Cookie- und Tracking-Richtlinie (Guventa)

Version 1.1 | Stand FEB 2026

0. Zweck, Geltungsbereich und Verhältnis zu anderen Dokumenten

(1) Diese Richtlinie erläutert den Einsatz von Cookies und vergleichbaren Technologien (z. B. Local Storage, Session Storage, Pixel) auf der Website von Guventa sowie – soweit einschlägig – innerhalb der bereitgestellten Plattform.
(2) Diese Richtlinie ergänzt die Datenschutzerklärung, die Allgemeinen Vertragsbedingungen (AGB) sowie – sofern im Einzelfall relevant – den Auftragsverarbeitungsvertrag (AVV) und das Subprocessor-Register.
(3) Aktueller Stand: Guventa setzt derzeit technisch zwingend nur eine Consent-Speicherung ein, um Einwilligungen zu dokumentieren. Alle in dieser Richtlinie beschriebenen Analyse- und Marketing-Technologien sind optional, sind standardmäßig deaktiviert und werden nur dann eingesetzt, wenn (a) Guventa die jeweilige Technologie aktiv schaltet und (b) der Nutzer zuvor wirksam eingewilligt hat.

1. Begriffsbestimmungen

(1) Cookies sind kleine Textdateien, die auf dem Endgerät des Nutzers gespeichert werden und Informationen enthalten können, die beim erneuten Aufruf einer Website ausgelesen werden.
(2) Zusätzlich können vergleichbare Technologien verwendet werden, insbesondere: • Local Storage (browserbasierte Datenspeicherung) • Session Storage (temporäre Speicherung für die Sitzung) • Web Beacons / Zählpixel (z. B. in Webseiten oder E-Mails) • Consent-Management-Technologien (Erfassung und Speicherung von Einwilligungen) • serverseitige Protokollierung (z. B. Security-Logs, Fehlerprotokolle)

2. Kategorien und Rechtsgrundlagen

2.1 Technisch notwendige Technologien (essentiell)

(1) Technisch notwendige Technologien sind solche, die erforderlich sind, um eine vom Nutzer ausdrücklich gewünschte Funktion bereitzustellen (z. B. Consent-Speicherung, Login-Sicherheit, Sitzungsverwaltung) oder um die Systemsicherheit zu gewährleisten.
(2) Technisch notwendige Technologien sind für den Betrieb und die grundlegende Funktionalität erforderlich und können daher nicht über die Cookie-Einstellungen deaktiviert werden, soweit ihr Einsatz erforderlich ist.
(3) Rechtsgrundlagen: Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 2 Nummer 2 TDDDG Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe b DSGVO und Artikel 6 Absatz 1 Buchstabe f DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (Grundsätze der Bearbeitung) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(b) und Article 6(1)(f) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 6
(4) Beispiele für Zwecke technischer Notwendigkeit: • Speicherung der Consent-Entscheidung (Einwilligungsmanagement) • Sicherheitsprotokollierung, Betrugsprävention, Systemstabilität • Schutzmechanismen (z. B. CSRF-Schutz), Session-Handling (sofern genutzt)

2.2 Analyse- und Marketing-Technologien (optional, einwilligungspflichtig)

(1) Analyse- und Marketing-Technologien dienen z. B. Reichweitenmessung, Conversion-Tracking, Partnerzuordnung oder UX-Optimierung und werden nur eingesetzt, wenn der Nutzer zuvor wirksam eingewilligt hat und Guventa diese Technologien tatsächlich aktiviert.
(2) Rechtsgrundlagen: Deutschland: Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (DE) §25 Absatz 1 TDDDG und Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 6 Absatz 1 Buchstabe a DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (Grundsätze; Einsatz einwilligungsbasiert/opt-in, soweit nach Ausgestaltung erforderlich) Vereinigtes Königreich: UK GDPR (UK) Article 6(1)(a) sowie Privacy and Electronic Communications Regulations 2003 (UK) Regulation 6
(3) Ohne Einwilligung werden Analyse- und Marketing-Technologien nicht ausgelöst und keine nicht notwendigen Cookies oder vergleichbaren Identifikatoren gesetzt oder ausgelesen, soweit dies technisch durch Guventa steuerbar ist.

3. Consent-Management (Einwilligungsverwaltung)

(1) Die Einwilligung erfolgt granular nach Kategorien (z. B. Essentiell / Analyse / Marketing).
(2) Das Consent-Modell ist standardmäßig deaktiviert für Analyse und Marketing (Opt-In). Essentielle Technologien bleiben aktiv, soweit erforderlich.
(3) Jede Einwilligung wird protokolliert und dokumentiert, insbesondere: • Consent-ID oder vergleichbarer Identifier • Zeitstempel • Auswahl (welche Kategorien) • Version dieser Richtlinie
(4) Die Protokollierung erfolgt zum Nachweis einer Einwilligung und wird für bis zu drei Jahre gespeichert, soweit dies für Dokumentations- und Nachweiszwecke erforderlich ist. Deutschland: Datenschutz-Grundverordnung (EU) Artikel 7 Absatz 1 DSGVO Europäische Union: Datenschutz-Grundverordnung (EU) Artikel 7 Absatz 1 DSGVO Schweiz: Bundesgesetz über den Datenschutz (CH) Artikel 6 DSG (Grundsätze; Dokumentation im Rahmen der Governance) Vereinigtes Königreich: UK GDPR (UK) Article 7(1)
(5) Ein Widerruf wirkt für die Zukunft. Bereits rechtmäßig verarbeitete Daten bis zum Widerruf bleiben hiervon unberührt.

4. Derzeit eingesetzte Technologien (Ist-Zustand)

(1) Derzeit technisch zwingend eingesetzt wird ausschließlich die Consent-Speicherung zur Dokumentation der Einwilligung.
(2) Alle in dieser Richtlinie beschriebenen Analyse- und Marketing-Technologien sind derzeit deaktiviert und werden nur nach Einwilligung und Aktivierung gemäß §2.2 eingesetzt.

5. Optionale Dienste (nur bei Aktivierung und Einwilligung)

5.1 Analyse-Dienste (optional)

(1) Google Analytics (GA4) kann optional eingesetzt werden. Zweck ist die pseudonymisierte Nutzungsanalyse, Reichweitenmessung und Produktoptimierung. Typische Konfigurationen umfassen Datenminimierung, Zugriffsbeschränkungen und – soweit technisch vorgesehen – IP-Kürzung/Anonymisierung. Die Speicherdauer beträgt typischerweise bis zu 14 Monate und ist konfigurationsabhängig.
(2) Microsoft Clarity kann optional eingesetzt werden. Zweck ist die UX-Optimierung mittels Heatmaps und Interaktionsanalyse. Guventa konfiguriert Clarity – sofern eingesetzt – so, dass keine sensitiven Formulareingaben aufgezeichnet werden (z. B. Maskierung). Die Speicherdauer beträgt typischerweise bis zu 12 Monate und ist konfigurationsabhängig.

5.2 Marketing- und Partnerdienste (optional)

(1) Ein Guventa Affiliate-System kann optional eingesetzt werden. Zweck ist die Zuordnung von Partner-IDs (Attribution). Eine Profilbildung außerhalb der Partnerzuordnung ist nicht beabsichtigt. Die Speicherdauer beträgt typischerweise 60 Tage und ist konfigurationsabhängig.
(2) Meta Pixel kann optional eingesetzt werden. Zweck ist Conversion-Tracking und Kampagnenmessung. Bei Einsatz kann eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO einschlägig sein; Guventa stellt dann die wesentlichen Informationen hierzu in der Datenschutzerklärung bzw. im entsprechenden Hinweis bereit. Die Speicherdauer beträgt typischerweise bis zu 180 Tage und ist konfigurationsabhängig.
(3) LinkedIn Insight Tag kann optional eingesetzt werden. Zweck ist B2B-Conversion-Analyse und Reichweitenmessung. Bei Einsatz kann eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO einschlägig sein; Guventa stellt dann die wesentlichen Informationen hierzu in der Datenschutzerklärung bzw. im entsprechenden Hinweis bereit. Die Speicherdauer beträgt typischerweise bis zu 90 Tage und ist konfigurationsabhängig.

5.3 E-Mail-Metriken (optional, gesondert zu betrachten)

(1) Öffnungs- und Klickmessung durch Zählpixel (Web Beacons) ist eine E-Mail-Technologie und nicht zwingend Teil des Website-Cookie-Einsatzes. Sofern Guventa entsprechende Messungen aktiviert, erfolgt der Einsatz grundsätzlich nur nach Einwilligung. Für rein transaktionale E-Mails (z. B. System- oder Rechnungsinformationen) erfolgt standardmäßig keine Öffnungs- oder Klickmessung, sofern dies technisch steuerbar ist.
(2) Nutzer können das automatische Laden externer Bilder in ihrem E-Mail-Client deaktivieren; dies kann die Darstellung und Messung beeinflussen.

6. Technische Steuerung (Tag-Auslösung, Consent Mode, Schutzmechanismen)

(1) Analyse- und Marketing-Tags werden technisch erst nach wirksamer Einwilligung ausgelöst, sofern Guventa diese Technologien aktiviert.
(2) Soweit Google-Technologien eingesetzt werden, kann Google Consent Mode verwendet werden. Ohne Einwilligung werden – soweit technisch vorgesehen – keine Analyse- oder Marketing-Cookies gesetzt; etwaige Signale werden im Rahmen der Einwilligungslogik gesteuert.
(3) Consent-Änderungen (Widerruf/Erteilung) werden technisch berücksichtigt, sobald dies im Browser des Nutzers wirksam umgesetzt werden kann (z. B. durch Neuinitialisierung/Blockade von Tags).

7. Drittlandtransfer (insbesondere USA)

(1) Sofern optionale Dienste von Anbietern mit Sitz außerhalb der EU/des EWR eingesetzt werden (z. B. USA-Anbieter), kann eine Datenübermittlung in Drittländer stattfinden.
(2) Rechtsgrundlagen und Schutzmechanismen können – je nach Anbieter und Status – insbesondere sein: • EU-U.S. Data Privacy Framework (DPF), jedoch nur sofern der Anbieter zertifiziert ist • EU-Standardvertragsklauseln (SCC) • zusätzliche technische und organisatorische Maßnahmen (TOM); sofern ein Anbieter nicht (mehr) DPF-zertifiziert ist oder DPF nicht anwendbar ist, stützt sich Guventa auf SCC und ergänzende TOM.

8. Speicherdauer, Datenminimierung und Zweckbindung

(1) Guventa verarbeitet nur solche Daten, die für den jeweiligen Zweck erforderlich sind, und minimiert Tracking, soweit möglich.
(2) Speicherdauern hängen von der eingesetzten Technologie ab. Wenn optionale Tools aktiviert sind, gelten die im Consent-Banner bzw. in den Einstellungen ausgewiesenen Speicherdauern sowie die in dieser Richtlinie beschriebenen typischen Konfigurationswerte.
(3) Eine Zusammenführung von Trackingdaten mit anderen Datenquellen erfolgt nicht ohne gesonderte Rechtsgrundlage.

9. Widerruf, Opt-Out und Kontakt

(1) Ein Widerruf einer Einwilligung ist jederzeit möglich über: • den Link „Cookie-Einstellungen“ im Footer • [email protected] • [email protected]
(2) Der Widerruf wirkt für die Zukunft.

10. Änderungen dieser Richtlinie

(1) Guventa behält sich vor, diese Richtlinie bei rechtlichen, technischen oder organisatorischen Änderungen anzupassen.
(2) Maßgeblich ist die jeweils aktuelle Version. Wesentliche Änderungen werden in geeigneter Weise kenntlich gemacht (z. B. Hinweis im Consent-Banner oder im Änderungsvermerk dieser Richtlinie).