Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Yandex.Metrica ist das russische Aequivalent zu Google Analytics und bietet kostenlose Webanalyse, Heatmaps, Click Maps und Session Replays. Betrieben von Yandex LLC in Russland, werden alle Daten auf russischer Infrastruktur gespeichert. Der Einsatz auf EU-Traffic birgt erhebliche DSGVO-Probleme: keine EU-Angemessenheit fuer Russland, SCC plus TIA praktisch nicht erfuellbar und das EU-Sanktionsrahmenwerk seit 2022 schafft zusaetzliches kommerzielles und reputatives Risiko.
Yandex.Metrica ist eine kostenlose Webanalyse-Plattform der Yandex LLC, des groessten russischen Such- und Technologiekonzerns. Sie bietet Traffic-Analytik, Conversion-Tracking, Heatmaps, Click Maps, Scrollmaps, Formular-Analytik und vollstaendige Session Replays. Funktional ist sie eine Mischung aus Google Analytics und Hotjar in einem Produkt.
Auf einer Website wird Yandex.Metrica per JavaScript-Tag von mc.yandex.ru eingebunden. Alle Daten fliessen an Yandex-Server in der Russischen Foederation, vorrangig in Rechenzentren der Region Moskau.
Yandex.Metrica verarbeitet Besucher-IP, User-Agent, Bildschirmaufloesung, aktuelle URL, Referrer, Klick- und Scrollpositionen, Verweildauer, Formularinteraktionen und bei aktiviertem Replay vollstaendige DOM-Mutationen, die den Seitenzustand rekonstruieren. Custom Events und E-Commerce-Parameter sind ebenfalls moeglich.
Cookies auf yandex.ru und der Publisher-Domain: _ym_uid (Besucher-ID, 1 Jahr), _ym_d (Erstbesuchsdatum, 1 Jahr), _ym_isad (Adblock-Erkennung, 1 Tag), _ym_visorc_<counter_id> (Session-Rekonstruktion, 30 Minuten), yabs sid (Werbe-Session). Keine sind unbedingt erforderlich.
Russland verfuegt ueber keine EU-Angemessenheitsentscheidung. EU-Russland-Transfers erfordern SCC plus TIA. Die TIA muss das Bundesgesetz Nr. 152-FZ zur Lokalisierung, die FSB-/SORM-Zugriffsrechte und das Fehlen wirksamer Rechtsbehelfe fuer EU-Betroffene vor russischen Gerichten beruecksichtigen. Nach Schrems II faellt diese Pruefung selten guenstig aus.
Mehrere EU-Aufsichtsbehoerden und Juristen empfehlen seit 2022, Yandex.Metrica fuer EU-Traffic nicht mehr einzusetzen, unter Verweis auf Schrems II und den Sanktionskontext. Im Vergleich zu CNIL-, DSB- und Garante-Verfahren zu Google Analytics ist Yandex.Metrica ein noch staerker problematischer Fall.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Seit 2022 schraenkt das EU-Sanktionsrahmenwerk (VO 833/2014 idgF) verschiedene Geschaefte mit russischen Stellen ein. Yandex N.V. (vormals niederlaendische Holding) musste das Russlandgeschaeft abspalten; es laeuft heute unter Yandex LLC in Russland, getrennt vom internationalen Nebius-Konzern. Yandex.Metrica wird dennoch weiterhin in Russland verarbeitet.
Ueber rechtliche Compliance hinaus tragen EU-Verantwortliche ein Reputationsrisiko, wenn Besucherdaten an einen russischen Auftragsverarbeiter gehen.
Fuer die meisten EU-Verantwortlichen ist die praktische Empfehlung die Migration zu DSGVO-konformen Alternativen: Matomo (self-hosted oder EU-Cloud), Piwik PRO (Deutschland), Plausible (Estland), Fathom (Kanada mit EU-Angemessenheit), Simple Analytics (Niederlande).
Wenn Yandex.Metrica beibehalten werden muss (z.B. fuer eine russischsprachige Website mit russischer Zielgruppe), den Tag strikt geofencen, sodass er nur fuer Besucher klar ausserhalb der EU laedt, den aktuellen Yandex-DPA unterzeichnen, ausdrueckliche Einwilligung fuer verbleibenden EU-Traffic einholen und das Restrisiko in der DSFA dokumentieren.
Begruenden Sie, warum Yandex.Metrica noetig ist und warum keine EU-Alternative geeignet ist. Yandex-DPA und SCC unterzeichnen. Eine TIA durchfuehren, die explizit das Gesetz Nr. 152-FZ, SORM und das Fehlen wirksamer EU-Rechtsbehelfe adressiert. Tag erst nach ausdruecklicher Einwilligung laden. Yandex LLC in der Datenschutzerklaerung als Auftragsverarbeiter mit prominentem Russland-Transferhinweis listen.
DPA-Hinweise und Sanktions-Updates regelmaessig pruefen. Auf eine schnelle Migration vorbereitet sein, falls eine Aufsichtsbehoerde eine Warnung wie bei Google Analytics ausspricht.
Websites using Yandex.Metrica must obtain user consent under GDPR regulations.
DPIA considerations
Yandex.Metrica ist eines der risikoreichsten Analytik-Tools fuer EU-Traffic. Wesentliche DSFA-Aspekte: (1) alle Daten werden auf Servern in der Russischen Foederation verarbeitet, ohne EU-Angemessenheit; (2) das russische Bundesgesetz Nr. 152-FZ zur Datenlokalisierung sowie FSB-/SORM-Zugriffsrechte gelten; (3) seit dem russischen Angriff auf die Ukraine 2022 schraenkt das EU-Sanktionsrahmenwerk (VO 833/2014 idgF) Geschaeftsbeziehungen mit russischen Stellen ein; (4) Yandex.Metrica zeichnet zudem Session Replays mit Click Maps und Formular-Analytik auf; (5) Cookies (_ym_uid, _ym_d, _ym_isad, _ym_visorc) umfassen eine persistente Besucher-ID (1 Jahr); (6) fuer die meisten EU-Verantwortlichen kann eine TIA kein angemessenes Schutzniveau feststellen, ein Weiterbetrieb birgt DSGVO- und Aufsichtsbehoerden-Risiken. Migration zu einer DSGVO-konformen Analytics-Loesung wird dringend empfohlen.
Sample consent text
Wir nutzen Yandex.Metrica (Yandex LLC, Russische Foederation) fuer Webanalyse, Heatmaps und Session-Recordings. Mit Ihrer ausdruecklichen Einwilligung setzt Yandex.Metrica Cookies und uebermittelt Daten unter SCC an Yandex-Server in Russland. Russland verfuegt ueber keine EU-Angemessenheit; dieser Transfer birgt zusaetzliche rechtliche Risiken. Sie koennen das Tracking ablehnen und wir empfehlen dies bei Bedenken gegenueber Transfers ausserhalb der EU.
Third-party domains contacted
mc.yandex.rumetrika.yandex.ruyandex.rumc.yandex.commc.yandex.com.trCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| _ym_uid | Analytics | 1 year | Persistent visitor identifier set by Yandex.Metrica. Used to recognise returning visitors across sessions and to power all subsequent analytics, heatmaps, and session replays. |
| _ym_d | Analytics | 1 year | Stores the date of the visitor first visit, used to calculate new vs returning visitor rates. |
| _ym_isad | Analytics | 1 day | Detects whether the visitor uses an ad blocker, used to apply different tracking strategies. |
| _ym_visorc_<counter_id> | Analytics | 30 minutes | Used by the Yandex.Metrica session replay feature (Webvisor) to reconstruct the visitor session for later playback. |
| yabs-sid | Marketing | Session | Yandex advertising session identifier, used for cross site advertising attribution when Yandex.Direct is also enabled. |
Yandex.Metrica erhebt Analyse-Daten — Sie benötigen rechtlich ein Cookie-Banner. Testen Sie FlowConsent kostenlos.
Yandex.Metrica setzt mehrere First-Party-Cookies: _ym_uid (Besucher-ID, 1 Jahr), _ym_d (Erstbesuchsdatum, 1 Jahr), _ym_isad (Adblock-Erkennung, 1 Tag), _ym_visorc_<counter_id> (Session-Rekonstruktion, 30 Minuten), yabs sid (Werbe-Session). Keine sind notwendig, alle einwilligungspflichtig.
Ja, zweifach. Erstens verlangen Art. 5(3) ePrivacy und §25 TTDSG eine Einwilligung fuer die nicht notwendigen Cookies. Zweitens ist der Russland-Transfer selbst problematisch: Einwilligung allein legitimiert den Transfer im Sinne des Kapitels Datentransfer nicht. Im laufenden EU-Einsatz ist Einwilligung Minimum; viele Aufsichtsbehoerden wuerden den Transfer auch mit Einwilligung nicht als Schrems-II-konform werten.
Nur Einwilligung (Art. 6(1)(a) DSGVO) kommt in Betracht, aber die Rechtsgrundlage allein reicht nicht: das Kapitel zu internationalen Uebermittlungen (Art. 44 ff.) muss ebenfalls erfuellt sein. Nach Schrems II ist ein EU-Russland-Transfer auch mit Einwilligung und SCC kaum zu rechtfertigen.
Ja, in die Russische Foederation, die ueber keine EU-Angemessenheit verfuegt. Transfers stuetzen sich auf SCC und erfordern eine TIA, die das Gesetz Nr. 152-FZ, SORM und das Fehlen wirksamer EU-Rechtsbehelfe ausdruecklich adressiert. Diese Bewertung schliesst selten mit Angemessenheit ab.
Ja. Yandex.Metrica erfuellt mehrere EDPB-Kriterien fuer eine pflichtige DSFA: systematische Ueberwachung, Profilbildung, Drittlandtransfer ohne Angemessenheit und innovative Technologie (Session Replay). Die DSFA muss all diese Punkte und den Sanktionskontext abdecken.
In den meisten Faellen nicht in EU-Traffic einbinden. Wenn unbedingt noetig (russischsprachige Website fuer russische Nutzer): Tag strikt geofencen, neuesten Yandex-DPA und SCC unterzeichnen, ausdrueckliche Einwilligung fuer EU-Traffic, vollstaendige DSFA, Restrisiko dokumentieren und Migrationsplan vorhalten.
DSGVO-konforme Analytik mit aehnlichem Umfang: Matomo (self-hosted oder EU-Cloud) mit Heatmap- und Session-Recording-Premium, Piwik PRO (Deutschland) mit EU-Residenz, Plausible (Estland, einfache Analytik), Fathom (Kanada), Simple Analytics (Niederlande). Fuer Session Replay: Mouseflow (Daenemark), Smartlook (Tschechien), Hotjar mit EU-Residenz.
Listen Sie alle Yandex.Metrica-Cookies (_ym_uid, _ym_d, _ym_isad, _ym_visorc) mit Anbieter (Yandex LLC, Russische Foederation), Zweck, Laufzeit und Kategorie (Analytik). Den Transfer nach Russland und das Restrisiko fuer Betroffene prominent darstellen. Yandex-Datenschutzerklaerung verlinken. Wenn moeglich, migrieren, das ist die staerkste DSGVO-Position.