In diesem Artikel beschreiben wir, wie Daten auf Ihrer Webseite erfasst werden, wie lange sie gespeichert werden, wie sie an Ihre Emarsys-Kontaktdatenbank übermittelt werden und welche Auswirkungen die Datenschutzgesetze (insbesondere die DSGVO) auf all das haben.
Emarsys ist keine auf den gesetzlichen Datenschutz spezialisierte Anwaltskanzlei und wir bieten keine Rechtsberatung an. Wir möchten Ihnen dabei helfen, zu verstehen, welchen Einfluss dieses Gesetz auf Sie als Emarsys-Kunden haben kann. Wir gehen in diesem Artikel davon aus, dass Sie die Emarsys Marketing Plattform ordnungsgemäß, entsprechend unserer Dokumentation, verwenden.
Bitte wenden Sie sich stets an eine qualifizierte Rechtsberatung, um festzustellen, ob Sie in einer bestimmten Situation gesetzeskonform handeln, oder nicht.
Web Extend und die DSGVO
- Web Extend und die Einhaltung der DSGVO
- Verhaltens-Tracking deaktivieren
- Altdaten auf Wunsch des Kunden abrufen oder löschen
- Ich bin mir nicht sicher - Ich möchte Web Extend noch immer deaktivieren
Allgemeine Informationen zur Erfassung von Webdaten
Web Extend und die Einhaltung der DSGVO
Um Web Extend im Hinblick auf die DSGVO-Konformität zu verstehen, müssen Sie zwischen den folgenden zwei Funktionen unterscheiden:
- Das Verhaltens-Tracking der Besucher Ihrer Webseite und das unbegrenzte Erfassen dieser Daten in der Web Extend Datenbank.
- Die Anreicherung einzelner Kontaktprofile in Ihrer Emarsys-Datenbank mit diesen Daten.
1. Tracking des Online-Verhaltens
Alle Daten, die Web Extend auf Ihrer Webseite sammelt und in der Web Extend Datenbank, sowohl durch JavaScript Befehle als auch durch Cookies erfasst, sind entweder anonym (vor dem Login) oder pseudonymisiert (nach dem Login). Da weitere Maßnahmen zur Identifizierung nicht vorhanden sind, wird die Verarbeitung dieser Daten durch die DSGVO nicht eingeschränkt.
Sie müssen die Web Extend Skripte nicht deaktivieren, um DSGVO-konform zu handeln!
- Anonymisierte Daten werden von den Besuchern gesammelt, die sich noch nicht angemeldet oder registriert haben. Sie werden verwendet, um Affinitätsmodelle für Produkte zu erstellen und generische Empfehlungen, wie meistgesehene oder meistverkaufte Produkte, bereitzustellen. Sobald sich ein Besucher anmeldet, werden die Daten dieser Sitzung pseudonymisiert.
- Pseudonymisierte Daten werden einem einzelnen Besucher zugeordnet, können jedoch nicht direkt mit einem Kontakt Ihrer Emarsys-Datenbank verknüpft oder zur Feststellung der Identität einer natürlichen Person verwendet werden.
2. Anreicherung der Kontaktdatenprofile
Die Web Extend Datenbank aktualisiert Ihr Emarsys-Konto regelmäßig anhand der Daten, die es in Besuchersitzungen erfasst hat. Hier werden die pseudonymisierten Identifikatoren für diese Sitzungen den Identifikationsschlüsseln zugeordnet, die in Ihrer Kontaktdatenbank von Emarsys gespeichert sind.
- Bei einem externen Identifikator wird dieser Schlüssel in ein benutzerdefiniertes Feld eingegeben, das von Ihnen erstellt wurde.
- Bei gehashten Emarsys-E-Mails als Identifikator wird der Schlüssel in den Feldern PredictUserID und PredictSecret der Kontaktdatenbank gespeichert.
An dieser Stelle gewinnen die DSGVO-Beschränkungen für die Datenverarbeitung und die Rechte der Datensubjekte an Bedeutung, insbesondere in Form folgender drei Verpflichtungen:
- Die Möglichkeit des Kunden dem Verhaltens-Tracking zu widersprechen.
- Das Abrufen aller Daten, die Sie von einem Kunden besitzen.
- Das Löschen aller Daten, die Sie von einem Kunden besitzen.
Die Vorgehensweise dabei sollte in Ihren Datenschutzrichtlinien erläutert werden.
Wenn Web Extend die Daten zur Anreicherung der Kontaktprofile an Ihre Emarsys-Kontaktdatenbank sendet, geschieht dies innerhalb der Emarsys-Datensicherheitsinfrastruktur und unsere Sicherheitsakkreditierungen decken diesen Vorgang ab.
Verhaltens-Tracking deaktivieren
1. Implizite Einwilligung zum Verhaltens-Tracking
Die DSGVO verlangt, dass Sie den Besucher Ihrer Webseite darüber informieren, dass Sie sein Online-Verhalten verfolgen möchten. Bei Besuchern, die zum ersten Mal auf Ihrer Webseite sind, geschieht dies normalerweise durch "implizite Einwilligung", d.h. Sie zeigen die Information in einem Pop-Up oder Banner an und der Besucher muss lediglich darauf klicken oder fortfahren, um zuzustimmen.
Da Web Extend sowohl JavaScript Snippets als auch Cookies verwendet, empfehlen wir Ihnen, in Ihrem Pop-Up-Fenster nicht einfach "Wir verwenden Cookies" anzugeben. Sie sollten deutlich auf Ihre Datenschutzrichtlinien verweisen, in denen Sie dies ausführlicher erklären können. Wir denken, dass folgender Text ausreichend ist (aber denken Sie daran, dass wir nicht qualifiziert sind, Ihnen eine Rechtsberatung zu bieten!):
"Diese Seite verwendet Cookies. Einige davon sind notwendig und einige helfen uns dabei, Ihnen ein individuelles Erlebnis bieten zu können. Weitere Informationen zum Tracking Ihrer Sitzung und Anweisungen zur Deaktivierung dieser Funktion finden Sie in unseren Datenschutzrichtlinien."
In Ihren Datenschutzrichtlinien sollten Sie angeben, dass Cookies und JavaScript verwendet werden, um das Kundenprofil anzureichern und individualisierte Inhalte zu ermöglichen. Teilen Sie dem Leser mit, dass dies auch in seinem Interesse ist, da Sie dadurch die Möglichkeit haben, ausschließlich relevante Inhalte für ihn bereitzustellen. Sie sollten außerdem Anweisungen zum Deaktivieren von Cookies (für anonyme Nutzer) und zum Deaktivieren der Profilanreicherung (für registrierte Nutzer) bereitstellen.
2. Deaktivierung der Profil-Anreicherung
Sie können Ihren registrierten Kunden die Möglichkeit geben, ihre Kontaktprofile in Ihrer Emarsys-Kontaktdatenbank nicht mit den von Web Extend gesammelten Daten anzureichern. Dies hat keinen Einfluss auf das Verhalten der Cookies auf Ihrer Webseite, sondern bricht lediglich die Verbindung zwischen den pseudonymisierten Daten und dem Datenbankprofil des Kontakts ab.
- Bei der Registrierung neuer Kontakte
Sie sollten einen Satz in Ihr Registrierungsformular aufnehmen, in dem beschrieben wird, wie das Online-Verhalten des Kunden verfolgt und für die Bereitstellung individueller Inhalte verwendet wird. Sie können zur Deaktivierung individueller Inhalte ein Auswahlfeld bereitstellen oder auf Ihre Datenschutzrichtlinien verweisen. - Bei bestehenden Kunden
Sie sollten sie auf Ihre aktualisierten Datenschutzrichtlinien aufmerksam machen, in denen sie Anweisungen zur Deaktivierung finden.
In beiden Fällen sollten Sie eine geeignete Methode implementieren, um den Wert den Feldes Do not track me auf TRUE
zu setzen.
Altdaten auf Wunsch des Kunden abrufen oder löschen
Ihre Datenschutzrichtlinien sollten auch Anweisungen enthalten, wie ein Kunde eine Kopie seiner historischen Webbrowser-Daten anfordern oder diese löschen kann.
Der Vorgang ist der gleiche wie weiter oben, bei der Deaktivierung, beschrieben. Sie sollten die E-Mail Adresse des Kontakts erfassen und als Attachment an eine Supportanfrage anhängen. Wir werden die gewünschte Aktion dann innerhalb der von der DSGVO vorgeschriebenen Frist von 30 Tagen ausführen.
Ich bin mir nicht sicher - Ich möchte Web Extend noch immer deaktivieren
Sollten Sie von dem, was Sie bisher gelesen haben, noch immer nicht überzeugt sein und möchten Sie Web Extend auf Ihrer Website weiterhin deaktivieren, so haben wir eine letzte Option für Sie.
Sie können eine Supportanfrage stellen und so die Synchronisation der Web Extend Datenbank mit Ihrer Emarsys-Kontaktdatenbank unterbinden. Wenn wir diese Funktion deaktivieren, können keine Kontaktdatensätze anhand der Daten, die auf Ihrer Webseite erfasst wurden, aktualisiert werden.
Der Vorteil hiervon besteht darin, dass Sie weiterhin generische und anonyme Daten zum Online-Verhalten Ihrer Besucher sammeln können, die zumindest dazu beitragen, statistische Modelle für die Produktaffinität aufzubauen und meistgesehene und meistgekaufte Produkte zu erfassen. Ihnen stehen so jedoch keine erweiterten Funktionen, wie Umsatzzuordnungen oder individuelle Empfehlungen, zur Verfügung.
Wenn Sie uns bitten, die Synchronisation fortzusetzen, werden ausschließlich die Daten der letzten zwei oder drei Tage verfügbar sein, um die entsprechenden Kontaktprofile anzureichern.
Durch Web Extend-Befehle gesammelte und gespeicherte Daten
Die Web Extend JavaScript Befehle sammeln und erfassen Webseiten-Aktivitäten für eine unbegrenzte Zeit in unserer eigenen Datenbank. Diese Daten sind immer anonym oder pseudonymisiert und können von Dritten im Falle eines Sicherheitsverstoßes nicht ausgenutzt werden. Da weitere Maßnahmen zum Identifizieren nicht vorhanden sind, wird die Verarbeitung dieser Daten durch die DSGVO nicht eingeschränkt.
Diese Daten werden verwendet, um statistische Modelle zu erstellen, die vielen unserer Personalisierungsalgorithmen zugrunde liegen.
Die erfassten Daten umfassen Folgendes:
- Browser und dessen Version
- Betriebssystem
- Verweisende URL
- IP-Adresse (verschlüsselt und abgekürzt)
- Sitzungs- und Cookie-IDs
- Land
Web Extend Cookies
Web Extend hinterlässt eine Reihe verschiedener Cookies in den Browsern der Besucher. Cookies verfügen in der Regel über eine Version des Erstanbieters und eine des Drittanbieters, die abhängig von den Einstellungen des jeweiligen Besuchers ausgewählt werden. Die Domain der Drittanbieter-Cookies ist scarabresearch.com.
Die Ablaufdaten betragen normalerweise ein Jahr, mit Ausnahme des Sitzungscookies, der bereits am Ende einer jeden Sitzung gelöscht wird.
Grundsätzlich erfassen die Cookies die folgenden zwei Arten von Informationen:
- Informationen über den Dienst
- IP Adresse
- Browser
- Cookie-Identifikatoren
- Pseudonymisierte Identifikatoren (externe IDs oder verschlüsselte E-Mail-Adresse) bei eingeloggten Besuchern.
- Informationen zum Surfverhalten
- itemIDs, die betrachtet wurden
- itemIDs, die in den Warenkorb gelegt wurden
- itemIDs, die gekauft wurden
Alle nicht operativen Informationen werden in verschlüsselter Form erfasst. Unsere Cookie-Richtlinien wurden vom Emarsys-Datensicherheitsteam überprüft und entsprechen unseren Datensicherheitsstandards.
Hier finden Sie eine vollständige Liste aller verwendeten Cookies (Stand: Mai 2018):
- scarab.visitor - Dieser Cookie erfasst die Besucher-ID, die den Besucher während der Sitzungen identifiziert.
- cdv - Die Drittanbieter-Version von scarab.visitor.
- scarab.profile - Dieser Cookie erfasst Informationen zum Nutzerprofil, Produkte, nach denen gesucht wurde, etc. Zudem erfasst er Leistungsmetriken unserer Skripte - wie schnell sie geladen und ausgeführt werden usw. Die Informationen, die in diesem Cookie erfasst werden, sind verschlüsselt.
- xp - Die Drittanbieter-Version von scarab.profile.
- scarab.mayAdd & scarab.mayViewed - Hierbei handelt es sich um die Sitzungscookies, die wir für das Tracking des Klickverhaltens und der Artikel, die in den Warenkorb gelegt werden, verwenden. Wenn ein Nutzer beispielsweise auf ein empfohlenes Element klickt, haben wir keine Zeit, dies unserem Server zu melden (wir möchten den reibungslosen Ablauf beim Nutzer nicht blockieren), daher erfassen wir diese Information in einem Cookie. Wenn unser Skript das nächste Mal in dem gleichen Browser geladen wird, werden die Cookies ausgelesen und die Daten an unsere Server gesandt.
- s - Der Drittanbieter-Cookie, der ähnliche Funktionen erfüllt, wie scarab.mayAdd und scarab.mayViewed.
Wie Web Extend Cookies funktionieren
Web Extend-Cookies speichern auf Ihrer Webseite die folgenden Daten:
- Browser-User-Agent
- Cookie-Identifikatoren
- Pseudonymisierte Identifikatoren (externe Identifikatoren oder gehashte Emarsys-E-Mails) bei eingeloggten Besuchern.
- Web-Datenverkehr: Angesehene Produkte (mayViewed-Cookie) und Warenkörbe (mayAdd-Cookie)
Außer diesen Daten speichern wir die IP-Adresse des Nutzers in unserer eigenen Web Extend-Datenbank. Nur dann, wenn diese Datenbank die Kontaktdatenbank Ihres Emarsys-Kontos aktualisiert, werden die pseudonymisierten Daten einer Kontakt-ID zugeordnet und das Profil dieses Kontakts wird aktualisiert (siehe oben).
setEmail Befehl im Web Extend JavaScript
Der setEmail
Befehl erhält eine personenbezogene Dateninformation: Die E-Mail-Adresse des Kontakts.
Diese E-Mail-Adresse wird jedoch anhand eines geschützten Algorithmus im Browser des Endnutzers verschlüsselt und nur diese Hash-Kennung wird an Web Extend weitergegeben und dort gespeichert.
Reverse-Engineering des Hash-Verfahrens ist mit heutiger Technologie nicht möglich.
E-Mail-Adresse als Identifikator bei Verkaufsdaten
Ein Untersystem von Web Extend, der Sales Data Service, empfängt für einige Anwendungen auch personenbezogene Daten (die E-Mail-Adresse des Kontaktes).
Ähnlich wie bei setEmail
, wird auch hier die E-Mail-Adresse bei der Verarbeitung der Datei sofort gehashed und nur diese Hash-Kennung wird erfasst.