Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Cartful ist ein US amerikanischer KI gestützter Shopping Assistent für E Commerce Shops. Er wird als On Site Chat Widget geladen, stellt Besuchern geführte Fragen, liest den Produktkatalog des Händlers ein und erstellt ein Käuferprofil für personalisierte Produktempfehlungen. Cartful protokolliert Surfverhalten, Klicks, Warenkorbereignisse und Chat Antworten über Sitzungen hinweg und speichert sie auf US Cloud Infrastruktur. Für europäische Einsätze kombiniert das nicht notwendige Analyse, Verhaltensprofiling und einen Schrems II Transfer; DSGVO Einwilligung und Transfer Impact Assessment sind erforderlich.
Cartful ist ein KI gestützter Shopping Assistent für E Commerce Shops, betrieben von Cartful Solutions Inc. aus den USA. Er wird als JavaScript Widget auf Kategorien , Produkt und Warenkorbseiten geladen und nimmt mit Besuchern eine Chat ähnliche Konversation auf: einige gezielte Fragen zu Präferenzen, dann eine Rangliste von Produktvorschlägen aus dem Händlerkatalog. Cartful wird mittleren und grossen Retailern als Conversion und Personalisierungs Tool angeboten und meist über Shopify, BigCommerce oder Custom Plattformen mit Tag, Storefront API Schlüssel und Katalog Feed integriert.
Aus datenschutzrechtlicher Sicht liegt Cartful im Schnittfeld von Analyse, Verhaltensprofiling und Entscheidungsunterstützung. Sein Mehrwert beruht auf dem Aufbau und der sitzungsübergreifenden Wiederverwendung eines Käuferprofils; damit ist es eindeutig ein nicht notwendiger, einwilligungspflichtiger Dienst im europäischen Recht.
Cartful setzt persistente First Party Cookies und Local Storage Einträge, um denselben Käufer über Sitzungen hinweg zu erkennen, das Empfehlungsprofil zu speichern und den Chat Verlauf zu erinnern. Erfasst werden IP Adresse, Geräte und Browser Fingerprint, Seiten URL, Referrer, UTM Parameter, Klick und Scroll Ereignisse, angesehene Produkte, Verweildauer, Add to Cart und Checkout Ereignisse, der Händlerkatalog (Produkt IDs, Attribute, Preise) sowie die Antworten des Besuchers an den Assistenten. Bei aktivierten Optionen kann Cartful zusätzlich eingeloggte Kunden IDs oder eine über ein Anmeldeformular erfasste E-Mail erhalten.
Dieser Strom geht an Cartful APIs auf AWS in den USA. Cartful baut daraus ein abgeleitetes Präferenzprofil (Stil, Grösse, Anlass, Budget, Markenaffinität) und speichert es unter einer persistenten Kennung für künftige Empfehlungen. Profile und Ereignishistorien werden über die Vertragslaufzeit des Händlerkontos aufbewahrt.
Es gelten zwei Schichten europäischen Rechts. Artikel 5 Absatz 3 ePrivacy Richtlinie (in Deutschland Paragraph 25 TDDDG, in Frankreich CNIL Leitlinien, in Spanien AEPD Guía Cookies) verlangt vorherige Einwilligung zum Lesen und Schreiben von Cartful Cookies und Local Storage. Artikel 6 DSGVO verlangt zusätzlich eine eigene Rechtsgrundlage für die Verarbeitung. Wegen des Profiling Charakters empfehlen die EDSA Leitlinien 03/2022 (Dark Patterns) und 8/2020 (Targeting) eine ausdrückliche, granulare Einwilligung. Artikel 22 DSGVO kann relevant werden, wenn die Empfehlungen erhebliche Auswirkungen ohne effektive menschliche Prüfung haben.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Das Script darf nicht laden und das Widget nicht rendern, bevor die Consent Management Platform eine positive Einwilligung registriert. Die Einwilligung muss ausdrücklich, informiert und granular sein, mit derselben Prominenz wie der Akzeptieren Button, und ebenso einfach ablehnbar. Die Rechtsgrundlage nach Artikel 6 DSGVO ist die Einwilligung (Artikel 6 Absatz 1 lit. a). Berechtigtes Interesse besteht hier kaum, da die Verarbeitung persistentes Profiling zur Marketingbeeinflussung und einen Transfer in ein Land ohne vollständige Adäquatheit ohne DPF Zertifikat umfasst.
Cartful Solutions Inc. ist in den USA ansässig und hostet Produktionsdaten in AWS US Regionen. Transfers aus dem EWR stützen sich auf das EU US Data Privacy Framework, sofern Cartful oder Unterauftragsverarbeiter zertifiziert sind, mit EU Standardvertragsklauseln (2021/914) als Fallback und einem Transfer Impact Assessment, das FISA 702 und Executive Order 12333 nach Schrems II (EuGH C 311/18) adressiert. Auch mit DPF Abdeckung erwarten DSK, BfDI, CNIL und AEPD vom Händler die Dokumentation der Datenflüsse, übermittelter Kategorien, Aufbewahrungsdauer beim Importeur und ergänzender technischer Massnahmen (Verschlüsselung, Pseudonymisierung, Zugriffskontrolle).
Cartful Auftragsverarbeitungsvertrag unterzeichnen und DPF Zertifikat der empfangenden Stelle prüfen. DSFA zu Profiling und US Transfer durchführen. Cartful Widget hinter ausdrückliche Einwilligung im CMP setzen (TCF v2.2 Vendor Eintrag wenn möglich). Script im Head erst nach Einwilligung laden. Optionale Funktionen (E-Mail Erfassung, Cross Device Matching) bei Widerruf deaktivieren. Aufbewahrung von Profil und Ereignishistorie dokumentieren und Löschungen über die Cartful Admin API anstossen. Datenschutz und Cookie Hinweis aktualisieren. Cartful in die Vendor Liste und das Verarbeitungsverzeichnis aufnehmen.
Websites using Cartful must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA nach Artikel 35 DSGVO ist empfehlenswert, da Cartful ein systematisches Verhaltensprofiling von Online Shoppern durchführt, ein abgeleitetes Präferenzprofil aufbaut und es zur Beeinflussung von Kaufentscheidungen nutzt, und gleichzeitig Daten in die USA überträgt. Die DSFA muss Datenkategorien (IP, Klickpfade, Klick und Scroll Ereignisse, Warenkorbereignisse, Chat Antworten, abgeleitete Präferenzen, optional erfasste E-Mail), Zwecke (Personalisierung, Empfehlungen, Analyse), Aufbewahrung von Profil und Historie, Rechtsgrundlage (Einwilligung), Transfermechanismus (DPF und/oder SCC), ergänzende Massnahmen, das Risiko der Entscheidungsbeeinflussung, den Beschwerdeweg und das Recht aus Artikel 22 DSGVO beschreiben.
Sample consent text
Wir nutzen Cartful, einen von Cartful Solutions Inc. in den USA betriebenen KI Shopping Assistenten, um Ihnen einige Fragen zu stellen und Produkte zu empfehlen. Mit Ihrer Einwilligung setzt Cartful persistente Cookies und Local Storage, zeichnet Ihre Antworten, Klicks und Warenkorbaktivitäten auf, baut ein Käuferprofil und speichert es auf US Cloud Servern. Die Übermittlung in die USA stützt sich auf das EU US Data Privacy Framework und EU Standardvertragsklauseln. Sie können ablehnen; der Shop bleibt ohne personalisierte Empfehlungen vollständig nutzbar.
Third-party domains contacted
cartful.comapp.cartful.comapi.cartful.comcdn.cartful.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cartful_visitor | Persistent | 12 months | Persistent first party identifier that recognises the same shopper across sessions on the merchant site. Used to associate browsing events, chat answers and the inferred preference profile maintained by Cartful in the United States. |
| cartful_session | Session | Session | First party session cookie that groups page views, click events and chat interactions within a single Cartful conversation, used to deduplicate events and to serve the next recommendation step. |
| cartful_profile | Local Storage | Until cleared | Local storage entry holding the derived preference profile (style, size, occasion, brand affinity, budget) so the assistant can resume the conversation and pre rank product suggestions without a round trip on every page. |
| cartful_consent | Persistent | 6 months | Records the consent state read from the merchant CMP so the Cartful widget knows whether it is allowed to load, send events and persist the visitor identifier on subsequent visits. |
Cartful verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Cartful setzt persistente First Party Cookies und Local Storage Einträge, um einen Käufer über Sitzungen hinweg zu erkennen, den Chat Verlauf zu merken und das abgeleitete Präferenzprofil zu speichern. Erfasst werden IP Adresse, Geräte und Browser Fingerprint, Seiten URL, Referrer, UTM Parameter, Klick und Scroll Ereignisse, angesehene Produkte, Verweildauer, Add to Cart und Checkout Ereignisse, der Händlerkatalog (Produkt IDs, Attribute, Preise) sowie die Antworten des Besuchers an den Assistenten. Mit optionalen Funktionen kann Cartful ausserdem eine eingeloggte Kunden ID oder eine im Anmeldeformular erfasste E-Mail erhalten. Alle Daten fliessen an Cartful APIs auf AWS US.
Ja. Cartful ist ein nicht notwendiger Dienst, der persistente Cookies und Local Storage zu Analyse und Profiling Zwecken setzt. Artikel 5 Absatz 3 ePrivacy Richtlinie und Paragraph 25 TDDDG verlangen daher eine vorherige, freiwillige, spezifische und informierte Einwilligung. Die Verarbeitung umfasst zudem systematisches Profiling im Sinne von Artikel 4 Nummer 4 DSGVO; nach EDSA Leitlinien 03/2022 ist deshalb eine ausdrückliche und granulare Einwilligung der richtige Ansatz. Das Widget darf nicht laden und es darf kein Ereignis an Cartful APIs gesendet werden, bevor die Consent Management Platform eine positive Einwilligung erfasst hat. Die Ablehnung muss ebenso einfach sein wie die Annahme.
Auf einer europäischen Website ist die Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO die einzige realistische Rechtsgrundlage für Cartful. Berechtigtes Interesse ist schwer haltbar, da die Verarbeitung persistentes sitzungsübergreifendes Profiling, Beeinflussung von Kaufentscheidungen durch Empfehlungen und einen Transfer in die USA kombiniert. Vertragserfüllung passt nicht, da der Käufer den Kauf ohne Empfehlungs Engine abschliessen kann. Die Einwilligung muss mit der ePrivacy Einwilligung für Cookies und Local Storage kombiniert sein, zweckgebunden (personalisierte Empfehlungen), informiert (Verantwortlicher, Auftragsverarbeiter, Transfer, Aufbewahrung) und jederzeit widerrufbar.
Ja. Cartful Solutions Inc. ist in den USA ansässig und verarbeitet Ereignisse auf AWS US Infrastruktur. Transfers aus dem EWR stützen sich auf das EU US Data Privacy Framework, sofern die empfangende Stelle zertifiziert ist, mit EU Standardvertragsklauseln (2021/914) als Fallback und einem Transfer Impact Assessment, das FISA 702 und Executive Order 12333 nach dem Schrems II Urteil adressiert. Der Händler muss den DPF Status des Importeurs prüfen, ergänzende Massnahmen dokumentieren (Verschlüsselung in Transit und At Rest, pseudonymisierte Kennungen, Zugriffskontrollen, Verfahren für Behördenzugriffe) und das Assessment bei Wechsel der Unterauftragsverarbeiter aktualisieren.
Eine DSFA nach Artikel 35 DSGVO wird empfohlen und ist häufig verpflichtend, da Cartful ein systematisches und umfangreiches Verhaltensprofiling von Online Shoppern durchführt, ein abgeleitetes Präferenzprofil erstellt, dieses zur Beeinflussung von Kaufentscheidungen nutzt und Daten in ein Drittland überträgt. Die DSFA muss Datenkategorien, Profiling Logik, Rechtsgrundlage, Aufbewahrungsdauer für Profil und Ereignishistorie, ergänzende Massnahmen, das Restrisiko, das Recht aus Artikel 22 DSGVO bei signifikanten Auswirkungen und die Wege zur Wahrnehmung von Auskunfts , Berichtigungs , Lösch und Widerspruchsrechten beschreiben.
Den Cartful Auftragsverarbeitungsvertrag unterzeichnen, das DPF Zertifikat des Importeurs prüfen, eine DSFA zu Profiling und US Transfer durchführen und die Consent Management Platform so konfigurieren, dass das Cartful Tag erst nach einer positiven Einwilligung lädt. Optionale Funktionen (E-Mail Erfassung, Cross Device, Anreicherung eingeloggter Nutzer) bis zur Einwilligung deaktivieren und nach Widerruf erneut deaktivieren. Aufbewahrung von Profil und Ereignishistorie dokumentieren und Löschungen inaktiver Profile über die Cartful Admin API anstossen. Datenschutzerklärung (Rechtsgrundlage, Transfermechanismus, Aufbewahrung) und Cookie Hinweis (namentlich genannte Cartful Cookies) aktualisieren.
Mehrere in der EU gehostete Empfehlungs und On Site Assistenten Tools sind prüfenswert: Nosto (EU Regionen), Algolia Recommend (EU Residenz), Klevu, Crobox, Findologic, Recombee (EU Server), Dynamic Yield (mit EU Residenz) sowie Open Source Ansätze wie Recommendations API auf einem selbst betriebenen Stack. Für Chat Assistenten reduzieren HubSpot ChatSpot oder selbst gehostete Rasa oder Botpress Instanzen auf EU Infrastruktur sowohl Einwilligungs als auch Transferrisiko. Die Auswahl hängt von Katalogtiefe, Latenz, Conversion Lift, Vertragsbedingungen (Auftragsverarbeitung, Unterauftragsverarbeiter, Transfermechanismen) und dem in der CMP rechtfertigbaren Profiling Niveau ab.
Im Cookie Hinweis die Cartful Cookies namentlich aufführen (cartful_session, cartful_visitor, cartful_profile) mit Dauer und Kategorie und sie in der CMP dem Cartful Zweck zuordnen. In der Datenschutzerklärung Cartful Solutions Inc. als Auftragsverarbeiter (oder gemeinsam Verantwortlichen je nach Vertrag) benennen, Datenkategorien aufführen (IP, Gerätedaten, Verhaltensereignisse, Chat Antworten, abgeleitetes Profil, optional E-Mail), Zielland nennen (USA), auf das EU US Data Privacy Framework und die EU Standardvertragsklauseln verweisen, die Aufbewahrungsdauer und Rechtswege angeben. Nach jeder Cartful Konfigurationsänderung erneut auditieren.