Heatmap

Microsoft Clarity

kein Opt-Out möglich

header-monitoring
Clarity

Microsoft Clarity

Microsoft Clarity ist eine Heatmap. Heatmaps dienen der Analyse des Nutzerverhaltens auf deiner Website.

Sitz: Redmond, Washington, Vereinigte Staaten
Kategorie:
Heatmap
Rechtsgrundlage: Einwilligung erforderlich via Constent Management Platform (CMP)
Inhalt des Beitrags

    Was ist Microsoft Clarity?

    Microsoft Clarity ist eine Heatmap, mit welcher du das Verhalten der Nutzer auf deiner Website aufzeichnen und analysieren kannst.  Dadurch kannst du erfahren, welche Bereiche deiner Website besonders im Fokus stehen und wo die Schwachstellen sind.

    Warum wird Microsoft Clarity verwendet?

    Es ist für dich als Website-Betreiber natürlich wichtig zu wissen, wie deine Nutzer die Website nutzen. Welche Bilder oder Textstellen erfahren besondere Aufmerksamkeit und welche nicht. Wie kommen Veränderungen bei den Nutzern an? Welche Abschnitte von Texten sind für die Nutzer besonders interessant? Diese Fragen kannst du evtl. mit Microsoft Clarity beantworten.

    Dabei kannst du Bereiche auf denen die Nutzer lange verweilen durch die Heatmap erkennen, aber auch ganze Sessions aufzeichnen und dir im Nachgang ansehen. Die Erkenntnisse daraus kannst du dann verwenden um deine Website zu optimieren.

    Aus Datenschutzsicht hört sich das aber natürlich sehr heikel an, da viele personenbezogene Daten erfasst werden und der Nutzer genau beobachtet wird. Wie du Microsoft Clarity trotzdem verwenden kannst, erfährst du im weiteren Verlauf des Beitrags.

    Welche Daten werden verarbeitet?

    Die Daten die Microsoft Clarity von den Nutzern deiner Website verarbeitet, sind die folgenden:

    • IP-Adresse
    • Standort
    • Browserinformationen
    • Bildschirmauflösung
    • Spracheinstellungen
    • Besuchte Website/Unterseiten
    • Datum/Uhrzeit des Zugriffs auf die Website
    • Klicks, Scrolls, Mausbewegungen

    Microsoft Clarity gibt selbst an niemals die Daten der Nutzer an Dritte zu verkaufen. Auch werden keine personenbezogenen Daten offengelegt.

    Die Daten legt Microsoft in der Azure Cloud ab und gibt selbst an, dass Microsoft bzw. Clarity Zugriff auf diese Daten hat. Laut Microsoft wird die Do-Not-Track (DNT) Option derzeit nicht unterstützt. Besonders heikel ist, dass Microsoft sagt, dass die User keine Möglichkeit haben zu entscheiden, nicht aufgezeichent zu werden.

     

    Services und Cookies

    Wie? Es gibt noch weitere Services?

    Du benötigst eine allgemeine Service-Übersicht, welche die wichtigsten Informationen verständlich darstellt? We got you!

    Dürfen wir vorstellen: Unsere Service-Galaxy 🪐

    Rechtliche Grundlage für die Verarbeitung

    Die Grundlage für die Verarbeitung der Daten ergibt sich aus der DSGVO in Kombination mit dem TTDSG, wobei die DSGVO vorrangig ist, sollte es mal zu Kollisionen kommen.

    Die DSGVO regelt die Verarbeitung der personenbezogenen Daten und das TTDSG fokussiert sich auf den Zugriff auf das Endgerät, also z.B. den Einsatz von Cookies.

    Wann besteht eine Einwilligungspflicht?

    Personenbezogene Daten

    Die Verarbeitung personenbezogener Daten ist nur dann rechtmäßig, wenn mindestens einer der Buchstaben des Art. 6 Abs. 1 DSGVO erfüllt ist. Die beiden wichtigen lit. sind die folgenden:

    1. Die betroffene Person hat ihre Einwilligung erteilt (lit. a)
    2. Die Verarbeitung ist zur Wahrung deines berechtigten Interesses erforderlich (lit. f)

    Cookies

    Gem. Art. 25 Abs. 1 TTDSG ist dann eine Einwilligung erforderlich, wenn Cookies gesetzt werden, die technisch nicht unbedingt notwendig sind.

    Dabei sollte man wissen, dass damit nicht nur die bekannten, kleinen Textdateien und Pixel zählen, sondern alle Technologien, die es ermöglichen, einen Nutzer, einen Benutzeragenten oder Gerät herauszufinden, zu verknüpfen oder herzuleiten.

    Einwilligungspflichtig sind also alle Informationselemente, die die Identifizierung einer Person ermöglichen.

    Die Anforderungen an die Einwilligungsfreiheit

    Um einen einwilligungsfreien Einsatz zu gewährleisten, müssten folgende Bedingungen erfüllt sein:

    1. Abschluss eines Auftragsverarbeitungsvertrags mit dem Auftragsverarbeiter (AV)
    2. Kein Einsatz von Cookies oder ähnlichen Techniken zur Profilbildung
    3. Verarbeitung von personenbezogenen Daten ausschließlich in Europa
    4. Der Auftragsverarbeiter nutzt die gewonnenen Daten nicht für eigene Zwecke
    5. Der Auftragsverarbeiter verknüpft die Daten nicht über verschiedene Websites oder reichert sie an
    6. Möglichkeit des Opt-outs bzw. Widerrufs sowie ausführliche Informationen über die Erhebung personenbezogener Daten in der Datenschutzerklärung
    7. IP-Anonymisierung („Privacy by Default“)
    8. Automatisches Opt-out bei Do-Not-Track-Einstellungen im Browser
    9. Nachweis der erfolgten Punkte 1-8 durch den Website-Betreiber
    referenzen-icon

    IP-Adresse

    Beachte, dass die IP-Adresse generell ein personenbezogenes Datum darstellt.

    Falls du verhindern willst, dass personenbezogene Daten übermittelt werden, musst du immer dafür sorgen, dass die IP-Adresse verschleiert wird.

    dsb-icon

    Server-Standort

    Solange nicht klar ist, ob/dass Daten von einem sicheren Server-Standort aus erhoben werden, ist die Vereinbarkeit mit der DSGVO schwierig.

    firmensitz

    Firmensitz

    Bei amerikanischen Unternehmen oder deren Töchter ist zusätzlich der Fakt, dass es sich um ein amerikanisches Unternehmen handelt zu berücksichtigen. Amerikanische Unternehmen sind seit dem EuGH Urteil zum Privacy Shield einem unsicheren Drittland zugehörig.

    Warum ist Microsoft Clarity Einwilligungspflichtig?

    • Das Konzept von Microsoft Clarity beruht auf dem Tracking der Nutzer
    • Es werden Cookies gesetzt
    • Da es dadurch zu einem Zugriff auf das Gerät des Nutzers kommt, ist gem. TTDSG eine Einwilligung erforderlich
    • Die IP-Adresse wird verarbeitet
    • Es werden weitere personenbezogene Daten verarbeitet und gespeichert
    • Do-Not-Track wird nicht unterstützt
    • Ein Opt-Out ist nicht möglich

     

    Damit liegen Verstöße gegen die oben genannten Punkte 2, 3, 6, 7, 8 und 9 vor. Eine Einwilligungsfreiheit kann nicht begründet werden.

    DISCLAIMER: Dies heißt nicht, dass die nicht genannten Punkte erfüllt sind.

    Das Microsoft Clarity eine Einwilligung erfordert sollte durch die Natur des Dienstes klar sein. Das es scheinbar keine Möglichkeit zum Opt-Out gibt, macht das ganze extrem schwierig. Zwar gibt es auf Seiten der User Möglichkeiten den Dienst zu unterbinden, aber das reicht natürlich nicht.

    Fazit zur datenschutzkonformen Nutzung von Microsoft Clarity

    Unter diesen Bedingungen müssen wir leider von der Verwendung von Microsoft Clarity abraten. Aktuell gibt es keine Möglichkeit den Dienst datenschutzkonform zu nutzen. Vorallem das fehlende Opt-Out versetzt den Todesstoß.

    Um das Tool nutzen zu können, sollten mindestens folgende Dinge geklärt werden:

    • Möglichkeit des Opt-Out
    • Do-Not-Track muss berücksichtigt werden
    • Datenspeicherung nicht in den Vereinigten Staaten

    Cookiebox-Empfehlung: Auswahl eines alternativen Anbieters.

    Clarity

    Du hast Fragen?

    Dann ruf uns gerne an. Wir helfen dir bei Fragen zu unseren Produkten oder generell zu allen Datenschutz-Themen:

    Rufen Sie uns an