Microsoft Clarity und DSGVO: Ist Clarity Datenschutzkonform?
Microsoft Clarity gewinnt als kostenloses Analyse-Tool immer mehr Nutzer. Doch wie steht es um den Datenschutz? Ist Clarity DSGVO-konform einsetzbar? Dieser Artikel klaert die Rechtslage, zeigt notwendige Massnahmen und gibt konkrete Handlungsempfehlungen fuer den datenschutzkonformen Einsatz.
Was macht Microsoft Clarity mit Nutzerdaten?
Um die DSGVO-Konformitaet zu bewerten, muessen wir verstehen, welche Daten Clarity erhebt und wie sie verarbeitet werden:
- Session Recordings: Clarity zeichnet die gesamte Nutzer-Session auf — Mausbewegungen, Klicks, Scroll-Verhalten, Tastatureingaben und Seitenwechsel.
- Heatmaps: Aggregierte Darstellung der Klick- und Scroll-Muster aller Besucher.
- Cookies: Clarity setzt Erstanbieter-Cookies (First-Party Cookies), um wiederkehrende Besucher zu erkennen. Die Cookies
_clckund_clskhaben eine Laufzeit von bis zu 12 Monaten. - IP-Adressen: Microsoft gibt an, IP-Adressen zu anonymisieren und nicht zu speichern.
- Geraeteinformationen: Browser-Typ, Betriebssystem, Bildschirmaufloesung, Sprache.
Automatisches Masking
Clarity verfuegt ueber ein automatisches Masking-System, das sensible Inhalte in Session Recordings verbirgt. Standardmaessig werden Texteingaben in Formularfeldern maskiert. Sie koennen zwischen drei Masking-Stufen waehlen:
- Balanced (Standard): Maskiert Formulareingaben und sensible Elemente.
- Strict: Maskiert allen Text auf der Seite — nur die Seitenstruktur bleibt sichtbar.
- Relaxed: Minimales Masking — Vorsicht bei personenbezogenen Daten.
DSGVO-Anforderungen und Microsoft Clarity
Rechtsgrundlage fuer die Datenverarbeitung
Die DSGVO verlangt eine Rechtsgrundlage fuer jede Verarbeitung personenbezogener Daten. Fuer Microsoft Clarity kommen zwei Rechtsgrundlagen in Frage:
- Einwilligung (Art. 6 Abs. 1 lit. a DSGVO): Der Nutzer stimmt aktiv der Datenerhebung zu. Dies ist die sicherste Rechtsgrundlage und wird von den meisten Datenschutzexperten empfohlen.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Der Website-Betreiber argumentiert, dass die Analyse zur Verbesserung der Website notwendig ist. Diese Rechtsgrundlage ist bei Session Recordings rechtlich umstritten, da die Tiefe der Datenerhebung schwer mit dem "berechtigten Interesse" zu vereinbaren ist.
Cookie-Consent erforderlich?
Ja. Da Clarity Cookies setzt, die nicht fuer den technischen Betrieb der Website erforderlich sind, benoetigen Sie eine aktive Einwilligung gemaess der ePrivacy-Richtlinie (umgesetzt durch das TDDDG in Deutschland). Das bedeutet:
- Clarity darf erst laden, nachdem der Nutzer im Cookie-Banner aktiv zugestimmt hat
- Vorausgewaehlte Checkboxen sind nicht zulaessig
- Der Nutzer muss die Einwilligung jederzeit widerrufen koennen
- Das Cookie-Banner muss Clarity als Dienst namentlich erwaehnen
Auftragsverarbeitungsvertrag (AVV)
Als Verantwortlicher muessen Sie mit Microsoft einen Auftragsverarbeitungsvertrag (AVV) gemaess Art. 28 DSGVO abschliessen. Microsoft stellt einen solchen Vertrag ueber die Microsoft Online Services Data Protection Addendum (DPA) bereit.
Dieser Vertrag wird automatisch durch die Nutzung der Microsoft-Dienste akzeptiert, sollte aber fuer Ihre Dokumentation heruntergeladen und archiviert werden.
Datentransfer in die USA
Microsoft ist ein US-Unternehmen und verarbeitet Daten moeglicherweise in den USA. Seit dem EU-US Data Privacy Framework (DPF) von 2023 gibt es wieder eine Rechtsgrundlage fuer Datentransfers in die USA — vorausgesetzt, der Empfaenger ist unter dem DPF zertifiziert. Microsoft ist DPF-zertifiziert.
Allerdings bleibt ein Restrisiko: Das DPF koennte, wie zuvor der Privacy Shield, vom EuGH fuer ungueltig erklaert werden. Deshalb sollten Sie zusaetzlich die Standardvertragsklauseln (SCCs) als Absicherung dokumentieren.
Checkliste: Clarity DSGVO-konform einsetzen
Folgen Sie dieser Checkliste, um Microsoft Clarity datenschutzkonform zu nutzen:
| Nr. | Massnahme | Status |
|---|---|---|
| 1 | Cookie-Consent-Banner implementieren (Clarity erst nach Zustimmung laden) | |
| 2 | Clarity in der Datenschutzerklaerung erwaehnen | |
| 3 | Auftragsverarbeitungsvertrag (Microsoft DPA) dokumentieren | |
| 4 | Masking auf "Strict" setzen (oder mindestens "Balanced") | |
| 5 | Verarbeitungstaetigkeiten-Verzeichnis aktualisieren | |
| 6 | Datenschutz-Folgenabschaetzung pruefen (bei sensiblen Websites) | |
| 7 | Opt-Out-Moeglichkeit fuer Nutzer anbieten | |
| 8 | Standardvertragsklauseln als Backup dokumentieren |
Clarity in der Datenschutzerklaerung
Ihre Datenschutzerklaerung muss folgende Informationen zu Clarity enthalten:
- Name des Dienstes: Microsoft Clarity
- Anbieter: Microsoft Corporation, One Microsoft Way, Redmond, WA 98052, USA
- Zweck: Analyse des Nutzerverhaltens zur Verbesserung der Website (Heatmaps, Session Recordings)
- Rechtsgrundlage: Einwilligung gemaess Art. 6 Abs. 1 lit. a DSGVO
- Cookies: _clck (12 Monate), _clsk (1 Tag)
- Datentransfer: USA (DPF-zertifiziert, SCCs als Backup)
- Widerruf: Einwilligung jederzeit ueber Cookie-Einstellungen widerrufbar
Clarity vs. Google Analytics: Datenschutz-Vergleich
| Kriterium | Microsoft Clarity | Google Analytics 4 |
|---|---|---|
| IP-Anonymisierung | Ja (standardmaessig) | Ja (standardmaessig in GA4) |
| Cookies | First-Party | First-Party |
| Cookie-Consent noetig | Ja | Ja |
| AVV verfuegbar | Ja (Microsoft DPA) | Ja (Google DPA) |
| DPF-zertifiziert | Ja | Ja |
| Daten fuer Werbung genutzt | Nein | Moeglich (Standard-Einstellung) |
| Masking-Optionen | Ja (3 Stufen) | Nein |
| Entscheidungen der Aufsichtsbehoerden | Keine negativen | Mehrere negative (AT, FR, IT) |
Microsoft Clarity schneidet im Datenschutz-Vergleich besser ab als Google Analytics. Die Daten werden nicht fuer Werbezwecke genutzt, das Masking ist eingebaut, und es gibt bisher keine negativen Entscheidungen europaeischer Datenschutzbehoerden.
Haeufige Fragen
Brauche ich fuer Clarity ein Cookie-Banner?
Ja. Clarity setzt Cookies, die nicht technisch notwendig sind. Gemaess TDDDG (Deutschland) und ePrivacy-Richtlinie (EU) ist eine aktive Einwilligung erforderlich.
Kann ich Clarity ohne Cookies nutzen?
Nein, Clarity setzt zwingend Cookies fuer die Session-Identifikation. Es gibt keinen Cookie-freien Modus wie bei manchen Analytics-Alternativen (Matomo, Plausible).
Ist Clarity sicherer als Google Analytics?
Aus Datenschutz-Perspektive ja, da Microsoft die Clarity-Daten nicht fuer Werbung nutzt und das Masking-System sensibler mit personenbezogenen Daten umgeht. Allerdings bleibt das Grundproblem des US-Datentransfers bei beiden Tools bestehen.
Was passiert, wenn das EU-US DPF faellt?
Sollte der EuGH das Data Privacy Framework fuer ungueltig erklaeren, muessten Sie auf die Standardvertragsklauseln (SCCs) zurueckgreifen oder Clarity deaktivieren. Deshalb ist es wichtig, die SCCs als Backup-Rechtsgrundlage zu dokumentieren.
Fazit
Microsoft Clarity kann DSGVO-konform eingesetzt werden — vorausgesetzt, Sie implementieren die richtigen Massnahmen. Ein Cookie-Consent-Banner mit aktiver Einwilligung, eine vollstaendige Datenschutzerklaerung, das Microsoft DPA als AVV und eine restriktive Masking-Einstellung sind die Mindestanforderungen. Im Vergleich zu Google Analytics ist Clarity datenschutzfreundlicher, da die Daten nicht fuer Werbezwecke genutzt werden. Dennoch handelt es sich um ein US-Tool mit US-Datentransfer — wer dieses Risiko vermeiden will, sollte europaeische Alternativen wie Matomo oder Plausible in Betracht ziehen.
Automatische Clarity-Berichte gewuenscht?
ClarityInsights analysiert Ihre Daten und sendet woechentliche AI-Berichte mit UX-Empfehlungen.
Zur Warteliste