Stop asking for permission and start listening to your users. ThinPoll gives you GDPR-ready insights without the friction of consent banners. Hosted in and created in Europe, built for privacy.
No dev team, no complex setup. Copy, paste, done.
Choose from NPS, CSAT, helpfulness, or friction surveys. Set the trigger — after a time delay, on scroll depth, or on exit intent. Up and running in minutes.
One line of HTML, added once to your site. Works anywhere you can add a <script> tag — no plugin required.
Your dashboard updates as responses arrive — NPS scores, trends, and a 7-day sparkline per survey. No page refresh needed.
No IP addresses, no cookies, no fingerprinting. Only anonymous aggregate counts. GDPR-compliant — no consent banner, no lawyer needed.
Trigger by time delay, scroll depth, exit intent, or a click on any element. Add URL rules to show the widget only on specific pages — zero extra code.
NPS, CSAT, helpfulness, friction, and more feedback-options — pick the right format for every page and moment.
Invite teammates, assign admin or viewer roles, and share surveys across your whole team. One script, shared insights.
Get alerted in Slack, Microsoft Teams, or any tool via webhook the moment a response comes in. Never miss critical feedback.
NPS scores, trends, a 7-day sparkline, and CSV export per survey. Clear signal, no clutter.
Connect ThinPoll to Slack, Microsoft Teams, or any tool via webhook. Every new response, right where your team is.
Most feedback tools were designed before GDPR existed. ThinPoll was built around it.
| ThinPoll | Feedback Tools | Survey Platforms | |
|---|---|---|---|
| Cookie banner required? | ✓ No — never | ✗ Yes | ✗ Yes |
| Script size | ✓ < 1 KB | 200 – 600 KB | 100 – 300 KB |
| GDPR consent needed? | ✓ No | ✗ Yes | ✗ Yes |
| Stores personal data? | ✓ Never | ✗ IP, session, cookies | ✗ Email, cookies, IP |
| Core Web Vitals impact | ✓ Zero | ✗ Significant | ✗ Moderate |
| TTDSG / ePrivacy compliant? | ✓ Fully | ✗ Requires opt-in | ✗ Requires opt-in |
| EU-only data storage | ✓ Germany | ✗ US servers (Schrems II risk) | ✗ US servers |
Start free for 14 days. No credit card required.
Have a question or want to learn more? Send us a message.
Stand: April 2026. Die rechtlich verbindliche Fassung ist die deutsche Version.
Pascal Frerkes, Klenzestraße 9, 85737 Ismaning, Deutschland · info@thinpoll.com · +49 151 64523054
a) Kontaktformular — Name, E-Mail-Adresse, Nachrichtentext. Rechtsgrundlage: Art. 6(1)(b) DSGVO (vorvertragliche Maßnahmen). Speicherdauer: bis zur Beantwortung der Anfrage, spätestens 6 Monate.
b) Konto- und Authentifizierungsdaten — Name, E-Mail-Adresse, verschlüsselter Passwort-Hash (scrypt). Rechtsgrundlage: Art. 6(1)(b) DSGVO (Vertragserfüllung). Speicherdauer: Dauer des Vertragsverhältnisses; Löschung auf Anfrage oder über die Account-Löschfunktion.
c) Sitzungsdaten (Session-Token) — Ein zufälliger UUID-Token wird als HttpOnly-Cookie gesetzt und in der Datenbank gespeichert, ausschließlich zur Authentifizierung. Kein Tracking, keine Analyse. Rechtsgrundlage: Art. 6(1)(b) DSGVO. Automatische Löschung nach 24 Stunden.
d) Survey-Responses (Widget-Antworten) — Numerischer Antwort-Wert (z.B. 1–5), URL der Seite, User-Agent-String des Browsers, Zeitstempel. Bei Freitext-Umfragen wird zusätzlich der eingegebene Text gespeichert. Automatische PII-Bereinigung: Alle Freitext-Antworten werden serverseitig vor der Speicherung automatisch geprüft — E-Mail-Adressen, Telefonnummern, Kreditkartennummern und IBANs werden durch [REDACTED] ersetzt (Art. 25 DSGVO, Privacy by Design). Es werden keine Cookies gesetzt, kein localStorage beschrieben, keine IP-Adressen dauerhaft gespeichert, keine Nutzerprofile erstellt. Frequency-Capping erfolgt via serverseitigem SHA-256-Hash (24h TTL, automatische Löschung) — nichts wird im Browser gespeichert. Das Widget ist nach § 25 TTDSG und Art. 5(3) ePrivacy-Richtlinie ohne Einwilligung zulässig. Rechtsgrundlage: Art. 6(1)(f) DSGVO. Speicherdauer Response-Daten: Solange das Konto besteht. Speicherdauer Frequency-Hash: 24 Stunden.
e) Abrechnungsdaten — Stripe verarbeitet Zahlungsdaten in unserem Auftrag. ThinPoll speichert ausschließlich die Stripe Customer ID und den Abo-Status. Stripe Inc. ist zertifiziert nach PCI DSS Level 1. Datenübermittlung in die USA auf Basis von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46(2)(c) DSGVO. Datenschutzerklärung Stripe: stripe.com/privacy.
Alle Daten werden ausschließlich auf Servern in der EU (Deutschland/West-Europa) verarbeitet:
· Microsoft Azure (Azure Static Web Apps, Cosmos DB, Azure Communication Services) — Datenzentrum: Deutschland West-Mitte / West-Europa. AVV mit Microsoft abgeschlossen. Kein US-Transfer.
· Stripe Inc. (Zahlungsabwicklung) — USA, Datenübermittlung auf Basis von SCCs. Gilt nur für zahlende Kunden, nicht für das Widget.
Sie haben folgende Rechte nach Art. 15–21 DSGVO: Auskunft · Berichtigung · Löschung · Einschränkung der Verarbeitung · Datenübertragbarkeit · Widerspruch. Zur Ausübung Ihrer Rechte wenden Sie sich an info@thinpoll.com.
Beschwerderecht bei der zuständigen Datenschutz-Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, poststelle@lda.bayern.de.
ThinPoll erstellt keine Nutzerprofile und betreibt kein automatisiertes Entscheiden im Sinne von Art. 22 DSGVO.
Wesentliche Änderungen werden registrierten Nutzern per E-Mail angekündigt (Frist: 30 Tage vor Inkrafttreten). Die aktuelle Fassung ist unter thinpoll.com/#company erreichbar.
April 2026. Note: the legally binding version of this policy is the German version above.
Pascal Frerkes, Klenzestraße 9, 85737 Ismaning, Germany · info@thinpoll.com · +49 151 64523054
a) Contact form — Name, email address, message text. Legal basis: Art. 6(1)(b) GDPR (pre-contractual measures). Retention: until the inquiry is resolved, max. 6 months.
b) Account & authentication data — Name, email address, encrypted password hash (scrypt). Legal basis: Art. 6(1)(b) GDPR (contract performance). Retention: duration of the contract; deleted on request or via the account deletion function.
c) Session data — A random UUID token is set as an HttpOnly cookie and stored in the database solely for authentication. No tracking, no analytics. Legal basis: Art. 6(1)(b) GDPR. Auto-deleted after 24 hours.
d) Survey responses (widget answers) — Numeric answer value (e.g. 1–5), page URL, browser user-agent string, timestamp. For free-text surveys, the response text is also stored. Automatic PII redaction: all free-text responses are automatically checked server-side before storage — email addresses, phone numbers, credit card numbers and IBANs are replaced with [REDACTED] (Art. 25 GDPR, Privacy by Design). No cookies set, no localStorage written, no IP addresses stored permanently, no user profiles created. Frequency capping uses a server-side SHA-256 hash (24h TTL, auto-deleted) — nothing is stored in the browser. The widget is fully exempt from consent requirements under TTDSG § 25 and ePrivacy Directive Art. 5(3). Legal basis: Art. 6(1)(f) GDPR. Retention for response data: as long as the account exists. Retention for frequency hash: 24 hours.
e) Billing data — Stripe processes payment data on our behalf. ThinPoll stores only the Stripe Customer ID and subscription status. Stripe Inc. is PCI DSS Level 1 certified. Data transfer to the US is based on EU Standard Contractual Clauses (SCCs) pursuant to Art. 46(2)(c) GDPR. Stripe privacy policy: stripe.com/privacy.
All data is processed exclusively on servers in the EU (Germany / Western Europe):
· Microsoft Azure (Azure Static Web Apps, Cosmos DB, Azure Communication Services) — Data centre: Germany West Central / West Europe. DPA concluded with Microsoft (Microsoft Online Service Terms). No US transfer.
· Stripe Inc. (payment processing) — USA, data transfer based on SCCs. Applies only to paying customers, not to the widget.
You have the following rights under Art. 15–21 GDPR: access · rectification · erasure · restriction of processing · data portability · objection. To exercise your rights, contact info@thinpoll.com.
You also have the right to lodge a complaint with the supervisory authority: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 18, 91522 Ansbach, Germany, poststelle@lda.bayern.de.
ThinPoll does not create user profiles and does not carry out automated decision-making within the meaning of Art. 22 GDPR.
Material changes to this policy will be announced to registered users by email at least 30 days before they take effect. The current version is available at thinpoll.com/#company.
Gemäß Art. 28 DSGVO. Stand: April 2026.
Auftragnehmer (Verarbeiter): Pascal Frerkes, Klenzestraße 9, 85737 Ismaning, Deutschland (»ThinPoll«).
Auftraggeber (Verantwortlicher): Das jeweilige Unternehmen bzw. die natürliche Person, die das ThinPoll-Widget auf ihrer Website einsetzt und einen kostenpflichtigen ThinPoll-Account nutzt (»Kunde«).
Dieser Auftragsverarbeitungsvertrag gilt automatisch mit der Aktivierung eines kostenpflichtigen ThinPoll-Accounts als geschlossen. Der Kunde bestätigt mit der Nutzung des Dienstes, dass er als datenschutzrechtlich Verantwortlicher handelt und die Einbettung des Widgets auf seiner Website in eigener Verantwortung vornimmt.
ThinPoll verarbeitet im Auftrag des Kunden personenbezogene Daten der Besucher der Kunden-Website durch den Betrieb eines Micro-Survey-Widgets. Der Vertrag besteht für die Dauer des ThinPoll-Abonnements und endet automatisch mit dessen Beendigung.
Erhebung, Speicherung und Auswertung anonymer Feedback-Daten von Website-Besuchern des Kunden zum Zweck der Nutzerzufriedenheitsanalyse. Kategorien verarbeiteter Daten:
· Numerischer Umfragewert (z.B. NPS-Score 0–10, CSAT 1–5)
· URL der Seite, auf der das Widget angezeigt wurde
· User-Agent-String des Browsers
· Zeitstempel der Antwort
· Optional bei Freitext-Umfragen: Freitext-Antwort des Besuchers — vor der Speicherung automatisch serverseitig bereinigt (E-Mail-Adressen, Telefonnummern, Kreditkartennummern und IBANs werden durch [REDACTED] ersetzt; Art. 25 DSGVO — Privacy by Design)
Betroffene Personen: Besucher der Websites des Kunden.
ThinPoll verarbeitet Daten ausschließlich auf dokumentierte Weisung des Kunden. Die Konfiguration des Surveys (Template, Fragen, Trigger) durch den Kunden im Dashboard gilt als Weisung. Weisungen außerhalb des bestimmungsgemäßen Gebrauchs bedürfen der Schriftform.
ThinPoll trifft folgende Maßnahmen gemäß Art. 32 DSGVO:
· Verschlüsselung: TLS 1.2+ für alle Datenübertragungen; Cosmos DB mit AES-256 Encryption-at-Rest (Microsoft Managed Keys).
· Pseudonymisierung: Keine Speicherung von Namen oder E-Mail-Adressen in Response-Daten; numerische Scores ohne direkte Personenreferenz.
· Zugangskontrolle: Authentifizierung per Session-Token (HttpOnly-Cookie, SameSite=Strict); Passwort-Hashing mit scrypt (64-Byte, 16-Byte-Salt).
· Verfügbarkeit: Azure Static Web Apps mit automatischem Failover; Cosmos DB Serverless mit point-in-time restore.
· Minimierung: Das Widget setzt kein Cookie, schreibt kein localStorage und speichert keine IP-Adresse dauerhaft. Frequency-Capping erfolgt serverseitig via SHA-256-Hash (24h TTL, automatisch gelöscht). Nur funktional notwendige Daten werden übertragen.
· PII-Bereinigung (Privacy by Design, Art. 25 DSGVO): Alle Freitext-Antworten werden serverseitig vor der Speicherung automatisch auf gängige personenbezogene Daten geprüft und bereinigt (E-Mail-Adressen, Telefonnummern, Kreditkartennummern, IBANs → [REDACTED]).
· Hosting-Standort: Ausschließlich EU (Deutschland / West-Europa). Kein US-Transfer für Response-Daten.
ThinPoll setzt folgende Unterauftragsverarbeiter ein:
· Microsoft Azure Ireland Operations Ltd., One Microsoft Place, Dublin, Irland — Infrastruktur (Hosting, Datenbank, E-Mail). Alle Daten in EU-Rechenzentren (Deutschland). AVV: Microsoft Online Service Terms DPA.
· Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA — Zahlungsabwicklung. Datenübermittlung auf Basis von EU-Standardvertragsklauseln (Art. 46(2)(c) DSGVO). Betrifft ausschließlich Abrechnungsdaten des Kunden, nicht die Survey-Response-Daten.
Änderungen an der Liste der Unterauftragsverarbeiter werden dem Kunden 30 Tage vor Inbetriebnahme per E-Mail mitgeteilt. Der Kunde hat das Recht, einer Änderung zu widersprechen.
Da Survey-Response-Daten grundsätzlich keine direkte Identifizierung ermöglichen (kein Name, keine E-Mail), ist eine Zuordnung zu einzelnen Personen in der Regel nicht möglich. Soweit betroffene Personen dennoch Rechte nach Art. 15–21 DSGVO geltend machen, leitet ThinPoll entsprechende Anfragen unverzüglich an den Kunden weiter. Der Kunde ist für die Beantwortung verantwortlich.
Nach Beendigung des Auftrags löscht ThinPoll alle verarbeiteten personenbezogenen Daten des Kunden innerhalb von 30 Tagen, es sei denn, eine gesetzliche Aufbewahrungspflicht steht dem entgegen. Auf Wunsch des Kunden erfolgt vorher ein CSV-Export aller Response-Daten. Die Account-Löschfunktion im Dashboard löscht alle Daten unmittelbar.
ThinPoll meldet dem Kunden Datenpannen unverzüglich und spätestens innerhalb von 72 Stunden nach Bekanntwerden per E-Mail an die hinterlegte Kunden-E-Mail-Adresse.
Der Kunde hat das Recht, die Einhaltung dieses AVV durch ThinPoll zu kontrollieren. Audits sind schriftlich mit einer Frist von 4 Wochen anzukündigen. Die Vorlage von Zertifikaten oder Testat-Berichten gilt als gleichwertiger Nachweis.
Für AVV-bezogene Anfragen: info@thinpoll.com · Betreff: »AVV«
Pursuant to Art. 28 GDPR. April 2026. Note: the legally binding version is the German version.
Processor: Pascal Frerkes, Klenzestraße 9, 85737 Ismaning, Germany ("ThinPoll").
Controller: The company or individual deploying the ThinPoll widget on their website under a paid ThinPoll account ("Customer").
This DPA is entered into automatically upon activation of a paid ThinPoll account. By using the service, the Customer confirms that it acts as the data controller for the widget deployment on its website.
ThinPoll processes personal data of visitors to the Customer's website on the Customer's behalf by operating a micro-survey widget. The agreement runs for the duration of the ThinPoll subscription and terminates automatically upon its end.
Collection, storage and analysis of anonymous feedback data from the Customer's website visitors for the purpose of user satisfaction analysis. Categories of data processed:
· Numeric survey value (e.g. NPS score 0–10, CSAT 1–5)
· URL of the page where the widget was displayed
· Browser user-agent string
· Timestamp of the response
· Optional for free-text surveys: free-text response of the visitor — automatically scrubbed server-side before storage (email addresses, phone numbers, credit card numbers and IBANs replaced with [REDACTED]; Art. 25 GDPR, Privacy by Design)
Data subjects: visitors of the Customer's website.
ThinPoll processes data solely on documented instructions from the Customer. The Customer's configuration of the survey (template, questions, trigger) in the dashboard constitutes instructions. Instructions outside the intended use must be given in writing.
ThinPoll implements the following measures pursuant to Art. 32 GDPR:
· Encryption: TLS 1.2+ for all data transfers; Cosmos DB with AES-256 encryption at rest (Microsoft Managed Keys).
· Pseudonymisation: No names or email addresses stored in response data; numeric scores without direct personal reference.
· Access control: Authentication via session token (HttpOnly cookie, SameSite=Strict); password hashing with scrypt (64-byte hash, 16-byte salt).
· Availability: Azure Static Web Apps with automatic failover; Cosmos DB Serverless with point-in-time restore.
· Data minimisation: The widget sets no cookie, writes no localStorage and stores no IP address permanently. Frequency capping is server-side via SHA-256 hash (24h TTL, auto-deleted). Only functionally necessary data is transmitted.
· PII redaction (Privacy by Design, Art. 25 GDPR): All free-text responses are automatically checked and scrubbed server-side before storage (email addresses, phone numbers, credit card numbers, IBANs → [REDACTED]).
· Hosting location: EU only (Germany / Western Europe). No US transfer for response data.
ThinPoll uses the following sub-processors:
· Microsoft Azure Ireland Operations Ltd., One Microsoft Place, Dublin, Ireland — infrastructure (hosting, database, email). All data in EU data centres (Germany). DPA: Microsoft Online Service Terms DPA.
· Stripe Inc., 510 Townsend Street, San Francisco, CA 94103, USA — payment processing. Data transfer to the US based on EU Standard Contractual Clauses (Art. 46(2)(c) GDPR). Applies solely to the Customer's billing data, not to survey response data.
The Customer will be notified by email 30 days before any change to the sub-processor list. The Customer has the right to object to any such change.
As survey response data generally does not allow direct identification (no name, no email), linking responses to individuals is typically not possible. Where data subjects nonetheless assert rights under Art. 15–21 GDPR, ThinPoll will promptly forward such requests to the Customer. The Customer is responsible for responding to data subjects.
Upon termination, ThinPoll will delete all personal data processed on behalf of the Customer within 30 days, unless a statutory retention obligation applies. Upon request, a CSV export of all response data will be provided beforehand. The account deletion function in the dashboard deletes all data immediately.
ThinPoll will notify the Customer of any data breach that may affect the data processed on their behalf without undue delay and no later than 72 hours after becoming aware of it, by email to the Customer's registered email address.
The Customer has the right to verify ThinPoll's compliance with this DPA. Audits must be announced in writing with four weeks' notice and must not disrupt ongoing operations. Submission of certificates or audit reports is accepted as equivalent evidence.
For DPA-related enquiries: info@thinpoll.com · Subject: "DPA"
Email: info@thinpoll.com
Phone: +49 151 64523054
Pascal Frerkes (acc. to § 18 MStV)
No credit card. No sales call. Paste one script tag and you're live.
Start free →