Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
SberCRM ist die Customer Relationship Management Plattform der Sber Gruppe (PJSC Sberbank), der größten russischen Bankengruppe. Sie kombiniert Lead Management, Marketing Automation, Web Chat Widgets und Integrationen in das weitere Sber Ökosystem. Auf einer öffentlichen Website setzt das SberCRM Widget Cookies, erfasst Formularübermittlungen und synchronisiert Daten mit Sber Servern in der Russischen Föderation. Da Russland keine Angemessenheitsentscheidung besitzt und derzeit internationalen Sanktionen unterliegt, gilt SberCRM für europäische Implementierungen als Hochrisiko Anbieter.
SberCRM ist die CRM Plattform der Sber Gruppe (PJSC Sberbank), der größten russischen Bank. Sie wird kleinen und mittelständischen russischen Unternehmen als Bündel aus CRM, Marketing Automation, Lead Capture, Web Chat und Sber Integrationen verkauft. Das Produkt wird in der Russischen Föderation betrieben und gehostet.
Beim Laden des SberCRM Widgets werden Drittanbieter Cookies (sber_session, sber_uid) gesetzt, übermittelte Formularfelder, Seiten URL, Referrer und ein interner Quellidentifier erfasst. Das Web Push Subscription Token wird, sofern aktiviert, auf Sber Servern abgelegt. Das vollständige Lead Profil steht im SberCRM Backoffice für Marketing und Vertrieb bereit.
Die Cookies fallen unter Art. 5 Abs. 3 ePrivacy und erfordern eine vorherige Einwilligung. Lead Capture und Profilbildung fallen unter Art. 6 Abs. 1 lit. a DSGVO. Da Daten in die Russische Föderation übertragen werden, ist zusätzlich eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO erforderlich, mit klarem Hinweis auf die fehlende Angemessenheit.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Sber und mehrere Tochtergesellschaften stehen auf EU, UK und US Sanktionslisten. EU Verantwortliche müssen prüfen, dass sie bei der Beauftragung von Sber Diensten keine Sanktionsverstöße begehen. SCC sind gegenüber sanktionierten Vertragspartnern schwer durchsetzbar, und russische Behörden verfügen über weitreichende Zugriffsrechte nach dem Föderalen Gesetz 152-FZ und im FSB Rahmen.
Das SberCRM Widget muss bis zu einer ausdrücklichen, granularen Opt In Einwilligung Tag blockiert bleiben. Die Einwilligungsmeldung muss Sber als Betreiber, die Russische Föderation als Empfängerland und die fehlende Angemessenheit klar nennen. Eine deutliche Ablehnen Option muss verfügbar und die Wahl jederzeit widerrufbar sein.
Für europäische Implementierungen führen Sie ein Sanktionsscreening von Sber und Subunternehmern durch, dokumentieren Sie eine Transfer Impact Assessment, bereiten Sie einen Art. 49 Abs. 1 lit. a Einwilligungsfluss vor, listen Sie SberCRM mit Empfängerland Russland in Datenschutz und Cookie Richtlinie auf, beschränken Sie das Widget auf nicht sensible Anwendungsfälle und prüfen Sie ernsthaft eine Migration zu einem EU CRM (HubSpot EU, Salesforce Hyperforce EU, Pipedrive, Brevo, Bitrix24 außerhalb Russlands).
Websites using SberCRM must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist für jeden ernsthaften EU Einsatz von SberCRM erforderlich, wegen der Übermittlung in ein nicht adäquates Land, der Integration in den Sber Werbe und Identitätsstack und der systematischen Lead Erfassung. Die DSFA muss das EU Sanktionsregime und die praktische Unmöglichkeit der Durchsetzung von Standardvertragsklauseln gegenüber sanktionierten Vertragspartnern adressieren.
Sample consent text
Diese Website nutzt SberCRM (Sber, PJSC Sberbank, Russland) für Kundensupport und Lead Management. SberCRM setzt Cookies, erfasst die von Ihnen übermittelten Daten und überträgt sie an Server in der Russischen Föderation, für die keine EU Angemessenheitsentscheidung besteht. Klicken Sie nur auf Akzeptieren, wenn Sie diesen Transfer verstehen und ihm zustimmen. Sie können Ihre Einwilligung jederzeit widerrufen.
Third-party domains contacted
sbercrm.comcdn.sbercrm.comapi.sbercrm.comsber.ruCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| sber_session | session | Session | Session cookie that maintains the SberCRM widget interaction during the visit. |
| sber_uid | persistent | 1 year | Persistent identifier that links visits and form submissions to a unique browser inside the Sber group ecosystem. |
| sber_chat | persistent | 6 months | Stores the open conversation thread of the SberCRM web chat so the visitor can resume it on a later visit. |
SberCRM setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Das SberCRM Widget setzt auf seinen Betreiberdomains Drittanbieter Cookies (sber_session, sber_uid, _ya_uid für Yandex Integrationen, sber_chat), die einen eindeutigen Browser identifizieren, die Chat Sitzung halten und mit der Sber Analytics synchronisieren.
Ja. Die Cookies fallen unter Art. 5 Abs. 3 ePrivacy, die Lead Erfassung unter Art. 6 Abs. 1 lit. a DSGVO. Zusätzlich ist eine ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a DSGVO für die Übermittlung in die Russische Föderation erforderlich, für die keine Angemessenheitsentscheidung besteht.
Einwilligung für Cookies und Lead Erfassung sowie ausdrückliche Einwilligung für den Russland Transfer. Berechtigtes Interesse ist nicht zulässig, da das Empfängerland nicht adäquat ist, der Betreiber sanktioniert ist und die Datenflüsse den Sber Werbe und Identitätsstack speisen.
Produktionsdaten werden in die Russische Föderation übertragen. Russland besitzt keine DSGVO Angemessenheitsentscheidung und kein DPF Äquivalent, und Sber unterliegt EU, UK und US Sanktionen. Standardvertragsklauseln sind schwer durchsetzbar. Die ausdrückliche Einwilligung nach Art. 49 Abs. 1 lit. a ist daher die einzig realistische Rechtsgrundlage für den Transfer.
Ja für jeden ernsthaften EU Einsatz. Die Kombination aus Lead Profiling, Transfer in ein nicht adäquates Land, Sanktionsexposure, persistenten Cookies und Integration in Sber Identitätssysteme erfüllt die DSFA Schwelle nach WP248 und den EDPB Leitlinien.
Führen Sie zuerst ein Sanktionsscreening von Sber und Subunternehmern durch. Falls Sie fortfahren, Tag Blocken Sie das Widget bis zur Einwilligung, bereiten Sie eine klare Art. 49 Abs. 1 lit. a Einwilligungsmeldung vor, dokumentieren Sie eine Transfer Impact Assessment, beschränken Sie das Widget auf nicht sensible Anwendungsfälle, listen Sie SberCRM in Datenschutz und Cookie Richtlinie auf und prüfen Sie die Konfiguration regelmäßig. In den meisten Fällen ist eine Migration zu einem EU CRM empfehlenswert.
Europäische CRM Alternativen: HubSpot EU, Salesforce Hyperforce EU, Pipedrive (Estland), Brevo (Frankreich), Bitrix24 außerhalb Russlands gehostet, Zoho EU und Odoo. Diese Tools vermeiden den Russland Transfer und die Sanktionsproblematik, mehrere bieten reine EU Datenresidenz.
Listen Sie SberCRM mit Betreiber (Sber, PJSC Sberbank, Russland), Zweck (CRM, Lead Management, Web Chat), Cookies (sber_session, sber_uid, sber_chat) mit Speicherdauer, Rechtsgrundlage (Einwilligung und Art. 49 Abs. 1 lit. a ausdrückliche Einwilligung), Empfängerland (Russische Föderation) und Restrisiken (Sanktionen, fehlende Angemessenheit) auf.