Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Heap ist eine US-amerikanische Produktanalyse-Plattform (von Contentsquare übernommen), die für ihren Autocapture-Ansatz bekannt ist und automatisch jede Nutzerinteraktion ohne manuelle Event-Instrumentierung aufzeichnet. Diese Funktion birgt erhebliche DSGVO-Risiken: Heap erfasst standardmässig alle Klicks, Eingaben und Seitenaufrufe, möglicherweise einschliesslich sensibler Formulardaten. Eine Einwilligung ist erforderlich, bevor Heap lädt. Sorgfältige Konfiguration zur Datenminimierung ist für die DSGVO-Compliance unerlässlich.
Heap ist eine US-amerikanische Produktanalyse-Plattform (von Contentsquare übernommen), die für ihren Autocapture-Ansatz bekannt ist: Alle Nutzerinteraktionen werden automatisch ohne manuelle Event-Instrumentierung aufgezeichnet. Heap liefert Heatmaps, Funnel-Analysen und Sitzungsaufzeichnungen. Für Produktteams ist dies extrem wertvoll, für DSGVO-Compliance jedoch erfordert Autocapture besondere Sorgfalt.
Heap setzt First-Party-Cookies für die Nutzeridentifizierung und Session-Tracking. Via Autocapture erfasst Heap standardmässig alle Klicks, Seitenaufrufe, Formulareingaben und Navigationsabläufe. Ohne Konfiguration von Ausschlussregeln (Input Privacy) können sensible Formulardaten wie Passwörter oder Gesundheitsinformationen versehentlich miterfasst werden. Dies ist das grösste DSGVO-Risiko von Heap.
Heaps Autocapture-Ansatz, der alle Nutzerinteraktionen aufzeichnet, stellt eine systematische Überwachung dar, die eine Einwilligung gemäss ePrivacy erfordert. Einwilligung ist die sicherere Rechtsgrundlage für Heap-Deployments; berechtigtes Interesse ist angesichts des Autocapture-Umfangs schwer begründbar. Unterzeichnen Sie den Heap-AVV und konfigurieren Sie Data-Minimierung vor dem Go-live.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Blockieren Sie das Heap-Skript im Consent-Manager bis zur Einwilligung für Analyse-Cookies. Konfigurieren Sie Input-Privacy-Regeln, um Formulareingaben zu maskieren. Konfigurieren Sie Heap so, dass keine sensiblen Daten in Nutzerprofile aufgenommen werden. Informieren Sie in der Datenschutzerklärung über Autocapture und die Möglichkeit zur Abwahl.
Heap verarbeitet als US-Unternehmen Daten auf US-Servern. Heap stellt einen AVV mit EU-Standardvertragsklauseln (SCC) als Übermittlungsgarantie bereit. EU-Datenspeicherung ist bei Heap nicht standardmässig verfügbar. US-Übermittlungen müssen in Ihrer Datenschutzerklärung und bei der Einholung der Cookie-Einwilligung kommuniziert werden.
Blockieren Sie das Heap-Skript bis zur Einwilligung, konfigurieren Sie Input-Privacy-Regeln für sensible Formularfelder, aktivieren Sie IP-Anonymisierung, unterzeichnen Sie den Heap-AVV, setzen Sie Daten-Aufbewahrungsfristen auf das Minimum, beschränken Sie Nutzerprofil-Daten auf pseudonymisierte IDs und führen Sie eine DSFA durch. Dokumentieren Sie alle Ausschlussregeln und Minimierungsmassnahmen.
Websites using Heap must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird für Heap-Deployments aufgrund der Autocapture-Funktion empfohlen, die standardmässig alle Nutzerinteraktionen erfasst. Dies stellt eine grossangelegte systematische Überwachung dar. Dokumentieren Sie alle angewendeten Ausschlussregeln für sensible Daten in der DSFA.
Sample consent text
Wir nutzen Heap Analytics, um zu verstehen, wie Sie mit unserem Produkt interagieren. Heap zeichnet automatisch Ihre Aktionen einschliesslich Klicks und Seitenaufrufe auf. Sie können dieses Analytics-Tracking über unsere Cookie-Einstellungen deaktivieren.
Third-party domains contacted
heap.ioheapanalytics.comapi.heap.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _hp2_id | persistent | 13 months | Heap Analytics unique user identifier for autocapture event tracking and behavioural analytics |
| _hp2_ses_props | session | Session | Heap session properties cookie for grouping autocaptured events within a user session |
Heap erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Heap setzt First-Party-Cookies für Nutzeridentifizierung und Session-Tracking. Via Autocapture erfasst Heap standardmässig alle Klicks, Seitenaufrufe, Formulareingaben und Navigationsabläufe. Ohne Ausschlussregeln (Input Privacy) können sensible Formulardaten wie Passwörter oder Gesundheitsangaben versehentlich miterfasst werden.
Ja. Heaps Autocapture-Ansatz, der alle Nutzerinteraktionen aufzeichnet, stellt eine systematische Überwachung dar und erfordert eine ePrivacy-Einwilligung. Blockieren Sie das Heap-Skript im Consent-Manager bis zur Einwilligung für Analyse-Cookies.
Einwilligung ist die sicherere Rechtsgrundlage für Heap-Deployments. Berechtigtes Interesse ist angesichts des Autocapture-Umfangs schwer begründbar, da die Betroffeneninteressen in der Regel überwiegen. Dokumentieren Sie die Interessenabwägung sorgfältig, falls berechtigtes Interesse dennoch gewählt wird.
Ja. Heap verarbeitet als US-Unternehmen Daten auf US-Servern. Heap stellt einen AVV mit EU-Standardvertragsklauseln (SCC) als Übermittlungsgarantie bereit. EU-Datenspeicherung ist nicht standardmässig verfügbar.
Empfohlen aufgrund der Autocapture-Funktion, die standardmässig alle Nutzerinteraktionen aufzeichnet und eine grossangelegte systematische Überwachung darstellt. Dokumentieren Sie alle Ausschlussregeln für sensible Daten sowie Minimierungsmassnahmen in der DSFA.
Blockieren Sie das Heap-Skript bis zur Analyse-Cookie-Einwilligung, konfigurieren Sie Input-Privacy-Regeln für sensible Formularfelder, aktivieren Sie IP-Anonymisierung, unterzeichnen Sie den Heap-AVV, setzen Sie Aufbewahrungsfristen und beschränken Sie Nutzerprofil-Daten auf pseudonymisierte IDs.
PostHog kann selbst gehostet werden und bietet volle EU-Datensouveränität. Amplitude bietet EU-Datenspeicherung. Plausible Analytics ist eine cookielose, DSGVO-freundliche Alternative für einfachere Analyseanforderungen ohne individuelle Nutzerprofile.
Fügen Sie Heap im Cookie-Banner unter Analyse-Cookies hinzu, beschreiben Sie Autocapture und Session-Tracking als Zwecke, benennen Sie die US-Datenübermittlung und hinterlegen Sie einen Link zur Heap-Datenschutzrichtlinie. Dokumentieren Sie die konfigurierten Ausschlussregeln in Ihrer Datenschutzerklärung.