Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
GrowthBook ist eine quelloffene Plattform für Feature Flags und A/B, Tests, die Experimente ohne Drittanbieter, Cookies durchführt. Verfügbar als selbst gehostete Lösung oder als verwalteter Cloud, Dienst mit EU, Datenresidenz in den kostenpflichtigen Plänen, integriert sie sich in vorhandene Analyse, Warehouses (BigQuery, Snowflake, Redshift), sodass personenbezogene Daten Ihre Infrastruktur nicht verlassen müssen.
GrowthBook ist eine im Jahr 2020 gegründete quelloffene Plattform für Feature Flags und A/B, Tests, die Produkt, und Growth, Teams eine datenschutzfreundliche Alternative zu klassischen Experimentier, Tools bietet. Die SDKs stehen unter MIT, Lizenz, der Kern unter einer Source, Available, Lizenz. Sie kann On, Premise, in Kubernetes oder als verwalteter Cloud, Dienst betrieben werden. Während die meisten Experimentier, Suiten alle Event, Daten beim Anbieter speichern, hält GrowthBook die Auswertung im Data, Warehouse des Kunden: BigQuery, Snowflake, Redshift, ClickHouse, Postgres, MySQL, Databricks und weitere. Das Produkt dient dem Ausrollen von Funktionen hinter Flags, kontrollierten Experimenten, schrittweisen Rollouts und multivariaten Tests, ohne Besucherdaten an Dritte weiterzugeben.
Standardmäßig schreiben die JavaScript, und Frontend, SDKs von GrowthBook keinerlei Cookies. Die Zuordnung eines Besuchers zu einer Testvariante wird deterministisch aus einem gehashten Attribut berechnet, das der Integrator liefert (Nutzer, ID, Konto, ID, anonyme Geräte, ID oder eine beliebige eigene Kennung). Bei Aktivierung der optionalen Funktion Sticky Bucketing kann GrowthBook die Variante im localStorage oder in einem Erstanbieter, Cookie namens gbuuid persistieren, damit ein wiederkehrender Besucher dieselbe Variante über Sitzungen hinweg behält. Expositions, Events werden in der Regel an das Analyse, Warehouse des Betreibers gesendet, nicht an die GrowthBook, Server: Der personenbezogene Datenfußabdruck hängt davon ab, welche Kennungen der Integrator übermittelt.
Die ePrivacy, Richtlinie und das deutsche TTDSG verlangen eine vorherige Einwilligung für jedes Speichern oder Auslesen von Informationen auf dem Endgerät, das nicht unbedingt erforderlich ist. Da A/B, Testing zur Marketing, Optimierung nicht unbedingt erforderlich ist, fällt das gbuuid, Cookie oder ein localStorage, Eintrag, den GrowthBook für Sticky Bucketing nutzt, unter die Einwilligungspflicht. Reine serverseitige Feature Flags, die das Browser, Storage nicht berühren und keine Profile bilden, können sich gegebenenfalls auf das berechtigte Interesse stützen, sofern eine entsprechende Abwägung dokumentiert ist. CNIL, BfDI und AEPD haben klargestellt, dass A/B, Testing, Tools, die Kennungen setzen, eine Einwilligung benötigen.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Bei clientseitigen Experimenten darf das GrowthBook, SDK erst geladen werden, nachdem der Besucher der passenden Einwilligungskategorie zugestimmt hat, üblicherweise Statistik oder Marketing. Die meisten Consent, Management, Plattformen können das Skript über ein data, category, Attribut steuern oder die Initialisierung bis zum Eintreffen eines Consent, Events verzögern. Für serverseitige Flags, die Inhalte nicht auf Basis personenbezogener Daten personalisieren, kann das SDK ohne Einschränkung laufen, solange vor der Einwilligung kein identifizierendes Attribut an das Warehouse übermittelt wird. Es empfiehlt sich, die Einwilligungsentscheidung gemeinsam mit dem Expositions, Event aufzuzeichnen, um die Rechenschaftspflicht zu belegen.
GrowthBook Cloud läuft auf AWS. Standardregion sind die USA, sodass SDK, Telemetrie, Dashboard, Nutzungsdaten und alle an GrowthBook übermittelten personenbezogenen Daten durch die USA fließen. Pro, und Enterprise, Pläne bieten EU, Datenresidenz auf AWS Frankfurt, womit die Metadaten im EWR verbleiben. GrowthBook ist nach dem EU, US Data Privacy Framework zertifiziert und unterzeichnet Standardvertragsklauseln (Module 2 und 3) für Übermittlungen außerhalb des Rahmens. Selbst gehostete Deployments umgehen die Frage vollständig, da der Betreiber Provider und Region wählt. Eine Transfer Impact Assessment wird bei Stützung auf das DPF empfohlen.
Nehmen Sie GrowthBook in das Verzeichnis von Verarbeitungstätigkeiten und in die Cookie, Richtlinie unter der Kategorie Statistik oder Marketing auf. Schließen Sie für die Cloud, Version einen Auftragsverarbeitungsvertrag mit GrowthBook Inc. ab. Konfigurieren Sie das SDK so, dass die Initialisierung auf das Consent, Event wartet, bevorzugen Sie produktiv die EU, Region und vermeiden Sie es, rohe E, Mail, Adressen oder andere direkte Identifikatoren als Targeting, Attribute zu senden (verwenden Sie gehashte Werte). Legen Sie eine angemessene Aufbewahrungsfrist für Expositions, Events im Warehouse fest, dokumentieren Sie die Rechtsgrundlage je Experiment und überprüfen Sie die Konfiguration bei jedem größeren SDK, Update.
Websites using GrowthBook must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen, wenn GrowthBook zur Durchführung verhaltensbezogener Experimente an identifizierten Nutzern eingesetzt wird, wenn Experimente besondere Datenkategorien (Gesundheit, Religion, politische Meinungen) betreffen oder wenn die Ergebnisse mit Profilingdaten aus anderen Tools kombiniert werden. Für selbst gehostete Deployments mit reinen Feature Flags ohne Nutzer, Tracking ist eine DSFA in der Regel nicht erforderlich. Dokumentieren Sie das Experimentregister, die Aufbewahrungsfristen für Zuweisungs, Events und die Zugriffsrechte auf das Data, Warehouse. Die cookielose Architektur und die optionale EU, Datenresidenz reduzieren das Risikoprofil im Vergleich zu klassischen A/B, Testing, Tools deutlich.
Sample consent text
Wir verwenden GrowthBook zur Durchführung von Produktexperimenten und Funktionstests auf unserer Website. GrowthBook kann Sie über eine gehashte Kennung einer Testvariante zuordnen, um die leistungsstärkere Version zu ermitteln. Experimentdaten werden in unserem eigenen Analyse, Warehouse [in der EU] gespeichert. Akzeptieren Sie die Verwendung von GrowthBook für A/B, Tests und Personalisierungszwecke?
Third-party domains contacted
growthbook.iocdn.growthbook.ioapp.growthbook.ioapi.growthbook.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| gbuuid | first-party | 1 year | Optional cookie written when the Sticky Bucketing feature is enabled. Stores a pseudonymous visitor identifier so the same visitor is consistently assigned to the same experiment variant across page views and sessions. |
GrowthBook erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Standardmäßig schreiben die GrowthBook, SDKs keinerlei Cookies. Wenn die optionale Funktion Sticky Bucketing aktiviert ist, persistiert GrowthBook die Variantenzuweisung im localStorage oder in einem Erstanbieter, Cookie namens gbuuid (üblicherweise mit einer Laufzeit von 1 Jahr). Abgesehen von diesem optionalen Cookie führt GrowthBook keine eigene clientseitige Speicherung durch.
Ja für clientseitige Experimente. Jeder A/B, Test, der ein Cookie oder localStorage schreibt oder Inhalte auf Basis eines Profils personalisiert, erfordert eine vorherige Einwilligung nach der ePrivacy, Richtlinie und dem TTDSG. Reine serverseitige Feature Flags ohne Profilbildung können sich auf das berechtigte Interesse stützen, sofern eine Interessenabwägung dokumentiert ist. CNIL und die meisten EU, Aufsichtsbehörden behandeln A/B, Testing als nicht ausgenommenen Anwendungsfall.
Die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) ist die übliche Rechtsgrundlage für verhaltensbezogene Experimente und Personalisierung. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) kann rein operative Feature Flags wie schrittweise Rollouts und Kill Switches abdecken, sofern eine Abwägung dokumentiert ist. Die Erforderlichkeit zur Vertragserfüllung greift nur, wenn Flags eine vom Nutzer ausdrücklich angeforderte Funktion ohne Tracking bereitstellen.
Das hängt vom Deployment ab. GrowthBook Cloud wird standardmäßig auf AWS in den USA gehostet, sodass SDK, Telemetrie durch die USA fließt. Auf Pro, und Enterprise, Plänen ist EU, Datenresidenz auf AWS Frankfurt verfügbar. Selbst gehostete Deployments verbleiben in der vom Betreiber gewählten Region. GrowthBook Inc. ist nach dem EU, US Data Privacy Framework zertifiziert und unterzeichnet Standardvertragsklauseln.
Nicht für Standardimplementierungen. Eine DSFA wird empfohlen, wenn GrowthBook Experimente an identifizierten Nutzern durchführt, wenn besondere Datenkategorien (Gesundheit, Religion, politische Meinungen) betroffen sind oder wenn Ergebnisse mit Profilingdaten anderer Tools kombiniert werden. Selbst gehostetes Feature Flagging ohne nutzerbezogenes Tracking birgt ein geringes Restrisiko und erfordert in der Regel keine DSFA.
Laden Sie das SDK für clientseitige Experimente erst nach der Einwilligung, wählen Sie für die Produktion die EU, Datenresidenzregion, senden Sie gehashte Kennungen statt roher E, Mails und speichern Sie Expositions, Events in einem von Ihnen kontrollierten Warehouse. Schließen Sie für die Cloud, Version einen AVV mit GrowthBook Inc. ab und dokumentieren Sie jedes Experiment im Verzeichnis von Verarbeitungstätigkeiten mit Rechtsgrundlage und Aufbewahrungsfrist.
Ja. PostHog (Open, Source, Produktanalytik mit Feature Flags), Flagsmith (Open, Source, Flags mit EU, Hosting), Unleash (selbst hostbare Open, Source, Plattform), Statsig und LaunchDarkly sind gängige Alternativen. Für reines A/B, Testing sind Kameleoon und AB Tasty Optionen mit Sitz in der EU. Die richtige Wahl hängt davon ab, ob Sie Analytics, Integration, EU, Hosting oder einen vollständig selbst gehosteten Stack benötigen.
Fügen Sie unter der Kategorie Statistik oder Marketing einen Eintrag hinzu, der GrowthBook als Verantwortlichen, den Zweck (A/B, Tests und Funktions, Experimente), die erhobenen Daten (gehashte Besucherkennung, Expositions, Events), die Aufbewahrungsfrist und einen Link zur Datenschutzerklärung von GrowthBook nennt. Erwähnen Sie das gbuuid, Cookie, wenn Sticky Bucketing aktiv ist, und geben Sie den EU, oder US, Standort des Deployments an.