Cookieless Analytics & Datenminimierung
ISMS Copilot nutzt PostHog für die Produktanalyse im vollständigen Cookieless-Modus mit reiner In-Memory-Persistenz. Es werden keine Cookies oder Browser-Speicher auf Ihr Gerät geschrieben, was unser Engagement für Datenminimierung und Privacy-First-Design unterstreicht.
Wie Cookieless Analytics funktioniert
Unsere PostHog-Implementierung ist so konfiguriert, dass der Datenschutz für die Nutzer maximiert wird, während wir gleichzeitig die Plattform verbessern können:
Cookieless-Modus: Immer aktiviert – es werden keine Tracking-Cookies in Ihrem Browser gesetzt
In-Memory-Persistenz: Sitzungsdaten existieren nur im Arbeitsspeicher des Browsers und gehen beim Neuladen der Seite verloren
Kein individuelles Tracking: PostHog zählt aggregierte Nutzungsdaten (wie „50 Personen haben diese Seite aufgerufen“), erstellt aber keine individuellen Nutzerprofile. Sie werden niemals sitzungsübergreifend als bestimmte Person verfolgt.
Serverseitiges Hashing: Anonyme Nutzungszahlen basieren auf datenschutzfreundlichem serverseitigem Hashing, nicht auf clientseitigen Identifikatoren
Kein persistentes Tracking: Wenn Sie Ihren Browser schließen oder die Seite aktualisieren, werden alle Analyse-Sitzungsdaten sofort gelöscht. Selbst wenn Sie eingeloggt sind, sehen wir nur aggregierte Zahlen – keine individuellen Verhaltensmuster.
Konfiguration des PostHog-Dashboards
Unsere PostHog-Instanz ist mit den folgenden Privacy-First-Einstellungen konfiguriert:
✅ Cookieless Server-Hash-Modus: Aktiviert
✅ Client-IP-Daten verwerfen: Aktiviert (keine Protokollierung von IP-Adressen)
✅ EU Cloud: Frankfurt, Deutschland (DSGVO-konforme Infrastruktur)
❌ Session Replay: Deaktiviert (wir zeichnen niemals Ihren Bildschirm oder Ihre Tastatureingaben auf)
❌ Heatmaps: Deaktiviert (kein detailliertes Interaktions-Tracking)
Technische Implementierung
Die Cookieless-Konfiguration wird direkt in unserem Anwendungscode implementiert:
cookieless_mode: 'always'Diese Konfiguration stellt sicher, dass PostHog im datenschutzfreundlichsten Modus arbeitet und gleichzeitig aggregierte Erkenntnisse liefert, die uns helfen, die Plattform zu verbessern.
Prinzipien der Datenminimierung
Cookieless Analytics unterstützt direkt den Grundsatz der Datenminimierung der DSGVO (Artikel 5 Abs. 1 lit. c), der verlangt, dass personenbezogene Daten wie folgt sein müssen:
Angemessen: Ausreichend für das Verständnis der Produktnutzung
Relevant: Nur Funktionen und Fehlermuster, keine persönlichen Surfgewohnheiten
Begrenzt: Keine unnötigen Identifikatoren wie Cookies, IP-Adressen oder Device-Fingerprints
Durch die Verwendung von In-Memory-Persistenz und serverseitigem Hashing erfassen wir nur das, was zur Messung des aggregierten Plattformzustands und der Funktionsnutzung erforderlich ist – ohne persistente Nutzer-Tracking-Profile zu erstellen.
Was wir erfassen
Mit Cookieless Analytics erfassen wir:
Anonyme Seitenaufrufe und Zählungen der Funktionsnutzung (via serverseitigem Hashing)
Fehlerereignisse und Leistungskennzahlen (anonymisiert)
Sitzungsdauer (nur im Arbeitsspeicher, wird beim Neuladen gelöscht)
Nur für authentifizierte Nutzer: Nutzer-ID (UUID), um die Nutzung der Funktionen im angemeldeten Zustand zu verstehen
Was wir nicht erfassen
Sitzungsübergreifendes Verhalten (Sitzungsdaten werden beim Neuladen gelöscht)
IP-Adressen (werden von PostHog verworfen)
Browser-Fingerprints oder Geräte-Identifikatoren
Gesprächsinhalte oder hochgeladene Dokumente (werden niemals mit Analytics geteilt)
Detaillierte Nutzerinteraktionen wie Klicks, Scrollen oder Formulareingaben (Heatmaps deaktiviert)
Bildschirmaufzeichnungen oder Tastaturprotokollierung (Session Replay deaktiviert)
Obwohl der Cookieless-Modus den Datenschutz erheblich verbessert, bedeutet er auch, dass einige Analysefunktionen (wie das detaillierte Tracking von User Journeys) bewusst nicht zur Verfügung stehen. Wir haben uns für den Datenschutz und gegen ein detailliertes Tracking entschieden.
EU-Datenresidenz
Alle PostHog-Analysedaten werden verarbeitet und gespeichert in:
Standort: Frankfurt, Deutschland (AWS EU-Central-1)
Anbieter: PostHog EU Cloud
Compliance: DSGVO-konforme Infrastruktur ohne Datentransfer außerhalb der EU
Vergleich zu traditioneller Analyse
Funktion | Traditionelle Analyse | ISMS Copilot (Cookieless) |
|---|---|---|
Tracking-Cookies | ❌ Persistente Cookies | ✅Keine Cookies |
Sitzungsübergreifendes Tracking | ❌ Tracking über Besuche hinweg | ✅ Nur pro Sitzung (Speicher) |
IP-Adressen-Protokollierung | ❌ Oft protokolliert | ✅ Verworfen |
Nutzerprofile | ❌ Anonym + identifiziert | ✅ Nur identifiziert (eingeloggt) |
Datenstandort | ⚠️ Variabel (oft USA) | ✅ Nur EU (Frankfurt) |
Session Replay | ⚠️ Oft aktiviert | ✅ Deaktiviert |
Warum das wichtig ist
Cookieless Analytics spiegelt unser umfassenderes Engagement wider für:
Privacy by Design: Einbindung des Datenschutzes in unsere technische Architektur von Anfang an
Transparenz: Offene Dokumentation dessen, was wir wie erfassen
Datenminimierung: Erfassung nur dessen, was für die Produktverbesserung notwendig ist
Nutzerkontrolle: Sicherstellung, dass Analytics nicht dazu verwendet werden kann, individuelles Verhalten über Sitzungen hinweg zu verfolgen
Wenn Sie Fragen zu unseren Analysepraktiken haben oder verstehen möchten, wie bestimmte Funktionen gemessen werden, wenden Sie sich über das Help Center an den Support.
Zugehörige Ressourcen
Datenschutzerklärung – Vollständige Dokumentation der Datenverarbeitung
Datenschutz & DSGVO-Compliance – Erläuterung Ihrer Datenschutzrechte
Sicherheit & Datenschutz-Übersicht – Infrastruktur- und Sicherheitsmaßnahmen
Verzeichnis der Verarbeitungstätigkeiten (VVT) – Detaillierte Protokolle der Verarbeitung