StackAdapt und Datenschutz: Das Pixel schickt die Daten deiner Besucher in die USA

StackAdapt ist eine Werbeplattform, die über ein eingebundenes Pixel Besucherdaten sammelt und für Retargeting sowie Kampagnenmessung nutzt. Sobald das Pixel auf deiner Website läuft, werden Daten deiner Besucher an StackAdapt übertragen – ohne dass sie irgendetwas angeklickt haben.

Das macht StackAdapt zu einem der datenschutzrechtlich aufwendigeren Tools, die du auf einer WordPress-Website einbinden kannst: Einwilligung, Vertrag mit StackAdapt und ein vollständiger Datenschutzerklärungseintrag sind alle drei erforderlich.

Überblick

Was ist StackAdapt?

StackAdapt ist eine Plattform für programmatische Werbung. Website-Betreiber und Werbeagenturen nutzen sie, um Anzeigen gezielt auszuspielen, Besucher erneut anzusprechen (Retargeting) und den Erfolg von Werbekampagnen zu messen. Die Einbindung auf der eigenen Website erfolgt über ein sogenanntes Pixel – ein unsichtbares Skript, das Besucheraktionen aufzeichnet und an StackAdapt weitergibt.

StackAdapt und Datenschutz im Überblick

CookiesStackAdapt setzt Tracking- und Targeting-Cookies, die eine Einwilligung der Besucher erfordern.
Externe VerbindungenDas Pixel baut beim Seitenaufruf eine Verbindung zu StackAdapt-Servern auf – ohne Einwilligung nicht erlaubt.
DatenschutzerklärungStackAdapt muss in der Datenschutzerklärung genannt werden, mit Zweck, Rechtsgrundlage und Hinweis auf Drittlandtransfer.
DrittlandtransferDaten werden in Kanada, den USA und weiteren Ländern außerhalb der EU verarbeitet.
AuftragsverarbeitungStackAdapt stellt einen Auftragsverarbeitungsvertrag bereit, den du abschließen musst.
Eingaben durch BesucherAbhängig davon, ob du Conversion-Daten oder Formulardaten per Pixel oder Integration an StackAdapt übergibst.

Datenverarbeitung

Welche Daten überträgt StackAdapt – und wann?

Sobald das StackAdapt-Pixel auf deiner Website eingebunden ist, sendet es bei jedem Seitenaufruf Daten an StackAdapt. Das passiert automatisch im Hintergrund, ohne dass dein Besucher etwas tut. Übertragen werden dabei:

  • IP-Adresse
  • Cookie-ID und Cookie-Inhalte
  • Browsertyp und Geräteinformationen (User-Agent)
  • Die Seite, von der der Besucher kommt (Referrer-URL)
  • Geolocation-Daten
  • Pseudonyme Werbe-IDs und Besucher-IDs

Stell dir das Pixel wie einen unsichtbaren Beobachter vor, der bei jeder Tür deiner Website steht und notiert, wer reinkommt und woher. Diese Daten nutzt StackAdapt, um Besucher später mit passenden Anzeigen anzusprechen, Conversions zu messen und Zielgruppen aufzubauen. StackAdapt kann dabei sowohl als Auftragsverarbeiter als auch als eigenständiger Verantwortlicher auftreten – je nachdem, welche Funktionen du nutzt.

Cookies

Setzt StackAdapt Cookies auf meiner Website?

StackAdapt setzt Tracking- und Targeting-Cookies, sobald das Pixel aktiv ist. Diese Cookies identifizieren Besucher über mehrere Seitenbesuche hinweg und ermöglichen Retargeting sowie Kampagnenmessung. Darunter fallen Cookies für die Besucher-ID, die Kampagnenzuordnung, die Quell- und Datumsverfolgung sowie sitzungsbezogene Werbe-IDs.

All diese Cookies sind keine technisch notwendigen Cookies – sie dienen ausschließlich Werbezwecken. Dein Cookie-Banner muss das StackAdapt-Pixel blockieren, bis dein Besucher aktiv eingewilligt hat. Ohne diese Blockierung setzt StackAdapt Cookies vor jeder Zustimmung, was nicht erlaubt ist.

Externe Verbindungen

Baut StackAdapt ohne Einwilligung Verbindungen von meiner Website auf?

Das StackAdapt-Pixel lädt beim Seitenaufruf ein Skript von tags.srv.stackadapt.com und sendet Besucherdaten an die StackAdapt-Server. Diese Verbindung wird aufgebaut, sobald die Seite geladen wird – also bevor dein Besucher irgendetwas getan hat. Verbindungen zu Werbeservern, die Besucherdaten übertragen, sind ohne vorherige Einwilligung nicht erlaubt.

Dein Cookie-Banner muss das Pixel-Skript blockieren, bis die Einwilligung vorliegt. Technisch bedeutet das: Das Skript darf nicht einfach im <head> deiner Website eingebunden sein, sondern muss vom Cookie-Banner gesteuert werden.

StackAdapt auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Werden Eingaben meiner Besucher an StackAdapt weitergegeben?

StackAdapt verarbeitet Benutzereingaben, wenn du entsprechende Daten aktiv per Pixel-Event, Daten-Import oder Integration überträgst.

Das ist der Fall, wenn du zum Beispiel nach einem Kauf die Bestelldaten (E-Mail-Adresse, Umsatz, Produkte) als Conversion-Event an StackAdapt sendest, oder wenn du eine Shopify-Integration eingerichtet hast, die Kaufereignisse direkt weiterleitet.

Ohne diese aktive Übergabe überträgt das Standard-Pixel keine Formulardaten. Du musst prüfen, ob du in den StackAdapt-Einstellungen oder in einer integrierten App solche Ereignis-Übergaben konfiguriert hast.

Drittlandtransfer

Werden Daten meiner Besucher in Länder außerhalb der EU übertragen?

StackAdapt hat seinen Hauptsitz in Kanada und betreibt seine Server-Infrastruktur international. StackAdapt überträgt Daten in Kanada, die USA und weitere Länder außerhalb der EU, darunter das Vereinigte Königreich, Singapur und Japan.

Für Datenübertragungen aus dem EU-Raum verweist StackAdapt auf Standardvertragsklauseln – das ist ein zwischen der EU und dem Empfängerunternehmen vereinbarter Vertrag, der den Datentransfer in Länder ohne gleichwertiges Datenschutzniveau absichern soll.

Das entbindet dich als Website-Betreiber nicht davon, diesen Drittlandtransfer in deiner Datenschutzerklärung transparent zu nennen.

Auftragsverarbeitung

Muss ich mit StackAdapt einen Vertrag zur Datenverarbeitung abschließen?

StackAdapt verarbeitet Besucherdaten deiner Website in deinem Auftrag, sobald du das Pixel einsetzt. Dafür stellt StackAdapt einen Auftragsverarbeitungsvertrag bereit, den du abschließen musst, bevor du das Pixel aktivierst.

Den Vertrag findest du im Bereich „Legal Document Centre“ auf der StackAdapt-Website oder er ist bereits Bestandteil der Plattform-Nutzungsbedingungen, denen du bei der Registrierung zustimmst. Prüfe in deinem StackAdapt-Konto, ob dieser Vertrag für dich gültig abgeschlossen ist. Ohne diesen Vertrag darfst du das Pixel nicht einsetzen.

Datenschutzerklärung

Was muss ich wegen StackAdapt in meine Datenschutzerklärung schreiben?

StackAdapt muss in deiner Datenschutzerklärung mit den folgenden Angaben aufgeführt werden:

  • Zweck: Werbung, Retargeting, Conversion-Tracking und Kampagnenmessung über das StackAdapt-Pixel.
  • Rechtsgrundlage: Einwilligung der Website-Besucher.
  • Empfänger: StackAdapt Inc., Kanada.
  • Drittlandtransfer: Daten werden in Kanada, den USA und weiteren Ländern außerhalb der EU verarbeitet. StackAdapt nutzt Standardvertragsklauseln als Grundlage für die Übertragung.
  • Speicherdauer: Abhängig von den StackAdapt-Cookie-Laufzeiten und den Einstellungen in deinem Konto.

Alternative

Gibt es eine datenschutzfreundlichere Alternative zu StackAdapt?

AdButler ist eine Alternative für Ad Serving und kontextuelle Werbung ohne Cookie-basiertes Retargeting. AdButler setzt auf cookieloses und kontextuelles Targeting – das bedeutet, Anzeigen werden aufgrund des Seiteninhalts ausgespielt, nicht aufgrund von Besucherprofilen.

Wenn du StackAdapt hauptsächlich für einfaches Anzeigen-Ausliefern nutzt und auf Retargeting verzichten kannst, ist AdButler eine naheliegende Option mit weniger Datenschutzaufwand.

Wenn Retargeting und Audience-Bildung für dich zentral sind, ersetzt AdButler den vollen Funktionsumfang von StackAdapt nicht.

Fehler

Typische Fehler bei StackAdapt auf WordPress-Websites

Der häufigste Fehler ist, den StackAdapt-Pixel direkt im Header der Website einzubinden – zum Beispiel über ein Plugin wie Code Snippets – ohne ihn an den Cookie-Banner anzuschließen. In diesem Fall läuft das Pixel sofort beim Seitenaufruf und setzt Cookies, bevor irgendeine Einwilligung gegeben wurde.

Ein weiterer verbreiteter Fehler ist, StackAdapt zwar im Cookie-Banner zu blockieren, aber in der Datenschutzerklärung nicht zu erwähnen oder nur unvollständig zu beschreiben – ohne Hinweis auf den Drittlandtransfer.

Wer eine Shopify-Integration oder ein anderes Dritt-System verbunden hat, vergisst oft zu prüfen, ob dabei automatisch Conversion-Daten wie E-Mail-Adressen übertragen werden, und dokumentiert das entsprechend nicht.

DSGVO-Check

Woran erkenne ich, ob StackAdapt auf meiner Website aktiv ist?

StackAdapt verrät sich über zwei gut erkennbare Spuren: Cookie-Namen und externe Verbindungen.

Im Cookie-Bereich deines Browsers oder in einem Datenschutz-Scan kannst du nach folgenden Cookie-Namen suchen: sa-user-idsa-user-id-v2sa-user-id-v3sc_at. Wenn einer dieser Cookies gesetzt wird, ist das StackAdapt-Pixel aktiv – und das muss von deinem Cookie-Banner gesteuert sein.

Für externe Verbindungen kannst du prüfen, ob deine Website Anfragen an tags.srv.stackadapt.com sendet. Das lässt sich im Browser über die Entwicklertools (Netzwerk-Tab) oder über einen Datenschutz-Scan nachvollziehen. Taucht diese Domain auf, bevor dein Besucher dem Cookie-Banner zugestimmt hat, ist das Pixel nicht korrekt eingebunden.

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.