Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Beusable ist eine südkoreanische Plattform für User Experience Analytics, die Nutzer Sessions aufzeichnet, Heatmaps erzeugt und Conversion Funnels nachverfolgt. Betrieben von 4Grit Inc. setzt Beusable persistente Cookies sowie ein JavaScript Tracking Script, das jeden Klick, Scroll und jede Formularinteraktion erfasst. Im Sinne der ePrivacy Richtlinie und des deutschen TDDDG handelt es sich um einen nicht zwingend erforderlichen Tracker, der in der gesamten Europäischen Union eine vorherige Einwilligung erfordert.
Beusable ist eine Behavioural Analytics Plattform der 4Grit Inc. mit Sitz in Seoul, Südkorea, die Heatmaps (Klicks, Aufmerksamkeit, Scrolling, Mausbewegung), Session Replay, Conversion Funnel Analyse und Formularanalyse vereint. Der Tag wird als asynchrones JavaScript Skript von cdn.beusable.com geladen. Beusable ist in Korea, Japan und Vietnam weit verbreitet und gewinnt in Europa zunehmend als Hotjar Alternative an Bedeutung.
Beusable setzt Erstanbieter Cookies (meist mit Präfix _bes_) zur Identifikation des Besuchers und der aktiven Sitzung sowie localStorage Einträge zur Pufferung von Verhaltensereignissen. Erfasst werden: Klicks (Zielelement, Koordinaten), Scrolltiefe und Geschwindigkeit, Mausbewegungen, Viewport Größe, Seiten URL und Referrer, Verweildauer pro Element, vollständige Formularinteraktionen (Eingabelänge und Timing, optionale Eingabewerte) sowie videoartig rekonstruierte Session Replays. Standardmäßig erfasst Beusable außerdem IP und User Agent.
Beusable fällt eindeutig unter Artikel 5(3) der ePrivacy Richtlinie: Es liest und schreibt auf das Endgerät und die verarbeiteten Daten ermöglichen über Interaktionsmuster eine Einzelidentifikation. Session Replay wird von der französischen CNIL und vom italienischen Garante als hohes Risiko eingestuft, und der EDSA hat mehrfach betont, dass solche Tools eine ausdrückliche, vorherige, granulare Opt In Einwilligung erfordern. Berechtigtes Interesse kommt als Alternative für nicht notwendige Behavioural Analytics nicht in Betracht.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Blockieren Sie den Beusable Loader, bevor eine Einwilligung vorliegt. Das Skript darf nicht ausgeführt werden, keine Cookies setzen und nicht in den localStorage schreiben, bis der Nutzer über die CMP zustimmt. Konfigurieren Sie in der Beusable Konsole Maskierungsregeln: Alle Eingabefelder standardmäßig maskieren, nur die unkritischen Felder explizit demaskieren, CSS Selektor basierte Sperrlisten für sensible Bereiche (Checkout, Profil, Konto) ergänzen. Aktivieren Sie IP Kürzung und reduzieren Sie die Replay Aufbewahrung auf das notwendige Minimum.
4Grit Inc. ist in Seoul, Südkorea, ansässig. Die Europäische Kommission hat am 17. Dezember 2021 einen Angemessenheitsbeschluss für die Republik Korea erlassen (Durchführungsbeschluss (EU) 2022/254). Personenbezogene Daten können damit ohne SCC vom EWR an kommerzielle koreanische Empfänger fließen, sofern diese die PIPA einhalten. Der Beschluss wird alle vier Jahre überprüft. Verantwortliche sollten dennoch einen DPA mit 4Grit unterzeichnen, den Transfermechanismus im Verzeichnis nach Artikel 30 dokumentieren und Änderungen des Angemessenheitsstatus verfolgen.
Konkrete Schritte: 1) Beusable Tag erst nach Analyse Einwilligung über die CMP laden; 2) Standard Maskierung aller Eingabefelder in der Beusable Konsole konfigurieren; 3) CSS Selektor Ausschlüsse für Checkout, Account und Gesundheitsbereiche hinterlegen; 4) IP Kürzung aktivieren; 5) Replay Aufbewahrung auf 30 bis 60 Tage begrenzen; 6) 4Grit DPA unterzeichnen; 7) koreanischen Angemessenheitsbeschluss als Transfermechanismus dokumentieren; 8) Beusable im Verzeichnis nach Artikel 30 erfassen; 9) Datenschutzerklärung mit Verantwortlichem, Auftragsverarbeiter (4Grit Inc.), Zwecken, Rechtsgrundlage (Einwilligung), Speicherdauer und Betroffenenrechten aktualisieren.
Websites using Beusable must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA nach Artikel 35 DSGVO ist empfehlenswert. Session Replay stellt naturgemäß eine systematische und umfangreiche Überwachung des Nutzerverhaltens dar (Kriterium 7 WP248). Schwerpunkte der DSFA: Risiko der Erfassung sensibler Formularfelder (Passwörter, Zahlung, Gesundheit), Reidentifizierungsrisiko über seltene Attribute (eigene Selektoren, Wegmuster), Aufbewahrung der Replays (Standard 90 Tage), Zugriffskontrollen in der Beusable Konsole, Weitergabe des Widerrufs und Transfer nach Südkorea. Dokumentieren Sie Maskierungsregeln (CSS Selektoren, Standardmaskierung von Passwörtern, Input Redaktion) und vertragliche Garantien (DPA, koreanischer Angemessenheitsbeschluss).
Sample consent text
Wir verwenden Beusable, einen Behavioural Analytics Dienst der 4Grit Inc. (Südkorea), um Heatmaps und Sitzungsaufzeichnungen darüber zu erstellen, wie Besucher mit unseren Seiten interagieren. Beusable speichert Cookies auf Ihrem Gerät, erfasst Klicks, Scrollen und Formularinteraktionen und übermittelt die Daten auf Grundlage des Angemessenheitsbeschlusses der Europäischen Kommission nach Südkorea. Beusable wird nur geladen, wenn Sie Analyse Cookies akzeptieren.
Third-party domains contacted
beusable.netbeusable.netcdn.beusable.comcdn.beusable.netin.beusable.netapi.beusable.com4grit.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _bes_uid | HTTP cookie (first party) | 1 year | Stores the Beusable persistent visitor identifier used to link multiple sessions to the same visitor in heatmap and replay reports. |
| _bsa.uid | first_party | 2 years | Stores the unique visitor identifier used to link sessions, heatmaps and replays to the same user across visits. |
| _bes_sid | HTTP cookie (first party) | Session (30 minutes inactivity) | Marks the active Beusable recording session. Expires after 30 minutes of inactivity. |
| _bsa.sid | first_party | Session | Stores the active session identifier so that page views and events recorded during a single visit are correlated. |
| _bsa.bid | first_party | 30 days | Stores the recording bucket reference used by Beusable to associate the visitor with a specific session replay. |
| _bes_buf | localStorage | Persistent (until cleared) | Buffers behavioural events (clicks, scrolls, mouse paths) before they are flushed to the Beusable backend. |
| _bes_ref | HTTP cookie (first party) | 30 days | Stores the referrer and campaign that brought the visitor to the site, used for replay segmentation by entry source. |
Beusable erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Beusable schreibt in der Regel drei First Party Cookies. _bsa.uid speichert die eindeutige Besucher ID für bis zu zwei Jahre, _bsa.sid die Session ID für die Dauer der Sitzung und _bsa.bid die Referenz des Aufzeichnungs Buckets. Das Skript erfasst zusätzlich technische Metadaten wie User Agent, Bildschirmauflösung und IP Adresse.
Beusable setzt Erstanbieter Cookies (meist mit Präfix _bes_) zur Identifikation des Besuchers und der aktiven Sitzung sowie localStorage Einträge zur Pufferung von Verhaltensereignissen. Die genauen Namen hängen von der Beusable Workspace Konfiguration ab. Es werden keine Drittanbieter Cookies gesetzt, das Skript wird jedoch von cdn.beusable.com geladen, weshalb es nach EDSA und CNIL Sicht als Drittanbieter Tracker gilt.
Ja. Beusable ist ein Verhaltensanalyse Tracker, der nicht unter die Ausnahme für unbedingt erforderliche Cookies nach Artikel 5 Absatz 3 der ePrivacy Richtlinie und § 25 TDDDG fällt. Sie müssen vor dem Laden des Skripts eine freiwillige, spezifische, informierte und unmissverständliche Einwilligung über Ihre Consent Management Plattform einholen.
Ja. Beusable liest und schreibt auf das Endgerät und nimmt Session Replays von Verhaltensinteraktionen auf, was CNIL, Garante und EDSA übereinstimmend als hochriskante Verarbeitung einstufen, die eine vorherige, ausdrückliche und granulare Einwilligung nach Artikel 6(1)(a) DSGVO und Artikel 5(3) ePrivacy erfordert. Berechtigtes Interesse kommt nicht in Betracht.
Die einzige zulässige Rechtsgrundlage nach Artikel 6 DSGVO ist die Einwilligung des Nutzers gemäß Artikel 7. Berechtigte Interessen scheiden aus, weil die ePrivacy Richtlinie eine Einwilligung für jeden nicht zwingend erforderlichen Zugriff auf Endgeräte verlangt. Diese Position bestätigen die Leitlinien 03/2022 des EDSA.
Die Einwilligung (Artikel 6(1)(a) DSGVO) für die erfassten Datenkategorien, ergänzt durch einen Auftragsverarbeitungsvertrag nach Artikel 28 mit 4Grit Inc. Der DPA muss die koreanische Angemessenheit als Transfermechanismus, die Datenkategorien, die Speicherdauer, die Unterauftragsverarbeiter und die Sicherheitsmaßnahmen abdecken.
Beusable verarbeitet die Daten in Südkorea auf AWS Seoul. Die Europäische Kommission hat am 17. Dezember 2021 einen Angemessenheitsbeschluss für die Republik Korea erlassen, sodass die Übermittlung auf diese Grundlage gestützt werden kann. Es findet keine routinemäßige Übermittlung in die USA statt, prüfen Sie aber bei 4Grit Inc., ob ein Unterauftragsverarbeiter außerhalb Koreas sitzt.
Ja. 4Grit Inc. ist in Seoul ansässig. Seit dem 17. Dezember 2021 erlaubt der Angemessenheitsbeschluss der Europäischen Kommission für die Republik Korea (Durchführungsbeschluss (EU) 2022/254) den Datenfluss aus dem EWR an kommerzielle koreanische Empfänger ohne SCC, sofern sie die PIPA einhalten. Der Beschluss wird alle vier Jahre überprüft und sollte beobachtet werden.
Eine DSFA wird dringend empfohlen und ist häufig zwingend, da Session Replay eine systematische Verhaltensbeobachtung in großem Umfang darstellt und sensible Daten erfassen kann. Die DSFA Listen der DSK, der CNIL und der spanischen AEPD führen genau diese Szenarien als verpflichtende Anwendungsfälle auf.
Eine DSFA wird dringend empfohlen. Session Replay stellt eine systematische und umfangreiche Überwachung des Verhaltens dar (Kriterium 7 WP248). Schwerpunkte: Risiko der Erfassung sensibler Formularfelder, Identifizierung über Replay Attribute, Replay Aufbewahrung, Weitergabe des Widerrufs, interne Zugriffskontrollen und Transfer nach Südkorea unter Angemessenheit.
Blockieren Sie das Beusable Skript über Ihre Consent Management Plattform, bis die Kategorie Analyse oder Marketing akzeptiert ist. Aktivieren Sie standardmäßig das Masking aller Eingabefelder, schließen Sie Seiten mit sensiblen Daten aus, beschränken Sie den Zugriff auf autorisierte Nutzer, dokumentieren Sie die Speicherfrist und nennen Sie Beusable in Ihrer Datenschutzerklärung und Ihrem Verarbeitungsverzeichnis.
Loader hinter der CMP blockieren, Standard Maskierung aller Eingabefelder aktivieren, sensible Seiten per CSS Selektor ausschließen, IP Kürzung einschalten, Replay Aufbewahrung begrenzen, 4Grit DPA unterzeichnen, Beusable im Verzeichnis nach Artikel 30 erfassen, Datenschutzerklärung mit Transferbasis (koreanische Angemessenheit) und Betroffenenrechten aktualisieren und per Netzwerk Capture prüfen, dass Beusable bei Ablehnung vollständig blockiert ist.
Europäische Tools für Session Replay und Heatmaps: Mouseflow (Dänemark, EU Residency Option), Contentsquare (Frankreich), VWO Insights (Rechenzentren in den Niederlanden), Smartlook (Tschechien). Selbst hostbare Optionen: PostHog (Open Source, in jeder EU Region hostbar) und OpenReplay (Open Source, vollständig selbst gehostet). Für einwilligungsfreie reine Heatmaps: Plerdy (Ukraine) mit Anonymisierung.
In Betracht kommen Matomo Heatmaps and Session Recording in der EU gehostet, Plausible Insights für cookielose Analyse oder Microsoft Clarity, das kostenlos ist, aber Einwilligung und Schutzmaßnahmen für US Transfers verlangt. Jedes Werkzeug bietet unterschiedliche Funktionen, prüfen Sie deshalb Ihren Anwendungsfall vor einem Wechsel.
Ergänzen Sie einen eigenen Eintrag für Beusable mit Cookie Namen, Zweck, Speicherdauer und Speicherland. Aktualisieren Sie Ihre Datenschutzerklärung, nennen Sie 4Grit Inc. als Auftragsverarbeiter, verlinken Sie auf die Beusable Datenschutzerklärung und dokumentieren Sie den Ablauf zur Erteilung und zum Widerruf der Einwilligung.
Tragen Sie einen Eintrag ein, der 4Grit Inc. (Seoul, Südkorea) als Auftragsverarbeiter, den Zweck (Behavioural Analytics, Heatmaps, Session Replay), die Rechtsgrundlage (Einwilligung), die Datenkategorien (Kennung, Verhaltensereignisse, Replays, IP, Gerätedaten), die Speicherdauer, den internationalen Transfer nach Südkorea unter dem EU Angemessenheitsbeschluss, die Empfängerkategorien und einen direkten Link zur Beusable Datenschutzerklärung enthält.