Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Upstack Data ist eine serverseitige Datenplattform für Shopify und andere E-Commerce Stores, die Conversion Ereignisse erfasst und an Werbe und Analyseziele wie Meta, Google, TikTok und Pinterest weiterleitet, häufig über einen Reverse Proxy in der First Party Domain.
Upstack Data ist eine serverseitige Conversion Plattform für Shopify und andere E-Commerce Stacks. Sie erfasst Seitenaufrufe, Produktansichten, Warenkorb, Checkout und Bestellungen und leitet sie über Server zu Server APIs an Werbe und Analyseziele weiter, etwa Meta Conversions API, Google Ads Enhanced Conversions, TikTok Events API und Pinterest Conversions API. Ein kleines Loader Skript läuft im Shop, während Bestellereignisse aus Shopify Webhooks gelesen werden. Viele europäische Händler installieren den Loader über einen Reverse Proxy auf ihrer eigenen Domain, sodass der sichtbare Endpunkt mit dem Shop Origin übereinstimmt.
Auch mit serverseitiger Architektur stützt sich Upstack Data auf Browser Identifikatoren, um Sessions und Conversions zu verknüpfen. Typisch sind ein First Party Identifier Cookie, die üblichen Werbecookies der Ziele wie _fbp bei Meta sowie gehashte Kunden Identifikatoren wie E-Mail oder Telefon aus dem Checkout. Verarbeitet werden außerdem IP Adresse, User Agent, Bestellnummer, Positionen und Umsatz. Da der Proxy auf einer First Party Subdomain läuft, werden Cookies mit den SameSite und Secure Attributen der Hauptdomain gesetzt, was ihre effektive Lebensdauer in Browsern verlängert, die Drittanbieter Speicher einschränken.
Serverseitig bedeutet nicht einwilligungsfrei. ePrivacy Artikel 5(3) und das BfDI Telemedien Positionspapier verlangen eine Einwilligung für jedes Lesen oder Schreiben von Identifikatoren auf dem Endgerät, unabhängig davon, ob die Folgeverarbeitung im Browser oder auf einem Server stattfindet. Die Übermittlung gehashter E-Mails, IP Adressen und Bestelldaten an Meta, Google, TikTok oder Pinterest ist eine Verarbeitung personenbezogener Daten nach Artikel 4 DSGVO und betrifft häufig gemeinsame Verantwortlichkeit für Werbeaudiences. Händler benötigen daher eine dokumentierte Rechtsgrundlage, in der Praxis die Einwilligung, sowie transparente Hinweise in der Datenschutzerklärung.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Die Infrastruktur von Upstack Data läuft auf AWS in den USA, und die meisten Werbeziele sind US Verantwortliche. Übermittlungen stützen sich auf Standardvertragsklauseln und, soweit zertifiziert, auf das EU: US Data Privacy Framework. Nach Schrems II müssen Verantwortliche eine Transfer Impact Assessment durchführen, ergänzende Maßnahmen wie IP Kürzung, Hashing der Identifikatoren vor der Übermittlung und Datensparsamkeit prüfen und diese Dokumentation für die Aufsichtsbehörde bereithalten.
Tags dürfen nicht feuern und der Proxy darf keine Marketing Ereignisse weiterleiten, bevor die Besucherin Werbung und Analyse zugestimmt hat. Verbinden Sie Upstack Data mit Ihrer Consent Management Plattform, damit der Loader das TCF oder ein eigenes Signal liest, jedes Ziel entsprechend gattert und keine nicht notwendigen Cookies vor dem Opt In setzt. Auch die Bestellbestätigungsseite muss diese Logik einhalten, da das Post Purchase Ereignis das wertvollste, aber auch sensibelste an die Werbe APIs ist.
Führen Sie Upstack Data und jedes nachgelagerte Ziel im Verzeichnis der Verarbeitungstätigkeiten und in der Cookie Richtlinie auf, einschließlich Datenkategorien, Aufbewahrung und Transfermechanismus. Führen Sie vor Go Live eine DSFA durch, schließen Sie einen Auftragsverarbeitungsvertrag mit offen gelegten Unterauftragnehmern ab und stellen Sie sicher, dass gehashte Identifikatoren erst nach Einwilligung übermittelt werden. Testen Sie den Reverse Proxy mit verweigerter Einwilligung, um zu bestätigen, dass kein Marketing Ereignis die Domain verlässt.
Websites using Upstack Data must obtain user consent under GDPR regulations.
DPIA considerations
Eine Datenschutz-Folgenabschätzung ist empfehlenswert, da Upstack Data serverseitiges Conversion Tracking, Anreicherung von Werbeaudiences und Transfers in die USA kombiniert. Dokumentieren Sie die Kategorien von Ereignis und Identifikationsdaten, die Reverse Proxy Architektur, die Standardvertragsklauseln und das EU: US Data Privacy Framework je Empfänger sowie die Aufbewahrungsdauer der Rohprotokolle. BfDI und EDPB erwarten zusätzlich eine Transfer Impact Assessment, sobald Meta, Google, TikTok oder Pinterest angereicherte Conversion Signale erhalten.
Sample consent text
Wir setzen Upstack Data ein, um Conversion Ereignisse über eine serverseitige Pipeline an Werbe und Analysepartner zu übermitteln, einschließlich Übertragungen in die USA. Mit Ihrer Einwilligung teilen wir gehashte Identifikatoren sowie Warenkorb und Bestelldaten, damit Kampagnen gemessen und Zielgruppen verfeinert werden können. Sie können Ihre Auswahl jederzeit über den Link zu den Cookie-Einstellungen im Footer ändern.
Third-party domains contacted
upstackdata.comapi.upstackdata.comcdn.upstackdata.comgraph.facebook.comgoogleads.g.doubleclick.netbusiness-api.tiktok.comct.pinterest.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _uc_visitor | first_party | 1 year | Persistent first-party identifier set by the Upstack Data loader to stitch sessions and conversions across pages and channels. |
| _uc_session | first_party | 30 minutes | Session cookie used by Upstack Data to group events that belong to the same visit and to deduplicate server-side calls. |
| _fbp | first_party | 90 days | Meta browser identifier dropped via the Upstack Data integration and forwarded to the Meta Conversions API for ad attribution. |
| _gcl_au | first_party | 90 days | Google Ads conversion linker cookie written through the Upstack Data loader to support Enhanced Conversions and attribution. |
| _ttp | first_party | 13 months | TikTok pixel identifier set on the merchant domain by the Upstack Data integration to associate visits with TikTok ad campaigns. |
| _pin_unauth | first_party | 1 year | Pinterest identifier deployed via Upstack Data to attribute conversions sent through the Pinterest Conversions API. |
Upstack Data setzt Tracking-Cookies für Werbezwecke — werden Sie DSGVO-konform mit FlowConsent.
Ja. Auch wenn der größte Teil der Verarbeitung serverseitig erfolgt, schreibt Upstack Data ein First Party Identifier Cookie zur Verknüpfung der Sessions und nachgelagerte Ziele wie Meta und Google setzen über die Integration eigene Cookies. Da diese Identifikatoren auf dem Endgerät gespeichert werden, gilt ePrivacy Artikel 5(3) und eine vorherige Einwilligung ist erforderlich.
In nahezu allen praktischen Implementierungen ja. Serverseitiges Tagging verändert nur den Verarbeitungsort der Anfrage, nicht aber die Tatsache, dass Identifikatoren auf dem Endgerät gespeichert und personenbezogene Daten an Werbepartner geteilt werden. BfDI, CNIL und AEPD haben bestätigt, dass ein serverseitiger Proxy die Einwilligungspflicht nicht aushebelt.
Marketing Ereignisse, die über Upstack Data an Meta, Google, TikTok oder Pinterest gesendet werden, beruhen auf Artikel 6(1)(a) DSGVO, also auf Einwilligung. Die Plattformen sind je nach Ziel gemeinsam oder eigenständig Verantwortliche und verlangen meist eine Bestätigung, dass die Einwilligung eingeholt wurde. Berechtigtes Interesse ist nach EDPB Leitlinien für Audience Building in der Regel nicht geeignet.
Sie können es sein, sofern die Schutzmaßnahmen stimmen. Upstack Data hostet auf AWS in den USA und die meisten Ziele sind US Verantwortliche, daher stützen sich die Übertragungen auf Standardvertragsklauseln und, bei zertifizierten Empfängern, auf das EU: US Data Privacy Framework. Verantwortliche sollten ein Transfer Impact Assessment durchführen und ergänzende Maßnahmen wie Hashing und IP Reduktion dokumentieren.
Eine DSFA wird dringend empfohlen. Die Kombination aus großflächigem E-Commerce Tracking, Anreicherung von Werbeaudiences und US Transfers erfüllt mehrere Kriterien der EDPB Leitlinien. Sie sollte Datenflüsse durch den Reverse Proxy, die Empfänger, die Rechtsgrundlage, die Aufbewahrung und das Restrisiko nach Maßnahmen wie Consent Gating und Datensparsamkeit beschreiben.
Verbinden Sie Upstack Data mit Ihrer Consent Management Plattform, damit der Loader das Signal vor der Initialisierung liest und für jedes Ziel respektiert. Konfigurieren Sie die Plattform so, dass Marketing Ereignisse bei verweigerter Werbeeinwilligung unterdrückt werden und auf anonyme Statistik zurückgefallen wird, wenn nur Statistik Einwilligung vorliegt. Testen Sie die Bestellbestätigungsseite mit Ablehnung.
Bei Ablehnung beschränken Sie Upstack Data auf die strikt notwendige Bestellabwicklung oder deaktivieren es vollständig. Aggregierte, identifikatorfreie Auswertungen über Shopify Analytics oder ein datenschutzfreundliches Analysetool sowie kontextuelle Werbung bleiben möglich. Manche Händler implementieren eine rein serverseitige Conversion Messung ohne Endgeräte Identifikator auf Basis dokumentierten berechtigten Interesses.
Nennen Sie Upstack Data als serverseitige Datenplattform, die über einen Reverse Proxy auf einer First Party Subdomain läuft, und beschreiben Sie die Cookies mit Dauer und Zweck. Erwähnen Sie nachgelagerte Empfänger wie Meta, Google, TikTok und Pinterest, die geteilten Datenkategorien, die Rechtsgrundlage, den Einsatz von SCCs und EU: US Data Privacy Framework sowie die Kontaktwege für Betroffenenrechte.