Erfahren Sie, wie Zenovay Ihnen hilft, die GDPR (General Data Protection Regulation) für Ihre Website-Analysen einzuhalten.
Was ist die GDPR?
Die General Data Protection Regulation ist ein EU-Gesetz, das:
- Personenbezogene Daten von EU-Bürgern schützt
- Eine Einwilligung zur Datenerhebung erfordert
- Rechte auf Datenzugang und -löschung gewährt
- Benachrichtigungen bei Datenschutzverletzungen vorschreibt
- Erhebliche Bußgelder bei Nichteinhaltung verhängt
Für wen gilt die GDPR?
Die GDPR gilt, wenn Sie:
- Ihren Sitz in der EU/dem EWR haben
- Besucher aus der EU/dem EWR haben
- Waren/Dienstleistungen für EU-Bürger anbieten
- Das Verhalten von EU-Bürgern überwachen
Zenovays GDPR-Compliance
Datenschutz-orientiertes Design
Zenovay wurde mit Datenschutz im Fokus entwickelt:
| Funktion | Beschreibung |
|---|---|
| Cookie-freie Option | Das Tracking kann ohne Cookies oder lokalen Speicher laufen |
| IP-Behandlung | IPs werden für die Besucheridentifikation gehashed, nie im Klartext gespeichert |
| Datenminimierung | Nur notwendige Daten erheben |
| EU-Datenspeicherung | Primäre Daten werden in der EU (Frankfurt) für jeden Plan gespeichert |
| Datenportabilität | Exportieren Sie Ihre persönlichen Kontodaten (kostenlos, alle Pläne) |
| Recht auf Löschung | Löschen Sie Ihr Konto und die Besucherdaten auf Anfrage |
Daten, die wir erheben
Standarderhebung (Cookie-freier Modus):
├── Seiten-URL
├── Referrer (Domain)
├── Browsertyp
├── Gerätetyp
├── Land (aus einem gehashten IP, IP nicht im Klartext gespeichert)
└── Sitzungskennung (im Speicher, nicht persistent)
Erweiterte Erhebung (mit Cookies/Einwilligung):
├── Vollständige Seiten-URL mit Parametern
├── Vollständige Referrer-URL
├── Rückkehrerkennung
├── Benutzerdefinierte Event-Eigenschaften
└── Umsatzdaten
Konfigurationsoptionen
Cookie-freier Modus
Der Cookie-freie Modus ermöglicht das Tracking ohne Cookies oder lokalen Speicher – es wird stattdessen eine im Speicher gespeicherte, fenstergebundene Sitzungskennung verwendet. Dies ist die rechtmäßige Standardoption für das Tracking vor der Zustimmung.
So aktivieren Sie es für eine Website:
- Öffnen Sie die Website-Einstellungen und wählen Sie die Registerkarte Erweitert.
- Aktivieren Sie unter Datenschutz & Cookies den Cookie-freien Modus.
- Speichern Sie die Änderungen.
In der gleichen Registerkarte Erweitert können Sie auch die Cookie-Lebensdauer (wenn Cookies verwendet werden), Routen ausschließen vom Tracking und Formulareinträge maskieren festlegen, damit sensible Werte nie erfasst werden.
IP-Behandlung
Zenovay speichert keine Raw-IP-Adressen. IPs werden vorübergehend verwendet, um das Land des Besuchers abzuleiten und einen gehashten, gesalzenen Besucheridentifikator zu erstellen – die Klartext-IP wird niemals in Ihre Analysen geschrieben. Weitere Details und Website-spezifische Optionen finden Sie unter IP-Behandlung.
Einwilligungsintegration
// Nur nach Einwilligung tracken
if (hasGDPRConsent('analytics')) {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Rechtsgrundlage für die Verarbeitung
Einwilligung (Artikel 6.1.a)
Bei Nutzung von Cookie-basiertem Tracking:
- Cookie-Consent-Banner implementieren
- Auf ausdrückliches Opt-in warten
- Tracking-Script erst nach Einwilligung laden
- Einfaches Opt-out bereitstellen
Berechtigtes Interesse (Artikel 6.1.f)
Bei Nutzung des Cookie-freien Modus:
- Ihr berechtigtes Interesse dokumentieren
- Abwägungstest durchführen
- Opt-out-Mechanismus bereitstellen
- Datenerhebung minimieren
Cookie-freier Modus + Berechtigtes Interesse
Bewertung des berechtigten Interesses
Zweck: Verständnis der Website-Nutzung zur Verbesserung der Benutzererfahrung
Notwendigkeit: Analysen sind wesentlich für:
- Identifizierung defekter Seiten
- Verständnis von Traffic-Quellen
- Verbesserung von Inhalten
Abwägungstest:
- Minimale Datenerhebung
- Keine persistenten Identifizierer (Cookie-freier Modus)
- Kein Website-übergreifendes Tracking
- Klare Datenschutzerklärung
- Einfaches Opt-out verfügbar
Ergebnis: Berechtigtes Interesse gilt im Cookie-freien Modus
Umsetzung der GDPR-Rechte
Recht auf Information (Artikel 13/14)
Stellen Sie eine klare Datenschutzerklärung bereit:
## Erhebung von Analysedaten
Wir verwenden Zenovay Analytics, um zu verstehen, wie Besucher
unsere Website nutzen. Wir erheben:
- Besuchte Seiten
- Verweildauer auf Seiten
- Browser- und Gerätetyp
- Land (aus IP, IP nicht im Klartext gespeichert)
Wir verwenden keine:
- IP-Adressen im Klartext speichern
- Website-übergreifendes Tracking
- Datenverkauf an Dritte
Daten werden in der EU gespeichert und für [X] Monate aufbewahrt.
Recht auf Auskunft (Artikel 15)
Ein Besucher kann die Daten anfordern, die Sie über ihn gespeichert haben:
- Der Besucher reicht eine Anfrage ein
- Sie identifizieren ihre Daten in Zenovay
- Exportieren Sie sie (über die API, unten)
- Stellen Sie sie innerhalb von 30 Tagen bereit
Über die API (Pro-Plan und höher):
# Abrufen von Analysedaten für eine Website (bei Bedarf nach Besucher filtern)
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Separat können Ihre eigenen persönlichen Kontodaten jederzeit von Ihrer Profilseite in der App heruntergeladen werden – „Meine Daten herunterladen" exportiert Ihr Profil, Websites, Team-Mitgliedschaften und Kontoverlauf als JSON. Dies ist kostenlos in allen Plänen (GDPR-Artikel 20). Siehe Meine Daten herunterladen.
Recht auf Löschung (Artikel 17)
Löschen Sie Besucherdaten auf Anfrage:
- Der Besucher fordert Löschung an
- Identifizieren Sie ihre Datensätze in Zenovay
- Löschen Sie die Daten
- Bestätigen Sie die Löschung
Um die Daten eines bestimmten Besuchers zu löschen, suchen Sie zunächst nach ihren Datensätzen – wenn der Besucher identifiziert wurde (Sie haben eine E-Mail oder Benutzer-ID in den Tracker eingegeben), finden Sie ihn unter Identifizierte Benutzer (/analytics/profiles). Für Massen- oder programmgesteuerte Löschung verwenden Sie die REST-API (Pro und höher).
Um Ihr eigenes Zenovay-Konto und alle zugehörigen Daten zu löschen, nutzen Sie Konto löschen auf Ihrer Profilseite. Siehe Recht auf Löschung und Mein Konto löschen für Details.
Recht auf Einschränkung (Artikel 18)
Um die Verarbeitung für einen Besucher zu pausieren, während ein Streitfall geklärt wird, kontaktieren Sie den Zenovay-Support unter [email protected] mit der Anfrage. Es gibt keinen Self-Service-Schalter „Verarbeitung einschränken" im Dashboard – die Einschränkung wird vom Support behandelt.
Recht auf Datenübertragbarkeit (Artikel 20)
Exportieren Sie Daten in einem maschinenlesbaren Format:
Ihre persönlichen Kontodaten: Laden Sie sie von Ihrer Profilseite in der App herunter („Meine Daten herunterladen"), die JSON zurückgibt. Kostenlos in allen Plänen.
Besucher-Analysedaten: Rufen Sie sie über die REST-API ab (Pro und höher):
# Abrufen von Analysedaten im JSON-Format
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Auftragsverarbeitungsvertrag
Wann erforderlich
Nach GDPR-Artikel 28 ist ein AVV erforderlich, wenn Zenovay Daten in Ihrem Auftrag verarbeitet.
Einen AVV erhalten
Zenovay veröffentlicht einen Standard-AVV, der bereits unterzeichnet ist – Sie müssen nicht verhandeln oder eine Unterschrift einholen.
- Lesen Sie den aktuellen AVV unter zenovay.com/legal/dpa (in allen sechs Sprachen verfügbar, kein Login erforderlich).
- Er wird ein bindender Bestandteil Ihres Vertrags automatisch, wenn Sie die Nutzungsbedingungen bei der Anmeldung akzeptieren – kein separater Schritt erforderlich.
- Wenn Ihr Legal-Team eine von beiden Seiten unterzeichnete Kopie oder einen benutzerdefinierten Zusatz benötigt, senden Sie eine E-Mail an [email protected]. Es gibt keine Gebühren.
Siehe AVV abrufen für den vollständigen Prozess.
Inhalte des AVV
Unser AVV umfasst:
- Gegenstand und Dauer
- Art und Zweck der Verarbeitung
- Arten personenbezogener Daten
- Kategorien betroffener Personen
- Rechte und Pflichten
- Liste der Unterauftragsverarbeiter
- Sicherheitsmaßnahmen
- Prüfungsrechte
EU-Datenspeicherung
Datenspeicherort
Zenovays primäre Datenbank läuft in der EU (Frankfurt, eu-central-1) für jeden Kunden, unabhängig vom Plan. Analyseereignisse, Besucherdatensätze, Websites, Team-Daten und Audit-Logs werden dort gespeichert. Sicherungen sind im selben Gebiet verschlüsselt.
Edge-Anfragen werden von Cloudflare Workers am nächstgelegenen Point-of-Presence für geringe Latenz bearbeitet. Die Worker speichern keine Daten – sie validieren und leiten Ereignisse zum EU-Primärspeicher weiter. Eine kleine Anzahl von US-basierten Unterauftragsverarbeitern (z.B. Stripe, Resend) ist durch das EU–US-Datenschutzabkommen oder Standardschutzklauseln abgedeckt.
Siehe Wo werden meine Daten gespeichert? für die vollständige Übersicht.
Cookie-Banner-Integration
Beliebte Consent-Manager
Zenovay funktioniert mit Consent-Managern wie:
- Cookiebot
- OneTrust
- Osano
- Termly
- Benutzerdefinierte Lösungen
Cookiebot-Beispiel
window.addEventListener('CookiebotOnAccept', function() {
if (Cookiebot.consent.statistics) {
loadZenovay();
}
});
function loadZenovay() {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
OneTrust-Beispiel
OneTrust.OnConsentChanged(function() {
if (OnetrustActiveGroups.includes('C0002')) { // Performance
loadZenovay();
}
});
Dokumentationsanforderungen
Datenschutzerklärung
Enthalten sollte:
- Welche Daten Sie erheben
- Warum Sie sie erheben
- Wie lange Sie sie aufbewahren
- Wer Zugriff hat
- Benutzerrechte
- Wie man sich abmeldet
Verarbeitungsverzeichnis
Dokumentation pflegen:
- Datenkategorien
- Zweck der Verarbeitung
- Aufbewahrungsfristen
- Sicherheitsmaßnahmen
- Eingesetzte Unterauftragsverarbeiter
Cookie-Richtlinie
Bei Verwendung von Cookies:
- Alle Cookies auflisten
- Zweck erklären
- Dauer angeben
- Link zum Opt-out bereitstellen
Compliance-Checkliste
Technische Maßnahmen
- Cookie-freien Modus aktivieren oder Einwilligung einholen
- IP-Behandlung überprüfen
- Angemessene Datenspeicherfristen festlegen
- Einwilligungsintegration implementieren
Rechtliche Maßnahmen
- AVV mit Zenovay referenzieren (zenovay.com/legal/dpa)
- Datenschutzerklärung aktualisieren
- Rechtsgrundlage dokumentieren
- Prozess für Betroffenenanfragen erstellen
- Verarbeitungsverzeichnis führen
Organisatorische Maßnahmen
- Team in GDPR schulen
- Datenschutzbeauftragten ernennen (falls erforderlich)
- Verfahren bei Datenschutzverletzungen etablieren
- Regelmäßige Compliance-Audits durchführen
Durchsetzung und Bußgelder
Mögliche Strafen
| Stufe | Maximales Bußgeld | Beispiele |
|---|---|---|
| Niedrigere | 10 Mio. € oder 2 % des Umsatzes | Kein AVV, mangelhafte Aufzeichnungen |
| Höhere | 20 Mio. € oder 4 % des Umsatzes | Keine Einwilligung, Missachtung von Rechten |
Aktuelle Durchsetzungsfälle
Bußgelder im Zusammenhang mit Analysen wurden verhängt für:
- Datenübertragung in die USA ohne Schutzmaßnahmen
- Keine gültige Einwilligung für Analysen
- Missachtung von Opt-out-Anfragen
Best Practices
Mit Cookie-freiem Modus starten
Aktivieren Sie den Cookie-freien Modus für Ihre Website (Website-Einstellungen → Erweitert → Datenschutz & Cookies). Dies bietet minimales Tracking ohne Zustimmung erforderlich. Ihr Script-Tag bleibt einfach:
<!-- Minimales Tracking, keine Einwilligung erforderlich -->
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
src="https://api.zenovay.com/z.js"
></script>
Ordnungsgemäße Einwilligung implementieren
- Einwilligungsfelder nicht vorab ankreuzen
- Ablehnung genauso einfach wie Zustimmung gestalten
- Granulare Auswahlmöglichkeiten bieten
- Präferenzen speichern
- Widerruf ermöglichen
Regelmäßige Überprüfungen
- Datenerhebung vierteljährlich prüfen
- Unterauftragsverarbeiter jährlich überprüfen
- Richtlinien bei Änderungen aktualisieren
- Bearbeitung von Betroffenenanfragen testen