Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Microsoft Clarity ist ein kostenloses Behavioural Analytics Werkzeug von Microsoft, das Heatmaps, Scrollmaps und vollstaendige Session Aufzeichnungen kombiniert, um zu visualisieren, wie Nutzer mit einer Website interagieren. Da granulares Nutzerverhalten erfasst und Kennungen mit der Microsoft Werbeplattform geteilt werden, handelt es sich um eine Verarbeitung mit hohem Risiko im Sinne der DSGVO.
Microsoft Clarity ist ein kostenloses Produkt fuer Verhaltensanalysen, das Microsoft 2020 gestartet hat und auf den Domains clarity.ms und c.clarity.ms betreibt. Es wird von der Microsoft Corporation aus Azure Rechenzentren in den USA bereitgestellt, mit optionaler europaeischer Speicherung fuer bestimmte Workloads. Clarity positioniert sich als kostenlose Alternative zu kommerziellen Heatmap und Session Replay Werkzeugen wie Hotjar, FullStory oder Mouseflow.
Das Produkt wird ueber ein kleines JavaScript Snippet geladen, das Interaktionsereignisse an Microsoft streamt: Mausbewegungen, Klicks, Scrolltiefe, Rage Clicks, Dead Clicks, JavaScript Fehler, Seitenwechsel und das DOM, das fuer das Replay jeder Sitzung erforderlich ist. Drei Hauptausgaben werden dem Betreiber zur Verfuegung gestellt: Heatmaps, Scrollmaps und einzelne Sitzungsaufzeichnungen. Der Slug clarity in Cookie Datenbanken verweist auf das Microsoft Produkt, nicht auf die nicht verwandten Projekte von Adobe oder der Apache Foundation, die diesen Begriff ebenfalls verwenden.
Clarity setzt mehrere First Party Cookies auf der Domain des Betreibers sowie geteilte Kennungen auf Microsoft eigenen Domains. Die wichtigsten sind: _clck (persistente Clarity Nutzerkennung, Speicherung ein Jahr), _clsk (Sitzungskennung, verknuepft Ereignisse innerhalb einer Sitzung, laeuft nach einem Tag ab), CLID (eindeutige Clarity Kennung auf c.clarity.ms, Speicherung ein Jahr), MUID (Microsoft User Identifier, geteilt mit Bing, Bing Ads und weiteren Microsoft Diensten, Speicherung ein Jahr und 24 Tage) und ANONCHK (Validierung des MUID, Speicherung 10 Minuten).
Der MUID Cookie ist datenschutzrechtlich besonders heikel, weil er im gesamten Microsoft Werbeoekosystem geteilt wird. Besucht ein Nutzer spaeter eine Seite mit Microsoft Advertising oder Bing, kann Microsoft die beiden Besuche korrelieren. Diese uebergreifende Kennung verwandelt Clarity von einer geschlossenen Analytik in einen Knoten eines groesseren Werbe Graphen und beeinflusst die Bewertung der Rechtsgrundlage unmittelbar.
Artikel 5(3) der ePrivacy Richtlinie erlaubt das Speichern oder Auslesen von Informationen auf dem Endgeraet des Nutzers nur mit vorheriger Einwilligung, ausgenommen Cookies, die fuer einen ausdruecklich angeforderten Dienst unbedingt erforderlich sind. Clarity Cookies sind nicht unbedingt erforderlich: Sie dienen Verhaltensanalyse, Produktoptimierung und werblicher Korrelation. Die Einwilligung muss daher vor jedem Ausfuehren des Clarity Skripts vorliegen.
Die DSGVO verschaerft die Lage, weil Session Replay rekonstruiert, was ein Besucher gesehen und getan hat, einschliesslich aller nicht maskierten Formulareingaben. Europaeische Aufsichtsbehoerden wie die franzoesische CNIL und das italienische Garante haben Session Replay wiederholt als Hochrisikoverarbeitung eingestuft, die oft eine Datenschutz Folgenabschaetzung nach Artikel 35 erfordert. Die Kombination aus granularer Telemetrie, US Transfers und Werbekennungen verlangt eine ausdrueckliche Einwilligung nach Artikel 6(1)(a) und schliesst berechtigte Interessen aus.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Clarity Daten werden von der Microsoft Corporation in den USA verarbeitet. Seit Juli 2023 ist Microsoft unter dem EU US Data Privacy Framework selbst zertifiziert, das die Europaeische Kommission als angemessenes Schutzniveau im Sinne von Artikel 45 DSGVO anerkannt hat. Uebermittlungen an zertifizierte Microsoft Einheiten erfordern damit standardmaessig keine Standardvertragsklauseln oder ergaenzenden Massnahmen mehr.
Verantwortliche sollten den Transfer dennoch im Verzeichnis nach Artikel 30 dokumentieren, den Status des DPF beobachten (ein anhaengiges Verfahren vor dem EuGH koennte die Angemessenheit betreffen) und die EU Datenresidenz von Clarity nutzen, wo sie verfuegbar ist, um die Risikoexposition zu reduzieren. Die Schrems II Analyse ist heute einfacher als 2022, aber sie verschwindet nicht, insbesondere fuer britische und schweizerische Verantwortliche, deren DPF Erweiterungen auf parallelen Angemessenheitsbeschluessen beruhen.
Clarity bietet drei Maskierungsmodi: Strict (saemtlicher Text wird standardmaessig maskiert), Balanced (Standard, maskiert Formularfelder und offensichtlich sensible Bereiche) und Relaxed (keine Maskierung, fuer EU Traffic nicht empfohlen). Der Strict Modus wird fuer Seiten mit Gesundheits, Finanz, Authentifizierungs oder besonderen Datenkategorien dringend empfohlen. Betreiber koennen einzelne Elemente mit data clarity mask oder data clarity unmask Attributen feingranular steuern und ganze Seiten von der Aufzeichnung ausschliessen.
Eine DSFA ist zu erwaegen, sobald Clarity in authentifizierten Bereichen, Checkout Strecken, Gesundheitsportalen, HR Anwendungen oder auf Seiten eingesetzt wird, die Daten von Kindern verarbeiten. Sie sollte das Aufzeichnungsvolumen, die Standardaufbewahrung (bis zu 13 Monate), die Maskierungs Konfiguration, ergaenzende Werkzeuge, die den MUID teilen, und das Restrisiko fuer betroffene Personen beschreiben, einschliesslich der Moeglichkeit, personenbezogene Daten aus dem Replay zu rekonstruieren.
Ein konformer Clarity Einsatz in der EU folgt einem klaren Muster: das Clarity Skript blockieren, bis ueber eine den EDSA Leitlinien zu Dark Patterns entsprechende CMP eine ausdrueckliche Einwilligung eingeholt wurde; Clarity je nachdem, ob der MUID werbliche Datenfluesse anreichert, der Analyse oder dem Marketing Zweck zuordnen; den Strict Modus aktivieren; die Aufzeichnung auf nicht sensible Seiten beschraenken; den Microsoft Auftragsverarbeitungs Zusatz unterzeichnen oder akzeptieren und die DPF Stuetzung im Transferregister dokumentieren.
Datenschutzerklaerungen sollten Microsoft Clarity ausdruecklich benennen, Heatmap und Session Replay Funktionalitaet beschreiben, die gesetzten Cookies auflisten, die US Transfers unter dem DPF erwaehnen und auf die Microsoft Datenschutzerklaerung sowie das Nutzer Opt out verlinken. Laesst sich das Risiko des Session Replay nicht auf ein akzeptables Mass reduzieren, bieten Alternativen wie Plausible, einfache Matomo Heatmaps ohne Replay oder Hotjar mit EU Hosting engere Datenfluesse als Clarity.
Websites using Microsoft Clarity must obtain user consent under GDPR regulations.
DPIA considerations
Microsoft Clarity erfasst Sitzungsaufzeichnungen, Mausbewegungen, Klicks, Scrollverhalten und Formularinteraktionen. Diese Detailtiefe stellt eine systematische Verhaltensbeobachtung dar und kann je nach Kontext (Nutzerzahl, sensible Seiten, besondere Datenkategorien) die Pflicht zur Datenschutz Folgenabschaetzung nach Artikel 35 DSGVO ausloesen. Zu bewertende Risiken: (1) Replay von Formularen oder authentifizierten Bereichen, in denen personenbezogene Daten, Zahlungsdaten oder besondere Kategorien rekonstruiert werden koennten; (2) Kombination mit Microsoft Advertising ueber die MUID Kennung und damit standortuebergreifendes Profiling; (3) US Transfers trotz DPF; (4) Standardaufbewahrung von bis zu 13 Monaten. Risikominderung erfordert striktes Textmasking, Ausschluss sensibler Felder, IP Anonymisierung, EU Datenresidenz wo verfuegbar und klare Dokumentation im Verarbeitungsverzeichnis nach Artikel 30.
Sample consent text
Wir verwenden Microsoft Clarity, ein Behavioural Analytics Werkzeug von Microsoft, um mittels Heatmaps und anonymisierten Sitzungsaufzeichnungen zu verstehen, wie Besucher mit unserer Website interagieren. Clarity setzt Cookies (_clck, _clsk, MUID) und uebertraegt Daten an Microsoft Server in den USA auf Grundlage des EU US Data Privacy Framework. Sensible Felder werden maskiert. Sie koennen jederzeit in den Cookie Einstellungen zustimmen oder ablehnen.
Third-party domains contacted
clarity.msc.clarity.mswww.clarity.msbing.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _clck | analytics | 1 year | Clarity user ID, persists across sessions to recognize returning visitors |
| _clsk | analytics | 1 day | Clarity session ID, ties events within a single session for session replay tracking |
| MUID | marketing | 1 year and 24 days | Microsoft User Identifier, shared with Bing and Microsoft Advertising for cross site identification |
| CLID | analytics | 1 year | Clarity unique identifier set on c.clarity.ms to deduplicate users across publisher sites |
| ANONCHK | analytics | 10 minutes | Validates the MUID and synchronizes telemetry with Microsoft endpoints |
Microsoft Clarity erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Clarity setzt First Party Cookies auf Ihrer eigenen Domain (_clck, persistente Clarity Nutzerkennung fuer ein Jahr; _clsk, Sitzungskennung mit Ablauf nach einem Tag) sowie geteilte Kennungen auf Microsoft Domains (CLID auf c.clarity.ms fuer ein Jahr, MUID auf bing.com und clarity.ms fuer ein Jahr und 24 Tage, ANONCHK fuer 10 Minuten). Der MUID ist derselbe Cookie, den Microsoft Advertising und Bing nutzen, so dass Clarity Daten mit dem groesseren Werbe Graphen von Microsoft korreliert werden koennen.
Ja. Nach Artikel 5(3) der ePrivacy Richtlinie sind Clarity Cookies nicht unbedingt erforderlich und verlangen eine vorherige, freiwillige, spezifische, informierte und unmissverstaendliche Einwilligung. Da Clarity zusaetzlich Session Replay durchfuehrt und den MUID mit Microsoft Advertising teilt, behandeln europaeische Behoerden den Einsatz als Analyse mit Marketingbezug, was eine ausdrueckliche Opt in Einwilligung erfordert. Das Skript darf vor der Einwilligung nicht geladen werden.
Die einzige realistische Rechtsgrundlage ist die Einwilligung nach Artikel 6(1)(a) DSGVO. Berechtigte Interessen nach Artikel 6(1)(f) sind nicht geeignet, weil Clarity granulare Verhaltensdaten erhebt, Sitzungen aufzeichnet und Kennungen mit dem Microsoft Werbeoekosystem teilt, was vernuenftige Nutzer nicht erwarten. Die von Ihrer CMP gespeicherte Einwilligung muss sowohl das Cookie Setzen (ePrivacy) als auch die anschliessende Verarbeitung personenbezogener Daten (DSGVO) abdecken.
Ja, unter Bedingungen. Microsoft Corporation ist seit Juli 2023 unter dem EU US Data Privacy Framework selbst zertifiziert und die Europaeische Kommission hat einen Angemessenheitsbeschluss nach Artikel 45 DSGVO erlassen. Uebermittlungen an zertifizierte Microsoft Einheiten benoetigen daher standardmaessig keine Standardvertragsklauseln mehr. Verantwortliche sollten den Transfer dennoch im Verzeichnis nach Artikel 30 dokumentieren, den DPF beobachten (ein Verfahren ist vor dem EuGH anhaengig) und die EU Datenresidenz von Clarity nutzen, wo verfuegbar.
Haeufig ja, denn Clarity zeichnet Sitzungen auf, was Aufsichtsbehoerden wie die CNIL und das italienische Garante als Hochrisikoverarbeitung einstufen. Eine DSFA nach Artikel 35 DSGVO wird empfohlen, sobald Clarity in authentifizierten Bereichen, Checkout Strecken, Gesundheitsportalen, HR Anwendungen oder auf Seiten zum Einsatz kommt, die Daten von Kindern verarbeiten. Die DSFA sollte Maskierung, Aufbewahrung (Standard bis zu 13 Monate), die Rolle des MUID und das Restrisiko der Rekonstruktion personenbezogener Daten aus Replays dokumentieren.
Das Clarity Skript blockieren, bis ueber eine den EDSA Leitlinien zu Dark Patterns entsprechende CMP eine ausdrueckliche Opt in Einwilligung eingeholt wurde. Den Strict Modus aktivieren, damit aller Text standardmaessig maskiert wird, sensible Felder mit data clarity mask kennzeichnen, authentifizierte und Zahlungsseiten von der Aufzeichnung ausschliessen, IPs anonymisieren, den Microsoft Datenschutz Zusatz akzeptieren, den DPF im Transferregister dokumentieren und Clarity in der Datenschutzerklaerung mit Link zur Microsoft Datenschutzerklaerung und zum Opt out benennen.
Fuer Seiten ohne Session Replay Bedarf sind Plausible Analytics und schlanke Matomo Konfigurationen (ohne Heatmaps oder Replay) cookielose oder einwilligungsarme Optionen mit EU Hosting. Wer Heatmaps benoetigt, kann auf Matomo Heatmaps oder Hotjar mit EU Hosting setzen, die engere Datenfluesse als Clarity bieten, da keine Werbekennungen geteilt werden. Server seitige Werkzeuge wie Fathom, Pirsch oder selbst gehostetes Umami sind ebenfalls geeignet, wenn kein Replay erforderlich ist.
Einen eigenen Eintrag aufnehmen, der Microsoft Clarity als Werkzeug zur Verhaltensanalyse von Microsoft Corporation nennt. Die gesetzten Cookies (_clck, _clsk, CLID, MUID, ANONCHK) mit Dauer und Zweck auflisten. Session Replay sowie den konfigurierten Maskierungsmodus offenlegen. Angeben, dass Daten in die USA uebermittelt werden, gestuetzt auf das EU US Data Privacy Framework. Auf die Microsoft Datenschutzerklaerung und das Nutzer Opt out verlinken und erlaeutern, wie die Einwilligung jederzeit widerrufbar ist.