Skip to content
snorklee
Anmelden Kostenlos starten
Funktionen KI-Verkehr Preise Manifest Hilfe Audit Kontakt Anmelden Kostenlos starten

snorklee

Auftragsverarbeitungsvertrag (DPA)

Auftragsverarbeitungsvertrag (DPA)

Das DPA regelt die Rolle von Snorklee als Auftragsverarbeiter, wenn der Dienst die Reichweite einer Kundenseite misst. Der Kunde bleibt Verantwortlicher: Er entscheidet, Snorklee zu nutzen, wählt die gemessenen Websites, konfiguriert die gesendeten Ereignisse und informiert seine Besucher.

Diese Seite erklärt das DPA in einfacher Sprache. Die operative, im Reiter Konformität des Dashboards erzeugte und unterzeichnbare Version geht bei Abweichungen vor.

Gegenstand der Verarbeitung

Snorklee verarbeitet minimierte Daten, um dem Kunden Reichweitenstatistiken, technische Berichte, Exporte, Analysefunktionen auf Aggregaten und Compliance-Dokumente bereitzustellen.

Die Verarbeitung ist auf Bereitstellung, Sicherheit, Wartung und Support des Dienstes beschränkt.

Ausgeschlossene Zwecke sind klar:

  • keine verhaltensbasierte Werbung;
  • kein Verkauf oder werbliches Teilen von Reichweitendaten;
  • kein Cross-Site-Abgleich;
  • kein Session Replay;
  • keine individuelle Heatmap;
  • kein Import von Besucher-CRM;
  • keine Werbeanreicherung;
  • keine individuelle Besucher-Timeline.

Betroffene Daten

Hauptkategorien sind besuchte Seiten, zugelassene Ereignisse, Referrer-Domains, Traffic-Quelle, Land oder Region je nach Konfiguration, Browserfamilien, Gerätetyp, Betriebssystem, Sprache, technische Fehler, aggregierte Scroll- oder Klicksignale und statistische Zähler.

Kampagnenparameter werden nicht verwendet, um Cross-Site-Tracking oder ein Werbeprofil zu erstellen.

IP-Adresse und User-Agent können bei der Erfassung vorübergehend verwendet werden, um zu geolokalisieren, Browser oder Gerät zu klassifizieren, Missbrauch zu erkennen oder bestimmte Crawler zu erkennen; sie werden jedoch nicht roh in Analytics-Ereignissen gespeichert.

Der Kunde darf in Snorklee-Ereignissen oder -Eigenschaften keine sensiblen Daten, Namen, E-Mails, Telefonnummern, Postanschriften, Kundenkennungen, Werbe-Click-IDs, Secrets, Tokens oder sonstige direkt identifizierende Daten senden. Benutzerdefinierte Ereignisse müssen technisch oder geschäftlich bleiben.

Sicherheit und Auftragsverarbeiter

Snorklee setzt technische und organisatorische Maßnahmen zum Schutz der Daten um: TLS, Zugriffskontrolle, anwendungsseitige Rollentrennung (Ingest / Lesen), begrenzte Protokolle, kurze Aufbewahrung roher Ereignisse, Löschung der Website auf Anfrage und Dokumentation der Auftragsverarbeiter.

Die wichtigsten Auftragsverarbeiter sind in der Datenschutzerklärung, im DPA und in den aus dem Reiter Konformität erzeugten Dokumenten aufgeführt. Sie betreffen insbesondere Hosting, Geolokalisierung, transaktionale E-Mails, Zahlung, optionale KI auf Aggregaten und bestimmte öffentliche Audits.

Die Liste kann sich mit angemessener Vorankündigung ändern, wenn die Änderung wesentlich ist.

Unterstützung des Kunden

Snorklee unterstützt den Kunden bei Auskunft, Löschung, Export, Informationen zu Auftragsverarbeitern, Sicherheitsdokumentation und, soweit anwendbar, bei der Beantwortung von Rechteanfragen.

Da keine stabile Besucherkennung vorhanden ist, kann Snorklee eine einzelne Person in Statistiken nicht immer wiederfinden. Je nach Kontext kann eine Anfrage über einen Zeitraum, über die Löschung eines Ereignisses, sofern es der Kunde anderweitig identifizieren kann, oder über die Löschung der Website behandelt werden.

Der Kunde bleibt Hauptansprechpartner des Endbesuchers.

Fristen

Rohe Ereignisse werden 90 Tage aufbewahrt. Analytics-Aggregate werden bis zu 25 Monate aufbewahrt. Nach Kündigung können Website-Daten 30 Tage zur Wiederherstellung aufbewahrt und anschließend nach den vorgesehenen Verfahren gelöscht werden.

KI

Wenn der Kunde KI-Funktionen nutzt, übermittelt Snorklee nur die für Zusammenfassung oder Antwort erforderlichen Aggregate: Kennzahlen, Trends, Seiten, Kanäle oder Zeiträume. In diesem Rahmen dürfen keine rohe IP-Adresse, keine Besucherkennung, keine einzelne Ereigniszeile und keine direkt identifizierenden Daten an die KI-Engine übermittelt werden.

Die KI wird auf Anfrage des Kunden ausgelöst, sofern keine ausdrücklich anders dokumentierte Konfiguration gilt.

Aktiviert der Kunde das optionale Modul zur Messung der KI-Sichtbarkeit, werden Fragen, die aus den öffentlichen Inhalten seiner Website erstellt werden (niemals Besucherdaten), an die abgefragten KI-Assistenten-Anbieter — OpenAI, Google, Perplexity und Anthropic (USA) — gesendet, um die Präsenz der Marke in deren Antworten zu messen. Dieses Modul ist standardmäßig deaktiviert und beruht auf der Entscheidung des Kunden.

CCPA/CPRA-Addendum

Das DPA kann ein CCPA/CPRA-Addendum enthalten, wenn der Kunde es im Reiter Konformität aktiviert. Dieser Anhang dokumentiert die Rolle von Snorklee als service provider für die Reichweitenmessung, das Fehlen von Verkauf oder werblichem Teilen der Snorklee-Reichweitendaten und den begrenzten Zweck der Verarbeitung.

Dieses Addendum deckt nur den Snorklee-Umfang ab. Andere Tools auf der Website des Kunden müssen gesondert bewertet werden.

Unterzeichnung

Die operative Version des DPA wird im Reiter Konformität des Dashboards erzeugt und kann dort unterzeichnet werden. Diese Seite erklärt den Inhalt in einfacher Sprache; das unterzeichnete Dokument geht bei Abweichungen vor.

Das Dashboard kann je nach verfügbaren Funktionen eine Nachweisseite zur Unterzeichnung erzeugen, einschließlich Zeitstempel, Identität des Unterzeichners und Dokumenten-Fingerprint.