Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Pendo ist eine Product Analytics, In App Guidance, NPS und Session Replay Plattform, entwickelt von Pendo.io Inc in Raleigh, North Carolina. Das JavaScript SDK von cdn.pendo.io erfasst Benutzerinteraktionen, Feature Adoption, In App Guide Anzeigen und NPS Antworten in einer Website oder SaaS Anwendung und sendet Events standardmäßig an AWS US Regionen. EU Betreiber müssen auf öffentlichen Seiten Einwilligung einholen, aggressives PII Masking konfigurieren und bei aktiviertem Session Replay eine DSFA durchführen.
Pendo ist eine Product Experience Plattform, entwickelt von Pendo.io Inc in Raleigh. Das JavaScript SDK von cdn.pendo.io instrumentiert eine Website oder SaaS Anwendung, um Benutzerinteraktionen (Klicks, Page Views, Feature Adoption), NPS Antworten, In App Guide Anzeigen und Product Analytics Events zu erfassen. Pendo bietet außerdem Feedback und Roadmap Module, einen Guide Builder für Tooltips, Modals und Onboarding sowie ein optionales Session Replay Add On. Die Plattform wird von Produkt , Customer Success und Growth Teams genutzt.
Pendo verarbeitet die Besucher Kennung, die Account Kennung, die IP Adresse, den User Agent, die Seiten URL, die Sprache, vom Betreiber über pendo.initialize übermittelte Benutzer und Account Attribute sowie einen Strom von Interaktions Events (Klicks, Hovers, Formular Interaktionen, NPS Antworten, Guide Views). Das SDK setzt first party Cookies (_pendo_visitorId, _pendo_accountId, _pendo_meta) auf der Betreiber Domain. Bei aktiviertem Session Replay werden vollständige DOM Mutationen und maskierte Eingaben wie bei einem Session Replay Tool erfasst.
Auf öffentlichen Marketing Seiten ist Pendo für den gewünschten Dienst nicht zwingend erforderlich, daher benötigen das SDK und seine Cookies eine vorherige Opt in Einwilligung nach Artikel 5(3) ePrivacy Richtlinie. In einer authentifizierten SaaS Anwendung kann sich der Betreiber auf Artikel 6(1)(b) DSGVO (Vertrag) und Artikel 6(1)(f) DSGVO (berechtigtes Interesse) für Produktverbesserung stützen, vorbehaltlich Abwägung und Information. Session Replay benötigt stets eine ausdrückliche Einwilligung wegen des Risikos zufälliger Erfassung besonderer Datenkategorien.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Pendo.io Inc wird aus den USA betrieben und verarbeitet Events standardmäßig in AWS US Regionen. EWR Besucherdaten werden unter dem EU US Data Privacy Framework (Pendo ist zertifiziert) und Standardvertragsklauseln mit dokumentiertem Transfer Impact Assessment in die USA übermittelt. Enterprise Kunden können das EU Data Residency Add On buchen, das Events in AWS Frankfurt speichert, während Control Plane und Session Replay Analytics aus den USA betrieben bleiben.
Verzögern Sie das Laden des SDK auf öffentlichen Seiten bis zur Einwilligung, maskieren Sie pauschal alle Eingabefelder in der Pendo Konfiguration, konfigurieren Sie URL Ausschlüsse für sensible Seiten, reduzieren Sie die Aufbewahrungsdauer der Events auf das Nötigste, schließen Sie das Pendo Data Processing Addendum ab, buchen Sie nach Möglichkeit das EU Data Residency Add On und führen Sie bei aktiviertem Session Replay eine DSFA durch. Sicherere Alternativen: Heap, Amplitude mit EU Residency, Mixpanel mit EU Residency, selbst gehostetes Matomo Analytics und PostHog.
Websites using Pendo must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA wird empfohlen, sobald Pendo auf EU SaaS Anwendungen eingesetzt wird, und ist verpflichtend bei aktiviertem Session Replay. Sie muss den Einwilligungsfluss auf öffentlichen Seiten, die Rechtsgrundlage in authentifizierten Bereichen, die PII Masking Konfiguration, die US Übermittlung, das EU Data Residency Add On (falls gebucht) und die Aufbewahrung der Events und Recordings abdecken.
Sample consent text
Wir nutzen Pendo, um die Nutzung unseres Produkts zu verstehen und die Experience zu verbessern. Pendo verarbeitet Interaktionsereignisse, anonymisierte Benutzer Identifikatoren und, mit Ihrer zusätzlichen Opt in Einwilligung, Session Replay Aufzeichnungen über Pendo.io Inc in den USA. Das SDK lädt erst nach Annahme der Analyse und Performance Cookies.
Third-party domains contacted
pendo.iocdn.pendo.ioapp.pendo.iodata.pendo.ioCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _pendo_visitorId | http | 12 months | Anonymous Pendo visitor identifier used to recognise the device or user across sessions. |
| _pendo_accountId | http | 12 months | Account identifier set by the operator through pendo.initialize to group visitors by tenant or workspace. |
| _pendo_meta | http | Session | Pendo metadata cookie storing the SDK state for the current page session. |
Pendo verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Pendo setzt first party Cookies auf der Betreiber Domain: _pendo_visitorId (anonyme Besucher Kennung, 12 Monate), _pendo_accountId (Account Kennung, wenn vom Betreiber gesetzt, 12 Monate) und _pendo_meta (Pendo Metadaten, Session). Bei aktiviertem Session Replay binden zusätzliche Hilfs Identifikatoren die Aufzeichnung an den Besucher. Alle sind nicht notwendig und auf öffentlichen Seiten einwilligungspflichtig.
Auf öffentlichen Marketing Seiten ja. Das SDK und seine Cookies dürfen erst nach vorheriger Opt in Einwilligung nach Artikel 5(3) ePrivacy Richtlinie geladen werden. In einer authentifizierten SaaS Anwendung ist die Einwilligung nicht immer erforderlich, sofern der Betreiber sich auf Artikel 6(1)(b) DSGVO (Vertrag) und Artikel 6(1)(f) (berechtigtes Interesse) stützt, Transparenz, Opt Out und Deaktivierungsmöglichkeit pro Nutzer bleiben aber Pflicht.
Einwilligung nach Artikel 6(1)(a) DSGVO auf öffentlichen Seiten. Vertrag oder berechtigtes Interesse nach Artikel 6(1)(b) oder (f) DSGVO in authentifizierten SaaS Anwendungen, vorbehaltlich Abwägung, Transparenz und Widerspruchsrecht. Session Replay benötigt stets eine Einwilligung wegen des Risikos zufälliger Erfassung besonderer Datenkategorien.
Ja standardmäßig. Pendo.io Inc ist ein US Unternehmen und verarbeitet Events in AWS US Regionen. EWR Besucherdaten werden unter dem EU US Data Privacy Framework (Pendo ist zertifiziert) und Standardvertragsklauseln in die USA übermittelt. Das EU Data Residency Add On für Enterprise Kunden speichert Events in AWS Frankfurt, der Control Plane bleibt US betrieben.
Empfohlen für jeden Einsatz auf EU SaaS Anwendungen und verpflichtend bei aktiviertem Session Replay. Die DSFA muss Einwilligung auf öffentlichen Seiten, Rechtsgrundlage in authentifizierten Bereichen, PII Masking, US Transfer, Aufbewahrung von Events und Recordings und geprüfte Alternativen abdecken.
Verzögern Sie das Laden des SDK auf öffentlichen Seiten bis zur Einwilligung, maskieren Sie alle Eingabefelder in der Pendo Konfiguration, schließen Sie sensible URLs aus, reduzieren Sie die Aufbewahrungsdauer auf das Nötigste, schließen Sie das Pendo DPA ab, buchen Sie nach Möglichkeit das EU Data Residency Add On und führen Sie bei aktiviertem Session Replay eine DSFA durch. Nutzen Sie anonyme Besucher IDs und vermeiden Sie direkte Identifikatoren in pendo.initialize.
Heap, Amplitude mit EU Residency, Mixpanel mit EU Residency, FullStory mit striktem Masking, Hotjar mit EU Servern, selbst gehostetes Matomo Analytics, selbst gehostetes PostHog, June.so. In regulierten Branchen oder bei strikten No Transfer Policies sind selbst gehostete Alternativen (Matomo, PostHog) zu bevorzugen.
Dokumentieren Sie Pendo.io Inc als Auftragsverarbeiter in den USA, listen Sie die Pendo Cookies (_pendo_visitorId, _pendo_accountId, _pendo_meta) mit Speicherdauer und Zweck auf, beschreiben Sie In App Analytics, Guides und Session Replay (falls aktiv), weisen Sie auf das EU US Data Privacy Framework und Standardvertragsklauseln hin und verlinken Sie auf die Pendo Datenschutzerklärung.