Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Trumba

Was macht Trumba?

Trumba ist ein US Veranstaltungskalender und Anmeldedienst der Trumba Corporation in Seattle. Das eingebettete Widget zeigt Veranstaltungen an und nimmt Anmeldungen direkt auf der Website über ein iframe von trumba.com entgegen. Trumba wird von Universitäten, Museen, Kommunen und Glaubensgemeinschaften eingesetzt, setzt First Party Session Cookies, verarbeitet Anmeldedaten (Name, E Mail, ggf. Zahlung) in den USA und erfordert DSGVO Einwilligung und einen EU US Transfermechanismus für europäische Besucher.

Was Trumba ist und wie es funktioniert

Trumba ist eine gehostete Plattform für Veranstaltungskalender und Anmeldungen der Trumba Corporation, eines US Unternehmens mit Sitz in Seattle und Mehrheitsbeteiligung von Spectrum Equity. Universitäten, Museen, Kommunen, Glaubensgemeinschaften, Bibliotheken und Veranstalter nutzen Trumba zur Veröffentlichung von Terminen, Anmeldungen, Wartelisten Verwaltung, Bestätigungs E Mails und Zahlungserfassung. Trumba wird als iframe (Spud, Promotion Spud oder Combo Spud) von calendar.trumba.com oder www.trumba.com in die Website eingebettet, ergänzt durch einen kleinen JavaScript Wrapper für Resize und Event Abonnements.

Cookies und erfasste Daten

Das Trumba iframe setzt First Party Cookies auf der Domain trumba.com, um die Anmeldesitzung zu erhalten: ASP.NET_SessionId für die serverseitige Sitzung, TrumbaCalendarUser zur Wiedererkennung des Besuchers über mehrere Kalenderseiten und ein CSRF Token für geschützte Formulare. Bei einer Anmeldung verarbeitet Trumba die im Formular eingegebenen Daten (in der Regel Name, E Mail, Postanschrift, Telefon, Organisation, optional Besonderheiten und Zahlungsdaten bei kostenpflichtigen Veranstaltungen). Trumba protokolliert zusätzlich IP und User Agent in den Server Logs.

DSGVO und ePrivacy Auswirkungen

Das Trumba iframe ist ein Drittanbieter Embed, geladen von einer Domain unter Kontrolle der Trumba Corporation. Schon der erste Netzwerkaufruf übermittelt Referrer URL, User Agent und IP Adresse an einen US Empfänger und setzt Cookies. Beides löst Artikel 5(3) ePrivacy aus: Das iframe darf erst geladen werden, wenn der Besucher der entsprechenden Einwilligungskategorie zugestimmt hat. Wird der Kalender für tatsächliche Anmeldungen genutzt, ist die Rollenverteilung geteilt: Der Websitebetreiber ist Verantwortlicher der Anmeldedaten, Trumba ist Auftragsverarbeiter für den technischen Betrieb der Anmeldeplattform, ein Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ist verpflichtend.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung und Datenminimierung

Blockieren Sie das Trumba iframe, bis der Besucher der Kategorie Drittanbieter Embeds in der CMP zustimmt. Ein Platzhalter, der auf den US Standort von Trumba hinweist und die geteilten Daten (Referrer, IP, Cookies) auflistet, ist empfohlene Best Practice und für Drittanbieter Embeds nach CNIL Auslegung erforderlich. Konfigurieren Sie in Trumba das Anmeldeformular so, dass nur die für die Veranstaltung zwingend erforderlichen Daten erhoben werden (Datenminimierung, Artikel 5(1)(c) DSGVO), und deaktivieren Sie optionale Marketing Häkchen standardmäßig.

Datenübermittlung in die USA

Trumba verarbeitet alle Daten in den USA. Die Trumba Corporation ist seit September 2023 im EU US Data Privacy Framework zertifiziert, was den primären Transfermechanismus darstellt. Kunden sollten zusätzlich den Trumba DPA unterzeichnen, der die EU SCC 2021/914 als Rückfallmechanismus enthält, und eine Transfer Impact Assessment dokumentieren. Da die Daten typischerweise Name, E Mail, Postanschrift und teilweise Zahlung umfassen, sollte die TIA das Risiko US behördlicher Zugriffe auf ein Datenset mit direkter Identifikation bewerten.

Praktische Compliance Checkliste

Konkrete Schritte: 1) Trumba iframe über die CMP steuern und nur nach Einwilligung in Drittanbieter Embeds laden; 2) Platzhalter vor Einwilligung mit Hinweis auf Trumba und US Transfer einblenden; 3) Anmeldeformular auf zwingend notwendige Daten beschränken; 4) keine vorausgewählten Marketing Häkchen; 5) Trumba DPA mit SCC unterzeichnen und DPF Zertifizierung prüfen; 6) TIA dokumentieren; 7) Trumba im Verzeichnis nach Artikel 30 erfassen; 8) Datenschutzerklärung aktualisieren (Verantwortlicher, Auftragsverarbeiter Trumba Corporation, Zwecke, Speicherdauer, Empfänger, Rechte der Angemeldeten).

GDPR consent category

Marketing

Websites using Trumba must obtain user consent under GDPR regulations.

Legal basisWhen the Trumba calendar is used in display only mode (no registration), the embed reads from and writes to the user terminal and qualifies as a non essential third party widget under Article 5(3) of the ePrivacy Directive: prior consent under Article 6(1)(a) GDPR is required before the iframe loads. When the calendar handles registrations, the legal basis for the registration itself is contractual necessity (Article 6(1)(b) GDPR) for the actual event registration plus consent for any additional optional processing (marketing, post event communications).

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, French TDDDG and CNIL guidance on third party embeds, German TDDDG, Spanish LSSI CE and AEPD cookie guide, EU US Data Privacy Framework (Trumba certified), EU Standard Contractual Clauses 2021/914, EDPB recommendations 01/2020 on supplementary measures

DPIA considerations

Eine DSFA wird empfohlen, wenn Trumba für Anmeldungen mit hoher Teilnehmerzahl, besonderen Datenkategorien (z. B. Gesundheitsveranstaltungen) oder Zahlungen genutzt wird. Dokumentieren Sie: vom Formular erfasste Datenkategorien (Name, E Mail, Postanschrift, Zahlung), Empfänger (Trumba Corporation, Unterauftragsverarbeiter von Spectrum Equity, Zahlungsdienstleister), Speicherdauer, Transfer in die USA, Transfermechanismus (DPF oder SCC) und vertragliche Garantien (DPA). Für reine Anzeige Kalender ist eine DSFA in der Regel nicht erforderlich, die Einwilligung für das iframe bleibt jedoch verpflichtend.

Sample consent text

Wir binden Veranstaltungskalender und Anmeldeformulare von Trumba ein, betrieben durch die Trumba Corporation (Seattle, USA). Trumba wird in einem iframe von trumba.com geladen, setzt First Party Session Cookies und verarbeitet die eingegebenen Anmeldedaten in den USA auf Grundlage des EU US Data Privacy Framework. Der Trumba Kalender wird nur geladen, wenn Sie der entsprechenden Cookie Kategorie zustimmen.

Technical details

Tracking methodEmbedded event calendar and event registration widget loaded from calendar.trumba.com or www.trumba.com via an iframe and a small JavaScript wrapper. The wrapper exposes resize and event subscription callbacks. The Trumba calendar reads visitor interactions (event clicks, registrations, RSVP submissions) and sets first party session cookies on the trumba.com domain to maintain the registration session.

Server locationUnited States. Trumba Corporation is headquartered in Seattle, Washington, and operates its infrastructure in US AWS regions (us-west-2 primary, us-east-1 secondary). No EU data residency option is offered as of 2026.

Data transferred outside the EUTrumba Corporation is a US company owned by Spectrum Equity. All visitor and registration data is processed in the United States. Trumba is certified under the EU US Data Privacy Framework since September 2023; transfers can also rely on the EU Standard Contractual Clauses 2021/914 signed in the Trumba DPA. A Transfer Impact Assessment is required given the typical inclusion of name, email, postal address and sometimes payment data in event registrations.

Third-party domains contacted

trumba.comwww.trumba.comcalendar.trumba.comspuds.trumba.com

Cookies placed

Name	Type	Duration	Purpose
ASP.NET_SessionId	HTTP cookie (first party on trumba.com)	Session	Stores the ASP.NET server session identifier used by the Trumba application to maintain the visitor state across page navigations in the calendar iframe.
TrumbaCalendarUser	HTTP cookie (first party on trumba.com)	1 year	Remembers the calendar visitor across pages and sessions to enable features like My Calendar, registration history and personalised event reminders.
__RequestVerificationToken	HTTP cookie (first party on trumba.com)	Session	Anti CSRF token issued by Trumba to protect registration and form submissions against cross site request forgery attacks.
TrumbaCookieConsent	HTTP cookie (first party on trumba.com)	1 year	Records whether the visitor has acknowledged the Trumba native cookie notice inside the calendar iframe.

Trumba setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies setzt Trumba?

Das Trumba iframe setzt First Party Cookies auf der Domain trumba.com: ASP.NET_SessionId für die serverseitige Sitzung, TrumbaCalendarUser zur Wiedererkennung des Besuchers zwischen Kalenderseiten und ein CSRF Token zum Schutz der Anmeldeformulare. Diese Cookies sind sitzungs oder kurzfristig gültig und an die Trumba Domain gebunden, gelten aus Sicht der einbettenden Website jedoch als Drittanbieter Tracking Technologie, weil sie von Trumba Corporation gelesen werden.

Ist eine Einwilligung für den Trumba Kalender erforderlich?

Ja. Das Trumba iframe ist ein Drittanbieter Embed von einer US kontrollierten Domain. Schon die erste Netzwerkanfrage übermittelt Referrer, IP und User Agent an Trumba und setzt Cookies, beides löst Artikel 5(3) ePrivacy aus. Eine vorherige, ausdrückliche Einwilligung nach Artikel 6(1)(a) DSGVO ist vor dem Laden des iframes erforderlich, auch im reinen Anzeige Modus ohne Anmeldungen.

Welche Rechtsgrundlage gilt für Anmeldungen über Trumba?

Die Anzeige des Kalenders erfordert die Einwilligung (Artikel 6(1)(a) DSGVO) als Drittanbieter Embed. Die Verarbeitung der Anmeldedaten stützt sich auf die Vertragsdurchführung (Artikel 6(1)(b)) für das zwingend Erforderliche, plus Einwilligung (Artikel 6(1)(a)) für optionale Marketing oder Folgekommunikation. Ein Auftragsverarbeitungsvertrag nach Artikel 28 mit Trumba Corporation als Auftragsverarbeiter ist für die Anmeldedaten verpflichtend.

Werden Daten in die USA übermittelt?

Ja. Alle Trumba Daten werden in den USA verarbeitet. Trumba Corporation ist seit September 2023 im EU US Data Privacy Framework zertifiziert, was den primären Transfermechanismus darstellt. Der Trumba DPA enthält zusätzlich die EU SCC 2021/914 als Rückfallmechanismus. Kunden müssen eine Transfer Impact Assessment dokumentieren, da Anmeldedaten typischerweise eine direkte Identifikation ermöglichen.

Ist eine DSFA für Trumba erforderlich?

Eine DSFA wird empfohlen, wenn Trumba für Anmeldungen mit hoher Teilnehmerzahl, besonderen Datenkategorien (z. B. Gesundheits , Religions oder politische Veranstaltungen) oder Zahlungen genutzt wird. Für reine Anzeige Kalender ohne Anmeldung ist eine DSFA in der Regel nicht erforderlich, die Einwilligung für das iframe bleibt jedoch verpflichtend. Dokumentieren Sie Zwecke, Empfänger, Speicherdauer und Transfermechanismus im Verzeichnis nach Artikel 30.

Wie setze ich Trumba DSGVO konform um?

Trumba iframe über die CMP steuern und nur nach Einwilligung in Drittanbieter Embeds laden. Vor der Einwilligung Platzhalter mit Hinweis auf Trumba und US Transfer zeigen. Anmeldeformular auf zwingend notwendige Daten beschränken, vorausgewählte optionale Häkchen deaktivieren, Trumba DPA unterzeichnen, TIA dokumentieren, Trumba im Verzeichnis nach Artikel 30 erfassen und Datenschutzerklärung aktualisieren.

Welche europäischen Alternativen gibt es zu Trumba?

Für Veranstaltungskalender: Localist (US, EU Residency Optionen), Modern Tribe Events Calendar Pro (Open Source, in jeder EU Region hostbar), Tockify (Kanada, EU Angemessenheit), Plain Events (Deutschland), Eventcube (Vereinigtes Königreich). Für Anmeldungen mit Zahlung: Eventbrite (US, gleiche Transferproblematik), Weezevent (Frankreich), Yurplan (Frankreich), AmiAmi (Frankreich) und Heroes Run by Sportlink (Niederlande).

Wie aktualisiere ich die Cookie Richtlinie für Trumba?

Ergänzen Sie einen Eintrag mit Trumba Corporation (Seattle, USA) als Auftragsverarbeiter, dem Zweck (Kalender Einbindung und Anmeldungen), der Rechtsgrundlage (Einwilligung für das iframe, Vertrag für die Anmeldung), den Datenkategorien (Referrer, IP, Session Cookies, Name, E Mail, Postanschrift, ggf. Zahlung), der Speicherdauer, dem internationalen Transfer in die USA unter DPF oder SCC, den Empfängern und einem direkten Link zur Trumba Datenschutzerklärung.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note