Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Tomi.ai

Was macht TomiAI?

TomiAI ist eine Marketing KI Plattform, die Conversion Intent, Churn Risiko und Audience Scores aus Webverhalten und CRM Daten vorhersagt, mit einem JavaScript SDK zur Eventerfassung und einer Scoring API, die Personalisierung, Lead Scoring und Audience Activation ermöglicht.

Was TomiAI ist

TomiAI ist eine Marketing KI Plattform, die Marken hilft, Conversion Intent, Churn Risiko und Audience Affinität aus Webverhalten, CRM Daten und Transaktionshistorie vorherzusagen. Das Produkt bietet ein JavaScript SDK zur Eventerfassung auf der Werbetreibenden Website, serverseitige Konnektoren mit Shopify, HubSpot und Salesforce sowie eine Scoring API mit Score und Audience Empfehlungen. Marketing Teams nutzen TomiAI für Personalisierung, Audience Exporte in Werbeplattformen und Lead Priorisierung im CRM. Die Plattform vereint Predictive Analytics und Customer Data Activation.

Cookies und Eventerfassung

TomiAI wird über ein JavaScript SDK eingebunden, das ein First Party Cookie mit dem TomiAI Besucher Identifikator schreibt und Pageviews, Formularsendungen, Add to Cart, Sign ups und Käufe an die TomiAI Ingestion sendet. Gehashte Mailadressen und CRM Identifikatoren können zu den Events ergänzt werden, um Cross Device Matching zu unterstützen. Das Cookie hat eine lange Laufzeit und persistiert den Besucher Identifikator über Sitzungen, sodass ePrivacy Artikel 5(3) gilt und vor Ladens des SDK eine Einwilligung erforderlich ist.

DSGVO Rollen und KI Pflichten

Beim Einsatz durch eine Marke ist die Marke Verantwortlicher und TomiAI Auftragsverarbeiter nach Artikel 28 DSGVO. KI Modelle werden auf aggregierten Daten trainiert und benötigen eine klare Rechtsgrundlage, einschließlich Einwilligung für nicht unbedingt erforderliches Scoring und berechtigtes Interesse mit Abwägung für einige CRM Scoring Fälle. Die EDPB Leitlinien zu automatisierten Entscheidungen und Profiling gelten, besonders wenn Scores Angebote beeinflussen, und der EU AI Act ergänzt Transparenzpflichten und eine Risikoklassifizierung.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Einwilligung, Profiling und Direktwerbung

Verhaltensbasiertes Scoring zur Personalisierung von Botschaften oder Audiences stützt sich auf Artikel 6(1)(a) DSGVO Einwilligung. Die CNIL Empfehlung zum Profiling für Direktwerbung und die EDPB Leitlinien bestätigen, dass für die Speicherung von Kennungen, den Aufbau von Profilen und personalisierte Inhalte vorherige Einwilligung erforderlich ist und die Ablehnung gleich zugänglich sein muss. Engere CRM Scorings auf Bestandskunden können sich auf berechtigtes Interesse mit Abwägung und klarem Widerspruchsrecht stützen.

US Übermittlungen und Schrems II

Ingestion und KI Training laufen für die meisten Kunden in den USA, mit optionaler EU Residenz in Frankfurt für den Eventstore. Übermittlungen müssen mit Standardvertragsklauseln und, wo TomiAI zertifiziert ist, dem EU: US Data Privacy Framework dokumentiert werden, plus einer Transfer Impact Assessment nach EDPB Empfehlungen. Ergänzende Maßnahmen umfassen IP Kürzung, Hashing, feldbezogene Verschlüsselung und kurze Aufbewahrung. Erfassen Sie auch den Zugriff von US Support und Engineering auf EU Kundendaten.

Praktische Compliance Schritte

Behandeln Sie TomiAI als hochriskanten Profiling Dienst mit Einwilligungspflicht für nicht unbedingt erforderliche Nutzungen. Konfigurieren Sie die CMP so, dass das SDK erst nach Einwilligung für Personalisierung und KI Analytics lädt und kein Event vorher gesendet wird. Schließen Sie AVV und Datenschutz Addendum ab, fordern Sie die aktuelle Unterauftragnehmer Liste an und dokumentieren Sie ergänzende Maßnahmen. Aktualisieren Sie Cookie Richtlinie und Datenschutzerklärung. Führen Sie vor Go Live eine DSFA durch.

GDPR consent category

Marketing

Websites using TomiAI must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(a) GDPR consent for the behavioural identifiers, scoring cookies, and AI driven personalisation that fall within the scope of ePrivacy Article 5(3) for storage and access on the device. CRM scoring of existing customers based on transactional data can rely on Article 6(1)(b) performance of contract and on Article 6(1)(f) legitimate interest with a documented balancing test, in line with the EDPB direct marketing guidelines and the CNIL position on customer scoring.

Risk levelhigh

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, French Data Protection Act and CNIL guidelines on profiling and scoring, German TDDDG, Spanish LSSI and AEPD cookie guidance, UK PECR, EDPB guidelines on automated decision making and profiling, EU AI Act provisions on profiling and high risk uses, EU: US Data Privacy Framework, US state privacy laws including CCPA, CPRA, and the Virginia, Colorado, Connecticut, and Utah laws.

DPIA considerations

Eine DSFA ist für die meisten TomiAI Einsätze erforderlich, da die Plattform systematisches Profiling, automatisiertes Scoring von Conversion Intent und Churn betreibt und Webverhalten mit CRM und Transaktionsdaten kombiniert. Dokumentieren Sie Datenkategorien, KI Modelle, Scoring Outputs, menschliche Aufsicht für entscheidungsrelevante Fälle und ergänzende Maßnahmen für US Übermittlungen. Verweisen Sie auf die EDPB Leitlinien zu automatisierten Entscheidungen und Profiling, die BfDI Position und die AI Act Klassifizierung.

Sample consent text

Wir nutzen TomiAI, um Ihre Interessen vorherzusagen und unsere Kommunikation zu personalisieren. Mit Ihrer Einwilligung setzen wir ein First Party Cookie und senden Ihre Interaktionen auf dieser Seite an die TomiAI Scoring API in den USA, um Audience und Intent Scores zu berechnen. Sie können Ihre Auswahl jederzeit über den Link zu den Cookie Einstellungen im Footer ändern oder widerrufen.

Technical details

Tracking methodJavaScript SDK loaded on advertiser sites that captures pageviews, form submits, add to cart, signups, and purchase events, sets a first-party cookie with a TomiAI visitor identifier, and forwards events to the TomiAI scoring API. Server side ingestion accepts CRM exports through secure file uploads and webhook integrations with Shopify, HubSpot, and Salesforce, where AI models score conversion intent, churn risk, and recommended audiences.

Server locationUnited States and European Union, with TomiAI processing event data and AI scoring on Amazon Web Services regions in the United States and selectively in Frankfurt for European customers. Customers can request EU data residency for the event store, but the AI training pipeline and historical reporting may still rely on US infrastructure depending on the contract.

Data transferred outside the EUVisitor event payloads, IP addresses, hashed email addresses, behavioural scores, and CRM uploads can be processed by TomiAI on infrastructure located in the United States. Transfers rely on Standard Contractual Clauses and on the EU: US Data Privacy Framework where TomiAI is certified, with supplementary measures such as IP truncation and field level encryption that the controller can enable. Customers on the EU residency tier limit the bulk of processing to Frankfurt, but support and engineering access from the United States remains in scope.

Third-party domains contacted

tomi.aiapi.tomi.aievents.tomi.aicdn.tomi.aiapp.tomi.ai

Cookies placed

Name	Type	Duration	Purpose
_tomi_uid	first_party	1 year	First-party identifier set by the TomiAI SDK to recognise the visitor across sessions and to feed AI scoring and audience activation.
_tomi_sess	first_party	Session	Short-lived cookie used by the TomiAI SDK to group events of the current visit before they are sent to the scoring API.
_tomi_consent	first_party	6 months	Stores the visitor consent state shared with the TomiAI SDK so that scoring and personalisation only run after consent.
_tomi_aud	first_party	180 days	Caches the audience and intent scores returned by TomiAI for the current visitor to power on site personalisation.

TomiAI setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Setzt TomiAI Cookies?

Ja. TomiAI setzt ein First Party Cookie mit dem TomiAI Besucher Identifikator zur Persistierung über Sitzungen, zur Verknüpfung von Events mit einem Profil und zur Versorgung der KI Scoring Modelle. Das Cookie ist nicht unbedingt erforderlich, da es Profiling, Personalisierung und Audience Activation antreibt, sodass ePrivacy Artikel 5(3) gilt und vor Laden des SDK eine Einwilligung erforderlich ist.

Ist eine Einwilligung in der EU erforderlich?

Ja für die Verhaltensscoring, Personalisierungs und Audience Activation Funktionen, die Kennungen auf dem Endgerät speichern und ein Profil aufbauen. Engere CRM Scorings auf Bestandskunden können sich auf berechtigtes Interesse mit Abwägung stützen, aber das standardmäßige Web SDK erfordert eine Einwilligung nach Artikel 6(1)(a) DSGVO über eine CMP.

Welche Rechtsgrundlage gilt für TomiAI?

Das Web SDK stützt sich auf Artikel 6(1)(a) DSGVO Einwilligung. CRM Scoring auf Bestandskunden kann auf Artikel 6(1)(b) Vertragserfüllung oder Artikel 6(1)(f) berechtigtem Interesse mit dokumentierter Abwägung beruhen. Besondere Kategorien sollten ohne spezielle Rechtsgrundlage nach Artikel 9 nicht an TomiAI gesendet werden.

Wohin werden TomiAI Daten gesendet?

Die meiste Verarbeitung läuft in den USA auf AWS, mit optionaler EU Residenz in Frankfurt für den Eventstore. Übermittlungen stützen sich auf Standardvertragsklauseln und das EU: US Data Privacy Framework, sofern TomiAI zertifiziert ist, sowie auf eine Transfer Impact Assessment mit ergänzenden Maßnahmen wie IP Kürzung und feldbezogener Verschlüsselung.

Brauche ich eine DSFA vor dem Einsatz?

Ja. Die Plattform betreibt systematisches Profiling, KI Scoring und kombiniert Webverhalten mit CRM Daten, was die EDPB DSFA Leitlinien und die DSFA Listen von CNIL und AEPD als hochriskant einstufen. Dokumentieren Sie Datenkategorien, Modelle, menschliche Aufsicht und ergänzende Maßnahmen und berücksichtigen Sie die AI Act Klassifizierung.

Wie setze ich Consent Gating um?

Konfigurieren Sie in der CMP einen Personalisierungs und KI Scoring Zweck und laden Sie das TomiAI SDK erst nach Einwilligung für diesen Zweck. Stellen Sie sicher, dass kein First Party Cookie vor Einwilligung gesetzt wird und der Besucher Identifikator erst nach Opt In erzeugt wird. Machen Sie die Ablehnung gleich zugänglich und dokumentieren Sie die Konfiguration.

Welche Alternativen bei Ablehnung?

Bei Ablehnung wechseln Sie auf nicht personalisierte Inhalte und ein aggregiertes CRM Scoring ausschließlich auf Transaktionsdaten. Serverseitiges Scoring auf Bestandskunden funktioniert ohne Web Events, und Personalisierung kann auf Kontext und Inhaltskategorien statt auf Besucher Kennungen beruhen. Das TomiAI SDK lädt nicht, kein Cookie wird gesetzt und kein Verhaltens Event wird gesendet.

Wie wird TomiAI in der Cookie Richtlinie beschrieben?

Nennen Sie TomiAI als Auftragsverarbeiter für Verhaltensscoring, Personalisierung und KI Audience Activation. Beschreiben Sie das gesetzte Cookie mit Dauer und Zweck und nennen Sie die vom SDK erfassten Eventkategorien. Hinweisen Sie auf die Übermittlung in die USA, das EU: US Data Privacy Framework und die Standardvertragsklauseln und verlinken Sie die Datenschutzerklärung von TomiAI. Geben Sie die Wege zur Wahrnehmung von Betroffenenrechten an.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note