Hotjar und DSGVO: Cookies, Sitzungsaufzeichnungen und Konformität

TL;DR

Hotjar ist ein Verhaltensanalyse-Tool, das Tracking-Cookies auf Websites setzt, die es einbinden. Diese Cookies sind nicht technisch notwendig und erfordern gemäß DSGVO und TTDSG die vorherige Einwilligung der Besucher. Ohne Blockierung des Hotjar-Skripts vor der Einwilligung verstößt die Website gegen geltendes Recht.

Was ist Hotjar und welche Cookies setzt es?

Hotjar ist eine Verhaltensanalyse-Plattform, die Heatmaps, Sitzungsaufzeichnungen, Umfragen und Konversionstrichter anbietet. Für seinen Betrieb injiziert Hotjar ein JavaScript-Snippet, das Tracking-Cookies setzt und Verhaltensdaten der Besucher erfasst.

Hotjar-Cookies und ihre Zwecke

• _hjSessionUser_[siteId]: eindeutiger Nutzeridentifikator für die Hotjar-Sitzung (365 Tage)
• _hjSession_[siteId]: aktuelle Hotjar-Sitzungsdaten (30 Minuten)
• _hjFirstSeen: markiert die erste Sitzung eines Nutzers (Sitzung)
• _hjAbsoluteSessionInProgress: erkennt die erste Seitenaufruf-Sitzung (30 Minuten)
• _hjIncludedInPageviewSample: bestimmt, ob der Nutzer in die Seitenaufruf-Stichprobe einbezogen ist
• _hjIncludedInSessionSample: bestimmt, ob der Nutzer in die Sitzungsaufzeichnung einbezogen ist

Diese Cookies erfassen identifizierbare Verhaltensdaten (Mausbewegungen, Klicks, Scrolls, Videoaufzeichnungen). Sie fallen unter die Kategorie Analyse/Verhalten und erfordern gemäß DSGVO und TTDSG eine vorherige Einwilligung.

Erfordert Hotjar eine DSGVO-Einwilligung?

Ja. Hotjar profitiert von keiner Analyse-Ausnahme. Im Gegensatz zu datenschutzfreundlichen Tools ohne individuelles Tracking erfasst Hotjar individuelle Sitzungsaufzeichnungen, die Besucher indirekt identifizieren können. Der BfDI und die Landesdatenschutzbehörden bestätigen, dass diese Art detaillierter Verhaltensanalysen eine vorherige Einwilligung erfordert.

Was Hotjar konkret erfasst

• Sitzungsaufzeichnungen (Video der Nutzerinteraktionen)
• Heatmaps (Klick-, Scroll- und Mausbewegungszonen)
• Formulardaten (ausgefüllte Felder, Abbrüche)
• Umfragen und Feedback
• Konversionstrichter und Abbruchpfade

Hotjar DSGVO-konform konfigurieren

Schritt 1: Hotjar-Skript vor der Einwilligung blockieren

Die wichtigste Maßnahme ist, das Hotjar-Skript zu blockieren, bis der Nutzer der Kategorie Analyse/Verhalten zugestimmt hat. Mit einer CMP wie FlowConsent erfolgt diese Blockierung automatisch: Das Skript lädt nicht, wenn das Banner erstmals angezeigt wird.

Schritt 2: Datenschutzeinstellungen in Hotjar aktivieren

• Alle Formulareingaben automatisch unterdrücken (Textfelder, Passwörter)
• Zahlungsdaten und Kartennummern maskieren
• IP-Adressen-Daten entfernen (Anonymisierung)
• Datenlöschung nach Ablauf der definierten Aufbewahrungsfrist aktivieren

Schritt 3: Aufbewahrungsfrist festlegen

In den Hotjar-Einstellungen die Aufbewahrungsdauer für Aufzeichnungen und Heatmaps auf das Notwendige begrenzen. Die deutschen Datenschutzbehörden empfehlen, Verhaltensanalysedaten nicht länger als 13 Monate aufzubewahren.

Schritt 4: Datenschutzerklärung aktualisieren

Die Datenschutzerklärung muss Hotjar als Auftragsverarbeiter erwähnen, die erhobenen Daten, ihren Zweck, die Aufbewahrungsdauer und die Rechte der Nutzer (Auskunft, Löschung, Widerspruch) beschreiben. Ein Auftragsverarbeitungsvertrag (AVV) mit Hotjar ist Pflicht.

Häufige Fehler

Hotjar lädt bereits beim Seitenaufruf. Die Standard-Installation lädt Hotjar sofort. Ohne Blockierung starten Aufzeichnungen, bevor der Nutzer mit dem Banner interagiert hat. Das Laden immer vom Einwilligungsstatus abhängig machen.

Hotjar in eine allgemeine 'Statistik'-Kategorie einordnen. Hotjar geht über einfache Statistiken hinaus: Es zeichnet individuelle Sitzungen auf. Eine vage Kategorisierung ohne expliziten Hinweis auf Sitzungsaufzeichnungen verletzt die Informationspflicht.

Formulareingaben nicht maskieren. Standardmäßig kann Hotjar Texteingaben aufzeichnen. Personenbezogene Daten (Namen, Adressen, Kartennummern) können in Aufzeichnungen erscheinen. Automatische Unterdrückung in den Hotjar-Einstellungen aktivieren.

Aufzeichnungen unbegrenzt aufbewahren. Hotjar speichert Aufzeichnungen standardmäßig bis zu 365 Tage. Eine kürzere Aufbewahrungsfrist gemäß der unternehmensinternen Datenschutzrichtlinie festlegen.

Hotjar nicht als Auftragsverarbeiter benennen. Hotjar Ltd. ist ein Auftragsverarbeiter im Sinne der DSGVO. Ein AVV muss mit Hotjar abgeschlossen und in der Datenschutzerklärung referenziert werden.

Checkliste Hotjar DSGVO-Konformität

1. Das Hotjar-Skript ist standardmäßig bis zur Nutzereinwilligung blockiert.
2. Die Kategorie Analyse/Verhalten ist im Banner explizit ausgewiesen.
3. Die Hotjar-Beschreibung im Banner erwähnt Sitzungsaufzeichnungen.
4. Die Unterdrückung von Formulareingaben ist in Hotjar aktiviert.
5. Die Hotjar-Datenspeicherung ist begrenzt (maximal 13 Monate).
6. Ein AVV ist mit Hotjar abgeschlossen und in der Datenschutzerklärung referenziert.
7. Die Datenschutzerklärung beschreibt Hotjar-Daten, ihren Zweck und die Nutzerrechte.
8. Die IP-Anonymisierung ist in den Hotjar-Einstellungen aktiviert.
9. Einwilligungsnachweise werden mit Zeitstempel und Banner-Version gespeichert.
10. Die Konfiguration wird nach jedem größeren Hotjar-Update überprüft.

Fazit

Hotjar ist ein wertvolles Verhaltensanalyse-Tool, aber seine Standard-Integration verstößt gegen DSGVO und TTDSG. Die Konformität erfordert zwei Maßnahmen: das Blockieren des Skripts über eine CMP vor der Einwilligung und die Aktivierung der Datenschutzeinstellungen in Hotjar zur Datenminimierung.

Prüfen Sie, ob Hotjar und andere Analyse-Skripte auf Ihrer Website korrekt blockiert werden, mit dem FlowConsent Cookie-Scanner.