GDPR Compliance & Data Processing

Built in Germany. Hosted in the EU. GDPR compliant.

Diese Seite ist auch auf Deutsch verfügbar.

Last updated 26 June 2026

adtribute is a software platform for business and marketing analytics, as well as tracking and attribution, mostly serving e-commerce and lead generation businesses. Our Privacy Policy sets out what and how we process data on our own website and the personal data of our customers, where adtribute acts as the controller. This page focuses on the data we process on behalf of our customers, where adtribute acts as a processor under the customer's instructions. The specific purpose of that processing is defined by the customer as the data controller, not by us. For company and legal details, see our Imprint.

Data Protection Officer: Our external data protection officer is DataCo GmbH, Dachauer Straße 65, 80335 Munich, Germany. More information at www.dataguard.de.

Categories of Personal Data We Process on Behalf of Our Customers

As a processor, our platform handles the following categories of personal data on behalf of our customers. We process this data on the customer's instructions and for the purposes they define, never for our own. (We also process non-personal data, such as aggregate performance metrics and advertising spend. This section concerns personal data only.)

What we can capture depends on which data points are actually available at the time. A name, email, or address, for instance, is only captured once a visitor enters it (such as during checkout), and identifiers like click IDs or cookies are only captured if they are present. As a result, the data held for any given visitor varies and is often partial.

1. Tracked Data

We implement a first-party tracking script that operates both client-side, in the visitor's browser, and server-side. Events collected in the browser are sent to and processed by a first-party, server-side collector, where certain data such as the IP address is captured. Subject to availability, the script can capture:

  • Identifiers & technical data
    • IP address
    • User agent (device and browser information)
    • First-party cookies (client- and server-side)
    • Local storage and memory storage values
    • ETags
    • Click IDs (e.g. from advertising platforms)
    • Profile IDs and a combination of device identifiers
  • Behavioral data
    • Page views, button clicks, and scrolling behavior
    • Products viewed, cart activity, and checkout steps
    • Custom events set up by the customer (for example time on page or specific configurations)
  • Contact & checkout details (where a visitor enters them, e.g. during checkout)
    • Email address, phone number, and first and last name
    • Billing and shipping address

2. Integrated Data

What we receive here depends on which integrations a customer connects, and on which data each connected system actually makes available. We receive this data server-to-server from the connected systems. For example:

  • E-Commerce Data (e.g. Shopify)
    • Contact details (first and last name, email, phone)
    • Billing and shipping address, including country and ZIP / postal code
    • Order ID and order details (products, order notes, and order tags)
    • Total purchase value
  • CRM Data (e.g. HubSpot)
    • Contact details (e.g. first and last name, email, phone) and contact ID
    • Lead status / lifecycle stage changes (for example MQL to SQL) and conversion type
    • Form submissions, including the page submitted from and the fields entered
    • Deal information such as stage, pipeline, deal value, projected and invoiced amounts, and close status
    • Any custom contact or deal properties the customer chooses to map. Depending on the customer's CRM configuration, these may include additional or sensitive personal data (for example income or employment information).

Integrated data is only received from the systems a customer chooses to connect. See our Integrations for the full list of available sources.

3. User Profiles & Identification

From the data points described above, adtribute resolves identifiers to build unified, person-level profiles. Individually or in combination, these data points are used to recognise a returning visitor and to link their activity across sessions and connected sources. These profiles are made available, on behalf of the customer, for analyses such as marketing attribution that measures the efficiency of marketing channels. The exact scope of purposes depends on the customer.

Note: We never sell this data, nor do we use it for our own purposes. We process it solely on behalf of, and on the instructions of, our customers.

Infrastructure

By default, adtribute does not transfer the personal data it processes on behalf of its customers to third countries. This personal data is processed and stored on infrastructure located in the European Union, where it remains under EU jurisdiction and the protections of the GDPR.

adtribute is operated by Adtribute Software GmbH, a company based in Germering, Germany.

Legal & DPA

Every adtribute customer enters into a Data Processing Agreement (DPA) with us under Article 28 of the GDPR. The DPA sets out how we process personal data on the customer's behalf, the safeguards in place, and the obligations on both sides.

The DPA is part of our standard contract.

Customer Responsibility

Under the GDPR, adtribute acts as a processor and the customer acts as the data controller. As the controller, the customer must define and disclose the following in their own privacy policy, and secure user consent where it is required:

  • Description and scope: which data is processed, and to what extent.
  • Specific purpose: the purpose or purposes for which the data is collected and processed.
  • Legal basis: the lawful basis for the processing under the GDPR, in most cases the user's consent.
  • Retention: how long the data is stored before it is deleted.
  • Data transfers: whether the data is shared with other tools or transferred to third countries, and if so, which ones. (By default, adtribute does not transfer the personal data it processes on the customer's behalf to third countries.)
  • Revocation: how users can withdraw their consent and exercise their data subject rights at any time.

We provide the tools to honour those choices. The decisions about how the data may be used remain with the customer.

More questions about how adtribute handles data? Email us at office@adtribute.io.

DSGVO-Konformität & Datenverarbeitung

Entwickelt in Deutschland. Gehostet in der EU. DSGVO-konform.

Die englische Fassung finden Sie am Anfang dieser Seite.

Zuletzt aktualisiert am 26. Juni 2026

adtribute ist eine Softwareplattform für Business- und Marketing-Analytics sowie Tracking und Attribution und richtet sich überwiegend an E-Commerce- und Lead-Gen-Unternehmen. Unsere Datenschutzerklärung legt dar, was und wie wir Daten auf unserer eigenen Website sowie die personenbezogenen Daten unserer Kunden verarbeiten, wobei adtribute als Verantwortlicher handelt. Diese Seite konzentriert sich auf die Daten, die wir im Auftrag unserer Kunden verarbeiten, wobei adtribute als Auftragsverarbeiter nach den Weisungen des Kunden handelt. Der konkrete Zweck dieser Verarbeitung wird vom Kunden als Verantwortlichem festgelegt, nicht von uns. Angaben zum Unternehmen und rechtliche Hinweise finden Sie in unserem Impressum.

Datenschutzbeauftragter: Unser externer Datenschutzbeauftragter ist die DataCo GmbH, Dachauer Straße 65, 80335 München, Deutschland. Weitere Informationen unter www.dataguard.de.

Kategorien personenbezogener Daten, die wir im Auftrag unserer Kunden verarbeiten

Als Auftragsverarbeiter verarbeitet unsere Plattform die folgenden Kategorien personenbezogener Daten im Auftrag unserer Kunden. Wir verarbeiten diese Daten nach den Weisungen des Kunden und für die von ihm festgelegten Zwecke, niemals für eigene Zwecke. (Wir verarbeiten auch nicht-personenbezogene Daten, etwa aggregierte Performance-Kennzahlen und Werbeausgaben. Dieser Abschnitt betrifft ausschließlich personenbezogene Daten.)

Was wir erfassen können, hängt davon ab, welche Datenpunkte zum jeweiligen Zeitpunkt tatsächlich verfügbar sind. Ein Name, eine E-Mail-Adresse oder eine Anschrift wird beispielsweise erst erfasst, wenn ein Besucher sie eingibt (etwa während des Checkouts), und Identifikatoren wie Click-IDs oder Cookies werden nur erfasst, wenn sie vorhanden sind. Dadurch variieren die zu einem einzelnen Besucher vorliegenden Daten und sind häufig unvollständig.

1. Getrackte Daten

Wir setzen ein First-Party-Tracking-Skript ein, das sowohl clientseitig im Browser des Besuchers als auch serverseitig arbeitet. Im Browser erfasste Events werden an einen First-Party-Server-Collector gesendet und dort verarbeitet, wo bestimmte Daten wie die IP-Adresse erfasst werden. Vorbehaltlich der Verfügbarkeit kann das Skript erfassen:

  • Identifikatoren & technische Daten
    • IP-Adresse
    • User Agent (Geräte- und Browserinformationen)
    • First-Party-Cookies (client- und serverseitig)
    • Werte aus Local Storage und Memory Storage
    • ETags
    • Click-IDs (z. B. von Werbeplattformen)
    • Profil-IDs und eine Kombination aus Geräte-Identifikatoren
  • Verhaltensdaten
    • Seitenaufrufe, Klicks auf Schaltflächen und Scrollverhalten
    • Angesehene Produkte, Warenkorbaktivität und Checkout-Schritte
    • Vom Kunden eingerichtete benutzerdefinierte Events (zum Beispiel Verweildauer auf einer Seite oder bestimmte Konfigurationen)
  • Kontakt- & Checkout-Daten (sofern ein Besucher sie eingibt, z. B. während des Checkouts)
    • E-Mail-Adresse, Telefonnummer sowie Vor- und Nachname
    • Rechnungs- und Lieferadresse

2. Integrierte Daten

Welche Daten wir hier erhalten, hängt davon ab, welche Integrationen ein Kunde anbindet und welche Daten das jeweils angebundene System tatsächlich bereitstellt. Wir erhalten diese Daten server-to-server von den angebundenen Systemen. Zum Beispiel:

  • E-Commerce-Daten (z. B. Shopify)
    • Kontaktdaten (Vor- und Nachname, E-Mail, Telefon)
    • Rechnungs- und Lieferadresse, einschließlich Land und Postleitzahl
    • Bestell-ID und Bestelldetails (Produkte, Bestellnotizen und Tags)
    • Gesamtbestellwert
  • CRM-Daten (z. B. HubSpot)
    • Kontaktdaten (z. B. Vor- und Nachname, E-Mail, Telefon) und Kontakt-ID
    • Änderungen des Lead-Status / der Lifecycle-Phase (zum Beispiel MQL zu SQL) und Conversion-Typ
    • Formularübermittlungen, einschließlich der Seite, von der gesendet wurde, und der ausgefüllten Felder
    • Deal-Informationen wie Phase, Pipeline, Deal-Wert, prognostizierte und in Rechnung gestellte Beträge sowie Abschlussstatus
    • Alle benutzerdefinierten Kontakt- oder Deal-Eigenschaften, die der Kunde zuordnet. Je nach CRM-Konfiguration des Kunden können diese zusätzliche oder sensible personenbezogene Daten enthalten (zum Beispiel Angaben zu Einkommen oder Beschäftigung).

Integrierte Daten erhalten wir ausschließlich aus den Systemen, die ein Kunde anbindet. Eine vollständige Übersicht der verfügbaren Quellen finden Sie unter unseren Integrationen.

3. Nutzerprofile & Identifikation

Aus den oben beschriebenen Datenpunkten löst adtribute Identifikatoren auf, um einheitliche, personenbezogene Profile zu erstellen. Einzeln oder in Kombination werden diese Datenpunkte genutzt, um einen wiederkehrenden Besucher zu erkennen und seine Aktivitäten über Sitzungen und angebundene Quellen hinweg zu verknüpfen. Diese Profile werden im Auftrag des Kunden für Analysen bereitgestellt, zum Beispiel für die Marketing-Attribution zur Messung der Effizienz von Marketingkanälen. Der genaue Umfang der Zwecke hängt vom Kunden ab.

Hinweis: Wir verkaufen diese Daten niemals und nutzen sie auch nicht für eigene Zwecke. Wir verarbeiten sie ausschließlich im Auftrag und nach den Weisungen unserer Kunden.

Infrastruktur

Standardmäßig übermittelt adtribute die im Auftrag seiner Kunden verarbeiteten personenbezogenen Daten nicht in Drittländer. Diese Daten werden auf einer Infrastruktur in der Europäischen Union verarbeitet und gespeichert, wo sie der EU-Gerichtsbarkeit und dem Schutz der DSGVO unterliegen.

adtribute wird von der Adtribute Software GmbH betrieben, einem Unternehmen mit Sitz in Germering, Deutschland.

Rechtliches & AVV

Jeder adtribute-Kunde schließt mit uns einen Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO ab. Der AVV regelt, wie wir personenbezogene Daten im Auftrag des Kunden verarbeiten, welche Schutzmaßnahmen bestehen und welche Pflichten beide Seiten haben.

Der AVV ist Bestandteil unseres Standardvertrags.

Verantwortung des Kunden

Nach der DSGVO handelt adtribute als Auftragsverarbeiter und der Kunde als Verantwortlicher. Als Verantwortlicher muss der Kunde Folgendes in seiner eigenen Datenschutzerklärung festlegen und offenlegen sowie die Einwilligung der Nutzer einholen, soweit erforderlich:

  • Beschreibung und Umfang: welche Daten in welchem Umfang verarbeitet werden.
  • Konkreter Zweck: der Zweck oder die Zwecke, für die die Daten erhoben und verarbeitet werden.
  • Rechtsgrundlage: die Rechtsgrundlage der Verarbeitung nach der DSGVO, in den meisten Fällen die Einwilligung des Nutzers.
  • Speicherdauer: wie lange die Daten gespeichert werden, bevor sie gelöscht werden.
  • Datenübermittlung: ob die Daten an andere Tools weitergegeben oder in Drittländer übermittelt werden, und falls ja, an welche. (Standardmäßig übermittelt adtribute die im Auftrag des Kunden verarbeiteten Daten nicht in Drittländer.)
  • Widerruf: wie Nutzer ihre Einwilligung jederzeit widerrufen und ihre Betroffenenrechte ausüben können.

Wir stellen die Werkzeuge bereit, um diese Vorgaben umzusetzen. Die Entscheidung darüber, wie die Daten verwendet werden, bleibt beim Kunden.

Weitere Fragen dazu, wie adtribute mit Daten umgeht? Schreiben Sie uns an office@adtribute.io.