Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Nootiz ist ein österreichisches Tool für visuelles Feedback und Annotationen, das ein leichtes Widget in Websites einbettet, damit Kunden, Designer und Entwickler direkt auf der Seite angeheftete Kommentare hinterlassen können. Eingesetzt wird es typischerweise auf Staging-Umgebungen und während Produktions-Reviews. Das Widget setzt funktionale Cookies für die Sitzung der Reviewer, für Kommentare und den Projektzustand. Die Server stehen in Österreich, wodurch die Verarbeitung im EWR verbleibt und der Compliance-Aufwand gegenüber außereuropäischen Tools sinkt.
Nootiz ist ein österreichisches Tool für visuelles Feedback und Annotationen, das für Webteams entwickelt wurde. Ein kleines JavaScript-Widget wird auf einer Staging- oder Produktionswebsite eingebettet; autorisierte Nutzer wie Kundinnen und Kunden, Projektleitende, Designer und Entwickler können an beliebiger Stelle der Seite einen angehefteten Kommentar hinterlassen, der das Element, den Browserkontext und optional einen Screenshot erfasst. Diskussionsstränge, Zuweisungen und Status werden im Nootiz-Dashboard verwaltet, das zur Single Source of Truth für Review-Runden wird. Das Widget ist bewusst schlank und arbeitet neben der bestehenden Website, ohne deren Markup zu verändern.
Nootiz setzt funktionale First-Party-Cookies für die Authentifizierungs-Sitzung des Reviewers, das aktive Projekt, den geöffneten oder minimierten Zustand des Widgets und einen CSRF-Token. Verarbeitet werden Kommentarinhalte, die URL der Annotation, Browser-Metadaten (User-Agent, Viewport, optionaler Screenshot) und die Identität des Reviewers, der den Kommentar verfasst hat. Standardmäßig werden keine Tracking- oder Marketing-Cookies gesetzt. Die betroffenen personenbezogenen Daten stammen überwiegend vom Projektteam und nicht von der breiten Öffentlichkeit, was die Exposition stark begrenzt.
Da Nootiz auf Reviewer und nicht auf anonyme Besucher abzielt, können die von ihm gesetzten Funktions-Cookies unter die Ausnahme von Artikel 5 Absatz 3 ePrivacy fallen, sobald die Person aktiv im Tool angemeldet ist. Die zugehörige DSGVO-Verarbeitung stützt sich auf das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f (Durchführung und Dokumentation eines Web-Projekts) oder auf die Vertragserfüllung, wenn Nootiz Teil eines Agenturvertrags ist. Wird das Widget Nutzern außerhalb des Projekts angezeigt, ist eine Einwilligung nach Artikel 5 Absatz 3 ePrivacy erforderlich, weil die Cookies für den vom Nutzer gewünschten Dienst nicht mehr unbedingt erforderlich sind.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Nootiz hostet seine Infrastruktur in Österreich und arbeitet innerhalb der Europäischen Union. In der Standardkonfiguration gibt es keine Drittlandübermittlungen, was die mit US-amerikanischen Collaboration-Tools verbundene Schrems-II-Problematik beseitigt. Der Auftragsverarbeitungsvertrag sollte dennoch hinsichtlich Unterauftragnehmern (E-Mail-Versand, Error-Monitoring, Datei-Speicher) geprüft werden, doch auch diese sind typischerweise EU-basiert oder DPF-zertifiziert. EU-Hosting ist eines der stärksten Compliance-Argumente für Nootiz gegenüber vergleichbaren US-Werkzeugen.
Eine vollständige DSFA nach Artikel 35 ist in der Regel nicht erforderlich, wenn Nootiz in einer Staging-Umgebung mit einem überschaubaren Reviewer-Team eingesetzt wird. Anders sieht es aus, wenn das Widget Screenshots von Seiten erstellt, die echte personenbezogene Daten enthalten, etwa Dashboards mit Kundendatensätzen: Solche Screenshots sind selbst personenbezogene Daten und dürfen nur so lange wie nötig aufbewahrt werden, mit dokumentierten Zugriffskontrollen. In diesem Fall ist eine kurze, auf Screenshots und Zugriffskontrollen fokussierte DSFA angemessen; ein Consent-Banner ist nicht zwingend erforderlich, sofern das Widget auf entsprechend informierte Mitarbeiterinnen und Mitarbeiter beschränkt bleibt.
Laden Sie das Nootiz-Widget nur auf Staging oder hinter einer Authentifizierung; entfernen Sie es aus der öffentlichen Produktion, sofern kein Business Case dagegen spricht; dokumentieren Sie den Auftragsverarbeitungsvertrag mit der Nootiz GmbH und führen Sie ihn im Verarbeitungsverzeichnis; erwähnen Sie Nootiz in der internen Datenschutzinformation für Reviewer und Kunden; legen Sie sinnvolle Speicherfristen für abgeschlossene Annotationen und Screenshots fest; und überprüfen Sie die Unterauftragnehmerliste jährlich. Diese Schritte halten den Compliance-Aufwand für ein risikoarmes Tool minimal.
Websites using Nootiz must obtain user consent under GDPR regulations.
DPIA considerations
Eine formelle DSFA ist für Nootiz selten erforderlich, da das Tool von einer geschlossenen Gruppe autorisierter Reviewer (Kunden, Designer, Entwickler) und nicht von anonymen Endnutzern verwendet wird; die Verarbeitung beschränkt sich auf Annotationsinhalte, Projektmetadaten und die Identität der Reviewer. Eine kurze Risikobewertung genügt in den meisten Fällen. Bleibt Nootiz auf einer Produktionsseite mit öffentlicher Sichtbarkeit aktiv oder werden Screenshots von Seiten mit personenbezogenen Daten realer Endnutzer erstellt, ist eine DSFA angebracht; sie sollte Zugriffskontrollen, die Speicherdauer der Screenshots und die Rechtsgrundlage für diese Aufnahmen behandeln.
Sample consent text
Diese Website nutzt Nootiz, ein österreichisches Visual-Feedback-Tool, damit unser Team und unsere Kunden während der Review-Phase Annotationen hinterlassen können. Nootiz setzt funktionale Cookies für die Reviewer-Sitzung und um Kommentare dem richtigen Projekt zuzuordnen. Die Daten werden in Österreich, innerhalb der Europäischen Union, gehostet. Das Widget wird nur für Nutzer mit Review-Zugang geladen und ist in der öffentlichen Produktionsversion entfernt.
Third-party domains contacted
nootiz.comapp.nootiz.comcdn.nootiz.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| nootiz_session | functional | Session | Maintains the authenticated session of the reviewer in the Nootiz widget. |
| nootiz_project | functional | 30 days | Stores the identifier of the active project so that comments are attached to the correct workspace. |
| nootiz_state | functional | 30 days | Remembers the open or minimised state and position of the widget across page loads. |
| nootiz_csrf | functional | Session | Provides CSRF protection for actions submitted through the widget such as new comments or replies. |
Nootiz verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Nootiz setzt eine kleine Anzahl funktionaler First-Party-Cookies: ein Sitzungs-Cookie für die Authentifizierung des Reviewers, ein Projekt-Cookie, das Kommentare dem richtigen Workspace zuordnet, ein Status-Cookie, das den geöffneten oder minimierten Zustand und die Position des Widgets speichert, und ein CSRF-Token-Cookie, das Formularaktionen schützt. Standardmäßig werden keine Analyse- oder Marketing-Cookies gesetzt.
Wenn Nootiz auf authentifizierte Reviewer beschränkt ist (per Umgebungsvariable, IP-Whitelist oder Sitzungsprüfung), sind seine Cookies für den angeforderten Dienst unbedingt erforderlich und fallen unter die Ausnahme von Artikel 5 Absatz 3 ePrivacy: ein Consent-Banner ist nicht erforderlich. Wird das Widget allgemeinen Besuchern angezeigt, ist eine Einwilligung erforderlich, da diese das Annotations-Tool nicht angefordert haben.
Die passendste Rechtsgrundlage ist das berechtigte Interesse nach Artikel 6 Absatz 1 Buchstabe f DSGVO (Durchführung und Dokumentation eines Web-Projekts) oder die Vertragserfüllung nach Artikel 6 Absatz 1 Buchstabe b, wenn Nootiz Teil eines Agentur- oder Kundenauftrags ist. Funktions-Cookies stützen sich auf die Ausnahme von Artikel 5 Absatz 3 ePrivacy. Wird Nootiz für Screenshots verwendet, die Daten realer Endnutzer enthalten, müssen diese Personen ggf. gesondert betrachtet werden.
Nein, nicht in der Standardkonfiguration. Nootiz betreibt Server und Verarbeitung in Österreich, innerhalb der Europäischen Union, sodass personenbezogene Daten der Reviewer und Annotationsinhalte im EWR bleiben. Unterauftragnehmer wie E-Mail-Versand oder Error-Monitoring sollten im Auftragsverarbeitungsvertrag geprüft werden, aber das grundlegende Übermittlungsprofil ist aus Schrems-II-Sicht unproblematisch.
Eine formelle DSFA nach Artikel 35 DSGVO ist selten erforderlich, da Nootiz von einer geschlossenen Gruppe Reviewer im Projekt eingesetzt wird, die Verarbeitung begrenzt ist und EU-Hosting das Übermittlungsrisiko beseitigt. Eine kurze, dokumentierte Risikobewertung genügt in der Regel. Angemessen wird eine DSFA, wenn Nootiz Screenshots von Seiten mit echten Endnutzerdaten erstellt oder dauerhaft auf einer öffentlichen Produktionsseite aktiv bleibt.
Laden Sie das Widget nur in Staging-Umgebungen oder hinter einer Authentifizierung; geben Sie das Skript nicht an anonyme öffentliche Besucher aus; stellen Sie dem Projektteam eine kurze interne Information bereit, die das Tool, die verarbeiteten Daten und die Speicherdauer beschreibt; schließen Sie den von der Nootiz GmbH bereitgestellten Auftragsverarbeitungsvertrag ab; führen Sie ihn im Verarbeitungsverzeichnis; und räumen Sie abgeschlossene Projekte und deren Screenshots regelmäßig auf.
Vergleichbare Tools sind BugHerd (Australien, EU-Hosting verfügbar), Pastel (USA, DPF-zertifiziert), Markup.io (USA), Marker.io (Belgien, EU) und Userback (Australien). Für europäische Teams sind EU-basierte oder DPF-zertifizierte Anbieter einfacher zu dokumentieren; nur in den USA gehostete Tools erfordern eine Übermittlungs-Folgenabschätzung. Auch selbst gehostete Alternativen wie Sentry-Feedback-Widgets oder die Review-Modi von Penpot kommen in Frage.
Wenn Nootiz auf interne Reviewer beschränkt ist, ist ein Eintrag in der öffentlichen Cookie-Richtlinie nicht strikt erforderlich, aber die interne Datenschutzinformation sollte das Tool beschreiben. Wird das Widget allgemeinen Besuchern angezeigt, ergänzen Sie einen eigenen Abschnitt in der öffentlichen Cookie-Richtlinie mit den vier Funktions-Cookies, ihren Zwecken, Speicherdauern, dem Verantwortlichen (Nootiz GmbH) und dem Land (Österreich). Aktualisieren Sie den Eintrag, wenn Nootiz Unterauftragnehmer wechselt.