Was ist Hotjar?
Hotjar ist ein Analyse-Tool, über das Webseitenbetreiber das Online-Verhalten ihrer User auswerten können. Mögliche Werkzeuge, die die Plattform bietet, sind Heatmaps, User-Umfragen und Funnel-Tracking. Darüber können Webseitenbetreiber zum Beispiel Klicks, Scroll-Höhen und Mausbewegungen der Nutzer offenlegen. Mit den gewonnenen Daten können sie die Funktionalität und Nutzerfreundlichkeit ihrer Webseite verbessern – und so ihre Conversion Rate steigern.
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Hotjar datenschutzrechtlich relevant
Hotjar verwendet Cookies und Tracking-Codes, um Userdaten für Webseitenbetreiber zu erheben. Dabei sammeln die Tracking-Codes unter anderem
- die IP-Adresse des Endgeräts,
- den Endgerätetyp,
- die Größe des Endgerätebildschirms,
- den geografischen Standort,
- die verwendete Sprache auf der Webseite,
- die verweisende Domain und
- Datum und Zeit des Webseitenbesuchs.
Hotjar gibt selbst an, die IP-Adresse der User anonymisiert zu speichern. Dazu erhebt es nur die ersten 3 Achtbitzeichen der IP, um das Land des Besuchers bestimmen zu können. Die restlichen Zeichen speichert Hotjar nicht. Darüber hinaus gibt Hotjar an, alle gewonnenen Daten auf Servern in Irland abzulegen. Damit befinden sich die Daten in der EU, so dass Webseitenbetreiber die Vorgaben der Datenschutz-Grundverordnung (DSGVO) erfüllen können.
So können Webseitenbetreiber Hotjar rechtssicher nutzen
Damit Webseitenbetreiber Hotjar rechtssicher nutzen können, müssen sie diesen Pflichten nachkommen:
Nutzer-Einwilligung einholen
Hotjar nutzt funktionale Cookies, um Seitenbetreibern Analysen des Nutzerverhaltens zu ermöglichen. Funktionale Cookies stellen für den Seitenbetrieb nicht-essenzielle Funktionen bereit. Seitenbetreiber benötigen dafür die Einwilligung der User. Sie können diese über ein Cookie Consent Tool einholen. Das Tool passt die Datenströme auf der Webseite nach den Präferenzen der User an.
Vertrag zur Auftragsverarbeitung abschließen
Seitenbetreiber erheben über Hotjar Nutzerdaten und lassen sie von dem Anbieter weisungsgebunden verarbeiten. Dafür schreibt § 28 Datenschutz-Grundverordnung (DSGVO) einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) vor. Darin müssen Seitenbetreiber bestimmen,
- welche Nutzerdaten sie wie lange speichern wollen,
- warum und wie sie die Daten verarbeiten und
- welche Rechte und Pflichten die Verantwortlichen haben.
Hotjar bietet seinen Kunden die Möglichkeit, ein Data Processing Agreement zu unterzeichnen. Dies regelt die Verwaltung und Verarbeitung der Userdaten. Ein deutscher Vertrag ist nach aktuellem Stand nicht verfügbar.
Datenschutzerklärung aktualisieren
- 13 Abs. 1 DSGVO gibt vor: Webseitenbetreiber müssen in ihrer Datenschutzerklärung aufführen,
- wie sie Userdaten über Hotjar erheben, speichern und verarbeiten,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
- dass sie die Daten an Hotjar weitergeben,
- dass sie für die Datenweitergabe mit Hotjar einen AV-Vertrag geschlossen haben und
- dass Nutzer der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zu Hotjar
Für Hotjar ist diese Rechtsprechung relevant:
Landgericht Hamburg zur Erwähnung von Google Analytics in Datenschutzerklärung
Das Landgericht (LG) Hamburg hat am 10.03.2016 in einem Beschluss festgestellt: Webseitenbetreiber dürfen Google Analytics nur verwenden, wenn sie in ihrer Datenschutzerklärung erwähnen, wie sie dabei Nutzerdaten erheben und speichern (312 O 127/16). Am 09.08.2016 hat das Gericht diesen Beschluss in einem Urteil noch einmal bestätigt (Az. 406 HKO 120/16). Hotjar ist wie Google Analytics ein Analysetool für Webseitenbetreiber. Die Entscheidung des LG Hamburg ist daher auch für Hotjar relevant.
Europäischer Gerichtshof zur Verwendung von Cookies
Seitenbetreiber benötigen eine Einwilligung der Nutzer, wenn sie Cookies verwenden wollen. Dabei müssen Nutzer ihre Einwilligung aktiv erteilen. Das heißt: Das Kästchen für ihr Einverständnis darf nicht vorangekreuzt sein. Zu diesem Ergebnis kam der Europäische Gerichtshof (EuGH) am 01.10.2019 (Az. C-673/17).
Bundesgerichtshof zur Verwendung von Cookies
Webseitenbetreiber dürfen Tracking Cookies nur verwenden, wenn sie eine Erlaubnis der Nutzer dafür haben. Zu diesem Urteil kam der Bundesgerichtshof (BGH) am 28.05.2020. Wie der EuGH verwies auch der BGH darauf, dass das Kästchen für die Einwilligung nicht vormarkiert sein darf (I ZR 7/16).
Datenschutzbehörde Hamburg zum AV-Vertrag
Ein Postdienstleister aus Spanien verarbeitete weisungsgebunden personenbezogene Daten für ein deutsches Versandunternehmen. Dafür lag jedoch kein AV-Vertrag vor. Die Hamburger Datenschutzbehörde wertete das als einen Datenschutzverstoß. Sie sprach daher im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro gegen das deutsche Unternehmen aus.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Der Fußball-Bundesligaclub VfB Stuttgart ließ Mitgliederdaten von Dienstleistern weisungsgebunden verarbeiten. Dafür schloss das Unternehmen mit den Dritten jedoch keinen AV-Vertrag. Die Datenschutzbehörde Baden-Württemberg stufte das als Datenschutzverstoß ein. Sie verhängte daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro.