Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
AddShoppers ist eine US amerikanische Genossenschaft für Identitätsauflösung und E Mail Marketing, die anonyme Website Besucher mithilfe eines gemeinsamen Identitätsgraphen von Hunderten Händlern bekannten E Mail Adressen zuordnet und anschließend E Mail Retargeting, Warenkorbabbruch Wiederherstellung und On Site Personalisierung ermöglicht. Da der Dienst eine seitenübergreifende Re Identifizierung ohne Kenntnis der betroffenen Person vornimmt, ist das Datenschutzrisiko sehr hoch und es ist eine ausdrückliche, informierte und unmissverständliche Einwilligung nach Art. 7 DSGVO und Art. 5(3) ePrivacy Richtlinie erforderlich.
AddShoppers ist ein in Charlotte, North Carolina, ansässiges US E Commerce Technologieunternehmen, das ein genossenschaftliches Netzwerk zur Identitätsauflösung und zum E Mail Retargeting betreibt. Besucht ein Nutzer eine teilnehmende Händlerseite, setzt AddShoppers ein Pixel und liest einen geteilten genossenschaftlichen Cookie. Hat der Nutzer jemals bei einem der Hunderten Händler des Netzwerks eine E Mail Adresse eingegeben, kann AddShoppers den anonymen Browser re identifizieren, die bekannte E Mail Adresse anhängen und personalisierte E Mails, Warenkorbabbruch Nachrichten oder On Site Angebote auslösen. Das unterscheidet sich grundlegend von einem klassischen E Mail Dienstleister: AddShoppers bündelt First Party Identifier über zahlreiche Verantwortliche hinweg, was genau die Praxis ist, die der EDSA, die CNIL, die AEPD und der ICO als Hochrisiko eingestuft haben.
Art. 7 DSGVO verlangt eine freiwillige, spezifische, informierte und unmissverständliche Einwilligung, die der Verantwortliche nachweisen können muss (Art. 7(1)). Die EDSA Leitlinien 05/2020 zur Einwilligung und die EDSA Stellungnahme 28/2024 zum berechtigten Interesse stellen klar, dass ein in einer Datenschutzerklärung oder in einem generischen Cookie Banner vergrabener Opt In diesen Anforderungen nicht genügt. Identitätsauflösung ist der Paradefall, in dem die Einwilligung granular, geschichtet und nicht mit anderen Zwecken gebündelt sein muss. Art. 5(3) der ePrivacy Richtlinie verlangt zudem die Einwilligung vor jedem Lese oder Schreibvorgang auf dem Endgerät, was Pixel und Cookie umfasst. Ohne separates, ausdrückliches Opt In ist der Einsatz von AddShoppers im EWR und im Vereinigten Königreich nahezu sicher rechtswidrig.
AddShoppers verarbeitet Daten in den USA. Nach Schrems II (EuGH C 311/18) bedürfen Übermittlungen in die USA eines gültigen Mechanismus (EU US Data Privacy Framework Angemessenheitsbeschluss vom 10. Juli 2023 oder Standardvertragsklauseln mit Transfer Impact Assessment und zusätzlichen Maßnahmen). Verantwortliche müssen prüfen, ob AddShoppers unter dem DPF selbst zertifiziert ist, das TIA dokumentieren und die Betroffenen darüber informieren, dass ihre Browsing Daten, ihre E Mail und abgeleitete Merkmale den EWR Richtung USA verlassen. Die Kombination aus E Mail Adresse und Browsing Historie kann einen sensiblen Identifikator darstellen, der die erhöhte Aufmerksamkeit von FISA 702 und Executive Order 12333 auslöst.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die französische CNIL hat wiederholt Adtech und Identity Graph Anbieter sanktioniert (Entscheidungen gegen Criteo, Voodoo, Tagadamedia) und fordert symmetrische Akzeptieren und Ablehnen Buttons. Die spanische AEPD hat ausdrücklich vor Identity Graphs gewarnt, die Offline E Mail Listen mit Online Verhalten verknüpfen. Die ICO Stellungnahme zu Adtech und der Bericht über die Nutzung personenbezogener Daten in der Online Werbung stellen die Rechtmäßigkeit des genossenschaftlichen Identifier Sharings direkt infrage. In den USA hat die FTC Maßnahmen gegen Unternehmen mit undurchsichtigem Data Sharing und Identity Stitching ergriffen (Fälle InMarket Media, X Mode), und Section 5 FTC Act verbietet unfaire oder irreführende Praktiken.
Ein konformer Einsatz erfordert: (1) eine vollständige DSFA nach Art. 35, (2) ein separates, granulares Opt In für Identitätsauflösung und genossenschaftliche Datenteilung, getrennt vom Cookie Banner, (3) eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 zwischen Publisher, AddShoppers und Kooperativmitgliedern, (4) ein dokumentiertes Transfer Impact Assessment für US Transfers, (5) aktualisierte Hinweise nach Art. 13/14, die AddShoppers namentlich nennen, Empfängerkategorien aufführen und die Re Identifizierung erklären, (6) einen funktionierenden Widerrufsmechanismus, der die Opt Out an die Genossenschaft weiterleitet und die Löschung von E Mail und Graph auslöst, (7) eine begrenzte Speicherdauer (empfohlen maximal 24 Monate), (8) die Beachtung von Global Privacy Control und CCPA Opt Out, (9) die standardmäßige Blockade des Skripts bis zur Einwilligung. Können diese Bedingungen nicht erfüllt werden, ist der rechtmäßige Weg, AddShoppers im EWR und im Vereinigten Königreich nicht einzusetzen.
Websites using AddShoppers must obtain user consent under GDPR regulations.
DPIA considerations
AddShoppers löst eine DSFA mit hoher Eingriffstiefe nach Art. 35 DSGVO aus, weil er kombiniert: (1) systematische Überwachung über viele Websites mittels eines genossenschaftlichen Identitätsgraphen, (2) Re Identifizierung anonymer Besucher zu E Mail Adressen, die sie dem Publisher nicht wissentlich übermittelt haben, (3) automatisierte Entscheidungen zum Marketing Targeting (Art. 22 bei erheblichen Auswirkungen), (4) großflächige Verarbeitung von Kontaktdaten, ggf. inklusive aus dem Browsing abgeleiteter besonderer Kategorien (Art. 9), (5) systematische Transfers in die USA, die nach Schrems II zusätzliche technische, vertragliche und organisatorische Maßnahmen erfordern. Die DSFA muss bewerten: Rechtsgrundlage (Einwilligung als einzige realistische Basis), Verhältnismäßigkeit und Erforderlichkeit, Datenminimierung, gemeinsame Verantwortlichkeit mit der Genossenschaft nach Art. 26, Transfer Impact Assessment, Speicherdauer (empfohlen 24 Monate), Betroffenenrechte einschließlich Widerspruchsrecht nach Art. 21 und Recht auf Nichtunterwerfung unter automatisierte Profilbildung. EDSA Stellungnahme 28/2024 zum berechtigten Interesse, CNIL Leitlinien, AEPD Leitfaden zu Identity Graphs und ICO Adtech Stellungnahme schließen aus, dass Identitätsauflösung auf berechtigtem Interesse beruhen kann. Eine zweite, granulare Einwilligung ist für das Genossenschafts Pooling erforderlich.
Sample consent text
Wir nutzen AddShoppers, eine US Genossenschaft für Identitätsauflösung und E Mail Retargeting, um Sie auf unserer Website wiederzuerkennen und Ihnen personalisierte E Mails (einschließlich Warenkorbabbruch Erinnerungen) zu senden, wobei Ihre E Mail Adresse von anderen Händlern im AddShoppers Netzwerk geteilt wird. Ihre Browsing Daten und Ihre E Mail werden in die USA übertragen und mit Hunderten anderer Händler zusammengeführt. Rechtsgrundlage ist Ihre ausdrückliche Einwilligung nach Art. 7 DSGVO und Art. 5(3) ePrivacy. Sie können die Einwilligung jederzeit ohne Wirkung auf die Vergangenheit widerrufen und nach Art. 21 widersprechen. Stimmen Sie der Identitätsauflösung und dem E Mail Retargeting durch AddShoppers und seine Händler Genossenschaft zu?
Third-party domains contacted
addshoppers.comwww.addshoppers.comfastapi.addshoppers.comapi.addshoppers.comshop.pecdn.shop.pestatic.shop.petags.shop.pepixel.addshoppers.comrum.addshoppers.comedge.addshoppers.comcollect.addshoppers.comoptout.addshoppers.comprivacy.addshoppers.comcdn.addshoppers.comsafeoptr.comcdn.safeoptr.comsafeopt.coma.safeopt.comaddshoppers-prod.s3.amazonaws.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _AddShoppers | http_cookie | 1 year | Primary AddShoppers identifier used to track the visitor across participating retailer sites in the cooperative network. This is the cornerstone of the identity graph: the same value is read on every member site, enabling cross site re identification. Requires explicit consent under ePrivacy Article 5(3) and is the cookie that triggers the very high risk classification under GDPR. |
| _as_visit | http_cookie | Session | Session level cookie used by AddShoppers to track a single browsing session on the publisher site (page views, products viewed, cart events). Feeds the cooperative identity graph in real time and supports abandoned cart recovery emails. Consent required under ePrivacy 5(3). |
| _asuid | http_cookie | 2 years | AddShoppers user identifier persisted across sessions. Once the user has been re identified via the cooperative graph and matched to an email address, this cookie binds the email to the browser. Highly intrusive: enables long term cross site tracking and email retargeting. Triggers Article 7 informed consent and Article 26 joint controllership analysis. |
| _as_consent | http_cookie | 1 year | AddShoppers consent state cookie. Records whether the visitor has opted in or opted out of identity resolution and email retargeting. Must reflect the actual choice expressed via the publisher CMP and be respected by the cooperative. |
| _AddShoppers_session | http_cookie | 30 minutes | Short lived session cookie used to deduplicate events and to bind page views to the cooperative identifier. Loaded only after consent is granted. Used in conjunction with the AddShoppers pixel and server to server postback for identity resolution. |
| as_email_match | http_cookie | 24 months | Cookie that stores a hashed email identifier once the cooperative graph has matched the anonymous browser to a known email address. Allows email retargeting and personalization on subsequent visits. Constitutes personal data under GDPR (a hashed email remains identifying when linked back to a browser). |
| _as_attribution | http_cookie | 90 days | Attribution cookie used to credit AddShoppers triggered emails (abandoned cart, browse abandonment, post purchase) when the visitor returns to the site and completes a transaction. Supports closed loop reporting back to the cooperative network. Personal data; consent required. |
| _as_seg | http_cookie | 12 months | Segmentation cookie that stores derived audience labels assigned by the AddShoppers cooperative (high intent buyer, cart abandoner, lifecycle stage, product affinity). Used for on site personalization and email targeting. Inferred attributes from this cookie can constitute special category data under GDPR Article 9 if they reveal sensitive information. |
| as_optout | http_cookie | 10 years | Opt out cookie that records a withdrawal of consent. Long lived to prevent re prompting users who have refused. Must be honored by the AddShoppers pixel and propagated to the cooperative graph for deletion of derived data. |
| _as_dpf | http_cookie | 6 months | Cookie used to record acknowledgement that the visitor has been informed of the US transfer under the EU US Data Privacy Framework and Schrems II. Used as part of the controller documentation of the transfer impact assessment. |
| local_storage_as_id | local_storage | Persistent until cleared | Local storage entry that mirrors the AddShoppers cooperative identifier. Used as a fallback in browsers that restrict third party cookies (Safari ITP, Firefox ETP). Subject to ePrivacy Article 5(3) consent because writing to local storage is treated equivalently to setting a cookie. |
| as_pixel_fp | fingerprint | 6 months | Device and browser fingerprint signal computed by the AddShoppers pixel (user agent, screen, fonts, canvas, language). Used to strengthen cross device matching in the cooperative graph. The CNIL and EDPB consider device fingerprinting an Article 5(3) ePrivacy access to terminal information requiring consent. |
AddShoppers setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
AddShoppers ist eine US Identitätsauflösungs und E Mail Marketing Technologie, betrieben von AddShoppers, Inc. (Charlotte, North Carolina). Sie installiert ein Pixel und einen genossenschaftlichen Cookie auf teilnehmenden Händlerseiten. Trifft ein Besucher ein, versucht AddShoppers den anonymen Browser anhand eines von Hunderten Händlern gespeisten Identitätsgraphen zu re identifizieren. Bei einem Treffer wird die zugehörige E Mail Adresse (zuvor von einem anderen Händler erfasst) der Sitzung beigefügt, was personalisierte E Mails, Warenkorbabbruch Nachrichten und On Site Angebote auslöst. Datenschutzrechtlich handelt es sich um seitenübergreifendes Tracking, Identitätsauflösung und E Mail Retargeting, was EDSA, CNIL, AEPD und ICO als sehr risikoreich einstufen und eine ausdrückliche, informierte Einwilligung verlangt.
Ja. Es sind zwei nicht bündelbare Einwilligungsebenen erforderlich. Erstens verlangt Art. 5(3) ePrivacy Richtlinie die Einwilligung vor jedem Lese oder Schreibvorgang auf dem Endgerät (Pixel und Cookie). Zweitens verlangen Art. 6(1)(a) und Art. 7 DSGVO eine freiwillige, spezifische, informierte und unmissverständliche Einwilligung für die zugrunde liegende Verarbeitung (Identitätsauflösung, seitenübergreifendes Tracking, E Mail Retargeting und genossenschaftliche Datenteilung). EDSA Leitlinien 05/2020 und EDSA Stellungnahme 28/2024 schließen das berechtigte Interesse als Grundlage für dieses eingriffstiefe Profiling aus. Für das Pooling mit anderen Händlern ist eine separate, granulare Einwilligung erforderlich.
AddShoppers verarbeitet Daten in den USA. Nach Schrems II (EuGH C 311/18) sind Transfers in die USA nur dann adäquat, wenn der Importeur unter dem EU US Data Privacy Framework selbst zertifiziert ist (Kommissionsbeschluss vom 10. Juli 2023). Ist AddShoppers nicht DPF zertifiziert, müssen Transfers auf Standardvertragsklauseln plus zusätzlichen Maßnahmen und einem Transfer Impact Assessment beruhen, das die Risiken aus FISA 702 und Executive Order 12333 dokumentiert. Verantwortliche müssen die DPF Zertifizierung in der offiziellen Liste prüfen, das TIA dokumentieren und die Betroffenen nach Art. 13/14 und Art. 44 49 informieren.
AddShoppers verarbeitet Online Identifikatoren (Cookie IDs, IP Adresse, Geräte und Browser Fingerprint), Navigationsereignisse (aufgerufene Seiten, Produktansichten, Warenkorb Ereignisse) sowie nach Re Identifizierung die zugehörige E Mail Adresse aus dem genossenschaftlichen Graphen und abgeleitete Merkmale (Kaufabsicht, Produktaffinität, Lifecycle Stage). Das Pooling bedeutet bidirektionale Datenflüsse: der Publisher liefert Signale und erhält Übereinstimmungen anderer Händler. Aus DSGVO Sicht ist dies eine gemeinsame Verantwortlichkeit nach Art. 26, die durch eine schriftliche Vereinbarung geregelt und den Betroffenen offengelegt werden muss.
Risikoniveau: sehr hoch. Geltende Vorschriften: DSGVO (Art. 5, 6, 7, 9, 13, 14, 22, 26, 44 49), ePrivacy Richtlinie Art. 5(3), EDSA Leitlinien 05/2020 zur Einwilligung, EDSA Stellungnahme 28/2024 zum berechtigten Interesse, Schrems II, EU US Data Privacy Framework, CCPA/CPRA (Verkauf und Weitergabe, Global Privacy Control), Section 5 FTC Act, CAN SPAM Act, CNIL Leitlinien zu Cookies und Trackern, AEPD Leitfaden zu Identity Graphs, ICO Stellungnahme zu Adtech und Real Time Bidding.
Betroffene haben Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20), Widerspruch (Art. 21) sowie das Recht, die Einwilligung jederzeit zu widerrufen (Art. 7(3)). Praktisch: der Publisher muss einen funktionierenden Opt Out anbieten, der den Widerruf an AddShoppers weiterleitet und die E Mail und Graph Löschung auslöst; AddShoppers muss ebenfalls einen direkten Opt Out über sein Datenschutzportal bereitstellen. Die CCPA/CPRA Rechte auf Opt Out von Verkauf und Weitergabe sowie das Global Privacy Control Signal müssen respektiert werden. Auskunftsanfragen müssen Publisher Daten und Einträge im Genossenschaftsgraphen abdecken.
Empfohlen wird eine maximale Speicherdauer von 24 Monaten für den Identitätsgraphen und Verhaltensdaten, mit kürzeren Fristen (6 bis 12 Monate) für Rohereignisdaten. E Mail Engagement Daten dürfen nur so lange gespeichert werden, wie die zugrunde liegende Marketing Einwilligung gültig ist. Die Löschung muss sich vom Publisher über AddShoppers zu allen Genossenschaftsmitgliedern fortpflanzen, die abgeleitete Daten halten. Art. 5(1)(e) (Speicherbegrenzung) und Art. 5(1)(c) (Datenminimierung) DSGVO erfordern eine dokumentierte Rechtfertigung für längere Aufbewahrungsfristen.
Eine konforme Implementierung erfordert: (1) eine vollständige DSFA nach Art. 35, die die Hochrisikoverarbeitung dokumentiert, (2) eine granulare zweistufige Einwilligung (ePrivacy plus DSGVO) außerhalb des Standard Cookie Banners, getrennt von Analytics und anderen Marketing Tools, (3) eine schriftliche Vereinbarung über gemeinsame Verantwortlichkeit nach Art. 26 mit AddShoppers, (4) ein dokumentiertes Transfer Impact Assessment für US Transfers, (5) aktualisierte Hinweise nach Art. 13/14, die AddShoppers nennen und Re Identifizierung sowie Genossenschafts Sharing erklären, (6) Beachtung von GPC, CCPA Opt Out und ein weitergeleiteter Widerrufsmechanismus, (7) standardmäßige Skript Blockade bis zur Einwilligung. Können diese Bedingungen nicht erfüllt werden, besteht die rechtmäßige Alternative im First Party E Mail Marketing mit nativer Einwilligungserfassung und klassischen ESPs ohne Identitätsauflösung und ohne Genossenschafts Sharing.