Brauchen Session-Recording-Tools wie Hotjar oder Clarity eine Einwilligung?

In aller Regel ja. Wegen der hohen Eingriffstiefe gelten Session-Recording und vergleichbare Tools nach verbreiteter Auffassung als einwilligungspflichtig. Speichert das Skript zusätzlich Informationen auf dem Endgerät oder liest es aus, ist außerdem § 25 TDDDG einschlägig. Solche Werkzeuge sollten daher erst nach einer aktiven Einwilligung starten, nicht schon beim ersten Seitenaufruf.

Warum gelten Session-Replays als besonders eingriffsintensiv?

Ein Session-Replay zeichnet das Verhalten einer einzelnen Person so detailgenau nach, dass es sich als individuelle Beobachtung verstehen lässt — Mausbewegungen, Klicks, Scrollen und teils Eingaben in zeitlicher Abfolge. Damit wird in der Regel ein personenbezogenes Datum verarbeitet, auch wenn kein Name erhoben wird. Anders als eine reine Reichweiten-Statistik geht es hier nicht nur um Zahlen.

Was passiert, wenn versehentlich Formulareingaben aufgezeichnet werden?

Werden Sitzungen aufgezeichnet, können Formularinhalte miterfasst werden — im ungünstigsten Fall auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, etwa zur Gesundheit. Dafür gelten besonders strenge Voraussetzungen. Deshalb solltest du Eingaben aktiv maskieren und sensible Felder gezielt von der Aufzeichnung ausnehmen, statt dich blind auf Standardwerte zu verlassen.

Wie erkenne ich, ob meine Seite ein Aufzeichnungs-Tool lädt?

Öffne deine Seite, drücke F12 und sieh im Netzwerk-Tab nach Requests an Hosts wie hotjar, clarity.ms, mouseflow oder fullstory. Dieselben Begriffe kannst du auch im HTML-Quelltext suchen. Achte besonders darauf, ob das Tool schon vor einer Einwilligung lädt — also bevor du im Consent-Banner zugestimmt hast.

Sind kostenlose Session-Recording-Tools datenschutzrechtlich unbedenklich?

Nicht automatisch. „Kostenlos" im Preis heißt nicht „kostenlos" im Hinblick auf die Daten: Bei kostenlosen Angeboten ist die Weiterverarbeitung der erhobenen Daten nicht selten Teil des Geschäftsmodells. Lies die Vertrags- und Datenschutzbedingungen aufmerksam und achte darauf, wofür der Anbieter die Daten verwenden darf und wo sie verarbeitet werden.

Ratgeber · Session-Recording

Session-Recording & Heatmaps: Hotjar, Clarity & der Datenschutz

Werkzeuge wie Hotjar oder Microsoft Clarity zeichnen auf, wie Besucher mit deiner Seite umgehen — Mausbewegungen, Klicks, Scrollen, teils sogar Eingaben. Diese Eingriffstiefe macht sie datenschutzrechtlich heikel. Hier liest du, worauf es ankommt.

Lesezeit ca. 6 MinutenStand: Juni 2026

Wer verstehen will, warum Besucher abspringen oder ein Formular nicht zu Ende ausfüllen, greift gern zu Session-Recording und Heatmaps. Diese Werkzeuge zeichnen das tatsächliche Verhalten auf der Seite auf und machen es sichtbar. Für die Optimierung ist das wertvoll — datenschutzrechtlich gehören solche Tools aber zu den eingriffsintensiveren auf einer Website. Dieser Beitrag ordnet neutral ein, was dabei passiert und worauf du achten solltest.

Hinweis: Dieser Artikel ist eine technische Einordnung und ersetzt keine Rechtsberatung. Im Zweifel ziehst du am besten deine Datenschutzbeauftragte oder einen Fachanwalt hinzu.

Was sind Session-Recording und Heatmaps?

Dienste wie Hotjar, Microsoft Clarity, Mouseflow oder FullStory binden ein kleines Skript in deine Seite ein, das das Verhalten der Besucher mitschneidet. Grob lassen sich zwei Funktionen unterscheiden:

Session-Recording / Session-Replay: Eine einzelne Sitzung wird so aufgezeichnet, dass sie sich später wie ein Video „abspielen" lässt — Mausbewegungen, Klicks, Scrollen, Seitenwechsel und teils auch Eingaben in der zeitlichen Abfolge.
Heatmaps: Viele Sitzungen werden aggregiert und als Farbkarte dargestellt — wo besonders oft geklickt, bewegt oder bis wohin gescrollt wird.

Anders als eine reine Reichweiten-Statistik geht es hier also nicht nur um Zahlen wie Seitenaufrufe, sondern um die konkrete, oft detailgenaue Nachzeichnung dessen, was eine Person auf der Seite getan hat.

Warum die Eingriffstiefe besonders hoch ist

Genau diese Detailtiefe ist der Kern des Datenschutzproblems. Ein Session-Replay rekonstruiert das Verhalten einer einzelnen Person so genau, dass es sich als individuelle Beobachtung verstehen lässt. Damit wird in der Regel ein personenbezogenes Datum im Sinne der DSGVO verarbeitet — auch dann, wenn kein Name erhoben wird.

Hinzu kommt ein besonderes Risiko: Wo Sitzungen aufgezeichnet werden, können versehentlich Formularinhalte miterfasst werden — etwa was jemand in ein Kontakt-, Anmelde- oder Bestellformular tippt. Im ungünstigsten Fall landen darin besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO (zum Beispiel Angaben zur Gesundheit, zu religiösen Überzeugungen oder zur sexuellen Orientierung), für die besonders strenge Voraussetzungen gelten. Das ist nicht zwangsläufig der Fall — aber die Möglichkeit besteht und muss bedacht werden, gerade bei Formularen, in denen sensible Angaben gemacht werden könnten.

Wegen dieser Eingriffstiefe gelten Session-Recording und vergleichbare Tools nach verbreiteter Auffassung in der Regel als einwilligungspflichtig. Soweit das Skript dafür Informationen auf dem Endgerät speichert oder ausliest (etwa Cookies oder vergleichbare Kennungen), ist außerdem § 25 TDDDG einschlägig, der für solche Zugriffe grundsätzlich eine Einwilligung verlangt — sofern keine der engen Ausnahmen greift. Praktisch heißt das: Solche Tools sollten erst nach einer aktiven Einwilligung der Besucher starten, nicht schon beim ersten Seitenaufruf.

Schutzmaßnahmen, wenn du solche Tools einsetzt

Wenn du Session-Recording oder Heatmaps nutzen möchtest, lässt sich das Risiko mit einigen Maßnahmen deutlich verringern. Sie ersetzen keine rechtliche Prüfung, gehören aber zum Sorgfaltsstandard:

Eingaben maskieren — und zwar zwingend. Alle gängigen Anbieter bieten ein Masking an, das Tastatureingaben und Formularinhalte unkenntlich macht, bevor sie übertragen werden. Konfiguriere dieses Masking aktiv und verlasse dich nicht blind auf Standardwerte — gerade bei sensiblen Feldern.
Sensible Felder gezielt ausschließen. Felder, in denen besonders schützenswerte Angaben stehen können, lassen sich von der Aufzeichnung ausnehmen (etwa per CSS-Klasse oder Attribut). Prüfe das für jedes Formular einzeln.
Einwilligung vorschalten. Binde das Tool so ein, dass es erst nach einer wirksamen Einwilligung über deinen Consent-Mechanismus geladen wird — nicht vorher.
Auftragsverarbeitungsvertrag (AVV). Mit dem Anbieter brauchst du in aller Regel einen AVV nach Art. 28 DSGVO, der die Verarbeitung in deinem Auftrag regelt.
Transparenz in der Datenschutzerklärung. Benenne das eingesetzte Tool, den Zweck und die Rechtsgrundlage nachvollziehbar in deiner Datenschutzerklärung.
Drittlandbezug beachten. Sitzt der Anbieter oder seine Infrastruktur außerhalb der EU/des EWR, kommt ein Drittlandtransfer in Betracht, für den zusätzliche Anforderungen gelten können. Das ist je nach Dienst und Konfiguration unterschiedlich und sollte einzeln geprüft werden.

Ein Wort zu „kostenlosen" Tools

Manche dieser Werkzeuge sind kostenlos nutzbar. Das kann ein attraktives Angebot sein — es lohnt sich aber, genauer hinzuschauen, wie sich ein Dienst finanziert. Bei kostenlosen Angeboten ist nicht selten die Weiterverarbeitung der erhobenen Daten Teil des Geschäftsmodells des Anbieters. Lies deshalb die Vertrags- und Datenschutzbedingungen aufmerksam und achte darauf, wofür der Anbieter die Daten verwenden darf, ob er sie mit anderen Quellen zusammenführt und wo sie verarbeitet werden. „Kostenlos" im Preis heißt nicht automatisch „kostenlos" im Hinblick auf die Daten.

Wie prüfst du deine eigene Seite?

Du musst kein Profi sein, um einen ersten Eindruck zu bekommen, ob deine Seite ein Session-Recording-Tool lädt:

Netzwerk-Tab der Entwicklertools: Öffne deine Seite, drücke F12, gehe auf „Netzwerk" und lade neu. Suche in den Requests nach Namen wie hotjar, clarity.ms, mouseflow oder fullstory. Tauchen sie auf, wird ein solches Tool geladen.
Quelltext durchsuchen: Suche im HTML-Quelltext nach denselben Begriffen. Treffer deuten darauf hin, dass ein Aufzeichnungs-Skript eingebunden ist.
Vor und nach dem Banner prüfen: Achte darauf, ob das Tool schon vor einer Einwilligung lädt — also bevor du im Consent-Banner zugestimmt hast. Genau das wäre der kritische Fall.

Prüfbereich · Session-Recording

konfora prüft als einen von 16 Bereichen automatisiert, ob deine Seite ein Session-Recording- oder Replay-Tool nachlädt, und macht solche Funde im Report sichtbar — als technische Bestandsaufnahme mit konkreter Aufgabenliste, nicht als Rechtsgutachten.

Der Report als PDF zeigt dir konkret, wo deine Website steht — mit priorisierter Aufgabenliste. Er liegt bei 14,99 € (Einmalkauf, kein Abo). Den Zugang zu deinem Report bekommst du per Magic-Link an deine E-Mail.

Report erstellen Report ansehen

Kurz zusammengefasst

Session-Recording und Heatmaps (Hotjar, Microsoft Clarity, Mouseflow, FullStory) zeichnen Mausbewegungen, Klicks, Scrollen und teils Eingaben auf und spielen Sitzungen nach.
Die hohe Eingriffstiefe und das Risiko, versehentlich Formularinhalte oder sogar besondere Daten nach Art. 9 DSGVO zu erfassen, machen solche Tools in der Regel einwilligungspflichtig — auch im Hinblick auf § 25 TDDDG.
Schutzmaßnahmen: Eingaben maskieren, sensible Felder ausschließen, Einwilligung vorschalten, AVV abschließen, transparent in der Datenschutzerklärung beschreiben und den Drittlandbezug prüfen.
Prüfen kannst du das im Netzwerk-Tab oder im Quelltext — Treffer auf hotjar, clarity.ms, mouseflow oder fullstory deuten auf ein solches Tool hin.

Wie wir die einzelnen Bereiche bewerten und wo die Grenzen einer automatisierten Prüfung liegen, steht ausführlich auf der Methodik-Seite. Einen schnellen ersten Eindruck bekommst du in rund einer Minute mit dem kostenlosen Schnellcheck.

Dieser Beitrag liefert technische Hinweise und mögliche Risiken, keine Rechtsberatung. Für eine verbindliche Einschätzung deiner konkreten Situation wendest du dich an deine Datenschutzbeauftragte oder einen Fachanwalt.

Häufige Fragen

Brauchen Session-Recording-Tools wie Hotjar oder Clarity eine Einwilligung?: In aller Regel ja. Wegen der hohen Eingriffstiefe gelten Session-Recording und vergleichbare Tools nach verbreiteter Auffassung als einwilligungspflichtig. Speichert das Skript zusätzlich Informationen auf dem Endgerät oder liest es aus, ist außerdem § 25 TDDDG einschlägig. Solche Werkzeuge sollten daher erst nach einer aktiven Einwilligung starten, nicht schon beim ersten Seitenaufruf.
Warum gelten Session-Replays als besonders eingriffsintensiv?: Ein Session-Replay zeichnet das Verhalten einer einzelnen Person so detailgenau nach, dass es sich als individuelle Beobachtung verstehen lässt — Mausbewegungen, Klicks, Scrollen und teils Eingaben in zeitlicher Abfolge. Damit wird in der Regel ein personenbezogenes Datum verarbeitet, auch wenn kein Name erhoben wird. Anders als eine reine Reichweiten-Statistik geht es hier nicht nur um Zahlen.
Was passiert, wenn versehentlich Formulareingaben aufgezeichnet werden?: Werden Sitzungen aufgezeichnet, können Formularinhalte miterfasst werden — im ungünstigsten Fall auch besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO, etwa zur Gesundheit. Dafür gelten besonders strenge Voraussetzungen. Deshalb solltest du Eingaben aktiv maskieren und sensible Felder gezielt von der Aufzeichnung ausnehmen, statt dich blind auf Standardwerte zu verlassen.
Wie erkenne ich, ob meine Seite ein Aufzeichnungs-Tool lädt?: Öffne deine Seite, drücke F12 und sieh im Netzwerk-Tab nach Requests an Hosts wie hotjar, clarity.ms, mouseflow oder fullstory. Dieselben Begriffe kannst du auch im HTML-Quelltext suchen. Achte besonders darauf, ob das Tool schon vor einer Einwilligung lädt — also bevor du im Consent-Banner zugestimmt hast.
Sind kostenlose Session-Recording-Tools datenschutzrechtlich unbedenklich?: Nicht automatisch. „Kostenlos" im Preis heißt nicht „kostenlos" im Hinblick auf die Daten: Bei kostenlosen Angeboten ist die Weiterverarbeitung der erhobenen Daten nicht selten Teil des Geschäftsmodells. Lies die Vertrags- und Datenschutzbedingungen aufmerksam und achte darauf, wofür der Anbieter die Daten verwenden darf und wo sie verarbeitet werden.