Verarbeiters**: Namen und vollständige Adresse von TikTok Technology Limited (10 Earlsfort Terrace, Dublin, D02 T380, Irland), ggf. auch die Muttergesellschaft ByteDance Ltd.

2. **Verarbeitungszweck**: "Messung und Optimierung von TikTok-Werbeanzeigen", "Erstellung von Zielgruppen", "Remarketing und Custom Audiences", "Konversionstracking".

3. **Rechtsgrundlage**: Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG oder – sofern zutreffend – andere rechtliche Grundlagen im Einzelfall.

4. **Empfänger der Daten**: TikTok Technology Limited, ByteDance Ltd., ggf. weitere Partner von TikTok.

5. **Speicherdauer**: Angabe der Zeiträume oder Kriterien, nach denen Daten gelöscht werden.

6. **Betroffenenrechte**: Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität und Widerspruch.

Viele Webseitenbetreiber kopieren pauschal Textbausteine aus Vorlagen in ihre Datenschutzerklärung, ohne diese an ihre konkrete Situation angepasst zu haben. Dies führt zu fehlerhaften oder unvollständigen Angaben. Eine individuelle, auf das Unternehmen und die Verarbeitung zugeschnittene Datenschutzerklärung ist erforderlich.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**TikTok Technology Limited** ist die EU-Gesellschaft, die als Vertragspartner für die Bereitstellung von TikTok Pixel fungiert:

* **Name**: TikTok Technology Limited
* **Registrierungsnummer**: 635755 (Irland)
* **Adresse**: 10 Earlsfort Terrace, Dublin, D02 T380, Irland
* **Registrierungsdatum**: 12. Oktober 2018

Diese irische Kapitalgesellschaft ist die Kontraktpartei für Webseitenbetreiber, die das Pixel einbinden möchten.

**Muttergesellschaft**: ByteDance Ltd., mit Sitz in Beijing, China. ByteDance ist das Holdingunternehmen, das TikTok weltweit kontrolliert und betreibt. Das Risiko von Datentransfers in die Volksrepublik China ist ein zentrales datenschutzrechtliches Bedenken bei der Bewertung des TikTok Pixel.

**Data Privacy Framework Status**: Der Überprüfung des Data Privacy Framework (DPF) der USA zufolge ist zu prüfen, ob TikTok auf der Liste der zertifizierten Unternehmen aufgeführt ist. Viele Quellen deuten darauf hin, dass ByteDance/TikTok das DPF nicht erfüllt. Dies bedeutet, dass Datenübermittlungen in die USA zusätzlich durch Standardvertragsklauseln (SCC) oder andere Mechanismen geschützt sein müssen.

**Privacy Policy**: Die offizielle Datenschutzerklärung von TikTok für Nutzer im EWR ist unter [https://www.tiktok.com/legal/page/eea/privacy-policy/en](https://www.tiktok.com/legal/page/eea/privacy-policy/en) verfügbar. Für kommerzielle Produkte wie das TikTok Pixel gelten teilweise abweichende Bedingungen.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Die Verarbeitung personenbezogener Daten durch das TikTok Pixel folgt diesem Ablauf:

<Steps>
  <Step>
    ### 1. Erhebung der Daten [#1-erhebung-der-daten]

    Sobald ein Website-Besucher die Website aufruft oder ein Event auslöst (z.B. Kauf, Registrierung), sendet der Pixel-Code Daten an TikTok-Server.
  </Step>

  <Step>
    ### 2. Speicherung und Ort der Verarbeitung [#2-speicherung-und-ort-der-verarbeitung]

    Daten werden auf Servern von TikTok verarbeitet, teilweise in den USA (Singapur, USA oder anderen Ländern). Ein Teil der Daten kann an die Muttergesellschaft ByteDance weitergegeben werden.
  </Step>

  <Step>
    ### 3. Nutzung und Optimierung [#3-nutzung-und-optimierung]

    TikTok nutzt die Daten zur Optimierung von Werbeanzeigen, zur Erstellung und Segmentierung von Custom Audiences sowie zum Remarketing und zur Anzeigenattribution.
  </Step>

  <Step>
    ### 4. Weitergabe an Dritte [#4-weitergabe-an-dritte]

    Daten können an TikTok-Partner, Werbetreibende (wenn Custom Audiences geteilt werden) und ggf. an chinesische Behörden weitergegeben werden.
  </Step>

  <Step>
    ### 5. Löschung und Aufbewahrung [#5-löschung-und-aufbewahrung]

    TikTok löscht Daten nach einem definierten Zeitraum (typischerweise 180 Tage nach dem letzten Event), es sei denn, diese werden für andere Zwecke beibehalten.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Das TikTok Pixel und die erweiterten Funktionen (Advanced Matching) sammeln ein breites Spektrum von Daten:

* **Webserver-Protokolldaten**: IP-Adresse des Besuchers, Zeitstempel der Anfrage, Protokollversion.

* **Klickpfade und Navigationsverhalten**: Besuchte Seiten (URLs, vollständige oder gekürzte Pfade), Referrer (woher der Besucher kam), interne Navigationsflüsse.

* **Endgeräte-Daten**: Gerätetyp (Smartphone, Tablet, Desktop), Betriebssystem (Android, iOS, Windows), Geräte-Identifier (z.B. IDFA auf iOS, Advertising ID auf Android).

* **Browserinformationen**: Browser-Typ und -Version, installierte Plugins, verwendete Sprache, Zeitzone.

* **Grobe Standortdaten**: Aus der IP-Adresse abgeleiteter ungefährer Standort (Land, Region, Stadt).

* **Nutzerprofile und Zielgruppendaten**: Erstellung von Custom Audiences, Interessensprofile, Interaktionsverlauf mit der Website.

* **Conversion-Ereignisse**: Käufe (mit oder ohne Produktdetails), Registrierungen, Warenkorbhinzufügungen, Seitenaufrufe, Download, Lead-Generierung.

* **Interaktionsdaten**: Klicks auf Elemente, Formulareinträge, Verweildauer auf der Seite.

* **Hashed personenbezogene Daten** (bei Advanced Matching): E-Mail-Adressen, Telefonnummern und weitere Kontaktdaten in gehashter Form.

## F. Nutzungszwecke [#f-nutzungszwecke]

TikTok nutzt die Pixel-Daten für folgende Zwecke:

* **Allgemeines Marketing und Kampagnenmessung**: Auswertung der Werbeleistung, Kostenanalyse (ROAS – Return on Ad Spend), Reichweitenmessung.

* **Nutzerprofil-Erstellung**: Segmentierung von Zielgruppen, Erstellung von Custom Audiences für erneute Ansprache (Remarketing), Lookalike-Audience-Generierung (ähnliche Nutzer wie bestehende Kunden).

* **Nutzerindividuelles (personalisiertes) Marketing**: Zielgerichtete Werbeanzeigen auf TikTok basierend auf Website-Verhalten, Conversion-Wahrscheinlichkeit, erkannte Interessen.

* **Cross-Domain-Tracking**: Verfolgung von Nutzern über mehrere Websites hinweg (sofern mehrere Websites das TikTok Pixel nutzen).

* **Produktentwicklung und Service-Verbesserung**: Interne Auswertungen zum Verbesserung des TikTok-Ökosystems und der Anzeigen-Mechaniken.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

Die Verarbeitung personenbezogener Daten durch das TikTok Pixel ist datenschutzrechtlich als **Marketing-Tracking** einzuordnen. Dies ist kein essenzieller Dienst für den Betrieb der Website.

**Notwendige Rechtsgrundlage**: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) i.V.m. § 25 Abs. 1 TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz, für Cookies und ähnliche Technologien).

Das bedeutet: Eine **vorherige, informierte und explizite Einwilligung** des Besuchers ist zwingend erforderlich, bevor das Pixel aktiviert wird. Diese muss durch ein Consent-Management-System (Cookie-Banner) gewährleistet werden.

<Callout type="warn">
  Der Einsatz des TikTok Pixel ist aufgrund des Drittlandtransfers in die USA und des Bezugs zur chinesischen Muttergesellschaft ByteDance datenschutzrechtlich besonders sorgfältig zu prüfen. Das erhöhte Risiko für Datenschutzverletzungen, staatliche Überwachung und Auskunftspflichten der Muttergesellschaft gegenüber chinesischen Behörden (Nationale Sicherheit) ist im Einzelfall durch den Webseitenbetreiber zu bewerten.
</Callout>

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Joint-Controller-Status**: Beim Einsatz des TikTok Pixel entsteht eine mögliche **gemeinsame Verantwortlichkeit** (Joint Controllership nach Art. 26 DSGVO) zwischen dem Webseitenbetreiber und TikTok. TikTok hat hierzu eine „TikTok Analytics Joint Controller Addendum" veröffentlicht. Webseitenbetreiber sollten überprüfen, ob und in welchem Umfang ein Joint-Controller-Agreement erforderlich oder verfügbar ist.

**Drittlandtransfer und Schrems-II-Risiken**:

* Daten werden teilweise in die USA übermittelt. Die Wirksamkeit von Standardvertragsklauseln (SCCs) ist seit dem Urteil „Schrems II" (EuGH, 2020) umstritten.
* Ein Drittlandtransfer in die Volksrepublik China (zur Muttergesellschaft ByteDance) ist nicht ausgeschlossen und erhöht das Datenschutzrisiko erheblich.

**Opt-Out und Einstellungen**:

* Nutzer können TikTok-Werbeeinstellungen manuell anpassen ([https://www.tiktok.com/legal/page/eea/privacy-policy/en](https://www.tiktok.com/legal/page/eea/privacy-policy/en)).
* Ein technisches Opt-Out für das Pixel auf Website-Ebene sollte angeboten werden (z.B. durch Consent-Banner vor Pixel-Ladung).

**Advanced Matching und Hashing**: Webseitenbetreiber können erweiterte Matching-Funktionen aktivieren, bei denen E-Mail-Adressen und Telefonnummern gehashed (verschlüsselt) an TikTok übermittelt werden. Dies verstärkt die Tracking-Intensive und ist separat zu dokumentieren.

**Events API als Alternative**: Die **TikTok Conversion API** (Server-Side Events API) ist eine datenschutzfreundlichere Alternative zum Pixel. Sie ermöglicht das Tracken von Conversions auf dem Server des Webseitenbetreibers, nicht im Browser des Benutzers. Adblocking-Tools können Events so nicht blockieren.

**Datenschutzvereinbarungen**: Mit TikTok Technology Limited muss eine &#x2A;*Datenverarbeitungsvereinbarung (AVV)** abgeschlossen werden oder – falls Joint Controllership vorliegt – ein entsprechendes Joint-Controller-Agreement.

## I. Häufige Fragen zu TikTok Pixel und Datenschutz [#i-häufige-fragen-zu-tiktok-pixel-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist das TikTok Pixel genau?">
    Das TikTok Pixel ist ein JavaScript-Code (Tracking-Pixel), den Webseitenbetreiber in den HTML-Quelltext ihrer Website einfügen. Es verfolgt automatisch Nutzer-Aktionen (Events) wie Seitenaufrufe, Käufe oder Registrierungen und sendet diese Daten an TikTok-Server. Dies ermöglicht es Werbetreibenden, die Leistung ihrer Werbeanzeigen auf TikTok zu messen und zielgerichtete Zielgruppen zu erstellen. Das Pixel funktioniert ähnlich wie das Facebook Pixel oder Google Analytics – es ist ein rein werbe- und messungsorientiertes Tool.
  </Accordion>

  <Accordion title="Welche Daten erhebt das TikTok Pixel konkret?">
    Das TikTok Pixel erhebt: IP-Adressen, Browsertyp und -version, Betriebssystem, Gerätetyp, besuchte Seiten, Verweildauer, Klickpfade, Referrer, Conversion-Events (Käufe, Registrierungen, Warenkörbe), Standortdaten aus der IP-Adresse. Mit Advanced Matching können auch gehashte E-Mails und Telefonnummern übermittelt werden. TikTok nutzt diese Daten zur Anzeigenoptimierung, Custom-Audience-Erstellung und zum Remarketing.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für das TikTok Pixel?">
    Das TikTok Pixel ist nicht erforderlich für die Website-Funktion und ist daher nicht notwendig im Sinne des Art. 6 Abs. 1 lit. b oder f DSGVO. Die **einzige zulässige Rechtsgrundlage ist die explizite, informierte Einwilligung** (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). Der Einsatz ohne Einwilligung verstößt gegen die DSGVO und kann zu hohen Bußgeldern führen.
  </Accordion>

  <Accordion title="Ist eine Einwilligung (Cookie-Consent) erforderlich?">
    Ja, zwingend. Das TikTok Pixel muss durch eine Cookie-Consent-Lösung (Banner) blockiert werden, bis der Besucher explizit zugestimmt hat. Diese Zustimmung muss granular sein (also separate Zustimmung für das TikTok Pixel möglich), dokumentiert werden und jederzeit widerrufbar sein. Die bloße Erfassung und Übermittlung von Daten ohne Zustimmung ist rechtsverletzend.
  </Accordion>

  <Accordion title="Wo finde ich einen Textbaustein für meine Datenschutzerklärung?">
    Ein generischer Textbaustein ist häufig unzureichend. Der Text muss den **konkreten Einsatz** beschreiben (welche Events werden gemessen? wird Advanced Matching genutzt? gibt es einen DPA/JCA?). Der beste Weg ist, einen Datenschutzrechtler einzuziehen oder ein spezialisiertes Tool wie den Website-Privacy-Policy-Generator zu nutzen, das kontextbasiert angepasste Texte erstellt. Nachfolgend ein minimales Beispiel:

    > „Auf unserer Website wird das TikTok Pixel von TikTok Technology Limited (10 Earlsfort Terrace, Dublin, D02 T380, Irland) eingesetzt. Das Pixel verfolgt Konversionsereignisse (Käufe, Registrierungen) und erstellt Zielgruppen für Werbeanzeigen. Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Daten werden teilweise in die USA übermittelt. Ein Drittlandtransfer zu der chinesischen Muttergesellschaft ByteDance ist nicht ausgeschlossen. Weitere Infos unter \[Link zur Privacy Policy von TikTok]."

    Dies ist jedoch kein Ersatz für eine vollständige, auf Ihre Website und Geschäftsvorgänge zugeschnittene Datenschutzerklärung.
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Das TikTok Pixel ist ein weit verbreitetes Werbemessungs-Tool, das für Website-Betreiber notwendig sein kann, um TikTok-Kampagnen zu optimieren. Datenschutzrechtlich ist es jedoch besonders kritisch: Es erfordert eine ausdrückliche Einwilligung, es verarbeitet sensible Daten, und es birgt erhebliche Risiken durch Drittlandtransfers in die USA und einen möglichen Transfer zu der chinesischen Muttergesellschaft ByteDance.

Die gesetzliche Verpflichtung zur Offenlegung aller wesentlichen Verarbeitungsdetails in der Datenschutzerklärung ist zwingend. Eine pauschale, nicht auf den konkreten Betreiber und Einsatz abgestimmte Datenschutzerklärung genügt nicht. Ein Datenschutzrechtler oder spezialisiertes Generator-Tool sollte herangezogen werden, um rechtssicher konforme Texte zu erstellen. Der Einsatz von Standardvertragsklauseln (SCCs) oder eines Joint-Controller-Agreements mit TikTok ist im Einzelfall zu prüfen.

<CTABlock destination="website-privacy-policy-generator" />

<Callout type="info">
  Disclaimer: Dieser Beitrag stellt rechtliche Informationen zu Thema TikTok Pixel und Datenschutz zur Verfügung. Er ist keine Rechtsberatung und ersetzt keine individuelle Beratung durch einen Datenschutzrechtler. Stand: April 2026.
</Callout>

<AuthorBlock />


# Usercentrics CMP und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/usercentrics-datenschutzerklaerung)



# Usercentrics CMP und Datenschutz – Was Webseitenbetreiber wissen müssen [#usercentrics-cmp-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber die Consent Management Platform (CMP) von Usercentrics ein, verarbeitet er Einwilligungsdaten und technische Daten seiner Website-Nutzer zum Zweck der Einwilligungsverwaltung und des Compliance-Nachweises auf Basis berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Usercentrics wird dabei als Auftragsverarbeiter tätig. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von Usercentrics CMP [#a-zweck-und-funktionsweise-von-usercentrics-cmp]

Usercentrics ist eine &#x2A;*Consent Management Platform (CMP)** – eine Softwarelösung zur Erhebung, Verwaltung und Dokumentation von Einwilligungen Website-Besucher für die Verarbeitung ihrer personenbezogenen Daten. Die CMP wird als JavaScript-Code in die Website eingebettet und wird damit zur Rechtsgrundlage für die Verwendung weiterer Cookies und Tracking-Tools auf der Website (wie Google Analytics, Facebook Pixel, etc.).

**Integrationsfunktion:** Der Betreiber integriert das Usercentrics Banner (Consent Management Banner) in seine Website. Nutzer sehen beim Besuch der Website ein Consent-Banner, in dem sie der Verarbeitung ihrer Daten widersprechen oder zustimmen können. Usercentrics speichert diese Einwilligung und stellt dem Betreiber eine Einwilligungsnachweis-API bereit, damit andere Tools auf der Website nur nach erfolgter Einwilligung aktiviert werden.

## B. Pflichtangaben in der Datenschutzerklärung zu Usercentrics [#b-pflichtangaben-in-der-datenschutzerklärung-zu-usercentrics]

Nach DSGVO muss der Betreiber folgende Informationen zu Usercentrics in seiner Datenschutzerklärung offenlegen:

* **Zweck** (Art. 13 Abs. 1 lit. c): Einwilligungsverwaltung, Compliance-Dokumentation
* **Rechtsgrundlage** (Art. 13 Abs. 1 lit. a, Art. 6 Abs. 1 lit. f): Berechtigte Interessen des Betreibers an Rechtskonformität
* **Empfänger** (Art. 13 Abs. 1 lit. e): Usercentrics GmbH als Auftragsverarbeiter
* **Drittlandtransfer** (Art. 13 Abs. 1 lit. f): Vom Betreiber zu verifizieren; Usercentrics sitzt in München (EWR)
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Bis Einwilligung widerrufen wird; technische Umsetzung vom Betreiber zu verifizieren

**Hinweis:** Toolspezifische Textbausteine ("Datenschutzerklärung für Usercentrics") sind schlecht – sie orientieren sich nicht an den Datenverarbeitungszielen des Betreibers, sondern an Produktmerkmalen. Besser: **Themenorientierter Aufbau** (z.B. Kapitel "Einwilligungsverwaltung") mit Aufzählung der Datenempfänger im Anhang.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Usercentrics: Usercentrics GmbH [#c-anbieter-von-usercentrics-usercentrics-gmbh]

* **Juristischer Name:** Usercentrics GmbH
* **Sitz:** Sendlinger Straße 7, 80331 München, Deutschland
* **Sitzland:** Deutschland (Europäischer Wirtschaftsraum)
* **Privacy Policy:** [https://usercentrics.com/privacy-policy/](https://usercentrics.com/privacy-policy/)
* **DPF-Status:** Nicht erforderlich (Sitz im EWR)
* **AVV/DPA:** Verfügbar; gemäß Vorabinfo liegen DPA-Muster vor ([https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics\_DPA\_August-2024.pdf](https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics_DPA_August-2024.pdf))

## D. Datenverarbeitung durch Usercentrics – Ablauf [#d-datenverarbeitung-durch-usercentrics--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Besuch der Website wird das Usercentrics Banner geladen. Der JavaScript-Code erfasst zunächst: Browser-Fingerprint, Geräte-Identifikator, Nutzungsverhalten im Banner (Klicks, Ansicht, Verweildauer), IP-Adresse.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Usercentrics speichert die erfassten Daten und die Einwilligungsentscheidung des Nutzers in einer zentralen Usercentrics-Datenbank. Nach Angaben des Anbieters: Speicherung in EU-Rechenzentren; exakte Verweilzeiten vom Betreiber zu verifizieren.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Usercentrics nutzt die Daten intern zur: Verbesserung der CMP-Funktionalität, Analyse von Nutzer-Compliance-Mustern, Sicherheit der Plattform.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Subprozessoren: Nach Angaben des Anbieters Cloud-Infrastruktur-Anbieter (AWS, Google Cloud); exakte Liste im DPA-Anhang aufgeführt. Drittlandtransfer: Vom Betreiber zu verifizieren.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Einwilligungsdaten werden am Ende der Speicherfrist oder auf Antrag des Nutzers gelöscht. Löschfristen: Vom Anbieter zu erfragen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Usercentrics [#e-erhobene-daten-beim-einsatz-von-usercentrics]

Usercentrics erfasst bei der Einwilligungsverwaltung verschiedene Arten von Nutzerdaten. Diese lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, Request-URL, Referrer, Geräteinformationen
* **Browserinformationen**: Browser-Typ, Browserversion, User-Agent-String
* **Endgeräte-Daten**: Gerätetyp (Desktop/Tablet/Mobil), Betriebssystem, Displayauflösung, Spracheinstellung
* **Interaktionsdaten**: Klicks im Banner (Alle akzeptieren / Ablehnungsbutton / Präferenzen), Verweildauer im Banner, Scroll-Bewegungen
* **Nutzerkonto-Daten**: Falls Nutzer sich anmelden: Benutzername, E-Mail-Adresse (verschlüsselt), Login-Status
* **Einwilligungsdaten**: Welche Kategorien akzeptiert/abgelehnt (z.B. "Statistische Cookies", "Marketing-Cookies"), Zeitstempel der Entscheidung, Widerrufsstatus

## F. Nutzungszwecke beim Einsatz von Usercentrics [#f-nutzungszwecke-beim-einsatz-von-usercentrics]

Die Daten werden für folgende Zwecke verarbeitet:

* **Compliance**: Nachweis der Einwilligung gegenüber Aufsichtsbehörden und im Kontrollfall (Art. 7 Abs. 1 DSGVO)
* **Rechtsdurchsetzung**: Dokumentation von Nutzer-Entscheidungen für potenzielle Rechtsstreite
* **Funktionsbereitstellung**: Technische Aktivierung/Deaktivierung von Cookies und Tracking-Tools auf der Website nach Nutzer-Entscheidung
* **Allgemeine Produktverbesserung**: Analyse, welche Nutzersegmente welche Einwilligungen geben, um die CMP zu optimieren
* **Sicherheit und Missbrauchsschutz**: Erkennung verdächtiger Aktivitäten, Botnetze, Cookie-Manipulation

## G. Rechtsgrundlagen für Usercentrics [#g-rechtsgrundlagen-für-usercentrics]

**Schritt 1 – Kategorisierung:** Usercentrics ist eine **Compliance-Infrastruktur** – der Betreiber nutzt sie, um Einwilligungen rechtmäßig einzuholen.

**Schritt 2 – Rechtsgrundlage:**

* **Für den Betrieb der CMP selbst** (Einwilligungsverwaltung durch den Betreiber): Berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Der Betreiber hat ein berechtigtes Interesse, rechtmäßig Einwilligungen einzuholen und zu dokumentieren – dies ist nicht optional unter DSGVO Art. 7.
* **Für Usercentrics als Auftragsverarbeiter**: Auftragsverarbeitungsverhältnis gemäß Art. 28 DSGVO mit Datenverarbeitungsvertrag (DPA).

**Hinweis:** Usercentrics selbst benötigt keine separate Einwilligung von Nutzern für den Betrieb (Consent-Free), da die CMP-Software selbst Teil der Rechtsgrundlage-Nachweisführung ist. Jedoch sollte dies klar in der Datenschutzerklärung kommuniziert werden.

## H. Besonderheiten und Hinweise zu Usercentrics [#h-besonderheiten-und-hinweise-zu-usercentrics]

* **Auftragsverarbeitungsverhältnis erforderlich:** Der Betreiber MUSS einen Datenverarbeitungsvertrag (AVV/DPA) mit Usercentrics abschließen. Vorlage: [https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics\_DPA\_August-2024.pdf](https://usercentrics.com/de/wp-content/uploads/sites/2/2024/12/Usercentrics_DPA_August-2024.pdf)
* **Subprozessoren:** Usercentrics nutzt Cloud-Infrastruktur-Anbieter. Diese müssen im DPA-Anhang offengelegt sein.
* **Drittlandtransfers:** Die meisten Subprozessoren sind US-Unternehmen (AWS, Google Cloud). Datenschutzfolgeabschätzung erforderlich; Standard Contractual Clauses (SCC) oder ähnliche Schutzmechanismen müssen vorhanden sein.
* **Rechenschaftspflicht:** Der Betreiber muss dokumentieren, dass der DPA abgeschlossen ist (Art. 5 Abs. 2 DSGVO).
* **Nutzerrechte:** Nutzer können Einwilligung jederzeit widerrufen; Usercentrics muss dies sofort umsetzen.

## I. FAQ zu Usercentrics [#i-faq-zu-usercentrics]

<Accordions type="single">
  <Accordion title="Was ist Usercentrics?">
    Usercentrics ist eine Consent Management Platform (CMP) – eine Software, die Website-Betreiber einsetzen, um Besucher nach Einwilligung zu Cookies und Tracking-Tools zu fragen, diese zu speichern und zu verwalten. Usercentrics ist damit ein zentrales Compliance-Werkzeug für DSGVO-konformes Tracking.
  </Accordion>

  <Accordion title="Welche Daten erfasst Usercentrics?">
    Usercentrics erfasst: Browser-Fingerprint, Device-ID, IP-Adresse, Klicks im Banner, Einwilligungsentscheidungen (welche Kategorien akzeptiert), Verweildauer im Banner, Geräte- und Browser-Informationen. Alle Daten werden zur Einwilligungsverwaltung benötigt.
  </Accordion>

  <Accordion title="Ist Usercentrics selbst DSGVO-konform?">
    Ja, Usercentrics ist nach Angaben des Anbieters DSGVO-konform – sofern der Betreiber einen DPA mit Usercentrics abschließt und Subprozessoren offenlegt. Allerdings: Das Abschließen eines DPA ist NICHT optional, sondern PFLICHT nach Art. 28 DSGVO.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung von Nutzern für Usercentrics einholen?">
    Nein. Der Betrieb der CMP selbst ist einwilligungsfrei (Consent-Free), da die Einwilligungsverwaltung auf berechtigten Interessen des Betreibers basiert. Allerdings: Die CMP SAMMELT Einwilligung von Nutzern für andere Tools.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Usercentrics in die Datenschutzerklärung?">
    Statt separater "Usercentrics-Klausel" empfehlen wir einen themenorientierten Ansatz: Kapitel "Einwilligungsverwaltung und Consent Management" mit Angabe: Zweck (Compliance), Rechtsgrundlage (berechtigte Interessen Art. 6 Abs. 1 lit. f), Empfänger (Usercentrics GmbH), Dauer (bis Widerruf). Nutzen Sie unseren Privacy Policy Generator für konsistente Formulierungen.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Usercentrics [#j-fazit-und-empfehlung-zu-usercentrics]

**Zusammenfassung:** Usercentrics ist eine notwendige Infrastruktur für DSGVO-konformes Cookie- und Tracking-Management. Der Betreiber muss jedoch ein Auftragsverarbeitungsverhältnis mit Usercentrics etablieren (DPA) und Subprozessoren-Transfers dokumentieren.

**Häufiger Fehler:** Betreiber erstellen separate "Usercentrics Datenschutzklauseln" für ihre Datenschutzerklärung, orientieren sich dabei aber an Produktmerkmalen statt an Datenverarbeitungszielen. Dies ist nicht DSGVO-konform nach Art. 12 Abs. 1 DSGVO (Transparenzgebot). Besser: **Themenorientierter Aufbau** (Compliance → Einwilligungsverwaltung) mit Aufzählung aller Empfänger im Anhang.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Usercentrics und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Vimeo Player und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/vimeo-datenschutzerklaerung)



# Vimeo Player und Datenschutz – Was Webseitenbetreiber wissen müssen [#vimeo-player-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Vimeo ein, verarbeitet er Video-Nutzungsdaten (Wiedergabeereignisse, Zuschauer-Metadaten, Engagement-Metriken) zum Zweck der Video-Bereitstellung und -Analytik auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) für Tracking-Komponenten und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) für die reine Video-Bereitstellung. Vimeo ist ein US-amerikanisches Unternehmen, fungiert aber primär als eigenständiger Datenverantwortlicher (nicht Auftragsverarbeiter) und ist DPF-zertifiziert. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Vimeo zu beachten sind.

## A. Zweck und Funktionsweise von Vimeo [#a-zweck-und-funktionsweise-von-vimeo]

Vimeo ist eine Video-Hosting- und -Sharing-Plattform mit professionellem Player, die es Webseitenbetreibern ermöglicht, Videos zu speichern und auf ihrer Website bereitzustellen. Das Tool wird typischerweise über einen iFrame oder einen JavaScript-Embed-Code integriert. Vimeo bietet verschiedene Funktionalitäten:

* **Video-Hosting**: Speicherung und Verwaltung von Videos in der Cloud
* **Vimeo Player**: Ein anpassbarer Video-Player mit erweiterten Features
* **Video Analytics**: Erfassung von Wiedergabeereignissen, Zuschauer-Engagement, Geografie-Daten
* **Streaming und Live Events**: Übertragung von Live-Videos
* **Datenschutz-Optionen**: Privacy Mode, Embed-Beschränkungen, Do Not Track Support

Die Integration erfolgt über einen iFrame (`<iframe src="https://player.vimeo.com/video/..."></iframe>`) oder über einen Embed-Code. Bei jedem Videoaufruf kommuniziert der Player mit Vimeo-Servern und erfasst Nutzungsdaten. **Wichtig**: Vimeo ist primär als eigenständiger Datenverantwortlicher tätig – der Webseitenbetreiber hat mit Vimeo keine Auftragsverarbeitungs-Vereinbarung, sondern betreibt gemeinsam mit Vimeo die Datenverarbeitung.

## B. Pflichtangaben in der Datenschutzerklärung zu Vimeo [#b-pflichtangaben-in-der-datenschutzerklärung-zu-vimeo]

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten verarbeitet werden, zu welchen Zwecken und auf welcher Rechtsgrundlage. Bei Vimeo sind folgende Angaben erforderlich:

* **Zwecke**: Bereitstellung und Wiedergabe von Videos, Erfassung von Zuschauer-Engagement, Video-Analytik, Fehlerdiagnose
* **Rechtsgrundlage**: Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG) für die Nutzung von Vimeo als Drittanbieter-Video-Plattform; berechtigte Interessen (Art. 6 Abs. 1 lit. f) für Bereitstellung können diskutiert werden, sind aber weniger sicher
* **Empfänger/Kategorien**: Vimeo, Inc. (USA), ggf. Vimeo-Partner und Analyseunternehmen
* **Drittlandtransfers**: Data Privacy Framework (DPF) und Standard Contractual Clauses (SCC)
* **Speicherdauer**: Abhängig von Vimeo-Richtlinie; vom Betreiber zu verifizieren
* **Datenkategorien**: Siehe Abschnitt E

**Wichtiger Hinweis**: Vimeo ist KEIN Auftragsverarbeiter (Processor) – Vimeo ist ein eigenständiger Datenverantwortlicher (Data Controller). Das bedeutet: Es gibt kein AVV/DPA im klassischen Sinne. Der Webseitenbetreiber kann mit Vimeo höchstens eine "Controller-to-Controller" Standardisierte Vertragklauseln vereinbaren (wenn separate Datenverarbeitung). Eine toolspezifische Kopie ist problematisch; ein themenorientierter Ansatz (z.B. Abschnitt „Embedded Media & Videos") ist besser.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Vimeo: Vimeo, Inc. [#c-anbieter-von-vimeo-vimeo-inc]

**Juristischer Name (USA)**: Vimeo, Inc. / Vimeo.com, Inc.\
**Sitzland**: USA (New York)\
**Europäischer Repräsentant**: vom Betreiber zu verifizieren (Vimeo hat möglicherweise eine EU-Niederlassung)\
**DPF-Status**: Vimeo ist DPF-zertifiziert und partizipiert aktiv im EU-US DPF, UK-Extension DPF und Swiss-US DPF. Auch Vimeos Subunternehmen (Livestream LLC, VideoJi, Inc.) adhärieren zu den DPF Principles.\
**Datenschutzerklärung**: [https://vimeo.com/privacy](https://vimeo.com/privacy)\
**AVV/DPA**: Vimeo bietet KEIN klassisches DPA für Standard-Nutzer. Für Enterprise-Kunden und Vimeo OTT gibt es eine Data Processing Addendum ([https://vimeo.com/legal/enterprise-terms/dpa](https://vimeo.com/legal/enterprise-terms/dpa)). Für Standard-Nutzer können jedoch "controller-to-controller" Standard Contractual Clauses vereinbart werden, falls separaten Datenverarbeitung erforderlich ist (vom Betreiber zu prüfen).\
**Kontakt für Datenschutzfragen**: [privacy@vimeo.com](mailto:privacy@vimeo.com)

## D. Datenverarbeitung durch Vimeo – Ablauf [#d-datenverarbeitung-durch-vimeo--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Webseitenbetreiber lädt Videos zu Vimeo hoch oder integriert ein Vimeo-Video über den iFrame-Embed-Code in seine Website. Wenn ein Besucher das Video aufruft, wird das iFrame geladen und kommuniziert mit Vimeo-Servern. Sofort werden Basisdaten erfasst: IP-Adresse, Browser, Gerät, Zeitstempel. Optional können auch erweiterte Analytics aktiviert werden (z.B. Zuschauer-Tracking, Geografie-Daten).
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die Video-Dateien werden auf Vimeo-Servern (weltweit verteilte CDN, u.a. USA) gespeichert. Metadaten und Analytics-Daten werden in Vimeo-Datenbanken gespeichert, möglicherweise in den USA. Vimeo speichert diese Daten zu seinen eigenen geschäftlichen Zwecken (nicht nur auf Aufforderung des Webseitenbetreibers). Die Speicherdauer ist abhängig von der Vimeo-Richtlinie und dem Account-Plan; typischerweise solange das Video aktiv ist.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Vimeo nutzt die erfassten Daten zur Bereitstellung des Players, zur Fehlerdiagnose, zur Performance-Optimierung und zur Generierung von Analytics-Berichten. Vimeo darf diese Daten auch zu anderen Zwecken nutzen (z.B. für Vimeo-Serviceoptimierung, Sicherheit, Compliance), wie in der Privacy Policy dokumentiert. Der Webseitenbetreiber hat darauf keinen Einfluss – das ist der Nachteil der "Controller"-Rolle von Vimeo.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Vimeo teilt Daten mit Subprozessoren und Partnern (z.B. Cloud-Provider, Analytics-Services). Vimeo kann auch Daten zu Vimeo-Zwecken weitergeben (z.B. an Vimeo-Subunternehmen, an Werbepartner für Vimeo-Platform-Verbesserung). Der Webseitenbetreiber hat wenig Einflussmöglichkeit, da Vimeo der Verantwortliche ist.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Vimeo löscht Daten gemäß eigener Aufbewahrungsrichtlinien, nicht auf Anforderung des Webseitenbetreibers (außer für bestimmte Daten-Subject-Rights-Anfragen). Wenn der Webseitenbetreiber ein Video löscht, können Analytics-Daten noch länger bei Vimeo verbleiben. Ein manueller Lösch-Request (Datenschutzrecht) ist möglich, aber Vimeo bestimmt selbst die Einhaltung.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Vimeo [#e-erhobene-daten-beim-einsatz-von-vimeo]

Vimeo erfasst verschiedene Kategorien von Daten, abhängig von der Konfiguration und den aktivierten Features. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent, Browser/OS/Gerät
* **Klickpfade**: Besuchte Seite mit Video, Referrer-URL
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung, Verbindungstyp
* **Browserinformationen**: Browsername, Browserversion
* **Grobe Standortdaten**: IP-basierter Standort (Land, Stadt)
* **Interaktionsdaten**: Play/Pause/Seek-Events, Verweilzeit, Vollständigkeit der Videowiedergabe, Abbruchpunkte
* **Technische Telemetriedaten**: Fehler, Puffering-Ereignisse, Bitrate-Anpassungen, Ladezeiten
* **Nutzerkonto-Daten**: Falls der Zuschauer angemeldet ist (Vimeo-Account), auch Benutzername und E-Mail-Adresse

Optional können auch Cookies für Zuschauer-Tracking gesetzt werden, wenn erweiterte Analytics aktiviert sind.

## F. Nutzungszwecke beim Einsatz von Vimeo [#f-nutzungszwecke-beim-einsatz-von-vimeo]

Vimeo verarbeitet Daten zu mehreren Zwecken, teilweise zu Vimeos eigenen Geschäftszwecken. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

* **Funktionsbereitstellung**: Bereitstellung und Wiedergabe von Videos, Fehlerdiagnose, Performance-Monitoring
* **Allgemeine Produktverbesserung**: Verbesserung des Players, Optimierung von Streaming-Qualität, Nutzungsanalysen (Vimeo-intern)
* **Allgemeines Marketing**: Analytics-Berichte für Webseitenbetreiber, Trend-Analysen (Vimeo-intern für Plattform-Verbesserung)
* **Sicherheit und Missbrauchsschutz**: Schutz vor unautorisierten Zugriffen, DRM, Sicherheitsüberwachung
* **Kommunikation**: Benachrichtigungen über Vimeo-Services (zu Vimeos Bedingungen)
* **Vimeo-Geschäftszwecke**: Optimierung der Vimeo-Plattform, Training von ML-Modellen (unter Umständen), Compliance

## G. Rechtsgrundlagen für Vimeo [#g-rechtsgrundlagen-für-vimeo]

Die Rechtsgrundlage ist nuanciert, da Vimeo als eigenständiger Datenverantwortlicher agiert:

1. **Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG)**: Dies ist der sicherste Ansatz. Da Vimeo Tracking-Cookies setzt und personenbezogene Daten verarbeitet, ist eine ausdrückliche Einwilligung erforderlich, bevor der iFrame geladen wird. Die Einwilligung muss spezifisch für Vimeo erfolgen (nicht als Sammelkonsent für "externe Inhalte").

2. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)**: Eine Argumentation, dass die reine Bereitstellung von Video-Inhalten ein berechtigtes Interesse des Webseitenbetreibers ist, ist möglich, aber schwach. Vimeo ist kein notwendiger Service für die Website-Funktion. Eine Interessensabwägung ist kritisch und kann nicht empfohlen werden.

**Best Practice**: Einwilligung einholen (Cookie-Banner mit Opt-In für "externe Video-Inhalte" / "Vimeo"). Dies ist konservativ und legal sicher.

## H. Besonderheiten und Hinweise zu Vimeo [#h-besonderheiten-und-hinweise-zu-vimeo]

* **Vimeo als Datenverantwortlicher, nicht Auftragsverarbeiter**: Das ist eine wesentliche Besonderheit. Vimeo ist kein "AV-Vertrag-Partner" wie z.B. Google Analytics (bedingt) oder Hotjar. Vimeo ist ein eigenständiger Controller und verarbeitet Daten zu eigenen Zwecken.
* **Kein klassisches DPA für Standard-Nutzer**: Es gibt kein AVV/DPA für Standard-Vimeo-Kunden. Für Enterprise- und Vimeo OTT-Kunden gibt es eine Data Processing Addendum, die regelt, dass Vimeo auch als Processor agieren kann (separat für bestimmte Daten).
* **DPF-Zertifizierung**: Vimeo ist DPF-zertifiziert, was die Rechtssicherheit für Drittlandtransfers erhöht. Auch die Subunternehmen (Livestream LLC, VideoJi, Inc.) sind DPF-zertifiziert.
* **Do Not Track Support**: Vimeo respektiert Do Not Track (DNT) Browser-Signale. Wenn ein Nutzer DNT aktiviert hat, sollte Vimeo kein erweitertes Tracking durchführen.
* **Privacy Mode**: Vimeo bietet einen "Privacy Mode", in dem keine Daten zu Vimeos Zwecken verwendet werden. Dies kann eine Option sein, wenn der Webseitenbetreiber zusätzliche Datenschutz-Kontrolle möchte.
* **Controller-to-Controller Arrangement**: Der Webseitenbetreiber kann mit Vimeo eine "Controller-to-Controller" Vereinbarung treffen (Standard Contractual Clauses) und dabei die gegenseitige Verantwortlichkeit klären. Dies ist optional und vom Betreiber zu prüfen.

## I. FAQ zu Vimeo [#i-faq-zu-vimeo]

<Accordions type="single">
  <Accordion title="Was ist Vimeo?">
    Vimeo ist eine Video-Hosting- und -Sharing-Plattform, die es Webseitenbetreibern ermöglicht, Videos zu speichern und über einen anpassbaren Player bereitzustellen. Vimeo ist primär ein Datenverantwortlicher, nicht ein Auftragsverarbeiter.
  </Accordion>

  <Accordion title="Welche Daten erfasst Vimeo?">
    Vimeo erfasst IP-Adresse, Browser-Informationen, Geräte-Metadaten, Video-Wiedergabeereignisse (Play, Pause, Seek), Verweilzeit, Abbruchpunkte und optional erweiterte Analytics (Geografie, Zuschauer-Tracking). Cookies können auch für Zuschauer-Identification verwendet werden.
  </Accordion>

  <Accordion title="Ist Vimeo ein Auftragsverarbeiter?">
    Nein, in der Regel nicht. Vimeo ist ein eigenständiger Datenverantwortlicher. Es gibt kein klassisches AVV/DPA für Standard-Kunden. Für Enterprise- und Vimeo OTT-Kunden gibt es eine separate Data Processing Addendum.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Vimeo?">
    Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG) ist die sicherste und empfohlene Rechtsgrundlage. Ein berechtigtes Interesse ist schwächer und nicht empfohlen, da Vimeo nicht essentiell ist.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Vimeo einholen?">
    Ja. Da Vimeo Tracking-Cookies setzt und als eigenständiger Datenverantwortlicher agiert, ist eine ausdrückliche Nutzer-Einwilligung erforderlich, bevor das Vimeo-iFrame geladen wird. Dies geschieht üblicherweise über einen Cookie-Banner mit Opt-In für "externe Video-Inhalte".
  </Accordion>

  <Accordion title="Gibt es ein DPA/AVV für Vimeo?">
    Nein, nicht für Standard-Kunden. Für Enterprise- und Vimeo OTT-Kunden gibt es eine Data Processing Addendum ([https://vimeo.com/legal/enterprise-terms/dpa](https://vimeo.com/legal/enterprise-terms/dpa)). Für Standard-Nutzer ist eine "Controller-to-Controller" Vereinbarung optional.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Vimeo in die Datenschutzerklärung?">
    Ein guter Textbaustein integriert Vimeo in einen übergeordneten Abschnitt „Embedded Media & Videos", erklärt dass Vimeo ein eigenständiger Datenverantwortlicher ist, nennt die erfassten Daten, die Einwilligungsanforderung und verweist auf Vimeos Privacy Policy und den Privacy Mode. Der matterius-Generator erstellt solche Formulierungen dynamisch.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Vimeo [#j-fazit-und-empfehlung-zu-vimeo]

Vimeo ist eine professionelle Video-Plattform mit DPF-Zertifizierung und guten Datenschutz-Dokumentationen. Die wesentliche Besonderheit: Vimeo ist ein eigenständiger Datenverantwortlicher, nicht nur ein technischer Auftragsverarbeiter. Das hat Implikationen für die Rechtsgrundlage, das AVV-Erfordernis und die gegenseitige Verantwortlichkeit. Für DSGVO-Konformität sind folgende Punkte essentiell: (1) ausdrückliche Einwilligung vor Laden des Vimeo-iFrames, (2) transparente Offenlegung von Vimeos Datenverantwortlichkeit (nicht "Auftragsverarbeiter"), (3) Verlinkung zu Vimeos Privacy Policy, (4) optional: Privacy Mode aktivieren für zusätzliche Kontrolle.

**Problematisch**: Ein Textbaustein, der Vimeo wie einen "AV-Vertrag-Partner" behandelt. Besser: Ein themenorientierter Ansatz, der externe Video-Plattformen (YouTube, Vimeo, Brightcove) unter einem Dach behandelt und klar deren Status als eigenständige Controller erklärt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Vimeo und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Vimeo Player und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/vimeo-player-datenschutzerklaerung)



# Vimeo Player und Datenschutz – Was in die Datenschutzerklärung gehört [#vimeo-player-und-datenschutz--was-in-die-datenschutzerklärung-gehört]

Webseitenbetreiber, die Vimeo-Videos über iFrame-Einbettung anbieten, ermöglichen eine direkte Verbindung zwischen dem Browser des Besuchers und den Vimeo-Servern. Der Vimeo-Anbieter erhebt dabei personenbezogene Daten wie IP-Adresse, Geräte- und Browserinformationen. Die Datenschutzerklärung muss diese Verarbeitung transparent erläutern und alle DSGVO-Anforderungen erfüllen.

## A. Zweck und Funktionsweise des Vimeo Player [#a-zweck-und-funktionsweise-des-vimeo-player]

Der Vimeo Player ist ein Video-Hosting- und Bereitstellungsdienst der Vimeo, Inc. Wenn ein Webseitenbetreiber ein Video auf seiner Seite einbettet, nutzt der Player eine iFrame-Integration – das bedeutet, dass das Video nicht lokal gespeichert, sondern von Vimeo-Servern abgerufen wird. Der Browser des Besuchers verbindet sich dann direkt mit Vimeo, um das Video zu laden und wiederzugeben.

Dies ist zu unterscheiden von:

* **Vimeo als Videoplattform**: Ein Nutzer kann auf vimeo.com ein eigenes Profil erstellen und Videos hochladen – diese Nutzungsform wird hier nicht behandelt.
* **Vimeo Pro/Business**: Ein Webseitenbetreiber nutzt Vimeo als Hosting-Dienst, um eigene Videos einzubetten. In diesem Fall ist der Webseitenbetreiber Nutzer des Vimeo-Dienstes; Vimeo ist der Anbieter und Verantwortlicher für die Datenverarbeitung.

Die iFrame-Einbettung wird typischerweise mit einem Code wie `<iframe src="https://player.vimeo.com/video/[ID]"></iframe>` realisiert.

## B. Pflichtangaben in der Datenschutzerklärung [#b-pflichtangaben-in-der-datenschutzerklärung]

Nach Art. 13 und 14 DSGVO muss die Datenschutzerklärung eindeutig offenlegen, dass und wie Vimeo-Videos eingebettet sind, da diese Einbettung mit Datentransfers in ein Drittland (USA) verbunden ist. Die Angaben müssen für den Besucher verständlich und nachvollziehbar sein.

**Erforderliche Informationen:**

* Name und Kontaktdaten des Anbieters (Vimeo, Inc., Adresse)
* Zweck der Datenverarbeitung (Bereitstellung und Analyse von Videoinhalten)
* Art der erhobenen personenbezogenen Daten
* Dauer der Speicherung
* Rechtsgrundlage (üblicherweise Einwilligung)
* Rechte des Betroffenen (Auskunft, Löschung, Widerspruch)
* Drittlandtransfer und Schutzmaßnahmen (Datenschutzrahmen, Standardvertragsklauseln)

Viele Muster-Datenschutzerklärungen sind unvollständig oder zu allgemein formuliert. Ein rechtssicherer Text erfordert eine individuelle Prüfung des konkreten Einsatzes.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter [#c-anbieter]

**Unternehmensname:** Vimeo, Inc.

**Anschrift:** 330 West 34th Street, 10th Floor, New York, NY 10001, USA

**Kontakt für Datenschutz:**

* E-Mail: [privacy@vimeo.com](mailto:privacy@vimeo.com)
* Telefon: (212) 524-8791

**Datenschutzrichtlinie:** [https://vimeo.com/privacy](https://vimeo.com/privacy)

**Datenschutzrahmen:** Vimeo und seine Tochtergesellschaften (einschließlich Livestream LLC und VideoJi, Inc.) sind zertifizierte Teilnehmer des EU-U.S. Data Privacy Framework (DPF), des UK Extension zum EU-U.S. DPF und des Swiss-U.S. DPF. Dies bedeutet, dass Vimeo sich verpflichtet hat, die strengen Datenschutzanforderungen der Europäischen Union einzuhalten und eine angemessene Datenschutzniveaugarantie bei der Übertragung personenbezogener Daten aus der EU, Großbritannien und der Schweiz in die USA zu bieten.

**Standardvertragsklauseln (SCC):** Zusätzlich zur DPF-Zertifizierung können Standardvertragsklauseln als Schutzmaßnahme für Datentransfers verwendet werden.

## D. Datenverarbeitung – Ablauf [#d-datenverarbeitung--ablauf]

Die Datenverarbeitung durch Vimeo bei der Einbettung eines Videos erfolgt in mehreren Schritten:

<Steps>
  <Step title="Initialisierung und Erhebung">
    Der Besucher öffnet eine Webseite, auf der ein Vimeo-Video über iFrame eingebettet ist. Der Browser des Besuchers stellt eine Anfrage an Vimeo-Server (player.vimeo.com), um das Videoinhaltsverzeichnis zu laden und Videometadaten abzurufen.
  </Step>

  <Step title="Speicherung auf Vimeo-Servern">
    Vimeo speichert technische Informationen des Besuchers (IP-Adresse, Geräte-ID, Browser-Kennungen) auf Servern in den USA. Diese Daten werden mit eindeutigen Identifikatoren versehen, um mehrere Zugriffe nachverfolgbar zu machen.
  </Step>

  <Step title="Nutzung und Analyse">
    Vimeo nutzt die Daten, um das Video bereitzustellen, die Qualität zu optimieren und Zugriffstatistiken zu erstellen. Dazu gehören auch interne Analysen zum Zweck der Produktverbesserung.
  </Step>

  <Step title="Weitergabe an Dritte">
    Vimeo kann die Daten an Subprozessoren weitergeben, sofern diese vertraglich an ähnliche Datenschutzverpflichtungen gebunden sind. Auch eine Weitergabe an Behörden in den USA ist möglich.
  </Step>

  <Step title="Löschung oder Speicherung">
    Vimeo löscht Daten nach seinem Aufbewahrungsplan. Die genaue Dauer ist in der Datenschutzrichtlinie von Vimeo festgehalten; üblicherweise werden Analyticsdaten nach einem Zeitraum von bis zu zwei Jahren gelöscht.
  </Step>
</Steps>

## E. Erhobene Daten [#e-erhobene-daten]

Vimeo erhebt eine Vielzahl von Datenkategorien beim Abspielen eingebetteter Videos:

**Webserver-Protokolldaten**

* Internet-Protokoll-Adresse (IPv4 oder IPv6)
* Zeitstempel der Anfrage (Datum und Uhrzeit des Zugriffs)
* Referrer-Information (welche Webseite das Video eingebettet hat – zur Verfolgung der Videoquelle)
* HTTP-Request-Methode und Status-Code

**Endgeräte-Daten**

* Gerätetyp (Desktop, Tablet, Mobile)
* Betriebssystem (Windows, macOS, iOS, Android)
* Eindeutige Gerätekennungen (sofern vorhanden)

**Browserinformationen**

* Browser-Typ und -Version
* User-Agent-String
* Akzeptierte Sprachen und Zeichenkodierungen

**Standortdaten**

* Grobe geografische Standortinformation (aus IP-Adresse abgeleitet)

**Videointeraktions- und Wiedergabedaten**

* Play/Pause/Stop-Events
* Zeitpunkt und Dauer der Wiedergabe
* Qualitätseinstellungen (gewählte Auflösung)
* Vollbildmodus-Nutzung

**Vimeo-Nutzungskonto-Daten**

* Falls der Besucher bei Vimeo angemeldet ist, kann Vimeo die Videowiedergabe mit dem Vimeo-Benutzerkonto verknüpfen. Dies ermöglicht es Vimeo, die Aktivität über mehrere Webseiten hinweg nachzuverfolgen.

## F. Nutzungszwecke [#f-nutzungszwecke]

**Funktionsbereitstellung**
Vimeo nutzt die erhobenen Daten primär, um das Video eingebettete bereitzustellen, zu streamen und wiederzugeben. Dazu zählen auch technische Optimierungen wie adaptive Bitrate-Anpassung an die Bandbreite des Besuchers.

**Allgemeine Produktverbesserung und Analyse**
Vimeo erstellt interne Statistiken über die Videonutzung, um die Plattform zu verbessern. Dies geschieht unabhängig von den Zielen des Webseitenbetreibers – Vimeo verfolgt damit eigene, kommerzielle Interessen.

**Sicherheit und Missbrauchsprävention**
Vimeo nutzt die Daten zur Erkennung von Bots, zum Schutz vor unautorisierten Zugriffen und zur Prävention von Videopiraterie.

## G. Rechtsgrundlagen [#g-rechtsgrundlagen]

**Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)**

Da die Einbettung von Vimeo-Videos nicht notwendig für den Betrieb der Webseite ist, lässt sie sich nicht auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) stützen. Eine Aufrechterhaltung der Website, ihre Sicherheit oder Optimierung können üblicherweise nicht geltend gemacht werden, um Vimeo zu rechtfertigen.

Daher ist **aktive, explizite Einwilligung des Besuchers erforderlich**, bevor Vimeo-Daten erhoben werden. Die Einwilligung muss:

* Freiwillig erfolgen (keine Vorbedingung für Website-Zugang)
* Informiert sein (der Besucher muss verstehen, dass Daten in die USA übertragen werden)
* Spezifisch sein (konkrete Zustimmung zu Vimeo, nicht allgemein zu „externen Inhalten")
* Aktiv erfolgen (nicht durch Voreinstellung oder Stillschweigen)

Nach § 25 TDDDG ist für die Einwilligung bei Cookies und Tracker typischerweise ein Consent-Banner oder ähnliches Mechanismus erforderlich.

**Alternative: Privacy Mode mit dnt=1**

Wenn der Vimeo-iFrame mit dem Parameter `dnt=1` ausgestattet wird (z.B. `<iframe src="https://player.vimeo.com/video/[ID]?dnt=1"></iframe>`), deaktiviert Vimeo die Setzung von Tracking-Cookies und reduziert die Datenerfassung erheblich. In diesem Fall wird argumentiert, dass eine Einwilligung möglicherweise nicht erforderlich ist, da keine Cookies gesetzt werden. Allerdings werden auch im Privacy-Mode weiterhin technische Protokolldaten (IP-Adresse, Browser-Info) erfasst; eine vollständige Rechtsgrundlage-Entlastung ist damit üblicherweise nicht gegeben.

**Berechtigtes Interesse (diskutierbar)**

Eine Argumentation über berechtigtes Interesse wird von der Datenschutzpraxis überwiegend skeptisch gesehen, besonders wenn Drittlandtransfer (USA) involviert ist. Eine Einzelfall-Bewertung ist erforderlich.

## H. Besonderheiten und Hinweise [#h-besonderheiten-und-hinweise]

**Privacy Mode und dnt=1-Parameter**

Der `dnt=1`-Parameter im Vimeo-iFrame-Code verhindert die Setzung neuer Tracking-Cookies während der Videowiedergabe. Allerdings gilt:

* Bereits vorhandene Vimeo-Cookies vom Browser bleiben aktiv
* Technische Protokolldaten (IP-Adresse, Referrer) werden weiterhin erhoben
* Einige Player-Funktionen (z.B. Speicherung von Qualitätseinstellungen, Zwischenstand) sind eingeschränkt

Der Privacy-Mode ist empfehlenswert, wenn Datenschutzfreundlichkeit prioritär ist. Ein DPA mit dem Webseitenbetreiber ist dafür nicht nötig.

**Vimeo-Cookies beim Standard-Einbetten**

Ohne `dnt=1` setzt Vimeo standardmäßig Cookies, insbesondere:

* `vuid`: Vimeo User ID – eine eindeutige Kennung für den Browser oder das Gerät
* Weitere Session- und Analytics-Cookies

Diese Cookies haben typischerweise eine Geltungsdauer von bis zu 13 Monaten.

**Drittlandtransfer und Datenschutzrahmen**

Die USA werden nicht als Land mit angemessenem Datenschutzniveau eingestuft. Der Transfer personenbezogener Daten ist jedoch durch zwei Mechanismen gedeckt:

1. **Data Privacy Framework (DPF)**: Vimeo ist zertifiziert; dies ist der primäre Schutzmechanismus
2. **Standardvertragsklauseln (SCC)**: Können als Fallback dienen

Es ist gute Praxis, beide Schutzmechanismen in der Datenschutzerklärung zu erwähnen.

**Data Processing Agreement (DPA)**

Vimeo bietet ein DPA nur für Enterprise- und Vimeo OTT-Kunden an. Für Self-Service-Nutzer (typische Webseitenbetreiber) existiert kein formales DPA. Das bedeutet, dass der Webseitenbetreiber nicht als Auftragsverarbeiter des Vimeo-Kunden fungiert, sondern Vimeo und der Webseitenbetreiber sind Verantwortliche desselben Datensatzes (Joint Controller nach Art. 26 DSGVO).

Für solche Konstellationen empfiehlt sich, mit Vimeo eine informelle Vereinbarung oder zumindest eine Dokumentation der gegenseitigen Verpflichtungen zu schaffen.

**Einwilligung und Consent-Management**

Praktische Umsetzung:

* Consent-Banner mit expliziter Zustimmung zu Vimeo (z.B. "Ich akzeptiere die Einbettung von Vimeo-Videos")
* Lazy-Loading: Das Video wird erst nach Bestätigung der Einwilligung in die Seite geladen
* Zwei-Klick-Lösung: Der Besucher sieht ein Vorschaubild und muss zustimmen, bevor das iFrame geladen wird
* Dokumentation der Einwilligung (Logging, Zeitstempel)

**Wenn der Besucher bei Vimeo angemeldet ist**

Falls ein Besucher gleichzeitig in seinem Vimeo-Konto angemeldet ist, kann Vimeo die Videowiedergabe mit diesem Konto verknüpfen. Dies ermöglicht eine Cross-Site-Verfolgung über mehrere Webseiten hinweg. Dies sollte in der Datenschutzerklärung erwähnt werden.

## I. Häufige Fragen zu Vimeo und Datenschutz [#i-häufige-fragen-zu-vimeo-und-datenschutz]

<Accordions type="single">
  <Accordion title="Was ist der Vimeo Player und wie unterscheidet er sich von anderen Video-Plattformen?">
    Der Vimeo Player ist ein eingebettetes Video-Wiedergabe-System für Webseiten. Ein Webseitenbetreiber lädt ein Video auf die Vimeo-Plattform hoch, erhält einen Einbettungscode und integriert diesen iFrame in die eigene Webseite. Der Browser des Besuchers verbindet sich direkt mit Vimeo-Servern, um das Video zu laden – nicht mit dem Webserver des Seitenbetreibers.

    Dies unterscheidet sich von:

    * **YouTube/Google**: ähnliches Modell, aber Google ist deutlich größer und hat mehr Tracking-Funktionen
    * **Lokale Video-Dateien**: Bei lokal gehosteten Videos verbindet sich der Browser nur mit dem eigenen Server
    * **Vimeo als Plattform**: vimeo.com selbst ist eine Social-Media-Plattform, auf der Nutzer Profile erstellen, Videos hochladen und teilen – dies ist nicht Gegenstand dieser Erklärung
  </Accordion>

  <Accordion title="Welche Daten erhebt Vimeo beim Einbetten von Videos auf meiner Webseite?">
    Vimeo erhebt:

    * **Technische Daten**: IP-Adresse, Browser-Typ und -Version, Betriebssystem
    * **Gerätedaten**: Gerätetyp (Mobile, Tablet, Desktop)
    * **Interaktionsdaten**: Wann und wie lange das Video angesehen wurde, Abspielen/Pausieren, Qualitätseinstellungen
    * **Lokalisierungsdaten**: Grobe geografische Standortinformation aus der IP-Adresse
    * **Referrer**: Welche Webseite das Video eingebettet hat
    * **Konto-Verknüpfung**: Wenn der Besucher bei Vimeo angemeldet ist, Verknüpfung mit seinem Vimeo-Profil

    Diese Daten werden auf Servern in den USA gespeichert und können mit Cookies und Identifikatoren nachverfolgt werden.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für die Einbettung von Vimeo-Videos?">
    Das Einstellen eines Vimeo-Videos ist üblicherweise nicht notwendig für den Betrieb der Webseite, daher ist &#x2A;*Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)** die primäre Rechtsgrundlage. Der Besucher muss aktiv der Einbettung zustimmen, bevor Daten erhoben werden.

    Alternativ kann mit dem `dnt=1`-Parameter der Privacy-Mode aktiviert werden, was die Datenerfassung reduziert und die Einwilligungshürde senken kann. Allerdings werden auch im Privacy-Mode noch Protokolldaten übertragen.

    Eine Rechtsgrundlage auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) wird von Datenschutzbehörden überwiegend nicht akzeptiert.
  </Accordion>

  <Accordion title="Muss ich für Vimeo-Videos eine separate Einwilligung einholen?">
    Ja. Die Einwilligung zu Vimeo muss:

    * **Spezifisch** sein: Der Besucher weiß, dass es um Vimeo und die Übertragung in die USA geht
    * **Aktiv** erfolgen: Nicht durch Voreinstellung oder Stillschweigen
    * **Freiwillig** sein: Nicht als Bedingung für den Website-Zugang erzwungen
    * **Informiert** sein: Der Besucher erhält klare Informationen

    Ein allgemeines „Akzeptieren Sie unsere Datenschutzerklärung?" ist typischerweise nicht ausreichend. Besser ist ein separater Consent-Manager oder Consent-Banner, das explizit auf Vimeo verweist.

    Eine gängige Lösung ist das Lazy-Loading oder die Zwei-Klick-Lösung, bei der das Video erst nach Zustimmung geladen wird.
  </Accordion>

  <Accordion title="Wie formuliere ich einen rechtssicheren Textbaustein für Vimeo in meiner Datenschutzerklärung?">
    Ein vollständiger Textbaustein muss mindestens folgende Punkte abdecken:

    1. **Anbietername und Adresse**: Vimeo, Inc., Vollständige Adresse
    2. **Datenverarbeitung erklären**: Welche Daten, zu welchem Zweck, wie lange gespeichert
    3. **Drittlandtransfer**: Dass Daten in die USA übertragen werden; DPF-Zertifizierung erwähnen
    4. **Rechtsgrundlage**: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO; ggf. Privacy-Mode-Option erwähnen
    5. **Betroffenenrechte**: Auskunfts-, Löschungs-, Widerspruchsrechte und wie diese geltend gemacht werden
    6. **Externe Links**: Link zu Vimeos Datenschutzrichtlinie und Cookie-Richtlinie
    7. **Sicherheit**: DPF, SCC, oder andere Schutzmaßnahmen

    Ein vorgefertigter Textbaustein ist kein Ersatz für rechtliche Prüfung – jede Webseite hat spezifische Anforderungen.

    <CTABlock destination="website-privacy-policy-generator" />
  </Accordion>
</Accordions>

## J. Fazit [#j-fazit]

Die Einbettung von Vimeo-Videos erfordert datenschutzrechtliche Sorgfalt. Ein Webseitenbetreiber muss die Besucher transparent informieren, dass personenbezogene Daten an Vimeo, Inc. in den USA übertragen werden. Die Datenschutzerklärung ist nicht nur formale Pflicht, sondern auch substantieller Bestandteil einer DSGVO-konformen Verarbeitung.

**Empfehlungen:**

1. **Privacy Mode nutzen**: Der `dnt=1`-Parameter ist eine datenschutzfreundliche Option, die die Einwilligungshürde senken kann
2. **Explizite Einwilligung**: Ein Consent-Banner oder Lazy-Loading-Lösung ist praktisch notwendig
3. **Individuelle Prüfung**: Vorgefertigte Textbausteine sind Orientierungshilfe, ersetzen aber keine rechtliche Beratung für die konkrete Konstellation
4. **Dokumentation**: Einwilligungen sollten geloggt und nachweisbar sein (Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO)
5. **Regelmäßige Überprüfung**: Vimeos Datenschutzrichtlinie und die DPF-Zertifizierung sollten regelmäßig kontrolliert werden

Die Datenschutzkonformität von Vimeo-Einbettungen hängt von vielen Einzelfaktoren ab. Eine themenorientierte, individuelle Bewertung ist empfehlenswert.

<Callout type="info">
  **Disclaimer**. Dieser Text stellt keine Rechtsberatung dar. Stand: April 2026. Vimeos Datenschutzrichtlinie und die Datenschutzgesetze können sich ändern. Eine Aktualisierung wird empfohlen.
</Callout>

<AuthorBlock />


# Xandr und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/xandr-datenschutzerklaerung)



# Xandr und Datenschutz – Was Webseitenbetreiber wissen müssen [#xandr-und-datenschutz--was-webseitenbetreiber-wissen-müssen]

Setzt ein Webseitenbetreiber Xandr (Microsoft Advertising) ein, verarbeitet er Besucher- und Interaktionsdaten zum Zweck der programmatischen Werbung und des Audience-Building auf Basis von Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Diese Information beruht auf Angaben des Anbieters und öffentlich zugänglichen Quellen.

## A. Zweck und Funktionsweise von Xandr [#a-zweck-und-funktionsweise-von-xandr]

Xandr (ursprünglich AppNexus, seit 2023 als Microsoft Advertising bekannt) ist eine Supply-Side Platform (SSP) und Ad-Exchange-Plattform, die es Website-Betreibern, App-Publishern und Werbenetzwerken ermöglicht, digitale Werbeplätze und Zielgruppendaten zu verwalten und zu monetarisieren. Im Gegensatz zu The Trade Desk (DSP, Käuferseite) konzentriert sich Xandr auf die Anbieterseite – Publishern wird damit ein Marktplatz geboten, auf dem Werbetreibende Plätze buchen können.

Webseitenbetreiber (Publisher) integrieren einen Xandr-Tag oder Code-Schnipsel in ihre Website. Wenn ein Besucher die Website lädt, erfasst Xandr Daten über diesen Besucher, speichert diese und macht sie für Werbetreibende bei der Auktion von Werbeplätzen verfügbar. Der Publisher erhält dadurch bessere Einnahmen aus seinen Werbeplatzierungen, da Werbetreibende gezielter und effizienter buchen können.

Technisch: Der Xandr-Tag ist ein asynchrones JavaScript-Code-Snippet, das beim Laden der Seite ausgeführt wird. Es setzt einen Cookie auf dem Gerät des Besuchers (meist unter der Domain „adnxs.com" oder ähnlich) und sendet eine Anfrage an Xandrs Server. In dieser Anfrage werden Kontext-Daten (z. B. aus anderen Cookies, Geo-IP) übermittelt. Xandr nutzt diese Daten zur Bidding-Vorbereitung.

## B. Pflichtangaben in der Datenschutzerklärung zu Xandr [#b-pflichtangaben-in-der-datenschutzerklärung-zu-xandr]

Die DSGVO verlangt von Webseitenbetreibern, folgende Punkte transparent zu erläutern:

* **Verarbeitungszwecke** (Art. 13 Abs. 1 lit. c): Warum werden Daten verarbeitet?
* **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c): Auf welcher rechtlichen Basis erfolgt die Verarbeitung?
* **Berechtigte Interessen** (Art. 13 Abs. 1 lit. d, falls relevant): Falls über berechtigte Interessen legitimiert, diese darlegungen
* **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e): An wen werden Daten weitergegeben?
* **Drittlandtransfers** (Art. 13 Abs. 1 lit. f): Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Über welche Mechanismen?
* **Speicherdauer** (Art. 13 Abs. 2 lit. a): Wie lange werden Daten gespeichert?

**Häufiger Fehler:** Toolspezifische Textbausteine aus den Datenschutzerklärungen von Anbietern widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Ein **themenorientierter Ansatz** ist besser: Die Datenschutzerklärung sollte nach Verarbeitungszwecken strukturiert sein, nicht nach einzelnen Tools. In einer Empfängerliste können die eingesetzten Tools aufgeführt werden.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Xandr: Microsoft (Xandr Inc.) [#c-anbieter-von-xandr-microsoft-xandr-inc]

| Aspekt                | Information                                                                                                            |
| --------------------- | ---------------------------------------------------------------------------------------------------------------------- |
| **Juristischer Name** | Xandr Inc. (USA) – Teil von Microsoft; Microsoft Advertising                                                           |
| **Anschrift (USA)**   | 28 Liberty St, New York, NY 10005, USA (Xandr Inc.)                                                                    |
| **EU-Standorte**      | Hamburg (seit 2012), Berlin (seit 2018), Amsterdam, Paris, Zürich                                                      |
| **Sitzland**          | USA (New York)                                                                                                         |
| **DPF-Status**        | Vom Betreiber zu verifizieren (Microsoft ist DPF-zertifiziert, Status für Xandr-spezifisch zu prüfen)                  |
| **Privacy Policy**    | [https://www.xandr.com/privacy/](https://www.xandr.com/privacy/)                                                       |
| **Rolle**             | Eigenständiger Verantwortlicher gegenüber dem Webseitenbetreiber; für EU-Besucher Datenempfänger bei Drittlandtransfer |

**Hinweis:** Xandr wurde 2023 von Microsoft unter der Marke Microsoft Advertising konsolidiert. Für datenschutzrechtliche Fragen sollte die aktuelle Rechtsentität verifiziert werden.

## D. Datenverarbeitung durch Xandr – Ablauf [#d-datenverarbeitung-durch-xandr--ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Der Xandr-Tag wird beim Laden der Website ausgeführt. Xandr erfasst dabei eindeutige Identifikatoren (Cookie-IDs), Webserver-Protokolldaten (IP, Browser, Gerät), Referrer, besuchte URLs und weitere technische Daten. Auch externe Cookie-Daten von anderen Partnern können übermittelt werden.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Daten werden in Xandrs Servern (teilweise in den USA) gespeichert. Die Standard-Speicherdauer für Ad-Delivery-Cookies beträgt etwa 100 Tage nach Angaben des Anbieters, kann aber variieren.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Xandr nutzt die Daten zur Optimierung des Werbeplatz-Angebots, zur Preisfeststellung, zur Vorbeugung von Betrug und zur Auswertung von Kampagnen-Performance. Besucherdaten werden in Segment-Listen organisiert, die für Targeting verwendet werden.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    Daten werden an Werbetreibende (Käufer von Werbeplätzen) weitergegeben, die auf Xandrs Plattform aktiv sind. Darüber hinaus können Daten mit anderen Ad-Tech-Partnern, Data-Brokern und Werbenetzwerken ausgetauscht werden.
  </Step>

  <Step>
    ### Löschung [#löschung]

    Nach Ablauf der Speicherdauer werden die Cookie-Daten automatisch gelöscht. Ein Löschantrag durch einen Besucher sollte vom Webseitenbetreiber an Xandr weitergeleitet werden.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Xandr [#e-erhobene-daten-beim-einsatz-von-xandr]

Xandr erfasst ein breites Spektrum an Besucherdaten:

* Eindeutige Cookie-ID oder Xandr-Identifier
* IP-Adresse
* Zeitstempel und Dauer des Seitenbesuchs
* URL der besuchten Seite und Referrer
* Gerätetyp und Betriebssystem
* Browsername, -version und Spracheneinstellung
* Bildschirmauflösung und Viewport-Größe
* Grobe Standortdaten (auf Basis IP)
* User-Agent und weitere technische Identifikatoren
* Externe Daten (z. B. aus Google Analytics, wenn weitergeleitet)

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
* **Klickpfade**: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
* **Browserinformationen**: Browsername, Browserversion, installierte Erweiterungen
* **Grobe Standortdaten**: IP-basierter grober Standort auf Stadt-/Gemeindeebene
* **Technische Telemetriedaten**: Fehlerquoten, Ladezeiten, Datenverfügbarkeit
* **Nutzerprofile**: Interessenskategorisierungen, Segmentzuordnungen, Nutzungshistorien

## F. Nutzungszwecke beim Einsatz von Xandr [#f-nutzungszwecke-beim-einsatz-von-xandr]

Xandr verarbeitet Daten mit folgenden Zwecken:

* **Funktionsbereitstellung**: Ermöglichung des Werbeplatz-Auktionsmechanismus
* **Allgemeines Marketing**: Ausrichtung von Werbekampagnen, Erfolgsmessung und Optimierung
* **Nutzerprofil-Erstellung**: Segmentierung und Kategorisierung von Website-Besuchern
* **Sicherheit und Missbrauchsschutz**: Betrugserkennung, Validierung von Impressionen
* **Allgemeine Produktverbesserung**: Optimierung der Plattform auf Basis anonymisierter Auswertungen
* **Nutzerindividuelles Marketing**: Zielgruppengerichtete Werbeansprache über die Plattform

## G. Rechtsgrundlagen für Xandr [#g-rechtsgrundlagen-für-xandr]

**Kategorie:** Xandr ist ein Tracking-Tool für programmatische Werbung und Werbeplatz-Verwaltung (SSP/Ad Exchange).

**Rechtsgrundlage:** Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG.

Der Webseitenbetreiber (Publisher) muss vor dem Laden des Xandr-Tags eine Einwilligung des Besuchers einholen. Diese Einwilligung muss:

* **Spezifisch und informiert** sein: Der Besucher sollte verstehen, dass Xandr seine Daten erfasst und zu Werbezwecken nutzt
* **Vor der Verarbeitung** eingeholt werden
* **Dokumentiert** werden (Nachweispflicht beim Betreiber)
* **Granular strukturiert** sein – idealerweise sollte Xandr oder zumindest die Kategorie „Werbung / Ad Tech" einzeln genehmigbar sein

**Einwilligungsmechanismus:** Ein Cookie-Banner oder Consent-Management-System (CMP) muss vor dem Laden von Xandr fragen, ob der Besucher dieser Datenverarbeitung zustimmt.

**Hinweis:** Im Einzelfall sollte die Rechtsgrundlage mit einem Juristen geprüft werden. Sonderregeln können für B2B-Websites gelten.

## H. Besonderheiten und Hinweise zu Xandr [#h-besonderheiten-und-hinweise-zu-xandr]

* **Opt-Out-Möglichkeit:** Besucher können sich von Xandr-Tracking unter [https://www.xandr.com/privacy/](https://www.xandr.com/privacy/) abmelden (Opt-Out-Link). Dies sollte in der Datenschutzerklärung erwähnt werden.
* **Microsoft-Eigentum:** Xandr wurde 2021 von AT\&T an Microsoft verkauft und 2023 unter der Marke Microsoft Advertising konsolidiert. Dies kann Auswirkungen auf die Verarbeitung und Weitergabe von Daten haben.
* **Rolle des Webseitenbetreibers:** Der Webseitenbetreiber ist Verantwortlicher für die Erhebung der Einwilligung. Xandr handelt als eigenständiger Verantwortlicher, nicht als Auftragsverarbeiter.
* **Keine Auftragsverarbeitung:** Eine klassische AVV-Beziehung liegt nicht vor. Xandr ist Datenempfänger im Sinne von Art. 13 Abs. 1 lit. e DSGVO.
* **Europäische Standorte:** Xandr hat lokale Büros in Hamburg, Berlin, Amsterdam und Paris. Vom Betreiber zu verifizieren, ob Daten auch in der EU verarbeitet werden.
* **Datenschutz-Bedenken:** Xandr war Gegenstand von Datenschutz-Untersuchungen durch europäische Behörden. Der aktuelle Status sollte überprüft werden.

## I. FAQ zu Xandr [#i-faq-zu-xandr]

<Accordions type="single">
  <Accordion title="Was ist Xandr?">
    Xandr (jetzt Microsoft Advertising) ist eine Ad-Exchange- und Supply-Side Platform (SSP). Sie hilft Webseitenbetreibern (Publishern), ihre Werbeplätze zu verwalten und zu monetarisieren, indem Daten über Besucher erfasst werden, um Werbetreibenden gezielte Targeting-Optionen zu bieten.
  </Accordion>

  <Accordion title="Welche Daten erfasst Xandr?">
    Xandr erfasst Webserver-Protokolldaten (IP, Browser, Gerät, URL, Referrer), Cookie-IDs, Zeitstempel und technische Metadaten. Diese Daten werden genutzt, um Besucher zu segmentieren und Werbeplatz-Auktionen zu optimieren.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Xandr?">
    Xandr erfordert Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO in Verbindung mit § 25 Abs. 1 TDDDG. Die Einwilligung muss spezifisch, informiert und vor der Datenverarbeitung eingeholt werden.
  </Accordion>

  <Accordion title="Muss ich eine Einwilligung für Xandr einholen?">
    Ja, zwingend. Ein Cookie-Banner oder CMP mit Opt-in für Xandr (oder die Kategorie „Werbung") muss vor dem Laden des Xandr-Tags erfolgen.
  </Accordion>

  <Accordion title="Ist Xandr DSGVO-konform?">
    Xandr ist vom Betreiber zu überprüfen. Xandr war Gegenstand von Datenschutz-Untersuchungen. Für den aktuellen Compliance-Status sollte die DPF-Zertifizierung und eine aktuelle Datenschutz-Bewertung überprüft werden.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Xandr in die Datenschutzerklärung?">
    Verwenden Sie keinen toolspezifischen Textbaustein. Strukturieren Sie nach Verarbeitungszwecken, z. B. „Werbeplatz-Verwaltung und Monetarisierung". Nennen Sie Xandr/Microsoft Advertising als Empfänger und erläutern Sie transparent, welche Daten erfasst und zu welchen Zwecken verarbeitet werden. Nutzen Sie unseren Datenschutzerklärung-Generator für eine maßgeschneiderte Erklärung.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Xandr [#j-fazit-und-empfehlung-zu-xandr]

**Zusammenfassung:** Xandr ist ein Tracking-Tool für programmatische Werbung auf der Anbieterseite. Es erfordert eine ausdrückliche, spezifische Einwilligung des Besuchers.

**Warum Textbausteine problematisch sind:** Die Datenschutzerklärung sollte nicht einfach die Privacy Policy von Xandr kopieren. Dies widerspricht Art. 12 Abs. 1 DSGVO. Besucher sollen verstehen, dass ihr Verhalten erfasst wird – nicht durch technische Fachjargon verwirrt werden.

**Empfohlener Ansatz:** Eine themenorientierte Datenschutzerklärung mit transparenter Erläuterung der Werbemonnetarisierung ist klarer und rechtssicherer. Die Erklärung sollte etwa unter „Werbeplatz-Verwaltung" erläutern, dass Besucherdaten erfasst und an Werbetreibende weitergegeben werden.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Xandr und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# YouTube und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/youtube-datenschutzerklaerung)



# YouTube und Datenschutz – Was Webseitenbetreiber wissen müssen [#youtube-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Bindet ein Webseitenbetreiber YouTube-Videos über iFrame oder Player ein, verarbeitet er Klickpfade, Webserver-Protokolldaten und Nutzerprofile zum Zweck der Bereitstellung von Videoinhalten auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG). YouTube ist ein Video-Streaming-Dienst von Google, der kostenlosen Zugang zu Videoinhalten ermöglicht und von Webseitenbetreibern häufig zur Einbindung von Produkt-, Schulungs- oder Werbevideos genutzt wird.

## A. Zweck und Funktionsweise von YouTube [#a-zweck-und-funktionsweise-von-youtube]

YouTube ist eine Video-Plattform von Google Ireland Limited. Webseitenbetreiber können Videos über die YouTube-Plattform hochladen oder extern auf ihre Websites einbinden. Besuchern wird so ermöglicht, Videos direkt auf der Website zu schauen, ohne YouTube selbst zu besuchen.

**Integrationsfunktion:** YouTube-Videos werden typischerweise über ein HTML-`<iframe>`-Element eingebunden, das auf einen YouTube-Server (`youtube.com` oder optional `youtube-nocookie.com`) verweist. Der Player lädt sich beim Seitenaufruf oder beim Öffnen/Abspielen des Videos und stellt den Video-Content dar. Parallel dazu setzt YouTube Cookies und überträgt Nutzerdaten an Google-Server.

Optional können Webseitenbetreiber die **youtube-nocookie.com-Domain** verwenden, die nach Angaben des Anbieters weniger Cookies setzt, aber nicht völlig cookiefrei ist und dennoch Daten überträgt.

Diese Seite behandelt ausschließlich die Einbindung von YouTube-Videos in Websites (Drittanbieter-Inhalte). Die Nutzung der YouTube-Plattform als eigenständiger Verantwortlicher (Hochladen von Videos, YouTube Studio) ist nicht Gegenstand dieser Darstellung.

## B. Pflichtangaben in der Datenschutzerklärung zu YouTube [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-youtube]

Die DSGVO verlangt für den Einsatz von YouTube folgende Pflichtangaben: **Zwecke** der Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. c DSGVO), **Empfänger oder Kategorien von Empfängern** (Art. 13 Abs. 1 lit. e DSGVO), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f DSGVO) sowie **Speicherdauer** oder deren Kriterien (Art. 13 Abs. 2 lit. a DSGVO).

Es ist nicht erforderlich, YouTube in der Datenschutzerklärung als eigenen Textbaustein zu behandeln. Die weit verbreitete Praxis, für jedes eingesetzte Tool einen gesonderten Abschnitt vorzusehen, erzeugt lange, unübersichtliche und schwer pflegbare Texte – und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der externe Drittanbieter-Inhalte (Videos, Karten, Social Media) übergreifend erklärt und Google Ireland Limited im Empfänger-Anhang nennt.

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von YouTube: Google Ireland Limited [#c-anbieter-von-youtube-google-ireland-limited]

**Anbieter:** Google Ireland Limited (Verantwortlicher für EU-Nutzer)

**Vollständige Anschrift:** Gordon House, Barrow Street, Dublin 4, Irland

**Sitzland:** Europäischer Wirtschaftsraum (EWR), Irland

Nach Angaben des Anbieters agiert Google Ireland Limited als Verantwortlicher gemäß Art. 4 Abs. 7 DSGVO für die Datenverarbeitung durch YouTube. Die tatsächliche Datenverarbeitung, Video-Speicherung und der Serverbetrieb erfolgen durch Google LLC (Mountain View, Kalifornien, USA) und deren Subprozessoren.

**Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters unter dem EU-US Data Privacy Framework zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)

**Datenschutzerklärung des Anbieters:** [https://policies.google.com/privacy](https://policies.google.com/privacy)

**Auftragsverarbeitungsvertrag (AVV/DPA):** Für die Einbindung von YouTube-Videos ist vom Betreiber zu verifizieren, ob ein DPA erforderlich und verfügbar ist.

## D. Datenverarbeitung durch YouTube – Ablauf [#d-datenverarbeitung-durch-youtube-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Beim Laden einer Seite mit eingebettetem YouTube-Video wird eine Verbindung zu YouTube-Servern aufgebaut. Das System erfasst: IP-Adresse, Browser-Information (User-Agent), Betriebssystem, Gerätetyp, Timestamp, Referrer-Seite. Zusätzlich setzt YouTube Cookies (z. B. YSC, CONSENT, APISID). Wenn ein Video abgespielt wird, werden zusätzlich Video-ID, Abspiel-Interaktionen und Wiedergabe-Länge erfasst.
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    Die erfassten Daten werden an Google-Server (Google LLC in den USA) übermittelt und dort gespeichert. Die Speicherdauer ist nach Angaben des Anbieters je nach Datentyp unterschiedlich. Nutzer können über ihr Google-Konto bestimmte Aktivitätsverlauf-Daten löschen.
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    Der Webseitenbetreiber nutzt YouTube zur Bereitstellung von Videoinhalten. Google LLC nutzt die erfassten Daten nach Angaben des Anbieters zur Verbesserung des YouTube-Dienstes, zur Personalisierung von Video-Empfehlungen und zur Werbe-Personalisierung. Die Daten können über Google-Accounts mit anderen Google-Diensten verknüpft werden.
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    YouTube arbeitet mit Subprozessoren und Google-Partnern für Video-Hosting und Content Delivery. Wenn Nutzer in ihr Google-Konto eingeloggt sind, werden ihre Video-Aktivitäten mit ihrem Profil verknüpft.
  </Step>

  <Step>
    ### Löschung [#lãschung]

    Der Webseitenbetreiber hat keine Kontrolle über die Löschung von Daten, die YouTube erfasst. Nutzer können über ihre YouTube- oder Google-Konten Aktivitätsverlauf-Informationen löschen und Daten-Einstellungen anpassen.
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von YouTube [#e-erhobene-daten-beim-einsatz-von-youtube]

YouTube erfasst beim Laden des Players und bei der Video-Wiedergabe die IP-Adresse des Nutzers, Browser- und Geräte-Informationen, Cookies für Nutzer-Tracking, sowie spezifische Video-Interaktionsdaten. Wenn Nutzer in ihr Google-Konto eingeloggt sind, werden diese Aktivitäten mit dem Konto verknüpft.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten**: IP-Adresse, Datum/Uhrzeit/Zeitzone, User-Agent (Browser, Betriebssystem, Gerätetyp), Referrer-Seite
* **Klickpfade**: Seite, auf der das Video eingebunden ist, Video-ID, Abspielen/Pause-Interaktionen, Abspielposition
* **Endgeräte-Daten**: Gerätetyp, Betriebssystem, Bildschirmauflösung, Ausrichtung
* **Browserinformationen**: Browsername, Browserversion, Sprache
* **Grobe Standortdaten**: Aus der IP-Adresse ermittelter grober Standort
* **Nutzerprofile**: Google-Konto-Daten (wenn eingeloggt), Video-Wiedergabeverlauf, Interessens-Kategorien für Werbung
* **Interaktionsdaten**: Abspielen, Pause, Lautstärke-Anpassung, Vollbild-Modus

## F. Nutzungszwecke beim Einsatz von YouTube [#f-nutzungszwecke-beim-einsatz-von-youtube]

Der Webseitenbetreiber nutzt YouTube primär zur Bereitstellung von Video-Content für seine Besucher (Produktdemonstrationen, Schulungsvideos, Werbung). Google LLC nutzt die gesammelten Daten nach Angaben des Anbieters zur Verbesserung der YouTube-Plattform, zur Personalisierung und zur Werbe-Personalisierung.

Die Zwecke lassen sich wie folgt einordnen:

* **Funktionsbereitstellung**: Bereitstellung von Video-Inhalten, Video-Player-Funktionalität, Video-Streaming
* **Sicherheit und Missbrauchsschutz**: Erkennung von Bot-Traffic, Jugendschutz
* **Allgemeine Produktverbesserung**: Optimierung von Video-Empfehlungen, Verbesserung der Streaming-Qualität
* **Allgemeines Marketing**: Messung von Video-Engagement, Reichweitenanalyse
* **Nutzerprofil-Erstellung**: Erstellung von Interessens-Profilen auf Basis von Video-Wiedergabeverlauf (durch Google als eigenständigen Verantwortlichen)
* **Nutzerindividuelles Marketing**: Personalisierte Video-Empfehlungen, personalisierte Werbung (durch Google)

## G. Rechtsgrundlagen für YouTube [#g-rechtsgrundlagen-fãr-youtube]

YouTube ist ein **Drittanbieter-Inhalte-Dienst**, bei dem externe Video-Server (Google) in die Website eingebunden werden. Kommt typischerweise in Betracht:

**Primäre Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG)**

Da YouTube beim Laden des Players Cookies setzt und Daten an Google-Server überträgt, kommt als Rechtsgrundlage regelmäßig eine Einwilligung des Nutzers vor dem Laden in Betracht. Die Einwilligung wird typischerweise über ein Cookie-Consent-System eingeholt; eine praktische Umsetzung ist das Zwei-Klick-System (Video-Teaser → Nutzer klickt → Video lädt).

Wichtig: Die Nutzung von youtube-nocookie.com allein stellt nach Angaben verschiedener Datenschutzbehörden keine Lösung dar, die auf eine Einwilligung verzichten lässt, da auch diese Domain Cookies setzt und Daten überträgt.

Die konkrete Rechtsgrundlage ist im Einzelfall durch den Webseitenbetreiber zu prüfen.

## H. Besonderheiten und Hinweise zu YouTube [#h-besonderheiten-und-hinweise-zu-youtube]

* **youtube-nocookie.com:** Diese Domain setzt weniger Cookies als youtube.com, ist aber nicht von der Einwilligungspflicht befreit. Auch bei Nutzung von youtube-nocookie.com werden Daten an Google-Server übertragen.
* **Zwei-Klick-Lösung:** Eine datenschutzfreundliche Implementierung: Zunächst wird ein Video-Teaser (Thumbnail mit Play-Button) angezeigt. Der Nutzer muss aktiv klicken, um das iFrame zu laden. Dies ermöglicht die Einholung einer Einwilligung vor der Datenübertragung.
* **Data Privacy Framework (DPF):** Google LLC ist nach Angaben des Anbieters DPF-zertifiziert. Überprüfung unter: [https://www.dataprivacyframework.gov/participant/5780](https://www.dataprivacyframework.gov/participant/5780)
* **Alternative Video-Plattformen:** Für Webseitenbetreiber, die Drittanbieter-Tracking vermeiden möchten, bieten sich selbst gehostete Videos mit HTML5-Video-Element oder datenschutzfreundlichere Plattformen an.
* **Auftragsverarbeitung:** Vom Betreiber zu verifizieren, ob ein DPA mit Google für die YouTube-Einbindung abzuschließen ist.

## I. FAQ zu YouTube [#i-faq-zu-youtube]

<Accordions type="single">
  <Accordion title="Was ist YouTube?">
    YouTube ist eine Video-Streaming-Plattform von Google. Webseitenbetreiber können Videos über die YouTube-Plattform hochladen oder extern einbinden. Besucher können Videos direkt auf der Website schauen. YouTube erfasst dabei Video-Interaktionsdaten und setzt Tracking-Cookies.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für die YouTube-Einbindung?">
    Für die Einbindung von YouTube-Videos kommt typischerweise eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht, da beim Laden des Players Cookies gesetzt und Daten an Google-Server übertragen werden. Die Rechtsgrundlage ist im Einzelfall zu prüfen.
  </Accordion>

  <Accordion title="Hilft youtube-nocookie.com beim Datenschutz?">
    Nach Angaben von Datenschutzbehörden und Fachquellen setzt auch youtube-nocookie.com Cookies und überträgt Daten an Google. Die Nutzung dieser Domain reduziert den Datentransfer, befreit aber nicht von der Pflicht zur Einwilligung.
  </Accordion>

  <Accordion title="Welche Daten erfasst YouTube?">
    IP-Adresse, Browser-Information, Gerätetyp, Standort (grob), Video-ID, Abspielen/Pause-Interaktionen, Wiedergabe-Länge, Cookies für Tracking. Bei eingebundenem Google-Konto werden die Aktivitäten mit dem Konto verknüpft.
  </Accordion>

  <Accordion title="Was ist eine Zwei-Klick-Lösung für YouTube?">
    Ein Video-Teaser (Thumbnail mit Play-Button) wird zunächst angezeigt. Der Nutzer muss aktiv klicken, um das Video zu laden. Erst dann wird das YouTube-iFrame geladen und Daten an Google übermittelt. Dies ermöglicht die Einholung einer Einwilligung vor der Datenübertragung.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für YouTube in die Datenschutzerklärung?">
    Statt eines isolierten Textbausteins für YouTube empfiehlt sich ein themenorientierter Ansatz: Ein Abschnitt zu „Drittanbieter-Inhalten" beschreibt die Verarbeitung übergreifend, und Google Ireland Limited erscheint in der Empfängerliste im Anhang. Der matterius-Generator unterstützt diese Methodik.
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu YouTube [#j-fazit-und-empfehlung-zu-youtube]

YouTube ist die weltweit größte Video-Plattform und wird von vielen Webseitenbetreibern für die Einbindung von Videoinhalten genutzt. Da beim Laden des Players Cookies gesetzt und Daten an Google-Server übertragen werden, kommt als Rechtsgrundlage typischerweise eine Einwilligung in Betracht. Die Daten werden nach Angaben des Anbieters unter DPF-Zertifizierung in die USA übermittelt.

Es ist wenig sinnvoll, für YouTube einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das erzeugt lange, unübersichtliche und schwer pflegbare Texte und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein themenorientierter Ansatz, der Drittanbieter-Inhalte übergreifend beschreibt und Google Ireland Limited im Empfänger-Anhang aufführt. Genau das ist die Methodik des matterius-Generators.

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu YouTube und ersetzt keine rechtliche Beratung im Einzelfall. Stand: 2026-04-22. Die Darstellung beruht auf öffentlich zugänglichen Informationen von Google, Angaben des Anbieters und aktuellen DSGVO- und TDDDG-Auslegungen. Einzelne Fakten sollten vom Betreiber vor Einsatz aktuell verifiziert werden.
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />


# Zendesk Support und Datenschutz – Was in die Datenschutzerklärung gehört (/docs/privacy-policy-website/zendesk-datenschutzerklaerung)



# Zendesk Support und Datenschutz – Was Webseitenbetreiber wissen müssen [#zendesk-support-und-datenschutz-â-was-webseitenbetreiber-wissen-mãssen]

Setzt ein Webseitenbetreiber Zendesk für Customer Support und Live Chat ein, verarbeitet er Kontaktdaten (Name, E-Mail, Telefon, Support-Anfrage), Chatnachrichten und Ticketing-Daten zum Zweck der Kundenkommunikation und Supportabwicklung auf Basis berechtigter Interessen und ggf. Vertragsdurchführung. Zendesk International Ltd, Dublin, Irland, fungiert dabei als **Auftragsverarbeiter** und nicht als Verantwortlicher – der Webseitenbetreiber trägt die Hauptverantwortung für die Datenverarbeitung.

Diese Anleitung richtet sich an Webseitenbetreiber, die Zendesk Support, Zendesk Chat oder Zendesk Ticketing nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

## A. Zweck und Funktionsweise von Zendesk [#a-zweck-und-funktionsweise-von-zendesk]

Zendesk ist eine Cloud-basierte Customer-Support-Plattform mit mehreren Funktionsmodulen:

* **Zendesk Support (Ticketing):** Websitebesucher reichen Support-Anfragen über ein Formular oder E-Mail ein; der Websitenbetreiber verwaltet diese Tickets in einem Zendesk-Dashboard
* **Zendesk Chat (Live Chat):** Ein Live-Chat-Widget auf der Website ermöglicht direkte Kommunikation zwischen Besucher und Supportagent in Echtzeit
* **Zendesk Messaging:** Messaging über WhatsApp, SMS, Messenger und andere Kanäle
* **Knowledge Base:** Öffentliche FAQ und Selbstservice-Artikel

Die typische Integration erfolgt über:

1. **Chat-Widget:** Ein JavaScript-Snippet auf der Website zeigt ein kleines Chat-Fenster
2. **Support-Formular:** Ein Kontaktformular sendet Anfragen an Zendesk
3. **Email-Integration:** Support-Anfragen können auch per E-Mail eingereicht werden

Bei der Nutzung werden Kontakt- und Kommunikationsdaten an die Zendesk-Server übermittelt, wo sie in einem ticketing System gespeichert, gesucht und analysiert werden.

## B. Pflichtangaben in der Datenschutzerklärung zu Zendesk [#b-pflichtangaben-in-der-datenschutzerklãrung-zu-zendesk]

Die DSGVO verlangt für jeden Auftragsverarbeiter: **Zwecke** (Art. 13 Abs. 1 lit. c), **Rechtsgrundlagen** (Art. 13 Abs. 1 lit. a), **Empfängerkategorien** (Art. 13 Abs. 1 lit. e), **Drittlandtransfers** (Art. 13 Abs. 1 lit. f, falls relevant) und **Speicherdauer** (Art. 13 Abs. 2 lit. a).

**Sichtweise auf Zendesk-Integration:** Viele Webseitenbetreiber schreiben zu Zendesk nur »Zendesk verarbeitet Support-Anfragen« – dies ist zu kurz und nicht aussagekräftig. Stattdessen sollte klar werden:

* Wer ist Zendesk (Auftragsverarbeiter in Dublin)?
* Welche Daten fließen (Name, E-Mail, Chat-Inhalte)?
* Welcher Zweck (Supportabwicklung, Ticketing)?
* Welche Rechtsgrundlage (berechtigte Interessen, ggf. Vertrag)?
* Wo werden Daten verarbeitet (Server-Standorte)?

**Besser:** Ein themenorientierter Abschnitt »Kundenkommunikation und Support« mit Auflistung aller Support-Tools (Zendesk, Mail, Telefon).

<CTABlock destination="website-privacy-policy-generator" />

## C. Anbieter von Zendesk: Zendesk International Ltd [#c-anbieter-von-zendesk-zendesk-international-ltd]

**Juristischer Name:** Zendesk International Ltd

**Anschrift:** 55 Charlemont Place, Saint Kevin's, Dublin D02 F985, Irland

**Sitzland:** Irland (Europäische Union / EWR)

**Datenschutzerklärung:** [https://www.zendesk.com/company/agreements-and-terms/privacy-policy/](https://www.zendesk.com/company/agreements-and-terms/privacy-policy/)

**DPF-Status:** Zendesk International Ltd ist eine EU-Gesellschaft (Irland) und unterliegt nicht dem Data Privacy Framework. Das DPF gilt nur für US-Unternehmen. Zendesk nutzt jedoch &#x2A;*Binding Corporate Rules (BCR)** und &#x2A;*Standard Contractual Clauses (SCC)** für Drittlandtransfers an Zendesk-Gesellschaften und Subprozessoren in den USA.

**Datenschutzvereinbarung (DPA/AVV):** Zendesk bietet eine standardisierte &#x2A;*Data Processing Agreement (DPA)** an. Diese ist unter [https://www.zendesk.com/company/data-processing-agreement/](https://www.zendesk.com/company/data-processing-agreement/) erhältlich und lässt sich elektronisch unterzeichnen. Die DPA regelt:

* Zendesks Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
* Subprozessoren-Verwaltung
* Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle)
* Betroffenenrechte (Unterstützung bei Auskunftsersuchen, Löschanfragen)
* Drittlandtransfers via SCC und BCR

Sie **müssen** diese DPA unterzeichnet haben, um Zendesk DSGVO-konform zu nutzen.

## D. Datenverarbeitung durch Zendesk – Ablauf [#d-datenverarbeitung-durch-zendesk-â-ablauf]

<Steps>
  <Step>
    ### Erhebung [#erhebung]

    Zendesk erhebt Daten über mehrere Kanäle:

    * **Chat-Widget:** Name, E-Mail, Chatnachrichten, IP-Adresse, Geräteinformationen, Browser, Zeitstempel
    * **Support-Formular:** Name, E-Mail, Betreff, Nachrichteninhalt, Anhänge (PDFs, Bilder)
    * **E-Mail-Integration:** Absender, Betreff, Nachrichtentext
    * **Messaging-Kanäle:** WhatsApp, SMS, Messenger – Name, Nummer/Identität, Nachrichteninhalt
    * **Automatische Erfassung:** Zeitstempel, Sitzungs-ID, Browser-User-Agent, Referrer, Seite von der aus Chat geöffnet wurde
  </Step>

  <Step>
    ### Speicherung [#speicherung]

    * Zendesk speichert Daten auf Servern in mehreren Regionen, darunter die USA (mit EU-Datencenter-Optionen)
    * Speicherdauer: Nach Angaben von Zendesk längstens 30 Tage nach Löschung durch den Websitenbetreiber (oder bis der Websitenbetreiber die Daten löscht)
    * Allerdings können Tickets und Chats vom Websitenbetreiber beliebig lange aufbewahrt werden
    * Gelöschte Daten können in Backups bis zu 30 Tage länger gespeichert sein
    * Subprozessoren speichern Daten für Hosting, Analytics und Sicherheit
  </Step>

  <Step>
    ### Nutzung [#nutzung]

    * Ticket-Management: Kategorisierung, Routing, Priorisierung
    * Live-Chat-Abwicklung: Echtzeit-Messaging, Chat-Historie
    * Automatische Antworten: Zendesk kann auf Basis von Keywords automatische Responses abfeuern
    * Ticket-Analyse: Zendesk AI analysiert Ticketing-Muster, Sentiment, Lösungszeiten (optional)
    * Reporting: Generierung von Support-Statistiken für den Websitenbetreiber
  </Step>

  <Step>
    ### Weitergabe [#weitergabe]

    * **Subprozessoren:** Amazon Web Services (AWS) für Hosting, third-party Analytics-Tools, Zahlungsdienstleister (Stripe)
    * **Zendesk-Konzern:** Daten können an andere Zendesk-Gesellschaften weltweit übermittelt werden
    * **Sicherheitsanbieter:** Abuse-Melding, Fraud-Detection-Partner
    * **Auskunftsersuchen:** Bei behördlichen Anfragen (mit Ausnahmevorbehalt für US-Behörden)
    * **Subprozessoren-Liste:** Verfügbar unter [https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy](https://support.zendesk.com/hc/en-us/articles/4408883061530-Sub-processor-Policy)
  </Step>

  <Step>
    ### Löschung [#lãschung]

    * Der Websitenbetreiber kann Tickets und Chats jederzeit löschen
    * Nach Löschung: 30-Tage-Aufbewahrung in Backups für Disaster Recovery
    * Nach 30 Tagen: Permanente Löschung
    * Backup-Daten sind nicht öffentlich zugänglich und dienen nur Wiederherstellung bei technischen Fehlern
    * Betroffene können Löschung ihrer Daten anfordern (Betroffenenrecht Art. 17 DSGVO)
  </Step>
</Steps>

## E. Erhobene Daten beim Einsatz von Zendesk [#e-erhobene-daten-beim-einsatz-von-zendesk]

Bei der Integration von Zendesk verarbeitet der Websitenbetreiber folgende Datenarten:

* Name und E-Mail-Adresse des Besuchers
* Telefonnummer (falls angegeben)
* Chat- oder Support-Nachrichten (frei geschriebene Texte)
* IP-Adresse
* Geräteinformationen (Betriebssystem, Bildschirmauflösung, Browsertyp)
* Browser-Informationen (User-Agent, Browser-Version)
* Hochgeladene Dateien/Anhänge (Screenshots, PDFs, Bilder, Dokumente)
* Besuchte Seite (Referrer)
* Zeitstempel und Dauer der Chat-/Ticket-Interaktion
* Ticket-Status und Zuordnung zu Supportagent
* Automatische Notizen und Tags durch Zendesk KI

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

* **Webserver-Protokolldaten:** IP-Adresse, Datum/Uhrzeit, Browser/OS, Referrer, technische Metadaten
* **Klickpfade:** Besuchte Seite vor Chat-Öffnung, angeklickte Support-Links
* **Endgeräte-Daten:** Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
* **Browserinformationen:** Browsername, -version, installierte Plug-ins
* **Nutzungskonto-Daten:** Kundenname, E-Mail-Adresse, Telefonnummer
* **Nutzer-Inhalte:** Chat-Nachrichten, Support-Tickets, hochgeladene Dateien
* **Nutzerprofile:** Ticket-Historie, frühere Kontakte, Support-Kategorienzuordnung
* **Interaktionsdaten:** Chat-Dauer, Nachrichten-Sequenzen, Antwortzeiten

## F. Nutzungszwecke beim Einsatz von Zendesk [#f-nutzungszwecke-beim-einsatz-von-zendesk]

Bei der Kundenkommunikation mit Zendesk werden Daten zu folgenden Zwecken verarbeitet:

**Primäre Zwecke:**

* **Funktionsbereitstellung:** Bereitstellung des Chat-Widgets und Support-Formular-Funktionalität
* **Kommunikation:** Beantwortung von Kundenanfragen, Support-Tickets bearbeiten, Live-Chat-Gespräche
* **Ticketing:** Verwaltung, Kategorisierung und Priorisierung von Support-Anfragen
* **Betroffenenrechte:** Aufbewahrung von Support-Nachweisen und Dokumentation der Kommunikation
* **Produktverbesserung:** Analyse von Ticket-Mustern, Supporteffizienz, Fehleridentifikation
* **Allgemeine Produktverbesserung:** Verbesserung der Chat-Benutzerfreundlichkeit, Fehleranalyse, Performance-Optimierung
* **Sicherheit:** Bekämpfung von Spam und Missbrauch im Chat/Ticket-System

**Sekundäre Zwecke (falls aktiviert):**

* **Analytik:** Zendesk-interne Analytics zur Verbesserung des Produkts (mit Anonymisierung)
* **KI/Machine Learning:** Automatische Kategorisierung, Sentiment-Analyse (optional)
* **Reporting:** Erstellung von Support-Reports für den Websitenbetreiber

## G. Rechtsgrundlagen für Zendesk [#g-rechtsgrundlagen-fãr-zendesk]

**Schritt 1: Kategorisierung von Zendesk**
Zendesk ist ein **Auftragsverarbeiter** (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher und trägt die Verantwortung dafür, dass:

* Eine Rechtsgrundlage für die Verarbeitung besteht
* Betroffenenrechte gewährleistet sind
* Eine DPA mit Zendesk besteht

**Schritt 2: Anwendbare Rechtsgrundlagen**

1. **Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Primär:**
   * Der Websitenbetreiber hat ein berechtigtes Interesse, Kundensupport anzubieten
   * Kundenkommunikation verbessert die Geschäftsbeziehung
   * Ticketing ermöglicht Nachverfolgung und Dokumentation von Anfragen
   * Die Interessen des Websitenbetreibers überwiegen die Interessen der Betroffenen, da die Verarbeitung notwendig und vorhersehbar ist
   * **Abwägung:** Der Betroffene erwartet, dass ein Support-Kontakt dokumentiert wird

2. **Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Sekundär:**
   * Falls der Betroffene ein Support-Ticket einreicht, ist die Speicherung zur Erfüllung des Support-Versprechens notwendig
   * Die Speicherung und Bearbeitung ist vertraglich erforderlich

3. **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Optional:**
   * Nicht erforderlich, da berechtigte Interessen ausreichend sind
   * Optional: Falls der Websitenbetreiber Chat-Daten für Marketing nutzt (z.B. Remarketing-Listen), ist Einwilligung nötig

**Besonderheit – § 25 TDDDG:**
Falls das Chat-Widget auch **Cookies** setzt (z.B. zur Session-Verfolgung oder Besucher-Erkennung), ist **Opt-in-Einwilligung** erforderlich (§ 25 Abs. 1 TDDDG). Reine Support-Funktionalität ohne Tracking-Cookies braucht keine zusätzliche Einwilligung.

## H. Besonderheiten und Hinweise zu Zendesk [#h-besonderheiten-und-hinweise-zu-zendesk]

**1. Auftragsverarbeiter mit eigenem Verantwortlichen**
Zendesk ist Auftragsverarbeiter für den Websitenbetreiber, aber auch Verantwortlicher für eigene Verarbeitungen (z.B. Produktverbesserung, Sicherheitsforschung). Das bedeutet:

* Sie sind Verantwortlicher für die Support-Daten, die Sie sammeln
* Zendesk ist Auftragsverarbeiter für die technische Speicherung
* Zendesk ist auch Verantwortlicher für interne Analytics und Sicherheitsanalysen

**2. DPA ist zwingend erforderlich**
Sie **müssen** eine Data Processing Agreement (DPA) mit Zendesk haben. Diese ist unter [https://www.zendesk.com/company/data-processing-agreement/](https://www.zendesk.com/company/data-processing-agreement/) verfügbar und regelt:

* Datenverarbeitung nach Art. 28 DSGVO
* Subprozessoren-Genehmigung
* Sicherheitsstandards (BSI C5, ISO 27001)
* Unterstützung bei Betroffenenrechten

Ohne DPA verstoßen Sie gegen Art. 28 DSGVO.

**3. Subprozessoren und Drittlandtransfers**
Zendesk nutzt Subprozessoren für Hosting (AWS), Analytics und Sicherheit. Viele dieser Subprozessoren sind in den USA ansässig. Geltende Transfer-Mechanismen:

* **Data Privacy Framework (DPF):** Zendesk nutzt DPF für US-Subprozessoren (prüfe [https://www.dataprivacyframework.gov/s/participant-search](https://www.dataprivacyframework.gov/s/participant-search))
* **Standard Contractual Clauses (SCC):** Für weitere US-Transfers
* **Binding Corporate Rules (BCR):** Zendesk betreibt eigene BCR für Intragruppen-Transfers

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Support-Daten werden teilweise in die USA zu AWS übermittelt. Zendesk nutzt Data Privacy Framework und Standard Contractual Clauses.«

**4. Betroffenenrechte und Zendesk**
Betroffene können Auskunft, Berichtigung oder Löschung ihres Support-Tickets verlangen (Art. 15–17 DSGVO). Sie müssen:

* Ein Verfahren haben, Löschanfragen entgegenzunehmen (z.B. per E-Mail)
* Diese Anfragen an Zendesk weiterleiten
* Zendesk unterstützt Sie bei der Umsetzung (per DPA geregelt)

**5. Speicherdauer und Compliance**
Sie können Support-Daten beliebig lange aufbewahren. Zendesk selbst löscht Daten innerhalb von 30 Tagen nach Ihrer Löschung. Empfehlung: Dokumentieren Sie Ihre Aufbewahrungsrichtlinien (z.B. »Support-Tickets 2 Jahre«).

## I. FAQ zu Zendesk [#i-faq-zu-zendesk]

<Accordions type="single">
  <Accordion title="Was ist Zendesk Support?">
    Zendesk ist eine Cloud-basierte Customer-Support-Plattform mit Chat-Widget, Ticketing und Messaging. Ein Websitenbetreiber integriert ein Chat-Widget auf seiner Website, und Besucher können Support-Anfragen stellen. Zendesk speichert die Kommunikation und ermöglicht dem Websitenbetreiber, Tickets zu verwalten.
  </Accordion>

  <Accordion title="Welche Daten erfasst Zendesk?">
    Zendesk erfasst Name, E-Mail, Telefon, Chat- oder Ticket-Inhalte, IP-Adresse, Geräteinformationen, Browser-Daten, Zeitstempel und hochgeladene Dateien/Anhänge.
  </Accordion>

  <Accordion title="Welche Rechtsgrundlage gilt für Zendesk?">
    Primär berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) für die Bereitstellung von Kundensupport. Sekundär Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO), falls ein Support-Angebot Teil eines Vertrags ist.
  </Accordion>

  <Accordion title="Brauche ich eine DPA für Zendesk?">
    Ja, zwingend erforderlich. Die DPA ist unter [https://www.zendesk.com/company/data-processing-agreement/](https://www.zendesk.com/company/data-processing-agreement/) verfügbar und muss unterzeichnet sein.
  </Accordion>

  <Accordion title="Welcher Textbaustein gehört für Zendesk in die Datenschutzerklärung?">
    Statt »Zendesk verarbeitet Support-Anfragen« empfehlen wir einen &#x2A;*themenorientierten Abschnitt:**

    »&#x2A;*Kundensupport und Kommunikation:** Wir bieten Support über ein Live-Chat-System an. Der Chat wird von Zendesk International Ltd, Dublin, Irland, bereitgestellt. Zendesk erhebt Ihren Namen, Ihre E-Mail-Adresse und Chatnachrichten zum Zweck der Supportabwicklung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Daten werden auf Zendesk-Servern in der EU und teilweise in den USA verarbeitet; Zendesk nutzt Data Privacy Framework und Standard Contractual Clauses für Transfers. Support-Daten werden so lange gespeichert, wie nötig zur Bearbeitung Ihrer Anfrage und danach bis zu \[X Monate/Jahre]. Sie können eine Kopie Ihrer Supporttickets anfordern oder Löschung verlangen.«

    Verwenden Sie dazu unser **kostenloses Generator-Tool** (s.u.).
  </Accordion>
</Accordions>

## J. Fazit und Empfehlung zu Zendesk [#j-fazit-und-empfehlung-zu-zendesk]

Zendesk ist ein bewährtes Support-Tool, das jedoch datenschutzrechtlich komplex ist: Auftragsverarbeiter-Struktur, Drittlandtransfers in die USA, Subprozessoren, und verschiedene Rechtsgrundlagen.

**Toolspezifische Textbausteine** (»Zendesk verarbeitet Support-Anfragen«) sind zu kurz und erfüllen die DSGVO-Anforderungen nicht.

**Empfehlung:** Nutzen Sie einen &#x2A;*themenorientierten Aufbau:**

* Sektion »Kundenkommunikation und Support« mit Beschreibung aller Support-Kanäle (Chat, Email, Telefon)
* Sektion »Betroffenenrechte« mit Info zu Auskunfts- und Löschanfragen
* Sektion »Drittlandtransfers« mit Verweis auf DPF/SCC
* Anhang mit Subprozessoren-Liste (von Zendesk abrufbar)

Stellen Sie sicher, dass:

* Die DPA mit Zendesk unterzeichnet ist
* Sie die aktuelle Subprozessoren-Liste haben
* Ein interner Prozess für Betroffenenrechtsanfragen besteht

<Callout type="info">
  Dieser Beitrag dient der allgemeinen Information zu Zendesk und ersetzt keine rechtliche Beratung im Einzelfall. Information beruht auf Zendesk-Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22).
</Callout>

<CTABlock destination="website-privacy-policy-generator" />

<AuthorBlock />