Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Hotjar Incoming Feedback ist ein eingebettetes Smiley oder Emoji Widget, mit dem Besucher Seiten bewerten und Freitextkommentare hinterlassen. Da es die Hotjar Identifier mit den anderen Tools der Suite teilt, gilt es als nicht essentielles Tracking, das in der EU eine vorherige Einwilligung erfordert.
Hotjar Incoming Feedback ist das dauerhaft eingeblendete Widget der Hotjar Insights Suite, die zur Contentsquare Gruppe gehoert. Besucher koennen eine Seite per Smiley oder Emoji Skala bewerten, einen Kommentar verfassen, optional einen Screenshot anhaengen und eine E Mail Adresse hinterlassen. Das JavaScript wird von den Hotjar Domains geladen und die Antwort in Ihrem Hotjar Workspace gespeichert. Auch wenn das Tool als leichtgewichtig vermarktet wird, teilt es den Hotjar Identifier mit Heatmaps, Recordings und Surveys, sobald diese auf derselben Seite aktiv sind.
Beim Initialisieren setzt das Widget mehrere First Party Cookies, darunter _hjSessionUser_* (ein Jahr), _hjSession_* (30 Minuten), _hjFirstSeen, _hjIncludedInSessionSample_* und _hjAbsoluteSessionInProgress. Diese Identifier sowie User Agent, IP Adresse und URL werden an in.hotjar.com und static.hotjar.com uebermittelt. Selbst wenn der Besucher das Widget nie oeffnet, laedt das Hotjar Skript bei jedem Seitenaufruf und legt Identifier an, was die Pflichten nach DSGVO und TDDDG aktiviert.
Der Hotjar Identifier ist ein personenbezogenes Datum, weil er ein Geraet sitzungsuebergreifend wiedererkennt, und auch optionale E Mail sowie Freitext sind regelmaessig personenbezogen. Paragraph 25 TDDDG und Artikel 5(3) ePrivacy verlangen eine vorherige Einwilligung, und Artikel 6(1)(a) DSGVO bildet die zugehoerige Rechtsgrundlage. Die DSK und mehrere Aufsichtsbehoerden lehnen den Rueckgriff auf das berechtigte Interesse fuer solche Tools ab.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Im EWR und in Grossbritannien muss das Hotjar Skript blockiert bleiben, bis die Einwilligung vorliegt. Verbinden Sie das Widget in Ihrem Consent Management Tool mit dem Zweck Analyse oder Feedback, schuetzen Sie sensible Felder mit der Hotjar Suppress Klasse, anonymisieren Sie die IP und deaktivieren Sie User Attribute, die CRM Identifier transportieren wuerden. Bieten Sie einen einfachen Widerruf, der die Cookies sofort entfernt, und vermeiden Sie das Verknuepfen von Antworten mit eingeloggten Profilen ohne separate Einwilligung.
Hotjar verarbeitet EU Traffic in Dublin, aber Contentsquare und Subprozessoren koennen aus den USA und anderen Drittlaendern zugreifen. Pruefen Sie, dass Standardvertragsklauseln vorliegen, der US Empfaenger nach dem EU US Data Privacy Framework zertifiziert ist und dass eine Transfer Impact Assessment vorliegt. Dokumentieren Sie zusaetzliche Massnahmen wie Pseudonymisierung der Identifier und kurze Aufbewahrung der Screenshots.
Fuehren Sie _hjSessionUser_*, _hjSession_*, _hjFirstSeen und die uebrigen Identifier in der Cookie Richtlinie mit Zweck und Dauer auf, nennen Sie Hotjar und Contentsquare als Empfaenger und stellen Sie die Aufbewahrung im Workspace passend ein (Default 365 Tage). Schulen Sie Produktteams im Einsatz der Suppress Klasse, pruefen Sie regelmaessig in den Browser Tools, dass das Skript nicht vor Einwilligung feuert, und holen Sie eine neue Einwilligung ein, wenn sich Subprozessoren oder Speicherdauer aendern.
Websites using Hotjar Incoming Feedback must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist empfehlenswert, sobald Incoming Feedback mit Heatmaps, Recordings oder Surveys kombiniert wird, da der gemeinsame Hotjar Identifier ein verhaltensbezogenes Profiling ermoeglicht. Dokumentieren Sie den Datenfluss zu Contentsquare und US Subprozessoren, die Aufbewahrung der Rueckmeldungen und Screenshots, die Transfergrundlage und die ergriffenen Schutzmassnahmen. Beachten Sie die Hinweise des EDSA und die Orientierungshilfe der DSK zu Telemedien.
Sample consent text
Wir nutzen Hotjar Incoming Feedback, um optionale Bewertungen und Kommentare zu dieser Seite zu erfassen. Mit Ihrer Einwilligung setzt Hotjar Cookies und Identifier, die in die USA uebertragen werden koennen. Sie koennen Ihre Auswahl jederzeit in den Cookie Einstellungen aendern.
Third-party domains contacted
static.hotjar.comscript.hotjar.comin.hotjar.comvars.hotjar.cominsights.hotjar.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _hjSessionUser_* | first_party | 1 year | Persistent Hotjar user identifier shared across the Hotjar suite, used to recognise the visitor between sessions and to associate feedback with a device. |
| _hjSession_* | first_party | 30 minutes | Short lived Hotjar session identifier used to group feedback events within a single browsing session. |
| _hjFirstSeen | first_party | Session | Marks the first session of a visitor on the site so the widget can distinguish new users from returning ones. |
| _hjIncludedInSessionSample_* | first_party | 2 minutes | Indicates whether the visitor is included in the daily session quota for the workspace, used by the widget to throttle data collection. |
| _hjAbsoluteSessionInProgress | first_party | 30 minutes | Tracks whether the unique page view session is in progress, used by Hotjar internal counters. |
Hotjar Incoming Feedback erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Ja. Das Widget verwendet die Hotjar Standardcookies, darunter _hjSessionUser_* mit einer Laufzeit von einem Jahr, _hjSession_* mit 30 Minuten, _hjFirstSeen, _hjIncludedInSessionSample_* und _hjAbsoluteSessionInProgress. Sie sind First Party, die Daten werden aber an Hotjar Server uebertragen.
Ja. Da das Skript Identifier auf dem Endgeraet ablegt und an Dritte sendet, gelten Paragraph 25 TDDDG und Artikel 5(3) ePrivacy. Das Widget muss blockiert bleiben, bis der Nutzer die Kategorie Analyse oder Feedback bestaetigt hat.
Nein. Die DSK und der EDSA halten ein berechtigtes Interesse fuer Tools mit seitenuebergreifendem Identifier und Freitexten nicht fuer ausreichend. Notwendig ist eine Einwilligung nach Artikel 6(1)(a) DSGVO.
EU Traffic laeuft ueber Dublin, doch Contentsquare und Subprozessoren koennen aus den USA und anderen Laendern zugreifen. Standardvertragsklauseln und das Data Privacy Framework sind die wichtigsten Instrumente, ergaenzt durch Pseudonymisierung und Zugriffsbeschraenkungen.
Eine DSFA empfiehlt sich, wenn Incoming Feedback mit Recordings oder Heatmaps kombiniert wird, wenn Feedback auf sensiblen Strecken wie Gesundheit oder Finanzen erhoben wird oder wenn Screenshots personenbezogene Daten enthalten koennen.
Blockieren Sie den Tag in Ihrem Tag Manager nach Kategorie, koppeln Sie ihn an die Einwilligung, setzen Sie die Suppress Klasse auf sensiblen Feldern, anonymisieren Sie die IP, verkuerzen Sie die Aufbewahrung und deaktivieren Sie nicht benoetigte User Attribute.
Europaeische Tools wie Mopinion, Survicate EU, Userback EU oder selbst gehostete Skripte reduzieren oder vermeiden Drittlandtransfers. Einfache statische Smiley Formulare, die an Ihr bestehendes Analytics gekoppelt sind, koennen ebenfalls genuegen.
Fuehren Sie das Widget in der Kategorie Analyse oder Feedback auf, nennen Sie Contentsquare und Hotjar als Empfaenger, beschreiben Sie die Cookies samt Dauer, weisen Sie die USA als moegliches Empfaengerland aus und verlinken Sie auf die Hotjar Datenschutzerklaerung.