Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Bloomreach

Was macht Bloomreach?

Bloomreach ist eine US-amerikanische Digital-Experience-Plattform, die KI-gestützte Personalisierung, E-Commerce-Suche und Content-Management für Online-Shops und digitale Kanäle bietet.

Was ist Bloomreach?

Bloomreach ist eine Digital-Experience-Plattform, die von Unternehmen im E-Commerce und digitalen Marketing eingesetzt wird. Die Plattform kombiniert KI-gestützte Site-Suche, Content-Management und Marketing-Automatisierung. Bloomreach hilft Unternehmen, personalisierte digitale Erlebnisse über alle Kanäle hinweg zu schaffen und die Conversion-Raten zu verbessern.

Datenschutzrechtliche Einordnung unter der DSGVO

Bloomreach agiert bei der Verarbeitung von Kundendaten als Auftragsverarbeiter gemäß Art. 4 Nr. 8 DSGVO. Die Plattform verarbeitet umfangreiche Verhaltensdaten für Personalisierung und KI-basierte Empfehlungen. Diese Verarbeitung erfordert eine belastbare Rechtsgrundlage, in der Regel die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Ein Auftragsverarbeitungsvertrag muss mit Bloomreach abgeschlossen werden.

Datenverarbeitung und Personalisierung

Bloomreach verarbeitet Browsing-Verhalten, Produktansichten und Kaufhistorien, Suchverhalten und Klickdaten, Geräteinformationen und IP-Adressen sowie Customer-Journey-Daten über alle Kanäle. Diese Daten werden genutzt, um KI-Modelle für Produktempfehlungen und personalisierten Content zu trainieren. Die Verarbeitung ist umfangreich und erfordert transparente Information der Nutzer in der Datenschutzerklärung.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Datenübertragungen in die USA und Schutzmaßnahmen

Da Bloomreach seinen Hauptsitz in den USA hat, finden Datenübertragungen in ein Drittland statt. Grundlage sind die Standardvertragsklauseln der EU-Kommission, die im Auftragsverarbeitungsvertrag enthalten sind. Website-Betreiber sollten ein Transfer Impact Assessment durchführen, das die spezifischen Risiken der Datenübertragung bewertet und gegebenenfalls zusätzliche Schutzmaßnahmen identifiziert.

Empfehlungen zur DSGVO-konformen Nutzung

Für eine datenschutzkonforme Nutzung von Bloomreach empfehlen sich: Abschluss eines Auftragsverarbeitungsvertrags, Einholung einer validen Einwilligung vor dem Tracking, vollständige Aufnahme in die Datenschutzerklärung mit Beschreibung der Personalisierungsfunktionen, Konfiguration von Datenminimierungseinstellungen und regelmäßige Überprüfung der Datenaufbewahrungsfristen.

Datenschutzfolgenabschätzung bei Bloomreach

Eine Datenschutzfolgenabschätzung gemäß Art. 35 DSGVO ist erforderlich, wenn Bloomreach für systematisches Profiling von Kunden zur Verhaltensvorhersage, umfangreiche Marketing-Automatisierung oder die Verarbeitung von Daten schutzbedürftiger Personengruppen eingesetzt wird. Die DSFA muss die Risiken der KI-gestützten Personalisierung, der Datenübertragung in die USA und möglicher Diskriminierung durch algorithmische Entscheidungen bewerten.

GDPR consent category

Sonstige

Websites using Bloomreach must obtain user consent under GDPR regulations.

Legal basisConsent is required before tracking cookies are set and personal data is processed. Bloomreach Engagement supports consent management with granular consent categories (general consent, specific consent, legitimate interest). The platform provides built-in consent tracking, recording each grant or revocation as an auditable event in the customer profile. Legitimate interest can be used for limited processing under documented assessment.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive, TTDSG (Germany), CCPA/CPRA, LGPD (Brazil), PIPL (China)

DPIA considerations

Bloomreach verarbeitet umfangreiche Kundenverhaltens- und Kaufdaten für KI-gestützte Personalisierung auf US-Servern. Eine DSFA ist bei systematischer Verhaltensprofilierung und Marketing-Automatisierung erforderlich. SCCs müssen implementiert werden.

Sample consent text

Ich stimme zu, dass Bloomreach mein Surf- und Kaufverhalten analysiert, um mir personalisierte Produktempfehlungen und relevante Inhalte bereitzustellen. Daten können in die USA übertragen werden.

Technical details

Tracking methodJavaScript SDK (exponea.min.js) with first-party client-side cookie (__exponea_etc__) and server-side backend cookie (xnpe_<project-id>). Supports web beacons, pixels, A/B testing, web layers, push notifications, and server-side GTM tracking.

Server locationBloomreach, Inc. is US-headquartered. Bloomreach Engagement infrastructure is hosted in the EU (Germany, Netherlands) and US depending on instance. Default API endpoint is api.exponea.com. Custom Tracking Domain (CTD) can route through client-owned subdomains.

Data transferred outside the EUBloomreach, Inc. is a US-based company. Data may be transferred to the US depending on the instance configuration and the Bloomreach infrastructure used. EU-based instances are available. Standard Contractual Clauses (SCCs) apply for international transfers. Bloomreach acts as a data processor; the client is the data controller.

Third-party domains contacted

api.exponea.com*.bloomreach.comdocumentation.bloomreach.comcdn.exponea.com

Cookies placed

Name	Type	Duration	Purpose
__exponea_etc__	first-party	3 years (7 days on Safari ITP)	Stores the visitor's unique Bloomreach Engagement identifier (soft ID). Used to track all visitor actions (page views, clicks, purchases, events) and link them to a customer profile across sessions.
__exponea_time2__	first-party	1 hour	Synchronises local browser time with Bloomreach server time to ensure accurate event timestamping.
xnpe_<project-id>	third-party (first-party with CTD)	3 years (default)	Server-side backend cookie set by the Bloomreach API (api.exponea.com). Stores the same visitor identifier as __exponea_etc__ for server-side identity resolution. Becomes first-party when a Custom Tracking Domain (CTD) is configured.
__exponea_ab_test__	first-party	Configurable (default: 3 years)	Stores A/B test variant assignments to ensure visitors see consistent experiment variations across page loads and sessions.

Dieser Dienst erhebt möglicherweise Nutzerdaten. Stellen Sie die DSGVO-Konformität mit FlowConsent sicher.

Kostenlos starten Website scannen

Häufig gestellte Fragen

What cookies does Bloomreach Engagement set?

Bloomreach Engagement sets several cookies: __exponea_etc__ (first-party client-side cookie storing the visitor's unique identifier, default 3 years, 7 days on Safari due to ITP), __exponea_time2__ (time synchronisation cookie, 1 hour), and xnpe_<project-id> (server-side backend cookie set by api.exponea.com, third-party by default, can be made first-party via Custom Tracking Domain). Additional cookies may be set for A/B testing experiments. Cookie expiration can be customised via the SDK configuration.

Was ist Bloomreach und wofür wird es eingesetzt?

Bloomreach ist eine Digital-Experience-Plattform, die KI-gestützte Site-Suche, Content-Management und Marketing-Automatisierung kombiniert. Sie wird hauptsächlich von E-Commerce-Unternehmen eingesetzt, um personalisierte Nutzererlebnisse und verbesserte Conversion-Raten zu erzielen.

Is consent required before using Bloomreach Engagement?

Yes. Bloomreach Engagement sets tracking cookies and processes personal data for customer profiling, personalisation, and marketing. Under the ePrivacy Directive, explicit consent is required before setting non-essential cookies. Under GDPR, consent is the appropriate legal basis for the profiling and marketing activities performed by the platform. Bloomreach provides built-in tracking consent features that can block all tracking until consent is obtained. The platform also supports integration with external CMPs.

Ist Bloomreach DSGVO-konform nutzbar?

Bloomreach stellt eine DSGVO-Compliance-Infrastruktur bereit, einschließlich Auftragsverarbeitungsvertrag und Standardvertragsklauseln. Die DSGVO-Konformität hängt jedoch von der korrekten Implementierung der Einwilligungsprozesse durch den Betreiber ab. Personalisierungsfunktionen erfordern eine valide Einwilligung der Nutzer.

What is the legal basis for using Bloomreach under GDPR?

Consent is the primary legal basis for Bloomreach Engagement due to the extensive profiling and marketing activities involved. Bloomreach supports three consent categories: general consent, specific consent, and legitimate interest. Legitimate interest may apply for limited, non-marketing analytics with a documented Legitimate Interest Assessment, but the scope of data processed by Bloomreach Engagement typically requires consent. Every consent event is recorded with a timestamp, source, and status in the customer profile for auditability.

Welche Daten verarbeitet Bloomreach?

Bloomreach verarbeitet Browsing-Verhalten, Produktansichten und Kaufhistorien, Suchverhalten und Klickdaten, Geräteinformationen und IP-Adressen sowie Customer-Journey-Daten. Diese Daten werden für KI-basierte Personalisierung und Produktempfehlungen genutzt. Bei angemeldeten Nutzern werden zusätzlich Profildaten und Präferenzen verarbeitet.

Does Bloomreach transfer data to the United States?

Potentially yes. Bloomreach, Inc. is headquartered in Mountain View, California. The default API endpoint (api.exponea.com) may route data through US infrastructure. EU-based instances are available for clients requiring data residency within the EEA. For any international data transfer, Standard Contractual Clauses (SCCs) must be in place as part of the Data Processing Agreement with Bloomreach. Configuring a Custom Tracking Domain (CTD) helps keep cookie data under the client's own domain but does not eliminate all US data flows.

Brauche ich für Bloomreach eine Einwilligung?

Ja, für die Nutzung von Bloomreach zur Verhaltensprofilierung und personalisierten Empfehlungen ist eine vorherige Einwilligung der Nutzer nach Art. 6 Abs. 1 lit. a DSGVO erforderlich. Das Tracking darf erst nach aktiver Zustimmung aktiviert werden. Bloomreach muss in das Consent-Management-System integriert werden.

Is a DPIA required when using Bloomreach Engagement?

Yes, a DPIA is strongly recommended and likely required for most Bloomreach Engagement deployments. The platform performs high-risk processing activities including: extensive behavioural profiling across sessions and devices, automated personalisation and A/B testing decisions, cross-device identity merging (soft ID cookies linked to hard ID identifiers), email and push marketing based on profiling data, and potential international data transfers to the US. These activities fall squarely within GDPR Article 35 criteria for mandatory DPIA.

Was ist KI-gestützte Personalisierung bei Bloomreach?

Bloomreach nutzt künstliche Intelligenz und maschinelles Lernen, um Nutzerverhalten zu analysieren und individuell angepasste Produktempfehlungen, Suchergebnisse und Content anzuzeigen. Die KI-Modelle werden mit historischen Verhaltens- und Kaufdaten trainiert und ermöglichen eine automatisierte Individualisierung des Nutzererlebnisses.

How do I implement GDPR compliance with Bloomreach?

Key steps: sign a DPA with Bloomreach including SCCs. Conduct a DPIA. Configure consent management with granular categories. Integrate a CMP to collect consent before the SDK loads. Enable tracking consent to block non-essential tracking until consent is given. Set up a Custom Tracking Domain (CTD) to convert third-party cookies to first-party. Request an EU instance for data residency. Document Bloomreach in your ROPA. Update your privacy and cookie policies. Implement data subject rights processes using exponea.anonymize() for erasure and data export features for access requests.

Wo werden Bloomreach-Daten gespeichert?

Bloomreach-Daten werden auf US-amerikanischen Servern gespeichert, wobei Teile der Infrastruktur auf Cloud-Diensten wie AWS und Google Cloud basieren. Für europäische Kunden können regionale Datenhaltungsoptionen verfügbar sein. Standardvertragsklauseln gelten für alle Datenübertragungen in die USA.

Wie konfiguriere ich Bloomreach DSGVO-konform?

Zur DSGVO-konformen Konfiguration sind folgende Schritte notwendig: AVV abschließen, Bloomreach in der CMP als einwilligungspflichtigen Dienst konfigurieren, Datenminimierung aktivieren, Aufbewahrungsfristen festlegen und Bloomreach vollständig in der Datenschutzerklärung dokumentieren.

What are privacy-friendly alternatives to Bloomreach?

Alternatives depend on which Bloomreach product you need to replace. For analytics and CDP: Matomo (open source, self-hosted), Piwik PRO (EU-hosted CDP with analytics), or Segment with EU data residency. For personalisation: Algolia Recommend (search-focused), or Dynamic Yield (with EU processing options). For email marketing: Brevo (EU-based), or Mailchimp with EU data processing. No single platform matches the full scope of Bloomreach Engagement while offering the same level of privacy by default.

How should I update my cookie policy for Bloomreach?

Your cookie policy should list: __exponea_etc__ (persistent, visitor identification and behavioural tracking, default 3 years), __exponea_time2__ (session, time synchronisation, 1 hour), xnpe_<project-id> (persistent, server-side visitor tracking, default 3 years, third-party under api.exponea.com unless CTD is configured). Disclose that Bloomreach processes browsing behaviour, purchase history, device information, and links anonymous sessions to identified profiles. State that Bloomreach, Inc. (US) acts as data processor. Mention the availability of consent withdrawal and the right to request data erasure.

Wann ist eine DSFA für die Bloomreach-Nutzung erforderlich?

Eine Datenschutzfolgenabschätzung ist für Bloomreach erforderlich, wenn systematisches Profiling zur Verhaltensvorhersage eingesetzt wird, Marketing-Automatisierung in großem Maßstab genutzt wird oder Daten besonderer Kategorien in den Personalisierungsprozess einfließen. Die DSFA muss die Risiken der KI-gestützten Entscheidungsfindung und der US-Datenübertragung bewerten.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note