Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Loqate ist ein Dienst zur Adressprüfung, Geokodierung und Validierung von Kontaktdaten der GBG plc (Vereinigtes Königreich). Er liefert Echtzeit Adresssuggestion sowie Telefon und E-Mail Validierung in Checkout und Registrierungsformularen. Loqate verarbeitet IP Adresse, Eingabefragmente und Lookup Historie über globale Rechenzentren in der EU und den USA. Europäische Einsätze müssen daher Einwilligung, Rechtsgrundlage und Drittlandtransfers nach Schrems II sauber regeln.
Loqate ist die Adresserfassungs und Kontaktdatenqualitätslösung der GBG plc, einer börsennotierten britischen Gesellschaft mit Sitz in Chester. Sie ist in Checkout , Registrierungs und Lead Formulare im E Commerce, in Finanzdienstleistungen und in der Logistik eingebettet. Sobald ein Besucher eine Adresse einzutippen beginnt, sendet Loqate die Eingabefragmente an seine API und liefert Adressvorschläge aus den offiziellen Postdaten von mehr als 240 Gebieten zurück. Dieselbe Plattform bietet ausserdem Telefonvalidierung, E-Mail Verifizierung und Geokodierung.
Für die meisten europäischen Händler ersetzt Loqate ein klassisches Adressfeld durch eine Typeahead Komponente. Das verkürzt den Bestellvorgang, reduziert Zustellfehler und verbessert die Datenqualität, erzeugt aber gleichzeitig einen Datenfluss zu einem Drittanbieter, der unter der DSGVO präzise dokumentiert werden muss.
Jeder Tastendruck, der an Loqate gesendet wird, transportiert das Eingabefragment, die IP Adresse des Besuchers, eine Sitzungs ID, die Herkunftsseite, den Browser User Agent und den API Schlüssel des Händlers. Verifizierungs und Geokodierungs Endpunkte erhalten zusätzlich die vollständige bestätigte Adresse sowie Längen und Breitengrad. Telefon und E-Mail Validierung übermitteln Nummer oder Adresse samt Zustellbarkeitsmetadaten. GBG protokolliert die Anfragen zur Nutzungsüberwachung, Abrechnung und Verbesserung der Trefferquote.
In Standardkonfiguration setzt Loqate keine dauerhaften Werbe Cookies. Das Widget kann Session Storage oder ein kurzlebiges First Party Cookie zur Drosselung und Missbrauchsabwehr verwenden. Optionale Analyse , Empfehlungs oder Session Replay Module führen dagegen Tracking Cookies ein, die als nicht notwendig zu behandeln sind.
GBG plc tritt für die Adresssuggestion als Auftragsverarbeiter des Händlers auf und für Betrugs und Identitätsscoring Produkte als gemeinsamer oder eigenständiger Verantwortlicher. Der Händler bleibt Verantwortlicher für die Bestelldaten. Artikel 28 DSGVO verlangt einen schriftlichen Auftragsverarbeitungsvertrag; Loqate ist im Verzeichnis von Verarbeitungstätigkeiten und in der Datenschutzerklärung zu nennen. Jeder Lese oder Schreibzugriff auf das Endgerät, der über das unbedingt Notwendige hinausgeht, fällt unter Artikel 5 Absatz 3 der ePrivacy Richtlinie sowie unter Paragraph 25 TDDDG und benötigt vorherige Einwilligung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Adressvervollständigung im Bestellprozess stützt sich in der Regel auf die Vertragserfüllung nach Artikel 6 Absatz 1 lit. b DSGVO, da ohne gültige Lieferadresse keine Bestellung möglich ist. Die DSK akzeptiert, dass strikt erforderliche technische Funktionen nicht der Einwilligungspflicht unterliegen. Jede zusätzliche Schicht (Verhaltensanalyse, Wiederverwendung der Lookup Historie für Marketing, Betrugsprofiling, Session Replay) verlangt entweder ausdrückliche Einwilligung nach Artikel 6 Absatz 1 lit. a DSGVO oder einen dokumentierten Interessenabwägungstest. Das Widget kann daher auf der Bestellseite ohne Einwilligung geladen werden; optionale Module dürfen erst nach Opt In im Consent Banner aktiv werden.
GBG betreibt Rechenzentren im Vereinigten Königreich, in Irland und in Deutschland und nutzt für einige globale Produkte sowie den Kundensupport US Infrastruktur. Transfers aus dem EWR ins Vereinigte Königreich stützen sich auf den 2021 erlassenen Angemessenheitsbeschluss. Weitertransfers in die USA müssen auf den EU Standardvertragsklauseln, auf dem EU US Data Privacy Framework (sofern GBG Tochtergesellschaften zertifiziert sind) und auf einer Transfer Impact Assessment basieren, die FISA 702 und Executive Order 12333 gemäss dem Schrems II Urteil (EuGH C 311/18) adressiert. EU Händler sollten die Option regional pinning anfordern, die die Anfragen im EWR hält, sofern verfügbar.
Den GBG Auftragsverarbeitungs Anhang unterzeichnen, ein EWR oder UK Rechenzentrum wählen, Loqate mit Rechtsgrundlage Vertrag in die Datenschutzerklärung aufnehmen, optionale Analysefunktionen hinter ein Einwilligungs Gate stellen und die Speicherdauer der Lookup Protokolle dokumentieren (GBG hält typischerweise 12 bis 24 Monate). Das Widget mit minimalen Feldern konfigurieren, ungenutzte Historie Funktionen deaktivieren, Referrer und API Keys pro Umgebung einschränken sowie Loqate in die Vendor Liste des CMP aufnehmen, damit die Seite den Einwilligungsstatus vor dem Start optionaler Module lesen kann.
Websites using Loqate must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für die reine Adresssuggestion im Bestellprozess in der Regel nicht zwingend, da die Verarbeitung zur Vertragserfüllung erforderlich und auf eingegebene Fragmente beschränkt ist. Eine DSFA ist empfehlenswert, wenn Loqate mit Profiling, Betrugs Scoring, Geo Anreicherung, langfristiger Speicherung von Lookup Protokollen oder mit Wiederverwendung der Historie für Marketing kombiniert wird, sowie bei Einsatz ausserhalb des Bestellpfads (Kontakt , Angebotsformulare). Zu dokumentieren sind Datenkategorien (IP, Eingaben, Browser Metadaten), Aufbewahrungsdauer der Protokolle bei GBG, Rechtsgrundlage je Zweck, Transfermechanismus in Drittländer sowie technische und organisatorische Massnahmen bei Händler und GBG.
Sample consent text
Wir nutzen Loqate (GBG plc), um Ihre Postanschrift während der Eingabe vorzuschlagen und zu prüfen. Loqate erhält dazu die eingegebenen Zeichen, Ihre IP Adresse und grundlegende Browserinformationen, um passende Adressen zurückzugeben. Die Adressvervollständigung im Checkout erfolgt auf Grundlage der Vertragserfüllung. Wenn Sie zusätzlich in Statistiken einwilligen, kann Ihre Lookup Historie zur Verbesserung der Servicequalität genutzt werden. Sie können Statistiken ablehnen, ohne den Zugang zur Adressvervollständigung zu verlieren.
Third-party domains contacted
loqate.comapi.addressy.comservices.postcodeanywhere.co.ukjs.loqate.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| loqate_session | Session | Session | Short lived first party session identifier used by the Loqate widget to correlate keystrokes belonging to the same address lookup attempt and to apply rate limiting and abuse prevention. |
| loqate_rate | HTTP | 1 hour | First party HTTP cookie or local storage entry used by the Loqate API for client side throttling and quota enforcement on the merchant API key. |
Loqate setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
In Standardkonfiguration setzt Loqate keine dauerhaften Werbe Cookies. Das Autocomplete Widget sendet bei jeder Eingabe das Fragment an die Loqate API, zusammen mit der IP Adresse des Besuchers, einer Sitzungs ID, der URL der Herkunftsseite, dem Browser User Agent und dem API Schlüssel des Händlers. Verifizierungs Endpunkte erhalten zusätzlich die vollständige validierte Postanschrift und geografische Koordinaten. Telefon und E-Mail Validierung übermitteln den zu prüfenden Wert sowie Zustellbarkeitsmetadaten. Loqate kann ein kurzlebiges First Party Cookie oder Session Storage zur Drosselung verwenden. Optionale Analyse , Empfehlungs oder Replay Module bringen Tracking Cookies mit, die als nicht notwendig zu behandeln sind.
Für die Adresssuggestion im Checkout , Registrierungs oder Versandprozess ist keine vorherige Einwilligung erforderlich, da die Verarbeitung zur Erfüllung des vom Besucher angeforderten Vertrags erforderlich ist. Das Widget kann daher bedingungslos geladen werden. Einwilligung ist erforderlich, sobald Loqate für Zwecke verwendet wird, die nicht unbedingt erforderlich sind: Speicherung der Lookup Historie zur Wiederverwendung im Marketing, Verhaltensanalyse, Betrugsprofiling, Session Replay oder Empfehlungsmodule. Ebenso ist Einwilligung nach Artikel 5 Absatz 3 ePrivacy Richtlinie und Paragraph 25 TDDDG erforderlich, sobald eine nicht notwendige Kennung auf dem Endgerät gespeichert wird. Trennen Sie deshalb einen Kern ohne Einwilligung und eine Analyseschicht mit Einwilligung.
Die Adresssuggestion im Checkout stützt sich auf Artikel 6 Absatz 1 lit. b DSGVO (Vertragserfüllung), da eine gültige Lieferadresse zur Auftragsabwicklung erforderlich ist. DSK, CNIL und AEPD akzeptieren, dass rein technische Hilfen zum Vertragsabschluss keiner Einwilligung bedürfen. Telefon und E-Mail Validierung zur Anlage eines Kundenkontos oder zur Bereitstellung einer Leistung beruht auf derselben Grundlage. Betrugs und Identitäts Scoring stützt sich typischerweise auf Artikel 6 Absatz 1 lit. f DSGVO (berechtigtes Interesse) mit dokumentierter Interessenabwägung oder auf eine rechtliche Verpflichtung in GwG/KYC Kontexten. Jede Wiederverwendung der Suchhistorie zu Marketingzwecken erfordert die Einwilligung nach Artikel 6 Absatz 1 lit. a.
Ja. Loqate wird von der britischen GBG plc betrieben und führt Produktionsverkehr über Rechenzentren in Grossbritannien, Irland und Deutschland, mit zusätzlicher US Infrastruktur für einige globale Produkte und Support. Transfers aus dem EWR ins Vereinigte Königreich stützen sich auf den Angemessenheitsbeschluss der Europäischen Kommission vom Juni 2021. Jeder Weitertransfer in die USA muss auf den EU Standardvertragsklauseln samt Transfer Impact Assessment beruhen, die FISA 702 und Executive Order 12333 entsprechend dem Schrems II Urteil (EuGH C 311/18) adressiert, und nach Möglichkeit auf einer Zertifizierung der empfangenden Stelle unter dem EU US Data Privacy Framework.
Eine förmliche Datenschutz Folgenabschätzung ist für die einfache Adresssuggestion im Bestellpfad in der Regel nicht zwingend, da die Verarbeitung vertraglich erforderlich und begrenzt ist. Sie ist empfehlenswert, wenn Loqate mit Profiling, Betrugs oder Identitätsscoring, geografischer Anreicherung, langfristiger Speicherung der Lookup Historie oder mit Verwendung ausserhalb des Bestellpfads bei Marketing Wiederverwendung kombiniert wird. Die DSFA sollte Datenkategorien (Eingaben, IP, Browser Metadaten), Aufbewahrungsdauer bei GBG, Rechtsgrundlage je Zweck, Transfermechanismus in Drittländer sowie technische und organisatorische Massnahmen bei Händler und GBG plc beschreiben.
Den GBG Auftragsverarbeitungs Anhang unterzeichnen, ein EWR oder UK Rechenzentrum als Primärregion anfordern und Loqate mit Rechtsgrundlage Vertrag in die Datenschutzerklärung aufnehmen. Das Autocomplete Widget auf der Bestellseite ohne Einwilligung laden, optionale Analyse , Replay oder Empfehlungs Module aber erst aktivieren, wenn die Consent Management Platform ein Opt In registriert hat. Den API Schlüssel pro Referrer, Umgebung und IP Allow Liste beschränken. Nur die für die Lieferung notwendigen Felder konfigurieren, ungenutzte Historienfunktionen abschalten und die Aufbewahrung der Protokolle dokumentieren (typischerweise 12 bis 24 Monate bei GBG). Loqate in die Vendor Liste des CMP aufnehmen.
Mehrere Anbieter mit starker EWR Präsenz sind prüfenswert: Postcode.eu (Niederlande), Fadi, Egon, Melissa, Smarty (mit EU Residenzoption), Google Address Validation API (mit denselben Schrems II Einschränkungen wie jedes Google Produkt) sowie APIs nationaler Postunternehmen wie La Poste, Royal Mail Datafile, Deutsche Post Direkt und Correos. Für einfachere Fälle eignen sich offene Datenquellen wie OpenAddresses oder nationale Adressregister. Die Auswahl hängt von Länderabdeckung, Latenz, Vollständigkeit der Postdaten und Vertragsbedingungen ab (Auftragsverarbeitung, Unterauftragsverarbeiter, Transfermechanismen, Datenresidenz und Aufbewahrung der Protokolle).
In der Datenschutzerklärung GBG plc und Loqate als Auftragsverarbeiter für die Adressverifikation im Checkout benennen, Rechtsgrundlage Vertragserfüllung nennen, Datenkategorien (Eingaben, IP, Browser Metadaten, validierte Adresse) auflisten, verwendete Rechenzentren angeben (UK, EU, US Fallback), den Transfermechanismus beschreiben (UK Angemessenheit plus SCC für jede US Route) und die Aufbewahrungsdauer der Protokolle nennen. Im Cookie Hinweis kurzlebige First Party Kennungen des Widgets ausweisen und optionale Analyse oder Replay Module separat auflisten. Link zur GBG Datenschutzerklärung sowie zum Kanal für Betroffenenrechte angeben.