Microsoft Clarity & DSGVO: Alles was du wissen musst (2026)
Microsoft Clarity ist kostenlos, mächtig und immer beliebter — aber ist es auch DSGVO-konform? Als Website-Betreiber in Deutschland stellst du dir diese Frage zu Recht. Die Antwort ist: Ja, aber nur wenn du die richtigen Maßnahmen umsetzt. Dieser Artikel zeigt dir alles, was du wissen musst: welche Daten Clarity sammelt, ob Cookie-Consent nötig ist, wie du den AVV abschließt, welche Datenschutzerklärung-Bausteine du brauchst und wie du Clarity Schritt für Schritt rechtskonform einrichtest.
Was ist Microsoft Clarity und welche Daten sammelt es?
Bevor wir zur DSGVO-Analyse kommen, müssen wir verstehen, was Clarity überhaupt erhebt. Nur so können wir beurteilen, welche rechtlichen Anforderungen gelten.
Daten, die Microsoft Clarity erhebt
- Session Recordings: Clarity zeichnet die gesamte Nutzer-Session auf — Mausbewegungen, Klicks, Scroll-Verhalten, Formulareingaben (soweit nicht maskiert), Seitenwechsel und Navigationspfade.
- Heatmap-Daten: Aggregierte Click-, Scroll- und Move-Muster aller Besucher einer Seite.
- Frustrationssignale: Automatisch erkannte Rage Clicks (wiederholtes Klicken), Dead Clicks (Klicks auf nicht-klickbare Elemente) und Quick Backs (sofortiges Zurücknavigieren).
- Cookies: Clarity setzt zwei First-Party-Cookies:
_clck: Identifiziert den Browser/Nutzer eindeutig, Laufzeit 12 Monate_clsk: Identifiziert eine Sitzung, Laufzeit 1 Tag
- Gerätedaten: Browser-Typ und -version, Betriebssystem, Bildschirmauflösung, Spracheinstellung
- Geografische Daten: Region/Stadt (nicht präzise Adresse)
- Referrer: Von welcher Seite der Nutzer kam
Was Clarity NICHT erhebt
- Keine vollständigen IP-Adressen: Microsoft gibt an, IP-Adressen zu anonymisieren und nicht zu speichern
- Keine Passwörter oder Zahlungsdaten: Clarity maskiert diese Felder standardmäßig
- Keine Gesichtserkennung oder biometrischen Daten
- Keine Verkettung mit Microsoft-Werbeprofilen: Clarity-Daten werden nicht für Microsoft Advertising genutzt
Ist Microsoft Clarity personenbezogene Daten? Die DSGVO-Einordnung
Die entscheidende Frage für die DSGVO-Einordnung: Handelt es sich bei den von Clarity erfassten Daten um personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO?
Die Antwort ist ja — zumindest potenziell. Session Recordings können personenbezogene Daten enthalten, wenn Nutzer beispielsweise ihren Namen in ein Formular eingeben und das Masking nicht greift. Die User-ID, die Clarity über den _clck-Cookie vergibt, ist ebenfalls ein personenbezogenes Datum, da sie eine eindeutige Identifikation des Browsers über Sitzungen hinweg ermöglicht.
Damit gilt: Clarity verarbeitet personenbezogene Daten und unterliegt vollständig der DSGVO.
Rechtsgrundlage für die Verarbeitung mit Clarity
Die DSGVO verlangt in Art. 6 eine Rechtsgrundlage für jede Verarbeitung personenbezogener Daten. Für Microsoft Clarity kommen zwei in Betracht:
Option 1: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) — empfohlen
Der Nutzer stimmt aktiv der Datenerhebung durch Clarity zu, bevor das Tool lädt. Das ist die sicherste und empfohlene Rechtsgrundlage für Deutschland. Sie erfordert:
- Ein Cookie-Banner mit aktiver Zustimmungsmöglichkeit (kein Pre-Check)
- Clarity darf erst nach der Zustimmung laden
- Der Nutzer muss die Einwilligung jederzeit widerrufen können
- Die Einwilligung muss für jede Kategorie separat erteilt werden können
Option 2: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) — riskant
Theoretisch könnte ein Websitebetreiber argumentieren, dass die Website-Analyse ein berechtigtes Interesse darstellt. In der Praxis ist das bei Session Recordings äußerst problematisch: Deutsche und europäische Datenschutzbehörden haben signalisiert, dass die Tiefe der Datenerhebung bei Behavior-Analytics-Tools wie Clarity schwer mit dem "berechtigten Interesse" vereinbar ist.
Empfehlung: Nutze ausschließlich die Einwilligung als Rechtsgrundlage. Das berechtigte Interesse für Clarity ist in Deutschland rechtlich zu riskant.
Cookie-Consent für Microsoft Clarity: Was ist erforderlich?
Da Clarity Cookies setzt (_clck und _clsk), die nicht technisch notwendig für den Website-Betrieb sind, greift neben der DSGVO auch das TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz, das frühere TTDSG). Das TDDDG setzt die europäische ePrivacy-Richtlinie in Deutschland um und verlangt ausdrücklich die Einwilligung vor dem Setzen nicht-notwendiger Cookies.
Anforderungen an den Cookie-Consent
- Aktive Einwilligung: Kein vorausgewähltes Häkchen, kein "Weiter surfen = Zustimmung"
- Granulare Kontrolle: Nutzer muss Analytics-Cookies separat von Notwendigen ablehnen können
- Klare Information: Clarity muss im Banner namentlich oder in der Kategoriebeschreibung genannt werden
- Ladeblockierung: Das Clarity-Snippet darf erst nach Zustimmung ausgeführt werden
- Widerruf: Der Nutzer muss die Einwilligung jederzeit einfach widerrufen können (z.B. über einen Link in der Datenschutzerklärung oder ein Einstellungs-Icon)
- Dokumentation: Du musst nachweisen können, wann und womit der Nutzer zugestimmt hat
clarity("consent", false) API-Aufruf funktioniert.
Clarity Consent-API nutzen
Microsoft Clarity bietet eine eingebaute Consent-API. Du kannst Clarity initial ohne Datenerfassung laden und erst nach Einwilligung aktivieren:
// Clarity initial laden (ohne Tracking)
clarity("consent", false);
// Nach Einwilligung des Nutzers:
clarity("consent", true);Diese Methode ist besonders praktisch, wenn du ein eigenes Consent-Management-System hast.
Auftragsverarbeitungsvertrag (AVV) mit Microsoft
Als Verantwortlicher (du als Website-Betreiber) musst du mit Microsoft als Auftragsverarbeiter einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abschließen.
Das Microsoft Online Services Data Protection Addendum (DPA)
Microsoft stellt diesen Vertrag als Online Services Data Protection Addendum (DPA) bereit. Es gilt als automatisch akzeptiert, sobald du Microsoft-Dienste (inkl. Clarity) nutzt. Du musst es nicht separat unterzeichnen. Allerdings solltest du es für deine Compliance-Dokumentation herunterladen und archivieren.
Das DPA findest du unter: microsoft.com/en-us/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA
Was das Microsoft DPA regelt
- Zweckbindung der Datenverarbeitung durch Microsoft
- Vertraulichkeitspflichten für Microsoft-Mitarbeiter
- Technische und organisatorische Sicherheitsmaßnahmen
- Bedingungen für die Nutzung von Unterauftragsverarbeitern
- Unterstützung bei der Wahrnehmung von Betroffenenrechten
- Löschung und Rückgabe von Daten nach Vertragsende
Datentransfer in die USA: EU-US Data Privacy Framework
Microsoft ist ein US-amerikanisches Unternehmen mit Hauptsitz in Redmond, Washington. Die Datenverarbeitung erfolgt potenziell auch auf US-Servern. Das wirft die Frage nach der Rechtmäßigkeit des Datentransfers auf.
EU-US Data Privacy Framework (DPF)
Seit Juli 2023 gibt es wieder ein angemessenes Schutzniveau für Datentransfers in die USA: das EU-US Data Privacy Framework. Microsoft ist unter dem DPF zertifiziert, was bedeutet, dass der Datentransfer zu Microsoft auf dieser Grundlage zulässig ist.
Allerdings gibt es ein Restrisiko: Das DPF könnte — wie zuvor der Privacy Shield — vom Europäischen Gerichtshof für ungültig erklärt werden. Deshalb empfehlen wir zusätzlich die EU-Standardvertragsklauseln (SCCs) als Backup zu dokumentieren.
Standardvertragsklauseln (SCCs) als Backup
Microsoft stellt auch Standardvertragsklauseln zur Verfügung (als Teil des DPA). Du solltest in deiner Datenschutzerklärung beide Grundlagen nennen:
- Primär: EU-US Data Privacy Framework (Microsoft ist zertifiziert)
- Backup: EU-Standardvertragsklauseln gemäß Durchführungsbeschluss 2021/914 der EU-Kommission
IP-Anonymisierung in Microsoft Clarity
Eine häufig gestellte Frage: Anonymisiert Clarity die IP-Adressen?
Ja. Laut Microsofts Datenschutzdokumentation anonymisiert Clarity IP-Adressen standardmäßig. Im Clarity-Dashboard werden geografische Daten nur auf Regions- oder Stadtebene angezeigt — vollständige IP-Adressen sind für dich als Clarity-Nutzer nicht sichtbar und werden nach Angaben von Microsoft auch nicht gespeichert.
Das ist ein Unterschied zu früheren Versionen von Google Analytics, bei denen die IP-Anonymisierung manuell aktiviert werden musste. Bei GA4 ist die Anonymisierung inzwischen ebenfalls Standard.
Masking in Microsoft Clarity: Personenbezogene Daten schützen
Einer der wichtigsten Datenschutz-Features von Clarity ist das eingebaute Masking-System. Es verhindert, dass personenbezogene Daten in Session Recordings sichtbar werden.
Die drei Masking-Stufen
- Balanced (Standard): Maskiert Texteingaben in Formularfeldern sowie Elemente mit HTML-Attributen wie
type="password",type="email", oder Inhalte in<input>-Feldern generell. Empfohlen für die meisten Websites. - Strict: Maskiert allen sichtbaren Text auf der Seite. Die Seitenstruktur bleibt erkennbar, aber Text-Inhalte werden durch Platzhalter ersetzt. Empfohlen für Seiten mit sensiblen Daten (Patientendaten, Finanzdaten).
- Relaxed: Minimales Masking. Nur explizit markierte Elemente werden maskiert. Vorsicht: erhöhtes Risiko, dass personenbezogene Daten in Recordings erscheinen.
data-clarity-mask="True" individuell steuern.
Eigene Elemente manuell maskieren
Zusätzlich zum globalen Masking kannst du einzelne Elemente gezielt maskieren oder freigeben:
- Element maskieren:
<div data-clarity-mask="True">Sensible Info</div> - Element von Masking ausschließen:
<div data-clarity-unmask="True">Öffentliche Info</div>
Microsoft Clarity DSGVO-konform einrichten: Schritt-für-Schritt
Hier ist die vollständige Checkliste für einen DSGVO-konformen Clarity-Einsatz in Deutschland:
Schritt 1: Consent Management Platform (CMP) einrichten
Falls noch nicht vorhanden, richte zuerst ein Cookie-Consent-Banner ein. In Deutschland empfohlene CMPs:
- Cookiebot (dänischer Anbieter, DSGVO-fokussiert, ab ca. 9 EUR/Monat)
- Usercentrics (deutsches Unternehmen, besonders DSGVO-konform)
- Borlabs Cookie (WordPress-Plugin, einmalig ca. 39 EUR)
- OneTrust (Enterprise, teurer aber sehr vollständig)
Schritt 2: Clarity-Script bedingt laden
Konfiguriere deine CMP so, dass das Clarity-Snippet erst geladen wird, wenn der Nutzer in "Analytics"-Cookies eingewilligt hat. Beispiel mit Clarity's eigenem Consent-API:
<!-- Clarity immer laden, aber ohne Tracking -->
<script>
(function(c,l,a,r,i,t,y){...})(window, document, "clarity", "script", "DEIN_PROJECT_ID");
clarity("consent", false); // Standardmäßig kein Tracking
</script>
<!-- Nach Zustimmung im CMP-Callback -->
<script>
// Wenn Nutzer Analytics-Cookies akzeptiert:
clarity("consent", true);
</script>Schritt 3: Masking konfigurieren
Gehe in clarity.microsoft.com zu deinem Projekt → Settings → Masking und wähle mindestens "Balanced". Überprüfe danach in den Session Recordings, ob sensible Daten korrekt maskiert werden.
Schritt 4: Datenschutzerklärung aktualisieren
Füge einen Abschnitt zu Microsoft Clarity in deine Datenschutzerklärung ein (Textbaustein unten).
Schritt 5: Verarbeitungsverzeichnis aktualisieren
Gemäß Art. 30 DSGVO musst du Clarity in dein Verarbeitungsverzeichnis aufnehmen:
- Bezeichnung: Analyse des Nutzerverhaltens mit Microsoft Clarity
- Zweck: Optimierung der Website-Usability
- Kategorien betroffener Personen: Website-Besucher
- Kategorien personenbezogener Daten: Pseudonymisierte Nutzer-ID (Cookie), Gerätedaten, Verhaltensaufzeichnungen
- Empfänger: Microsoft Corporation, USA
- Drittlandtransfer: USA (DPF + SCCs)
- Löschfrist: 30 Tage (Clarity-interne Retention)
Schritt 6: Datenschutz-Folgenabschätzung prüfen
Bei bestimmten Arten von Websites oder Nutzergruppen kann eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) erforderlich sein. Das ist der Fall, wenn du Session Recordings für Websites nutzt, die:
- Gesundheitsdaten, Finanzdaten oder andere sensible Kategorien verarbeiten
- Besonders schutzbedürftige Personengruppen ansprechen (Kinder, Kranke)
- Umfangreiche systematische Überwachung öffentlich zugänglicher Bereiche betreiben
Für normale E-Commerce-Websites oder Unternehmens-Websites ist eine DSFA in der Regel nicht erforderlich.
Datenschutzerklärung: Textbaustein für Microsoft Clarity
Hier ist ein Textbaustein, den du in deine Datenschutzerklärung einfügen kannst. Lass ihn von einem Anwalt prüfen, wenn du nicht sicher bist:
Microsoft Clarity
Wir nutzen auf dieser Website den Dienst Microsoft Clarity der Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA ("Microsoft"), um das Nutzerverhalten auf unserer Website zu analysieren und unsere Website zu verbessern. Microsoft Clarity ermöglicht uns die Auswertung von Klick- und Scrollverhalten sowie die Aufzeichnung von Nutzersitzungen in anonymisierter Form (sogenannte Session Recordings und Heatmaps).
Zu diesem Zweck werden pseudonymisierte Nutzungsprofile erstellt und Cookies eingesetzt. Die Cookies _clck (Laufzeit: 12 Monate) und _clsk (Laufzeit: 1 Tag) werden auf Ihrem Endgerät gespeichert. IP-Adressen werden laut Angabe von Microsoft anonymisiert und nicht gespeichert. Personenbezogene Eingaben in Formularfeldern werden automatisch maskiert.
Die erhobenen Daten werden von Microsoft nicht für eigene Werbezwecke genutzt. Die Datenverarbeitung erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie Ihre Cookie-Einstellungen ändern.
Microsoft ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Zusätzlich haben wir mit Microsoft einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO abgeschlossen (Microsoft Online Services Data Protection Addendum). Als weitere Sicherheitsmaßnahme greifen die EU-Standardvertragsklauseln (SCCs).
Weitere Informationen zum Datenschutz bei Microsoft Clarity finden Sie in der Microsoft-Datenschutzerklärung.
Microsoft Clarity vs. Google Analytics: Datenschutz-Vergleich
| Kriterium | Microsoft Clarity | Google Analytics 4 |
|---|---|---|
| IP-Anonymisierung | Ja (automatisch) | Ja (automatisch in GA4) |
| Cookie-Consent erforderlich | Ja | Ja |
| AVV verfügbar | Ja (Microsoft DPA) | Ja (Google DPA) |
| DPF-zertifiziert | Ja | Ja |
| Daten für eigene Werbung | Nein | Möglich (je nach Einstellung) |
| Masking eingebaut | Ja (3 Stufen) | Nein |
| Session Recordings | Ja (unbegrenzt) | Nein |
| Negative Behördenenentscheidungen | Keine bekannt | Mehrere (AT, FR, IT, DK) |
Microsoft Clarity schneidet im Datenschutzvergleich besser ab als Google Analytics: Keine Werbenutzung der Daten, automatisches Masking, und bisher keine negativen Entscheidungen europäischer Datenschutzbehörden. Google Analytics wurde in mehreren EU-Ländern für nicht DSGVO-konform erklärt.
Häufige Fehler beim Clarity-Einsatz in Deutschland
Fehler 1: Clarity ohne Cookie-Consent laden
Das ist der häufigste und gefährlichste Fehler. Clarity darf erst nach aktiver Einwilligung des Nutzers geladen werden. Ein Cookie-Banner, das bereits nach dem Seitenaufruf erscheint, während Clarity schon läuft, ist nicht ausreichend.
Fehler 2: Keine oder unvollständige Datenschutzerklärung
Clarity muss in der Datenschutzerklärung mit allen erforderlichen Informationen genannt werden. Ein allgemeiner Hinweis auf "Analytics-Tools" reicht nicht.
Fehler 3: Masking auf "Relaxed" lassen
Wenn Nutzer auf Seiten mit Formularfeldern surfen, können im Relaxed-Modus personenbezogene Daten in Recordings erscheinen. Ändere die Einstellung mindestens auf "Balanced".
Fehler 4: Kein AVV dokumentiert
Das Microsoft DPA gilt als automatisch akzeptiert, aber du solltest es herunterladen und für deine Dokumentation archivieren. Im Fall einer Datenschutzprüfung musst du nachweisen, dass ein AVV besteht.
Fehler 5: Keine Widerrufsmöglichkeit anbieten
Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen. Das Cookie-Banner muss erneut aufgerufen werden können — zum Beispiel über einen Link in der Datenschutzerklärung oder ein dauerhaftes Cookie-Icon auf der Website.
Zusammenfassung: Microsoft Clarity DSGVO-Checkliste
| Nr. | Maßnahme | Pflicht? |
|---|---|---|
| 1 | Cookie-Consent-Banner implementieren (Clarity erst nach Zustimmung laden) | Ja |
| 2 | Clarity in der Datenschutzerklärung vollständig beschreiben | Ja |
| 3 | Microsoft DPA herunterladen und archivieren (AVV) | Ja |
| 4 | Masking auf mindestens "Balanced" setzen | Dringend empfohlen |
| 5 | Verarbeitungsverzeichnis aktualisieren | Ja |
| 6 | SCCs als Backup zum DPF dokumentieren | Empfohlen |
| 7 | Widerrufsmöglichkeit für Nutzer bereitstellen | Ja |
| 8 | Datenschutz-Folgenabschätzung prüfen (bei sensiblen Websites) | Ggf. ja |
| 9 | Sensible Seitenbereiche zusätzlich manuell maskieren | Empfohlen |
| 10 | Session Recordings periodisch auf Masking-Qualität prüfen | Empfohlen |
Fazit
Microsoft Clarity ist DSGVO-konform einsetzbar — aber nicht automatisch. Die Pflichtmaßnahmen sind klar: Cookie-Consent mit aktiver Einwilligung, vollständige Datenschutzerklärung, Microsoft DPA als AVV, und mindestens Balanced Masking. Im Vergleich zu Google Analytics hat Clarity einen klaren Datenschutzvorteil: Die Daten werden nicht für Microsofts eigene Werbung genutzt, und bisher gibt es keine negativen Entscheidungen europäischer Datenschutzbehörden gegen Clarity.
Wer die Checkliste in diesem Artikel abarbeitet, kann Clarity rechtssicher in Deutschland betreiben — und dabei von einem der mächtigsten kostenlosen UX-Analyse-Tools profitieren.
CRO-Berichte automatisieren → Clarity Insights testen
Wöchentliche KI-Analyse deiner Clarity-Daten: Rage Clicks, Scroll-Probleme, Drop-offs — direkt ins Postfach. DSGVO-konform, Server in der EU. Lite ab $49/Monat.
Jetzt kostenlos testenHäufig gestellte Fragen zu Microsoft Clarity und DSGVO
Ist Microsoft Clarity DSGVO-konform?
Microsoft Clarity kann DSGVO-konform eingesetzt werden — aber nur mit den richtigen Maßnahmen: Cookie-Consent-Banner, vollständige Datenschutzerklärung, Microsoft Online Services Data Protection Addendum (DPA) als AVV, und mindestens "Balanced" Masking-Einstellung. Von sich aus ist Clarity nicht automatisch DSGVO-konform.
Brauche ich für Microsoft Clarity ein Cookie-Banner?
Ja, zwingend. Microsoft Clarity setzt First-Party-Cookies (_clck mit 12 Monaten Laufzeit, _clsk für 1 Tag). Diese sind nicht technisch notwendig für den Betrieb der Website, daher ist nach TDDDG (Deutschland) und ePrivacy-Richtlinie (EU) eine aktive Einwilligung erforderlich. Clarity darf erst laden, nachdem der Nutzer zugestimmt hat.
Wie schließe ich einen AVV mit Microsoft für Clarity ab?
Microsoft stellt den AVV automatisch über das Microsoft Online Services Data Protection Addendum (DPA) bereit. Es gilt als automatisch akzeptiert, sobald du Microsoft-Dienste nutzt. Du solltest das Dokument von der Microsoft-Website herunterladen und für deine Dokumentation archivieren.
Anonymisiert Microsoft Clarity IP-Adressen?
Ja. Microsoft gibt an, dass IP-Adressen automatisch anonymisiert und nicht gespeichert werden. Im Clarity-Dashboard sind nur geografische Daten auf Regionsebene sichtbar, keine vollständigen IP-Adressen.
Nutzt Microsoft Clarity Daten für Werbung?
Nein. Microsoft gibt explizit an, dass Clarity-Daten nicht für Microsoft-Werbezwecke genutzt werden. Das ist ein wichtiger Datenschutzvorteil gegenüber Google Analytics, bei dem die Nutzung für Werbezwecke je nach Einstellung möglich ist.
Was muss in der Datenschutzerklärung zu Microsoft Clarity stehen?
Du musst in der Datenschutzerklärung angeben: Anbieter (Microsoft Corporation), Zweck (Verhaltensanalyse, Heatmaps, Session Recordings), Rechtsgrundlage (Einwilligung, Art. 6 Abs. 1 lit. a DSGVO), gesetzte Cookies (_clck 12 Monate, _clsk 1 Tag), Datentransfer USA (DPF + SCCs), und wie Nutzer die Einwilligung widerrufen können.