Cookies und Reichweitenmessung.
Du sollst wissen, was wir messen, mit welchen Mitteln und wie Du das steuerst. Diese Seite listet jedes Cookie, jeden Storage-Schlüssel und jeden Drittanbieter, den die Seite einbinden kann.
1. Begriffsklärung
Cookies sind kleine Textdateien, die ein Browser auf Anweisung einer Website speichert und bei jedem Aufruf an den Server zurückschickt. localStorage und sessionStorage sind moderne Browser-Speicher mit ähnlichem Zweck, aber größerem Speicher und ohne Übertragung an den Server bei jedem Aufruf.
Beide Mechanismen können technisch erforderlich sein (Konfigurator- Auswahl merken) oder nicht erforderlich (Cross-Site-Tracking). Nur die zweite Kategorie braucht eine ausdrückliche Einwilligung — siehe § 165 Abs 3 TKG 2021 sowie Art. 6 (1) a DSGVO.
2. Drei Kategorien — Du steuerst
Beim ersten Besuch erscheint unten ein Banner mit drei Kategorien.
Deine Auswahl wird als sm-consent in
localStorage für 12 Monate gespeichert und kann jederzeit
geändert werden — Footer → „Cookie-Einstellungen“ oder hier:
3. Notwendig — immer aktiv
Diese Speicher sind technisch erforderlich für vom Dir aktiv gestartete Funktionen (Konfigurator, Bauplan-Upload, Anfrage). Sie laufen ohne Einwilligung — § 165 Abs 3 TKG 2021 sieht das ausdrücklich vor.
| Schlüssel | Typ | Zweck | Gültigkeit |
|---|---|---|---|
sm-path |
localStorage | Merkt deine Beratungs-Ausgangssituation (Altbau / Neubau / Gewerbe). | bis Du ihn löschst |
sm-floorplan-token |
localStorage | Verbindet deine Bauplan-Upload-Session mit dem Anfrage-Formular. | bis Anfrage gesendet (max. 24 h) |
sm-kfg-summary |
localStorage | Zusammenfassung deiner Konfigurator-Auswahl, prefilled ins Anfrage-Formular. | wird beim Absenden gelöscht |
sm-kfg-path |
localStorage | Speichert den im Konfigurator gewählten Pfad-Typ. | wird beim Absenden gelöscht |
sm-consent |
localStorage | Deine Auswahl im Cookie-Banner (welche Kategorien zugestimmt). | 12 Monate, danach erneute Abfrage |
4. Reichweitenmessung — cookielos, eigene Server
Wir betreiben eine eigene Reichweitenmessung auf unserem Server. Sie funktioniert ohne Cookies und ohne Drittanbieter — vergleichbar mit Plausible/Fathom, nur in Eigenregie. Genau aus diesem Grund verlassen deine Daten unsere Domain nicht und es gibt keine Drittlands-Übermittlung.
Was gemessen wird:
- Aufgerufene Seite, Zeitstempel, Referrer (woher Du kamst).
- Verweildauer auf der Seite (über Heartbeat-Pings alle 15 s — sammelt keine personenbezogenen Daten, nur eine Zähler-Variable im Browser-Speicher).
- UTM-Parameter aus dem URL (z. B. aus einer Werbe-Kampagne).
- Geräteklasse (Desktop / Tablet / Mobile, abgeleitet aus User-Agent).
- Eine Tageshashes deiner IP-Adresse (Salt rotiert täglich, dadurch keine Wiedererkennung über Tage hinweg möglich) — dient nur dazu, Bot-Traffic zu erkennen und die echte IP nicht zu speichern.
Was NICHT gemessen wird:
- Keine Cookies, keine localStorage-Speicherung außer dem schon erwähnten UTM-Tag (siehe nächster Punkt).
- Keine Wiedererkennung über mehrere Tage / Geräte hinweg.
- Keine echten IP-Adressen (nur Tages-Hash).
- Keine Übertragung an Dritte.
Rechtsgrundlage: Art. 6 (1) f DSGVO (berechtigtes Interesse an aggregierter Reichweitenmessung), § 165 Abs 3 TKG 2021 (technisch erforderliche Speicherung im Endgerät beschränkt sich auf UTM-Attribution; siehe Punkt 5). Du kannst die Reichweitenmessung im Cookie-Banner abschalten — dann wird kein einziger Beacon gesendet.
| Was | Wo | Speicherdauer |
|---|---|---|
| Pageview, Heartbeat, „Leave"-Event | Eigene SQLite-DB (Tabelle events) auf NUC-Server in Österreich |
365 Tage rolling, dann automatisch aggregiert + gelöscht |
| IP-Adresse → Tages-Hash | nur Hash wird gespeichert, Salt rotiert täglich | nicht rückrechenbar nach Salt-Wechsel |
5. Werbe-Attribution — UTM-Parameter
Wenn Du über eine unserer Werbe-Anzeigen kommst, hängt die Anzeige
UTM-Parameter wie ?utm_source=google&utm_campaign=knx-altbau
an den Link. Wir speichern diese Parameter als sm-attr in
deinem localStorage, damit wir bei einer späteren Anfrage
nachvollziehen können, aus welcher Kampagne sie stammt — sonst können
wir nicht beurteilen, welche Werbung tatsächlich funktioniert.
| Schlüssel | Typ | Zweck | Gültigkeit |
|---|---|---|---|
sm-attr |
localStorage | UTM-Parameter aus dem Werbe-Link, damit eine Anfrage einer Kampagne zugeordnet werden kann (Conversion-Attribution). | 30 Tage |
Diese Speicherung ist Teil der „Reichweitenmessung" und wird bei deaktivierter Reichweitenmessung-Kategorie nicht gesetzt.
6. Marketing & Werbung — nur mit Einwilligung
Sobald wir Werbe-Kampagnen schalten, wollen wir messen können, ob Anzeigen Anfragen erzeugen, und Remarketing-Listen aufbauen. Dafür sind Drittanbieter-Pixel nötig — die laden wir ausschließlich, wenn Du der Kategorie „Marketing & Werbung" im Cookie-Banner zugestimmt hast. Vor der Zustimmung wird kein Pixel-Skript geladen, kein Cookie gesetzt und keine Verbindung zu Google oder Meta aufgebaut.
6.1 Google Ads Conversion-Tracking + Remarketing
Anbieter: Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4,
Irland (Mutterkonzern Google LLC, USA). Eingebunden über
googletagmanager.com/gtag/js.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
_gcl_au | Conversion-Verlinkung von Anzeige → Anfrage | 90 Tage |
_ga ( falls Google Analytics verbunden) | User-Identifier | 2 Jahre |
NID (von google.com) | Personalisierung & Anti-Fraud | 6 Monate |
Rechtsgrundlage: Art. 6 (1) a DSGVO (Einwilligung via Cookie-Banner), § 165 Abs 3 TKG 2021. Drittland- Übermittlung in die USA möglich; Google ist nach EU-US Data Privacy Framework zertifiziert.
6.2 Meta Pixel (Facebook / Instagram)
Anbieter: Meta Platforms Ireland Ltd, 4 Grand Canal Square, Dublin 2,
Irland (Mutterkonzern Meta Platforms Inc., USA). Eingebunden über
connect.facebook.net/en_US/fbevents.js.
| Cookie | Zweck | Speicherdauer |
|---|---|---|
_fbp | Identifier für Conversion-Reporting | 90 Tage |
fr (auf facebook.com) | Anzeigen-Personalisierung | 90 Tage |
Rechtsgrundlage: Art. 6 (1) a DSGVO (Einwilligung). Drittland-Übermittlung in die USA möglich; Meta ist nach EU-US Data Privacy Framework zertifiziert. Mit Meta haben wir eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO bezüglich der Pixel-Datenerhebung.
6.3 Wann werden diese Pixel ausgelöst?
- PageView: bei jedem Seitenaufruf nach erteilter Zustimmung.
- Lead (Conversion): nach erfolgreichem Absenden einer Anfrage. Der Wert „Lead" wird übermittelt, kein Inhalt der Nachricht.
7. Was wir nicht einsetzen
- Kein Google Analytics als ständiger Tracker (nur optional Conversion-Anbindung an Google Ads).
- Kein A/B-Test- oder Personalisierungs-Tool.
- Keine Heatmap-Tools (Hotjar, Microsoft Clarity).
- Kein LinkedIn Insight Tag (kann später hinzukommen — würde dann hier auftauchen).
- Keine Server-seitigen Session-Cookies (es gibt keinen Login).
- Keine Drittanbieter-Cookies durch eingebettete Inhalte (kein YouTube-Embed, keine Maps, kein Social-Plugin).
8. Externe Schriften und Skripte
Die Website lädt aktuell Schriften von fonts.googleapis.com
sowie React und Babel-Standalone von unpkg.com. Diese
Anbieter setzen keine Cookies, können aber im Rahmen der
HTTP-Anfrage technische Daten (IP, User-Agent) protokollieren.
Details dazu in der
Datenschutzerklärung, Abschnitt 8.
Eine Migration auf lokal gehostete Schriften und Skripte ist geplant.
9. Wie Du gespeicherte Daten löschen kannst
- Cookie-Banner zurücksetzen: oben den Button „Cookie-Einstellungen öffnen" — Auswahl ändern und speichern.
- Komplett-Reset: Browser-DevTools (F12) → Application / Speicher → Local Storage / Cookies → Domain auswählen → Clear.
-
Konsole-Shortcut: auf der Seite F12 → Console öffnen
→
localStorage.clear(); document.cookie.split(";").forEach(c=>document.cookie=c.replace(/^ +/,'').replace(/=.*/,'=;expires='+new Date().toUTCString()+';path=/'));→ Enter. -
Auch Browser-Einstellungen wie „Cookies und Daten beim Schließen löschen"
oder Privater Modus erfassen
localStorage.
10. Do-Not-Track
Wenn dein Browser den Header DNT: 1 sendet (Do Not Track),
schalten wir die Reichweitenmessung für deinen Aufruf automatisch ab —
auch ohne ablehnende Auswahl im Banner.
11. Wenn sich das ändert
Sollten wir weitere Tracking-Tools einbauen, würde diese Seite vor
Aktivierung erweitert. Die version in sm-consent
wird inkrementiert und der Banner zeigt erneut die aktualisierten Kategorien
zur Bestätigung.
Stand: [Datum der Veröffentlichung wird beim Live-Gang gesetzt]