Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Yotpo Reviews ist eine der weltweit groessten Plattformen fuer Kundenbewertungen und nutzergenerierte Inhalte und wird von E-Commerce-Marken eingesetzt, um Produktbewertungen, Sternebewertungen, Fotos und Videos zu sammeln, zu moderieren und anzuzeigen. Yotpo laedt ein JavaScript-Widget auf den Shop-Seiten, setzt persistente Cookies und uebertraegt Verhaltens- und personenbezogene Daten (E-Mail-Adressen, IP, Browser-Fingerprint, Bewertungsbeitraege) an Yotpo-Server in den USA. Der Einsatz auf einem europaeischen Shop erfordert eine vorherige Einwilligung gemaess DSGVO und ePrivacy-Richtlinie.
Yotpo Reviews ist eine Plattform fuer nutzergenerierte Inhalte, mit der E-Commerce-Haendler Produktbewertungen, Sternebewertungen, Kundenfotos und Videos direkt von Kaeufern sammeln koennen. Sie integriert sich in Shopify, Magento, Salesforce Commerce Cloud, BigCommerce und die meisten grossen Commerce-Plattformen und wird in der EU breit von Direct-to-Consumer-Marken eingesetzt. Yotpo versendet automatische Nachkauf-E-Mails mit Bewertungsanfragen und zeigt die entstandenen Inhalte auf Produktseiten, in Suchergebnissen, in bezahlten Anzeigen und in sozialen Kanaelen an.
Auf jeder Seite, auf der das Widget laedt, setzt Yotpo einen Session-Cookie (_yo_session), einen Tracking-Pixel-Cookie (yotpo_pixel) und speichert den Bewertungsstatus in localStorage. Erfasst werden IP-Adresse, User-Agent, Seiten-URL, Referrer, Produktkennungen und Verweildauer-Metriken. Wenn ein Kunde eine Bewertung einreicht, erfasst Yotpo Name, E-Mail-Adresse, hochgeladene Fotos oder Videos und den Bewertungstext. E-Mail-Adressen werden ausserdem ueber eine Server-zu-Server-Integration aus den Bestelldaten des Haendlers importiert, was unabhaengig von der Cookie-Einwilligung verarbeitet wird.
Yotpo ist Auftragsverarbeiter fuer die im Auftrag des Haendlers erhobenen Bewertungsdaten und eigenstaendig Verantwortlicher fuer Nutzungsanalyse und Produktverbesserung. Nach der ePrivacy-Richtlinie (in nationales Recht umgesetzt durch das deutsche TTDSG, die franzoesischen CNIL-Leitlinien und die spanische LSSI) erfordert das Speichern nicht notwendiger Cookies auf dem Geraet eines Besuchers eine informierte vorherige Einwilligung. Da das Yotpo-Widget Analyse- und Pixel-Cookies setzt, ist eine Einwilligung erforderlich, bevor das Skript geladen wird. Serverseitige E-Mail-Anfragen stuetzen sich auf berechtigtes Interesse nach Art. 6(1)(f) DSGVO, erfordern aber Transparenz in der Datenschutzerklaerung und einen bedingungslosen Abmeldelink in jeder E-Mail.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Alle Bewertungsdaten, E-Mail-Adressen und Verhaltensereignisse werden auf der US-Infrastruktur von Yotpo verarbeitet (Yotpo Ltd., Tochtergesellschaft von Yotpo Inc., mit AWS-Hosting in den US-East-Regionen). Dies stellt eine Uebermittlung nach Kapitel V DSGVO dar. Yotpo bietet einen Auftragsverarbeitungsvertrag mit den 2021er Standardvertragsklauseln, doch Kunden muessen unabhaengig ein Transfer Impact Assessment durchfuehren, um das Risiko des Zugriffs durch US-Behoerden nach FISA 702 und Executive Order 12333 zu bewerten. Zusaetzliche Massnahmen wie die Pseudonymisierung von Bewertungs-E-Mails werden fuer sensible Produktkategorien empfohlen.
Das Yotpo-Widget muss an eine granulare Einwilligungsoption in Ihrem CMP gekoppelt werden, typischerweise in der Kategorie Marketing oder Analyse. Yotpo stellt eine JavaScript-API bereit (yotpo.refreshWidgets()), mit der Bewertungen erst nach Annahme der entsprechenden Kategorie geladen werden. Fuer Einsaetze mit Google Consent Mode v2 sollten Yotpo-Ereignisse an die Signale ad_storage und analytics_storage gekoppelt sein. Die E-Mail-Erhebung fuer Bewertungsanfragen muss beim Checkout offengelegt werden, mit Opt-out-Kontrollkaestchen oder einem klaren Praeferenzzentrum nach dem Kauf.
1. Yotpo Auftragsverarbeitungsvertrag mit SCC unterzeichnen und Transfer Impact Assessment durchfuehren. 2. Yotpo-Skript im CMP blockieren und nur nach Einwilligung laden. 3. Rechtsgrundlage fuer Bewertungs-E-Mails im Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) dokumentieren. 4. Yotpo in der Datenschutzerklaerung mit explizitem Hinweis auf USA-Uebermittlung auffuehren. 5. Bewertungsformular auf das datensparsame Minimum konfigurieren, ohne vorausgewaehlte Marketing-Kontrollkaestchen. 6. DSAR-Workflow fuer Bewertungsloeschungen einrichten, da Yotpo Bewertungsinhalte standardmaessig unbegrenzt aufbewahrt.
Websites using Yotpo Reviews must obtain user consent under GDPR regulations.
DPIA considerations
Yotpo Reviews verarbeitet erhebliche personenbezogene Daten: Kunden-E-Mail-Adressen (zur Ausloesung von Nachkauf-Bewertungsanfragen), vollstaendige Namen, Bewertungstexte und Fotos, IP-Adressen, Geraete- und Browser-Fingerprint sowie Verhaltensdaten wie Verweildauer und Produktinteraktionen. Persistente Cookies (_yo_session, yotpo_pixel) ermoeglichen sitzungsuebergreifendes Tracking. Saemtliche Daten werden an Yotpos US-Infrastruktur und AWS US-Regionen uebertragen, was Kapitel V DSGVO auf den Plan ruft. Wesentliche DSFA-Aspekte: (1) grenzueberschreitende Uebermittlung in eine nicht angemessene Jurisdiktion, abgemildert durch SCC und Transfer Impact Assessment; (2) Verarbeitung nutzergenerierter Inhalte, die unbeabsichtigt besondere Kategorien personenbezogener Daten (Gesundheit, Religion) enthalten koennen; (3) E-Mail-basierte Identifizierung, die Bewertungstaetigkeit mit Kundenkonten verknuepft; (4) Risiko sekundaerer Nutzung fuer Produktanalysen und KI-Training ohne separate Rechtsgrundlage; (5) Integration mit Meta-, Google- und TikTok-Pixeln fuer Bewertungs-Syndication erhoeht die Angriffsflaeche. Eine DSFA wird gemaess Art. 35 DSGVO fuer jeden Einsatz empfohlen, der mehr als einige tausend Kunden pro Jahr betrifft.
Sample consent text
Wir nutzen Yotpo, um Produktbewertungen und Kundenfotos zu sammeln, anzuzeigen und zu moderieren. Yotpo setzt Cookies auf Ihrem Geraet und verarbeitet personenbezogene Daten (einschliesslich Ihrer E-Mail-Adresse, IP-Adresse, Browsing-Aktivitaet und eingereichten Bewertungen), um die Bewertungssammlung und -anzeige zu ermoeglichen. Diese Daten werden an Yotpo Ltd. in den USA uebertragen. Sie koennen Ihre Einwilligung jederzeit ueber unsere Cookie-Einstellungen widerrufen.
Third-party domains contacted
staticw2.yotpo.comapi.yotpo.comp.yotpo.comcdn-loyalty.yotpo.comcdn-widgetsrepository.yotpo.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _yo_session | Functional / Analytics | Session | Maintains Yotpo widget state and tracks the visitor across the current browsing session for review attribution and impression counting. |
| yotpo_pixel | Marketing / Tracking | 1 year | Persistent identifier used to attribute reviews and ad-clicks across Yotpo's syndication network (Meta, Google Shopping, TikTok) and to deduplicate impressions. |
| _yo_csrf | Strictly necessary | Session | CSRF protection token used when submitting reviews and uploading media. Required for the review submission form to function securely. |
| yotpo-session-<APP_KEY> | Functional | 30 days | Stores anonymous user identifier used to remember which reviews the visitor has already seen, voted on, or written. |
Yotpo Reviews verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Yotpo setzt mindestens einen Session-Cookie (_yo_session) und einen Tracking-Pixel-Cookie (yotpo_pixel) auf jeder Seite, auf der das Widget laedt. Zusaetzlich werden Bewertungsentwuerfe und Widget-Status in localStorage geschrieben. Pixel-Daten werden mit den Syndication-Partnern von Yotpo (Meta, Google Shopping, TikTok) geteilt, wenn diese Integrationen aktiviert sind. Keiner dieser Cookies ist strikt notwendig, daher erfordern alle eine vorherige Einwilligung gemaess ePrivacy-Richtlinie.
Ja. Das Yotpo-Widget setzt ab dem Moment des Ladens nicht notwendige Cookies und einen Tracking-Pixel. Daher muessen Sie nach Art. 5(3) ePrivacy-Richtlinie und den EDPB-Cookie-Leitlinien eine vorherige, freiwillige, spezifische und informierte Einwilligung einholen. Das Skript sollte durch Ihr CMP blockiert und erst nach Annahme der Kategorie Marketing oder Analyse eingebunden werden.
Die Rechtsgrundlage haengt von der Taetigkeit ab. Cookie-Setzung stuetzt sich auf Einwilligung (Art. 6(1)(a) DSGVO und Art. 5(3) ePrivacy). Der Versand von Nachkauf-Bewertungsanfragen an Bestandskunden kann sich auf berechtigtes Interesse stuetzen (Art. 6(1)(f) DSGVO), sofern eine Abmeldemoeglichkeit vorhanden ist und die Soft-Opt-in-Regeln des nationalen Rechts eingehalten werden. Die Anzeige eingereichter Bewertungen auf dem Shop stuetzt sich auf die bei Einreichung gegebene Einwilligung des Rezensenten und auf das berechtigte Interesse des Haendlers an der Veroeffentlichung nutzergenerierter Inhalte.
Ja. Yotpo Ltd. und Yotpo Inc. hosten alle Kundendaten in den USA, in AWS US East-Regionen. Die Uebermittlung ist durch die 2021er Standardvertragsklauseln im Yotpo Data Processing Addendum abgedeckt. Sie muessen ein Transfer Impact Assessment durchfuehren, weil US-Gesetze (FISA 702, EO 12333) grundsaetzlich eine Offenlegung gegenueber US-Geheimdiensten erzwingen koennen. Zusaetzliche Massnahmen wie Verschluesselung im Transit und im Ruhezustand sind bereits implementiert, aber eine zusaetzliche Pseudonymisierung kann fuer sensible Produktbereiche erforderlich sein.
Eine DSFA wird empfohlen, sobald Sie Bewertungen und E-Mail-Adressen von mehr als einigen tausend EU-Kunden pro Jahr erfassen, weil die Verarbeitung systematische Beobachtung von Kundenverhalten, automatische Ausloesung von E-Mail-Kontakt und eine grenzueberschreitende Uebermittlung in eine nicht angemessene Jurisdiktion umfasst. Die EDPB-Liste der DSFA-pflichtigen Verarbeitungen enthaelt grossangelegte Verarbeitung in Kombination mit Drittlandtransfers, beides trifft hier zu.
Unterzeichnen Sie den Yotpo Auftragsverarbeitungsvertrag mit SCC, fuehren Sie ein Transfer Impact Assessment durch, blockieren Sie das Widget im CMP, laden Sie es erst nach Einwilligung fuer die relevante Kategorie, dokumentieren Sie die Interessenabwaegung fuer Bewertungsanfrage-E-Mails, koppeln Sie Yotpo-Ereignisse an Google Consent Mode-Signale wo zutreffend und aktualisieren Sie Ihre Datenschutzerklaerung zur Offenlegung des USA-Transfers und der verarbeiteten Datenkategorien.
Europaeische oder in der EU gehostete Alternativen sind Trustpilot (mit EU-Datenresidenz), Loox (nur Shopify, EU-Server), Reviews.io (UK-basiert mit EU-Optionen), Avis Verifies (Frankreich, NF Service-zertifiziert) und Trusted Shops (Deutschland). Alle benoetigen weiterhin Einwilligung fuer nicht notwendige Cookies, reduzieren aber das Risiko grenzueberschreitender Transfers und bieten einfachere DSGVO-Dokumentation.
Fuegen Sie einen eigenen Eintrag in Ihrer Cookie-Richtlinie hinzu, der _yo_session, yotpo_pixel und alle Syndication-Cookies (z.B. Meta Pixel via Yotpo) auflistet. Dokumentieren Sie Zweck, Laufzeit und Kategorie jedes Cookies. In Ihrer Datenschutzerklaerung fuegen Sie einen Abschnitt hinzu, der Yotpo Ltd. als Auftragsverarbeiter offenlegt, die geteilten personenbezogenen Datenkategorien (E-Mail, Name, Bewertungsinhalt, IP, Browsing-Daten), die USA-Uebermittlung und die Rechtsgrundlage (Einwilligung fuer Marketing-Cookies, berechtigtes Interesse fuer Bewertungsanfrage-E-Mails).