TRACIO ist mit Datenschutz als zentralem Architekturprinzip konzipiert. Das System identifiziert Geräte, ohne personenbezogene Daten (PII) zu erheben. TRACIO ist ein verwalteter Cloud-Dienst: Er verarbeitet Daten in Ihrem Auftrag in der von Ihnen gewählten Region (EU oder USA), und Sie bleiben der Verantwortliche.
TRACIO erhebt ausschließlich technische Browser-Signale. Keines der über 130 Signale enthält personenbezogene Daten:
| Was wir erheben | Was wir NICHT erheben |
|---|---|
| Canvas-Rendering-Hash | Namen, E-Mails, Adressen |
| WebGL-GPU-Parameter | Telefonnummern |
| Merkmale der Audioverarbeitung | Sozialversicherungsnummern |
| Schriftartenverfügbarkeit | Kreditkartennummern |
| Bildschirmauflösung | Passwörter |
| Browser-Version | Formular-Eingabewerte |
| Zeitzone | Browserverlauf |
| Spracheinstellungen | Tastatureingaben |
Der Besucher-Identifikator (visitorId) ist ein Einweg-Hash, der aus Gerätemerkmalen abgeleitet wird. Er lässt sich nicht umkehren, um die ursprünglichen Signalwerte wiederherzustellen.
TRACIO arbeitet vollständig als First-Party-Dienst:
_vid_t ist ein First-Party-Cookie (SameSite=Lax, Secure über HTTPS)Sie sind der Verantwortliche; TRACIO ist der Auftragsverarbeiter, der nach Ihren Weisungen handelt. Die Daten werden in der von Ihnen gewählten Region (EU oder USA) verarbeitet und nicht regionenübergreifend repliziert. Die Aufbewahrungsdauer richtet sich nach Ihrem Tarif; der Zugriff wird über das Dashboard gesteuert (Workspace-Rollen).
Nach der DSGVO benötigen Sie eine Rechtsgrundlage, um personenbezogene Daten zu verarbeiten. Device-Fingerprinting kann je nach Rechtsordnung und Anwendungsfall als Verarbeitung personenbezogener Daten gelten. Häufige Rechtsgrundlagen sind:
| Rechtsgrundlage | Anwendungsfall | Hinweise |
|---|---|---|
| Berechtigtes Interesse (Art. 6(1)(f)) | Betrugsprävention, Bot-Erkennung, Kontosicherheit | Häufigste Grundlage. Erfordert eine dokumentierte Interessenabwägung. |
| Einwilligung (Art. 6(1)(a)) | Allgemeines Besucher-Tracking, Analytics | Erfordert ein ausdrückliches Opt-in über ein Cookie-Banner. |
| Vertragserfüllung (Art. 6(1)(b)) | Wesentliche Dienstfunktionalität | Wenn die Identifizierung zur Erbringung des Dienstes erforderlich ist. |
TRACIO setzt ein First-Party-Cookie (_vid_t) mit einer Gültigkeit von 365 Tagen. Nach der ePrivacy-Richtlinie und der DSGVO:
tracio.getResult() eine ausdrückliche Einwilligung eingeholt werden.import { Tracio } from "@tracio/sdk"
// Only initialize TRACIO after consent is grantedif (hasConsent("fingerprinting")) { const tracio = Tracio.init({ publicKey: "5ca175fc..." }) const result = await tracio.getResult()}Sie können die Identifizierung aufschieben, bis der Nutzer zustimmt. Die Signalerhebung funktioniert danach weiterhin; die Konfidenz ist bei wiederkehrenden Besuchern geringer, wenn keine cookie-basierte Abkürzung verfügbar ist:
import { Tracio } from "@tracio/sdk"
const tracio = Tracio.init({ publicKey: "5ca175fc..." })// call getResult() only after consent is grantedSie sind der Verantwortliche und bearbeiten daher Anfragen betroffener Personen. TRACIO stellt Ihnen die Werkzeuge bereit, um diese zu erfüllen:
| Recht | Umsetzung |
|---|---|
| Auskunftsrecht (Art. 15) | Besucherhistorie im Dashboard nachschlagen |
| Recht auf Löschung (Art. 17) | Datensätze eines Besuchers im Dashboard löschen (oder per Support-Anfrage) |
| Recht auf Berichtigung (Art. 16) | Gespeicherte Besucher-Metadaten aktualisieren |
| Recht auf Datenübertragbarkeit (Art. 20) | Besucherdaten in maschinenlesbarem Format (JSON) exportieren |
| Recht auf Einschränkung (Art. 18) | Weitere Verarbeitung für einen Besucher unterbinden |
Finden Sie die Historie eines Besuchers im Dashboard (Besucher) oder nutzen Sie die workspace-bezogene Management-API (authentifiziert über Ihre Dashboard-Sitzung — siehe Webhooks für das Auth-Modell):
curl https://app.tracio.ai/api/v1/workspaces/{workspaceId}/visitors/X7fh2Hg9LkMn3pQr \ -H "Authorization: Bearer <clerk-session-jwt>"TRACIO verarbeitet Daten in der von Ihnen gewählten Region (EU oder USA) als Ihr Auftragsverarbeiter. Ein AVV ist auf Anfrage verfügbar; kontaktieren Sie uns, um einen abzuschließen, bevor Sie im großen Maßstab verarbeiten.
Die Aufbewahrungsdauer ist durch Ihre Tarifstufe festgelegt: 7 Tage (Free), 30 Tage (Pro), 90 Tage (Business), 365 Tage (Enterprise). Datensätze, die älter als das Zeitfenster des Tarifs sind, werden automatisch gelöscht. Um die Aufbewahrung zu verlängern, wechseln Sie in einen höheren Tarif.
| Datentyp | Empfohlene Aufbewahrung | Begründung |
|---|---|---|
| Besucher-Datensätze | Bis zum Limit Ihres Tarifs | Wiederkehrende Besucher benötigen Historie für zuverlässige Zuordnung. |
| Ereignisdetails | 30–90 Tage | Ausreichend für Betrugsermittlung und Streitbeilegung. |
_vid_t enthält eine opake, nicht umkehrbare UID (keine PII)_vid_t nutzt SameSite=Lax und Secure (über HTTPS)Für Anforderungen an die Datenresidenz wählen Sie Ihre Region bei der Registrierung:
| Region | Daten verbleiben in |
|---|---|
| EU | Europäische Union |
| US | Vereinigte Staaten |
Setzen Sie die SDK-Option region ("eu" oder "us"), damit der Browser mit
dem passenden regionalen Endpunkt kommuniziert. Die Daten werden innerhalb Ihrer
gewählten Region verarbeitet und nicht regionenübergreifend repliziert.
region