Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Ketch ist eine Privacy Operations Plattform von Ketch.com Inc. (San Francisco). Sie kombiniert eine Consent Management Plattform mit Data Mapping, Automatisierung von Betroffenenrechten und der Verarbeitung des Global Privacy Control Signals. Die CMP unterstuetzt IAB TCF v2.2 fuer europaeische Programmatic Werbung; die Plattform deckt zudem CCPA, CPRA und weitere US Bundesstaatengesetze ab. Europaeische Betreiber nutzen Ketch, um Einwilligungen und Betroffenenrechte ueber Jurisdiktionen hinweg zu koordinieren, muessen die Datenresidenz aber bewusst konfigurieren, da die Standardinfrastruktur in den USA liegt.
Ketch ist eine Privacy Operations Plattform der 2018 gegruendeten Ketch.com Inc. aus San Francisco. Die Plattform vereint vier Hauptbausteine: eine CMP mit Banner, Praeferenzcenter und TCF v2.2 Unterstuetzung; ein Data Mapping und Inventarisierungs Werkzeug, das Datenfluesse in der Organisation nachzeichnet; eine Automatisierung von Betroffenenrechten (Auskunft, Loeschung, Datenuebertragbarkeit, Widerspruch); und einen Layer fuer Global Privacy Control und Universal Opt Out Mechanismen, der Browser Privacy Signale unter den verschiedenen US Bundesstaatengesetzen interpretiert. Europaeische Betreiber nutzen Ketch typischerweise fuer CMP und Betroffenenrechte, oft in Umgebungen, die zugleich US Gesetzen wie CCPA und CPRA gerecht werden muessen.
Die CMP schreibt ketch_consent (Standard 12 Monate), eine JSON Aufzeichnung der Entscheidung pro Zweck samt Zeitstempel, und _swb (ebenfalls 12 Monate) als Backend ID, ueber die der Consent Record in den Ketch Datenbanken gefunden wird. Bei aktiviertem TCF v2.2 fuer europaeische Programmatic Werbung wird zusaetzlich das Standardcookie euconsent-v2 gesetzt. Das Backend speichert das Consent Log mit IP und User Agent als Nachweis. Fuer Betroffenenrechte verarbeitet Ketch Name, E Mail, Telefon, Freitextbeschreibung und ggf. Verifikationsunterlagen. GPC Signale werden ueber navigator.globalPrivacyControl ausgelesen und nach konfigurierten Policies in einen automatischen Opt Out umgewandelt.
Erwaegungsgrund 30 der ePrivacy Richtlinie akzeptiert die Speicherung der Nutzerentscheidung als erforderliche Verarbeitung, das Ketch Banner darf daher vor Einwilligung laden. Art. 7 Abs. 1 DSGVO buerdet dem Verantwortlichen die Nachweispflicht der Einwilligung auf, was das Consent Log unter berechtigtem Interesse oder rechtlicher Verpflichtung rechtfertigt. Fuer Betroffenenrechte ist die Rechtsgrundlage in der Regel rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c), da die DSGVO selbst die Bearbeitung der Antraege nach Art. 15 bis 22 vorschreibt, die Aufbewahrung ist auf das fuer den Nachweis gegenueber Aufsichtsbehoerden Notwendige begrenzt. Die TCF Integration teilt die Erwaegungen jeder TCF CMP, einschliesslich des APD Urteils gegen IAB Europe und der EDSA Pruefung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ketch stellt bei aktiviertem TCF die globale __tcfapi() bereit, plus eine eigene ketch() Command Queue fuer nicht TCF Vendoren. Betreiber binden jedes nachgelagerte Tag (Google Analytics, Meta Pixel, eigene Pixel) per Server Side Gating, GTM Consent Triggern oder dem Ketch Policy Engine an den passenden Ketch Zweck. Die Plattform unterstuetzt Google Consent Mode v2 Mapping: Analytics Zweck setzt analytics_storage, Werbe Zweck setzt ad_storage, ad_user_data und ad_personalization. Fuer Mobile decken die Ketch SDKs Android und iOS mit App Tracking Transparency Integration ab.
Die Standardinfrastruktur laeuft auf AWS us-west-2 und us-east-1. Das Banner kann ueber CloudFront Edges in EU Naehe ausgeliefert werden, Consent Log und Betroffenenanfragen liegen jedoch standardmaessig auf US Infrastruktur, ausser der Betreiber verhandelt EU Residenz auf eu-west-1 (Irland) oder eu-central-1 (Frankfurt). Ketch ist nach EU US Data Privacy Framework selbstzertifiziert und setzt SCC fuer Transfers ausserhalb des DPF ein. Wer sensible Betroffenenanfragen verarbeitet oder strenge EU only Zusagen gemacht hat, sollte die EU Residenz Option vor dem Roll out einfordern.
Banner mit gleichwertiger Sichtbarkeit von Akzeptieren und Ablehnen, ohne vorausgefuellte Kaestchen, granulare Steuerungen einen Klick entfernt, Widerrufslink im Footer. Alle Tags ueber die Policy Engine den Ketch Zwecken zuordnen und per Cookie Scan pruefen. Global Privacy Control fuer EU Besucher beruecksichtigen (mehrere Aufsichtsbehoerden erkennen GPC als gueltiges Widerspruchssignal an) und GPC Handling mit US Gesetzen abgleichen, wo zutreffend. Gewaehlte Residenzoption, Transfermechanismus und DSR Aufbewahrungsfristen im Verarbeitungsverzeichnis dokumentieren. Den DSR Fluss vor Go Live End to End testen, inklusive Verifikationsschritt.
Websites using Ketch must obtain user consent under GDPR regulations.
DPIA considerations
Ketch schreibt das Cookie ketch_consent (Standardlaufzeit 12 Monate) mit der Entscheidung pro Zweck, das Backend Cookie _swb und das Standardcookie euconsent-v2, sobald TCF v2.2 aktiviert ist. DSFA Kernpunkte: (1) Consent Records sind personenbezogene Daten, weil sie an IP, Zeitstempel und persistente ID gebunden sind, ihre Verarbeitung unterfaellt der DSGVO; (2) Ketch hat US Sitz mit US Standardinfrastruktur, Transfers in die USA muessen unter Schrems II bewertet werden, auch unter dem EU US Data Privacy Framework; (3) die Plattform verarbeitet zudem Betroffenenanfragen (Name, E Mail, Telefon, Freitext, Verifikationsunterlagen), sensiblere Daten, fuer die sich EU Residenz lohnt; (4) enthaelt das SDK Experience Analytics, benoetigt diese Verarbeitung eine eigenstaendige Rechtsgrundlage (Einwilligung); (5) das TCF v2.2 Deployment unterliegt denselben Erwaegungen wie jede TCF CMP, einschliesslich des APD Urteils gegen IAB Europe. Eine DSFA ist empfohlen, sobald Ketch Betroffenenrechte ueber die reine Einwilligungserfassung hinaus verwaltet.
Sample consent text
Wir nutzen Ketch als Privacy Operations Plattform, dazu gehoert auch der Consent Banner, den Sie gerade sehen. Ketch speichert Ihre Praeferenzen in einem First Party Cookie (ketch_consent, Laufzeit 12 Monate) und synchronisiert die Entscheidung mit Servern von Ketch.com Inc. in den USA, damit wir Ihre Einwilligung nachweisen und Ihre Rechte ueber alle unsere Dienste hinweg respektieren koennen. Sie koennen die Einwilligung jederzeit ueber den Link Datenschutz Praeferenzen im Footer aendern oder widerrufen und ueber dieselbe Oberflaeche einen Antrag auf Auskunft, Loeschung oder Widerspruch stellen.
Third-party domains contacted
global.ketchcdn.comconfig.ketchcdn.comcd.ketchcdn.complugins.ketchcdn.comketch.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| ketch_consent | Strictly Necessary / Consent | 12 months | Set by Ketch. Stores the JSON encoded per purpose consent decision (analytics, advertising, functional, etc.) plus the timestamp and version of the policy displayed when the user made their choice. |
| _swb | Strictly Necessary / Consent | 12 months | Set by Ketch. Backend identifier used to look up the persistent consent record on the Ketch servers, so that the same decision can be applied across subdomains and synchronised to mobile apps. |
| _swb_consent_ | Strictly Necessary / Consent | 12 months | Set by Ketch. Mirrors the high level consent state per jurisdiction (EU, California, etc.), allowing the SDK to apply different rules to visitors from different regions without re reading the full ketch_consent payload. |
| euconsent-v2 | Strictly Necessary / Consent | 12 months | Set by Ketch when IAB Europe TCF v2.2 is enabled. Stores the standard TCF consent string used by downstream programmatic advertising vendors. |
| usprivacy | Strictly Necessary / Consent | 12 months | Set by Ketch under the IAB CCPA Compliance Framework. Stores the US Privacy String reflecting opt out status for California and other US state law sales/sharing flows. |
Ketch ist ein essenzieller Dienst, aber Transparenz ist wichtig. Verwalten Sie Ihre gesamte Einwilligung mit FlowConsent.
Ketch schreibt ketch_consent (Standardlaufzeit 12 Monate) mit der JSON kodierten Entscheidung pro Zweck, _swb (12 Monate) als Backend ID zum Auffinden des Consent Records in den Ketch Datenbanken und euconsent-v2 (12 Monate), wenn das IAB TCF v2.2 Framework aktiviert ist. Eine Spiegelkopie liegt im Local Storage. Alle Cookies sind First Party auf der Betreiber Domain.
Erwaegungsgrund 30 der ePrivacy Richtlinie akzeptiert die Speicherung der Nutzerentscheidung als erforderliche Verarbeitung, das Ketch Banner darf vor Einwilligung laden. Jede weitere SDK Funktion (Analytics, Experimentation, DSR Tracking Pixel) benoetigt eine eigene Rechtsgrundlage und muss bis zur Erteilung des passenden Zwecks geblockt sein.
Der Consent Record selbst stuetzt sich auf berechtigtes Interesse (Art. 6 Abs. 1 lit. f) oder alternativ rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c), da Art. 7 Abs. 1 DSGVO den Nachweis der Einwilligung verlangt. DSR Workflows ruhen auf rechtlicher Verpflichtung, weil Art. 15 bis 22 DSGVO die Bearbeitung vorschreiben. Marketing oder Analytics Funktionen auf Basis von Ketch (Ketch Tags, nachgeordnete Pixel) benoetigen Einwilligung nach Art. 6 Abs. 1 lit. a.
Standardmaessig ja. Ketch.com Inc. hat Sitz in San Francisco; das Standard Tenant laeuft auf AWS us-west-2 und us-east-1. Enterprise Kunden koennen EU only Residenz auf eu-west-1 (Irland) oder eu-central-1 (Frankfurt) verhandeln. Ketch ist nach EU US Data Privacy Framework selbstzertifiziert und nutzt SCC als Rueckfallmechanismus.
Eine DSFA ist empfohlen, sobald Ketch fuer Betroffenenrechte genutzt wird, weil die verarbeiteten Daten (Name, E Mail, Freitext, Verifikationsunterlagen) sensibler sind als ein Consent Record. Die DSFA sollte Rechtsgrundlage jeder Funktion, Residenzoption, Transfermechanismus fuer in den USA verarbeitete Daten, Aufbewahrungsfristen sowie Sicherheitsmassnahmen fuer Verifikationsunterlagen abdecken.
Banner mit gleichwertiger Sichtbarkeit Akzeptieren/Ablehnen, ohne vorausgefuellte Kaestchen, granulare Steuerungen, Link Datenschutz Praeferenzen im Footer, der das Banner erneut oeffnet. Jedes nachgeordnete Tag im Policy Engine an einen Ketch Zweck koppeln, Server Side Gating fuer Hochrisiko Vendoren. Global Privacy Control beruecksichtigen, wo es rechtlich Bedeutung hat. Residenz, Transfermechanismus und Aufbewahrungsfristen im Verarbeitungsverzeichnis dokumentieren.
Privacy Operations Plattformen mit CMP + DSR: OneTrust, Securiti, Transcend, DataGrail, Osano. Reine CMP Alternativen: Didomi (FR), Sourcepoint, Cookiebot, Usercentrics (DE), Axeptio (FR). Fuer EU Standard Residenz: Didomi und Usercentrics sind EU basiert, waehrend Ketch, OneTrust und Securiti per Default auf US Infrastruktur laufen und EU Residenz als kostenpflichtige Option anbieten.
ketch_consent, _swb und euconsent-v2 unter den strikt erforderlichen Cookies mit Zweck und Laufzeit auffuehren. Ketch.com Inc. als CMP Auftragsverarbeiter in der Datenschutzerklaerung benennen, die gewaehlte Residenzoption deklarieren und den Transfermechanismus (EU US Data Privacy Framework oder SCC) zitieren. Eine Echtzeit Vendor Tabelle fuer nachgeordnete, ueber die Ketch Policy gesteuerte Tags pflegen. Im Footer einen funktionierenden Praeferenzlink anbieten, der das Ketch Banner erneut oeffnet.