uxspire in deiner CMP integrieren
Alle Informationen, die du oder deine Agentur brauchen, um uxspire sauber im Consent Layer eurer Webseite anzulegen — mit den tatsächlichen SDK-Endpunkten, Storage-Namen und einer dokumentierten Consent API.
In Kürze
uxspire erhebt Daten auf Kundenwebseiten und spielt z. B. Surveys oder UX Metrics wie NPS, CSAT oder UEQ aus. uxspire muss daher in der Regel im Consent Layer der Kundenwebseite abgebildet werden.
Einen einzigen zentralen Weg, der automatisch für alle CMPs funktioniert, gibt es nicht. Lege uxspire deshalb in deiner CMP als Custom Vendor oder Custom Service an, nutze die technischen Angaben auf dieser Seite und verbinde die CMP-Auswahl mit window.uxspire.setConsent({ tracking: true|false }).
Vendor-Daten für dein Consent Banner
Diese Felder kannst du 1:1 in deiner CMP übernehmen, wenn uxspire dort als Vendor, Service oder Custom Script angelegt wird.
| Feld | Inhalt |
|---|---|
| Anbietername | uxspire GmbH |
| Anschrift | Stixchesstr. 107, 51377 Leverkusen, Deutschland |
| Datenschutzkontakt | |
| Dienstname | uxspire |
| Kategorie | Statistik / Feedback / UX Analytics / Umfragen |
| Zweck | Ausspielen eingebetteter Nutzerbefragungen, Erhebung von UX Metrics, Event-Erfassung und Analyse der Nutzererfahrung. |
| Empfohlene Rechtsgrundlage | Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG, sofern Tracking oder Endgerätezugriff genutzt wird. |
| Datenarten | Browser-/Device- und Seitenkontext, Event-Namen und Event-Eigenschaften, UTM-/Kampagnenparameter, Survey-Antworten, NPS-/CSAT-/UEQ-/UEQ-S-Antworten einschließlich optionaler Kommentare, Projekt- und Survey-Bezüge, Session-ID und pseudonyme Distinct-ID. Serverseitig werden bei Ingest-Requests zusätzlich client_ip aus X-Forwarded-For oder X-Real-IP, origin, user_agent und accept_language als technische Request-Metadaten verarbeitet; Browser-, OS-, Device- und Referrer-Kontext wird daraus abgeleitet. Die Zuordnung erfolgt regelmäßig über pseudonyme Identifier und nicht über Klarnamen. |
| Cookies / Storage |
Keine Drittanbieter-Cookies. Das Browser-SDK nutzt LocalStorage/SessionStorage:
uxspire.distinct_id (LocalStorage, pseudonyme Nutzer-ID),
uxspire.session_id (SessionStorage, Sitzungs-ID),
uxspire.consent (LocalStorage, Consent-Status, 365 Tage),
uxspire.embed.config.*,
uxspire.embed.etag.* und
uxspire.embed.fetchedAt.* (LocalStorage, Embed-Config-Cache) sowie
uxspire.widget.seen.* für Widget-/Survey-Status.
Bei gehosteten Public-Link-Surveys kann zusätzlich ein Best-effort-Cookie
uxspire.survey.link_submitted.* für die Deduplizierung gesetzt werden.
|
| Script- und API-Domains |
Standardmäßig https://app.uxspire.com für
/embed/v1/uxspire.js,
/embed/v1/bootstrap,
/embed/v1/config,
/api/v1/e,
/api/v1/batch,
/api/v1/identify und
/api/v1/privacy/forget. Survey-Assets können über
assets.uxspire.com bzw. umgebungsspezifische
assets.*-Domains ausgeliefert werden.
|
| Datenstandort | Die SaaS-Anwendung wird auf Microsoft Azure innerhalb der EU betrieben; die konkrete Azure-Region wird je Umgebung per Deployment-Konfiguration festgelegt. Survey-Assets werden über Cloudflare R2/CDN mit EU-Jurisdiktion gespeichert beziehungsweise ausgeliefert. ZU KLÄREN: tatsächlich ausgerollte Azure-Produktivregion sowie Microsoft-Support- und Diagnosedaten. |
| Privacy-Signale und Consent | GPC/DNT werden standardmäßig client- und serverseitig respektiert, solange respectPrivacySignals auf Org-, Workspace- oder Projekt-Ebene nicht deaktiviert wurde. Bei Sec-GPC: 1 oder DNT: 1 antwortet der Server mit 204 und X-Uxspire-Privacy-Suppressed; es wird nichts in die Datenbank geschrieben. Consent wird per setConsent({ tracking: true|false }) gesteuert und nur ohne aktive Privacy-Signale bis zu 365 Tage in uxspire.consent gespeichert. |
| Speicherdauer / Retention | Consent-Status: bis zu 365 Tage, sofern GPC/DNT nicht aktiv sind. Analyse-Identifier: regelmäßig bis zu 365 Tage. Event- und Auswertungsdaten: regelmäßig bis zu 12 Monate, soweit keine längere Aufbewahrung aus Sicherheits-, Nachweis-, Vertrags- oder AVV-Gründen erforderlich ist. Azure Log Analytics ist im Terraform-Default auf 30 Tage konfiguriert; PostgreSQL-Backups im Terraform-Default auf 7 Tage. |
| TOMs / Security | HTTPS/TLS-Transportverschlüsselung, Azure PostgreSQL mit Mindest-TLS 1.2, secrets über Azure Key Vault, private Netzwerk-/Private-DNS-Konfiguration für zentrale Azure-Dienste, projektbezogene API-Keys, Rate Limits für Embed/Ingest/Privacy-Forget, serverseitige GPC/DNT-Unterdrückung und Löschpfad /api/v1/privacy/forget. |
| AVV / DPA | Enterprise-AVV anfordern |
| Empfänger / Subprozessoren | Auftragsverarbeiter und Subprozessoren; verbindliche Details im Enterprise-AVV. |
| Datenschutzerklärung | uxspire.com/datenschutz |
| Technische Integration | Consent API für Entwickler |
Pflichtangaben für Kunden
Wenn du uxspire auf deiner Webseite einsetzt, musst du die konkrete Nutzung in Consent Banner und Datenschutzerklärung deines Unternehmens abbilden. Die finale Bewertung hängt von deinem Setup und den aktivierten Modulen ab.
Im Consent Banner / CMP
- Dienst und Anbieter: uxspire, uxspire GmbH.
- Zweck: Feedback, UX Analytics, Umfragen, UX Metrics und Event-Analyse.
- Kategorie: regelmäßig Statistik/Analytics bzw. Feedback, nicht Essential.
- Speichertechnologien: LocalStorage/SessionStorage-Keys und Laufzeiten aus der Vendor-Tabelle.
- Rechtsgrundlage: Einwilligung für Endgerätezugriff nach § 25 Abs. 1 TDDDG und für personenbezogene Analyse nach Art. 6 Abs. 1 lit. a DSGVO, soweit kein anderer belastbarer Einzelfall greift.
- Widerruf: CMP-Auswahl mit
setConsent({ tracking: false })verbinden.
In der Datenschutzerklärung
- Zwecke, Rechtsgrundlagen und Datenkategorien konkret nach aktivierten uxspire-Modulen beschreiben.
- uxspire GmbH als Auftragsverarbeiter bzw. Empfänger nennen und bei Enterprise-Verträgen AVV/DPA sowie Subprozessoren verlinken.
- Drittlandbezüge und Garantien für eingesetzte Subprozessoren darstellen, soweit einschlägig.
- Speicherdauer bzw. Kriterien für Speicherdauer angeben.
- Widerruf der Einwilligung, Betroffenenrechte und Beschwerderecht bei einer Aufsichtsbehörde abbilden.
- GPC/DNT-Verhalten und Löschpfad für
distinct_id-bezogene Löschanfragen organisatorisch berücksichtigen.
Ein Service oder mehrere Services?
Für das aktuelle MVP ist ein einzelner CMP-Service meist ausreichend. Bei getrennt aktivierbaren Modulen oder strengeren Kundenvorgaben kann eine Aufteilung sinnvoll sein.
uxspire Surveys & VOC
Standard-Surveys, NPS, CSAT, UEQ und UEQ-S. Zweck: Feedback-Erhebung, Voice-of-Customer, UX-Metriken und Auswertung von Antworten. Daten: Antworten, Ratings, optionale Kommentare, Survey-/Projektbezug, Session-/Distinct-ID und technischer Kontext.
uxspire Product Analytics
Event-Erfassung, technische Nutzungsanalyse und funnelartige Auswertungen auf Basis gesendeter Events. Zweck: Produkt-, UX- und Conversion-Analyse. Daten: Event-Namen, Event-Eigenschaften, Seitenkontext, Referrer, UTM-/Kampagnenparameter, Device-/Browser-Kontext und pseudonyme IDs.
Heatmaps / Session Recording
In Plan- und Marketingunterlagen existieren Bezeichnungen für Heatmaps und Session Recordings, eine aktive Browser-SDK-Erfassung für diese Module ist in den geprüften technischen Unterlagen dieser Seite nicht belegt. Wenn solche Module produktiv aktiviert werden, sollten sie wegen höherer Consent-Erwartung als eigener CMP-Service bewertet werden.
Anlage in Consent Management Platforms
In den geprüften App- und Website-Unterlagen ist kein offizieller uxspire-Eintrag in CMP-Vendor-Datenbanken dokumentiert. Verwende deshalb die Vendor-Daten oben und lege uxspire als Custom Vendor, Custom Service oder Custom Script an.
Usercentrics / Cookiebot
Custom ServiceAls Data Processing Service bzw. Custom Service anlegen und Script-/API-URLs sowie Storage-Namen aus dieser Seite hinterlegen.
OneTrust
Custom VendorAls Custom Vendor mit JavaScript-URL, Endpunkten und LocalStorage-/SessionStorage-Namen konfigurieren.
consentmanager
Custom AnbieterAls eigener Anbieter anlegen und die CMP-Regel mit der uxspire Consent API verbinden.
Didomi
Custom VendorAls Custom Vendor anlegen; eine beantragte oder bestätigte Aufnahme ist in den geprüften Unterlagen nicht belegt.
Borlabs Cookie
Script-ServiceAls eigener JavaScript-Service einbinden; das Script erst nach Zustimmung laden oder nach Zustimmung setConsent({ tracking: true }) ausführen.
CCM19
Eigener AnbieterAls eigenen Anbieter mit Kategorie Statistik/Feedback anlegen und die Endpunkte aus der Vendor-Tabelle eintragen.
CookieFirst
Custom ServiceCustom-Anlage mit den oben genannten Anbieter-, Zweck-, Storage- und Endpunktinformationen.
CookieYes
Custom Cookie / ScriptAls Custom Cookie bzw. Script anlegen, Kategorie Statistik/Analytics oder Feedback wählen und die Freigabe mit der uxspire Consent API koppeln.
Osano
Custom VendorAls Custom Vendor konfigurieren; Script-Blockierung oder Consent-Callback mit der uxspire API koppeln.
Sourcepoint
Custom VendorAnlage als Custom Vendor mit den oben genannten Vendor-Daten möglich.
Deine CMP fehlt? Sprich uns an — wir helfen dir bei der Übersetzung der Angaben in das jeweilige CMP-Modell.
Consent, Privacy Signals &
Standards
uxspire bringt keine eigene Consent-Oberfläche mit. Die Einwilligung wird in deiner
CMP eingeholt und anschließend über die SDK-Methode
setConsent({ tracking: true|false })
an uxspire übergeben.
Global Privacy Control und Do Not Track werden standardmäßig respektiert, sofern
die Projekt-/Workspace-/Org-Policy das nicht ausdrücklich deaktiviert. Bei aktiven
Signalen blockiert der Client Tracking und Embed, und die Ingest-Endpunkte unterdrücken
eingehende Daten mit 204.
Eine aktive IAB-TCF/GVL-Integration oder direkte Google-Consent-Mode-v2-Auswertung ist in den geprüften SDK- und App-Unterlagen nicht implementiert. Wenn deine CMP solche Standards nutzt, sollte sie daraus eine explizite uxspire-Consent-Entscheidung ableiten.
Standards & Frameworks
-
CMP-gesteuerte Einwilligung
Consent wird über die Kunden-CMP eingeholt und per
setConsentan uxspire übergeben. -
GPC / Do Not Track
Client und Server können
Sec-GPC: 1undDNT: 1respektieren. -
DSGVO & TDDDG
Einwilligungsbasierte Einbindung und Auftragsverarbeitung nach Art. 28 DSGVO.
-
IAB TCF / Google Consent Mode
Keine direkte SDK-Auswertung belegt; Mapping erfolgt in der CMP- oder Tag-Manager-Logik.
Consent API für Entwickler
uxspire ist technisch so gebaut, dass dein Team Consent sauber steuern kann — unabhängig davon, welche CMP du einsetzt.
Script einbinden
Das Script wird typischerweise als asynchrones Embed geladen und initialisiert sich über
data-api-key.
Wenn deine Umgebung REQUIRE_CONSENT=true
setzt, bleiben Tracking und Embed blockiert, bis Consent erteilt wurde. Alternativ kann die CMP
das Script erst nach Zustimmung laden.
<script
src="https://app.uxspire.com/embed/v1/uxspire.js"
data-api-key="uxs_00000000-0000-4000-8000-000000000000"
async></script>Consent setzen / widerrufen
Sobald der Nutzer im Consent Banner zustimmt oder seine Auswahl ändert, kann die CMP
setConsent()
aufrufen. Die Methode erwartet ein Objekt mit dem Feld
tracking.
// Einwilligung erteilt
window.uxspire?.setConsent({ tracking: true });
// Einwilligung widerrufen
window.uxspire?.setConsent({ tracking: false });Stabile SDK-Namen
Script-Pfad, API-Endpunkte und Storage-Keys sind dokumentiert und können in CMP-Regeln oder Tag-Managern genutzt werden.
Consent Gate
Mit aktivem Consent-Gate werden Embed und Tracking bis setConsent({ tracking: true }) blockiert.
Opt-out & Privacy Signals
Bei Widerruf stoppt der SDK weitere Erfassung; GPC/DNT können zusätzlich client- und serverseitig unterdrücken.
Häufige Fragen
Brauchen wir für uxspire eine Einwilligung?
In den meisten Konfigurationen ja. Sobald uxspire auf das Endgerät zugreift (LocalStorage/SessionStorage) oder personenbezogene Daten erhebt, ist nach § 25 Abs. 1 TDDDG bzw. Art. 6 Abs. 1 lit. a DSGVO eine Einwilligung erforderlich. Reine Server-zu-Server-Setups ohne Endgerätezugriff sind mit deinem Datenschutzbeauftragten individuell zu bewerten.
Kann uxspire bereits vor Consent geladen werden?
Ja, wenn das Consent-Gate in der uxspire-Umgebung aktiv ist
(REQUIRE_CONSENT=true) oder wenn deine CMP das Script erst nach
Zustimmung freigibt. Bei aktivem Consent-Gate bleiben Tracking und Embed aus, bis
setConsent({ tracking: true }) aufgerufen wird. Ohne dieses Gate
ist das Laden nach Zustimmung die sichere Variante.
Was passiert bei Widerruf der Einwilligung?
Bei setConsent({ tracking: false }) stoppt uxspire weitere
Erhebungen und blockiert Embed-/Tracking-Aktivitäten. Der Widerruf wird als Consent-Status
gespeichert, sofern GPC/DNT nicht aktiv sind. Bereits erhobene pseudonyme Daten werden
serverseitig gemäß Datenschutzerklärung und, bei Enterprise-Verträgen, AVV behandelt; für gezielte
Löschanfragen steht /api/v1/privacy/forget zur Verfügung.
Werden Daten in Drittländer übermittelt?
Die SaaS-Anwendung wird auf Microsoft Azure innerhalb der EU betrieben; die Produktivregion wird per Deployment-Konfiguration festgelegt. Survey-Assets werden über Cloudflare R2/CDN mit EU-Jurisdiktion gespeichert beziehungsweise ausgeliefert. Maßgeblich für Subprozessoren und etwaige Drittlandbezüge sind Datenschutzerklärung und, bei Enterprise-Verträgen, AVV. ZU KLÄREN: tatsächlich ausgerollte Azure-Produktivregion sowie Microsoft-Support- und Diagnosedaten.
Meine CMP listet uxspire noch nicht. Was tun?
Lege uxspire mit den oben genannten Vendor-Daten als Custom Vendor in deiner CMP an. Wenn du möchtest, dass uxspire offiziell aufgenommen wird, melde dich bei uns — wir treiben die Aufnahme dann gezielt mit deinem CMP-Anbieter voran.
Hilfe bei der Integration?
Unser Team unterstützt dich und deine Agentur bei der korrekten Anlage von uxspire in eurer CMP — inklusive Enterprise-AVV, Datenschutzprüfung und Mapping auf euer CMP-Setup.