Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Flocktory ist eine russische Plattform für On Site Personalisierung, Pop ups, Empfehlungsprogramme und Post Purchase Marketing, im Eigentum von Sber. Sie verfolgt Besucher auf E Commerce Seiten und löst verhaltensbasierte Kampagnen aus. Eine Einwilligung ist erforderlich, und der Einsatz dieses Tools ist für EU Betreiber hochriskant, da Daten in der Russischen Föderation verarbeitet werden, einem Drittland ohne Angemessenheitsbeschluss nach DSGVO.
Flocktory ist eine Plattform für On Site Marketing, Personalisierung und Empfehlungsprogramme, die in Russland und der Gemeinschaft Unabhängiger Staaten weit verbreitet von E Commerce Seiten eingesetzt wird. Das Tool injiziert ein JavaScript Tag in die Seite, beobachtet das Besucherverhalten in Echtzeit, erstellt ein Profil und löst Kampagnen wie Exit Intent Pop ups, Post Purchase Angebote, E Mail Capture Formulare, Member get Member Empfehlungsprogramme und personalisierte Produktempfehlungen aus. Flocktory wurde von Sberbank, heute Sber, übernommen, einer staatlich kontrollierten russischen Bank, die EU und US Sanktionen unterliegt. Die Plattform wird aus der Russischen Föderation betrieben und richtet sich vorrangig an russische und GUS Händler.
Flocktory erhebt IP Adresse, User Agent, Browser und Geräte Fingerprinting Signale, persistente First Party und Third Party Cookies, Seiten URLs, Referrer, Scroll und Klick Ereignisse, Verweildauer, Warenkorb und Bestellinhalte sowie alle personenbezogenen Daten, die der Besucher in ein Formular eingibt, etwa E Mail Adresse, Telefonnummer oder Name. Die Ereignisse werden in Echtzeit über HTTPS an Flocktory Server gesendet und dort serverseitig mit dem Besucherprofil abgeglichen. Der Anbieter unterstützt zudem Server zu Server Integrationen, die das Profil mit vom Händler hochgeladenen Offline Daten anreichern.
Flocktory speichert personenbezogene Daten überwiegend in der Russischen Föderation, im Einklang mit der Datenlokalisierungsregel des föderalen Gesetzes 152 FZ, die die Speicherung personenbezogener Daten russischer Bürger auf in Russland befindlichen Servern verlangt. Die Russische Föderation ist von keinem Angemessenheitsbeschluss der Europäischen Kommission nach Artikel 45 DSGVO erfasst. Jeder Datentransfer aus dem EWR an Flocktory stellt daher einen internationalen Transfer dar, der sich auf die Garantien des Artikels 46 stützen muss, in der Praxis Standardvertragsklauseln, sowie auf eine Transfer Impact Assessment im Sinne des Schrems II Urteils des Gerichtshofs der Europäischen Union. Die TIA muss zum Ergebnis kommen, dass zusätzliche Maßnahmen gegen die weitreichenden Überwachungsbefugnisse russischer Behörden wirksam sind, insbesondere gegen das Abhörregime SORM und das föderale Gesetz 374 FZ, bekannt als Jarowaja Paket. In der Praxis werden die meisten EU Verantwortlichen feststellen, dass diese Maßnahmen nicht wirksam gemacht werden können, sodass als Rechtsgrundlage nur noch die Ausnahme der ausdrücklichen Einwilligung nach Artikel 49(1)(a) DSGVO bleibt, und das nur gelegentlich und nicht systematisch.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sber, Muttergesellschaft von Flocktory, unterliegt seit 2022 EU Restriktionsmaßnahmen, darunter Beschränkungen im Korrespondenzbankgeschäft und Vermögenseinfrierungen einzelner Führungskräfte. EU Betreiber, die personenbezogene Daten und Provisionen an einen Sber kontrollierten Anbieter übermitteln, müssen prüfen, dass die Vertragsbeziehung nicht gegen das EU Sanktionsregime verstößt, insbesondere die Verbote der Verordnung 833/2014 des Rates und die SWIFT Trennungsmaßnahmen. Über das rechtliche Risiko hinaus stellt der Einsatz eines an den russischen Staat gekoppelten Marketing Tools auf einer europäischen Markenseite ein Reputationsrisiko dar, das von Rechts, Compliance und Kommunikationsabteilungen bewertet werden sollte.
Da Flocktory Cookies setzt und Gerätekennungen zu Marketingzwecken ausliest, ist Artikel 5(3) der ePrivacy Richtlinie anwendbar. Eine vorherige, freiwillige, spezifische, informierte und unmissverständliche Einwilligung ist vor dem Laden eines Flocktory Scripts erforderlich. Das Script muss daher bedingt durch eine Consent Management Platform injiziert werden und darf niemals fest im Seitenkopf eingebunden sein. Der dem Nutzer angezeigte Informationshinweis muss den Transfer in die Russische Föderation, das Fehlen eines Angemessenheitsbeschlusses, das Risiko des Zugriffs durch russische Behörden und die Identität von Sber als oberster Muttergesellschaft offenlegen. Aufsichtsbehörden betonen wiederholt, dass eine ohne Offenlegung eines Hochrisiko Drittlandtransfers eingeholte Einwilligung nicht informiert und daher nicht wirksam ist.
Für die meisten EU Verantwortlichen ist Flocktory keine empfohlene Wahl. Die Kombination aus einem nicht angemessenen Drittland, einer Eigentümerstruktur, die EU Sanktionen unterliegt, und dem Fehlen wirksamer zusätzlicher Maßnahmen gegen staatliche Überwachung führt zu einem hohen Restrisiko. EU Betreiber, die das Tool weiterhin nutzen müssen, etwa um russische oder GUS Zielgruppen über eine separate Domain zu bedienen, sollten diesen Einsatz isolieren, auf einwilligende Nutzer beschränken, die Ausnahme nach Artikel 49 dokumentieren und Datenverkehr von EU Ansässigen auf Ebene der Consent Management Platform geografisch ausschließen.
Websites using Flocktory must obtain user consent under GDPR regulations.
DPIA considerations
Flocktory verarbeitet personenbezogene Daten in der Russischen Föderation, einem Land ohne DSGVO Angemessenheitsbeschluss. Eine Datenschutz Folgenabschätzung nach Artikel 35 DSGVO wird dringend empfohlen und ist in den meisten Fällen formell erforderlich, bevor das Tool auf einer auf die EU gerichteten Seite eingesetzt wird. Die DSFA muss umfassen: die Kategorien der erhobenen Daten (IP Adresse, Browser und Geräteidentifikatoren, Verhaltensereignisse, E Mail sofern angegeben, Kaufdaten), die Rechtsgrundlage für den Transfer nach Russland gemäß Artikel 46 DSGVO, das Vorhandensein und die Wirksamkeit zusätzlicher Maßnahmen gegen Zugriffe russischer Behörden gemäß föderalem Gesetz 374 FZ und SORM Abhörregime, die Auswirkungen der EU Sanktionen und der Eigentümerschaft durch Sber, die Speicherdauer, die tatsächliche Wahrnehmbarkeit der Betroffenenrechte, wenn der Datenverantwortliche nur in Russland erreichbar ist, sowie die Verfügbarkeit weniger eingriffsintensiver Alternativen im EWR.
Sample consent text
Wir nutzen Flocktory, einen von Flocktory Ltd, Teil der Sber Gruppe, betriebenen Marketing Personalisierungsdienst, um auf dieser Seite Pop ups und personalisierte Angebote auszuspielen. Flocktory setzt Cookies auf Ihrem Gerät, erstellt ein Verhaltensprofil und überträgt Ihre personenbezogenen Daten, einschließlich Ihrer IP Adresse und Ihrer Browsing Ereignisse, an Server in der Russischen Föderation. Die Russische Föderation wird von der Europäischen Kommission nicht als angemessenes Datenschutzniveau anerkannt, und Ihre Daten können durch russische Behörden eingesehen werden. Mit dem Klick auf Akzeptieren erteilen Sie Ihre ausdrückliche Einwilligung zu diesen Cookies und zu diesem internationalen Datentransfer gemäß Artikel 49(1)(a) DSGVO.
Third-party domains contacted
flocktory.comwww.flocktory.comapi.flocktory.comcdn.flocktory.comstatic.flocktory.comevents.flocktory.comp.flocktory.comtracking.flocktory.comsber.rusberbank.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| flocktory | third_party | 1 year | Primary Flocktory identifier cookie used to recognize the visitor across sessions and to attribute popup impressions, conversions and referral events. Stores a unique pseudonymous user ID linked to the behavioral profile on Flocktory servers in Russia. |
| flocktory_uid | third_party | 1 year | Visitor unique identifier set by the Flocktory tag for cross page tracking, profile building and audience segmentation, used to trigger personalized campaigns. |
| flocktory_session | third_party | Session | Session cookie that groups the events of a single visit, used to evaluate campaign triggering rules such as exit intent, scroll depth and time on page. |
| _flocktory | first_party | 1 year | Mirrored first party cookie set on the merchant domain when first party context is enabled, carrying the same Flocktory user identifier to bypass third party cookie restrictions in modern browsers. |
| flocktory_referrer | first_party | 6 months | Stores the identifier of the referring user in a member get member referral campaign, used to attribute the reward when the referred visitor completes a qualifying action. |
| flocktory_popup_state | first_party | 30 days | Stores the state of each popup or exit intent campaign already shown to the visitor, used to enforce frequency capping and prevent re displaying a dismissed offer. |
| flocktory_test | third_party | 90 days | A or B test assignment cookie that pins the visitor to a specific variant of a personalization campaign for the duration of the test to ensure consistent experience and reliable measurement. |
| flocktory_email_lead | first_party | 180 days | Marker cookie indicating that the visitor has submitted an email address through a Flocktory capture form, used to suppress further email capture popups and link the future browsing to the captured contact. |
Flocktory ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Ja. Flocktory setzt Cookies und liest Gerätekennungen zur Marketing Personalisierung aus, daher ist Artikel 5(3) der ePrivacy Richtlinie anwendbar. Eine vorherige, freiwillige, spezifische, informierte und unmissverständliche Einwilligung ist erforderlich, bevor ein Flocktory Script geladen wird. Das Script muss bedingt durch eine Consent Management Platform injiziert werden. Da Flocktory zudem Daten in der Russischen Föderation verarbeitet, muss die Einwilligung ausdrücklich den internationalen Transfer in ein nicht angemessenes Land, das Fehlen eines Angemessenheitsbeschlusses, das Risiko des Zugriffs durch russische Behörden und die Muttergesellschaft Sber offenlegen.
Flocktory speichert personenbezogene Daten überwiegend in der Russischen Föderation, im Einklang mit dem russischen föderalen Gesetz 152 FZ zur Datenlokalisierung. Konkret werden, wenn ein europäischer Besucher eine Seite besucht, die Flocktory lädt, Kennungen und Verhaltensereignisse an Server unter russischer Hoheit übermittelt. Die Russische Föderation ist nicht Gegenstand eines Angemessenheitsbeschlusses der Europäischen Kommission nach Artikel 45 DSGVO.
Hoch. Die Kombination aus Verhaltensprofilierung, persistenten Kennungen, internationalem Transfer in ein nicht angemessenes Land, Eigentum einer sanktionierten staatlich kontrollierten russischen Bank und den weitreichenden Überwachungsbefugnissen russischer Behörden nach SORM und föderalem Gesetz 374 FZ erzeugt ein hohes Restrisiko für EU Verantwortliche. Eine Datenschutz Folgenabschätzung nach Artikel 35 DSGVO wird dringend empfohlen, und der Einsatz sollte nur in Erwägung gezogen werden, wenn keine im EWR gehostete Alternative verfügbar ist.
Schrems II betraf Transfers in die USA, aber die Begründung gilt sinngemäß für jeden Transfer in ein Drittland ohne Angemessenheitsbeschluss. Russland gehört dazu. Der Verantwortliche muss eine Transfer Impact Assessment durchführen, prüfen, ob das russische Recht, insbesondere das föderale Gesetz 374 FZ und das SORM Abhörregime, ein im Wesentlichen gleichwertiges Schutzniveau wie in der EU gewährleistet, und zusätzliche Maßnahmen identifizieren. In den meisten Fällen können diese Maßnahmen nicht wirksam gegen Zugriffsrechte des russischen Staates gemacht werden.
Allein, nein. SCC sind ein vertragliches Instrument und können den Zugriff russischer Behörden auf Daten nicht verhindern. Sie müssen durch zusätzliche technische, vertragliche und organisatorische Maßnahmen ergänzt werden, deren Wirksamkeit der Verantwortliche im russischen Rechtskontext nachweisen muss. Angesichts der russischen Überwachungs und Datenzugriffsgesetze kommt die EDSA artige Analyse meist zu dem Ergebnis, dass wirksame Maßnahmen nicht konzipiert werden können. In der Praxis bleibt als rechtlicher Weg die gelegentliche Ausnahme der ausdrücklichen Einwilligung nach Artikel 49(1)(a) DSGVO.
Möglich. Sber, Muttergesellschaft von Flocktory, unterliegt EU Restriktionsmaßnahmen nach Verordnung 833/2014 des Rates und verwandten Instrumenten, darunter Beschränkungen im Korrespondenzbankgeschäft und Vermögenseinfrierungen einzelner Führungskräfte. EU Betreiber sollten eine rechtliche Prüfung einholen, die bestätigt, dass die Zahlung von Gebühren, die Vertragsbeziehung und die Datenverarbeitungsvereinbarung mit einem von Sber kontrollierten Anbieter nicht in den Anwendungsbereich eines Verbots fallen, einschließlich indirekter Erleichterung, und dass die Gegenpartei nicht auf der EU Sanktionsliste steht.
In den meisten EU Einsätzen ja. Aufsichtsbehörden sehen, dass die systematische Verhaltensprofilierung von Webseitenbesuchern in Kombination mit einem Transfer in ein nicht angemessenes Drittland mit hohem staatlichen Datenzugriff mehrere Kriterien der WP29 Leitlinien zur DSFA erfüllt. Eine DSFA nach Artikel 35 DSGVO ist daher vor dem Go Live durchzuführen und zu dokumentieren, mit einer klaren Schlussfolgerung zum Restrisiko und zu den geprüften Alternativen.
Es gibt mehrere im EWR gehostete Alternativen für On Site Personalisierung, Pop ups, Exit Intent und Empfehlungsmarketing, sowohl europäische als auch US Anbieter mit EU Regionen und ordnungsgemäßen Transfermechanismen nach Artikel 46 mit wirksamen zusätzlichen Maßnahmen. Für die meisten EU Verantwortlichen ist die Wahl einer dieser Alternativen der am besten verteidigbare Ansatz. Flocktory sollte nur für speziell auf russische oder GUS Zielgruppen ausgerichtete Properties in Erwägung gezogen werden, auf isolierten Domains bereitgestellt und mit EU Traffic, der per Geofencing ausgeschlossen wird.