Lerne / Leitfäden / Guide zum Website-Tracking
Website-Tracking mit Datenschutz-Vorrang
Website-Tracking und Datenerfassung helfen dir bei der Optimierung deiner Website und Produkte. Aber wie gehst du dabei korrekt und unter Berücksichtigung der Privatsphäre deiner Nutzer:innen vor?
In diesem Guide erfährst du, warum du dich um die Privatsphäre der Nutzer:innen kümmern solltest. Du lernst Funktionen und Einstellungen kennen, auf die du bei der Auswahl eines Website-Tracking-Tools achten solltest. Wir werden unser eigenes Tool, Hotjar, als Beispiel verwenden, um dir zu zeigen, wie datenschutzkonformes Tracking aussieht.
Der Datenschutz-Ansatz von Hotjar
Wir gehen gerne mit gutem Beispiel voran: Seit der Einführung von Hotjar im Jahr 2014 haben wir unsere Tools unter Beachtung des Datenschutzes entwickelt. Deshalb:
verwenden wir First-Party-Cookies, die nur Daten auf der Website der Kund:innen sammeln
beachten wir die „Do Not Track“-Funktion in Browsern
erfassen wir keine IP-Adressen von Nutzer:innen
erlauben wir den Nutzer:innen, ihre Daten einzusehen und auf Wunsch zu löschen
verkaufen wir niemals Daten an Dritte
Wenn du mehr erfahren möchtest, findest du hier unseren Überblick über den Datenschutz und unsere vollständige Datenschutzrichtlinie.
Warum du dich um die Privatsphäre der Nutzer:innen kümmern solltest
Datenschutz ist für deine Nutzer:innen und Kund:innen wichtig, also ist er auch für dich und dein Unternehmen wichtig.
Eine datenschutzkonforme und transparente Datenerfassung hilft dir:
Vertrauen bei deinen Kund:innen aufzubauen und zu erhalten
die wachsenden Erwartungen an den Datenschutz im Internet zu erfüllen
die weltweiten Vorschriften zum Webtracking einzuhalten (z. B. GDPR und CCPA)
7 Wege, um die Privatsphäre der Nutzer:innen beim Website-Tracking zu schützen
Anstatt nur auf die Datenschutzgesetze und Informationspflichten zu reagieren, ist es unserer Meinung nach am besten, den Datenschutz in den Vordergrund zu stellen.
Hier ist eine Orientierungshilfe, die dich dabei unterstützt, das richtige Gleichgewicht zwischen der Erfassung geschäftsrelevanter Daten und dem Datenschutz deiner Nutzer:innen zu finden.
1. Nur notwendige Nutzerdaten sammeln und tracken
Generell solltest du dich fragen, ob du etwas wirklich tracken musst, vor allem, wenn es sich um die Verarbeitung personenbezogener Daten handeln könnte. Musst du z. B. wirklich die IP-Adressen der Nutzer:innen speichern, oder reicht es, wenn du weißt, in welchem Land sie surfen?
Bei Google Analytics beispielsweise ist die IP-Anonymisierung für Universal Analytics in der neuen Version GA4 standardmäßig aktiviert. Auch Hotjar unterdrückt standardmäßig die IP-Adressen der Nutzer:innen und unterdrückt automatisch die Eingabedaten der Nutzer:innen aus Aufzeichnungen, Heatmaps und eingehendem Feedback, um sicherzustellen, dass unser Tracking dazu dient, die User Experience zu optimieren, und nicht einfach, um zu sehen, was die Nutzer:innen eintippen.
2. Tools nutzen, mit denen die Datenschutzbestimmungen eingehalten werden können
Tools mit Funktionen zur Einhaltung von Datenschutzbestimmungen geben Nutzer:innen und Kund:innen die Gewissheit, dass ihre Daten nach ethischen Grundsätzen verwendet werden. Außerdem kann es sein, dass deine Datenschutzbeauftragten oder deine Rechtsabteilung verlangen, dass die Tools Compliance-Funktionen enthalten.
Um herauszufinden, ob ein Analyse-Tool die Einhaltung von Datenschutzbestimmungen ermöglicht, suche auf der Homepage oder in den Datenschutzbestimmungen nach den Begriffen „DSGVO“ bzw. „GDPR“, „CCPA“ oder „LGPD“. Wenn du wissen möchtest, wofür diese Akronyme stehen, findest du unten eine kurze Zusammenfassung.
Ein kurzer Blick auf die Vorschriften zum Website-Tracking
1. DSGVO bzw. UK GDPR
Was das ist: Die Datenschutz-Grundverordnung (DSGVO, engl. GDPR) regelt, wie Unternehmen mit den personenbezogenen Daten aller Nutzer:innen der Europäischen Union umgehen, unabhängig davon, wo ein Unternehmen seinen Sitz hat. „Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierbare Person beziehen, einschließlich Name, E-Mail-Adresse und IP-Adresse. Die UK GDPR (auch Data Protection, Privacy and Electronic Communications Regulations 2019) gilt für Nutzer:innen im Vereinigten Königreich.
Was das für dich bedeutet: Die DSGVO bzw. UK GDPR gilt, wenn du Daten mit Personenbezug von Webseitenbesucher:innen oder Produkt-Nutzer:innen aus einem EU-Land oder dem Vereinigten Königreich erhebst, entweder direkt oder über ein Website-Tracking-Tool.
Beispiel: Wir können dir keine Rechtsberatung geben, aber wenn du dich dafür interessierst, kannst du hier die Schritte lesen, die Hotjar unternommen hat, um DSGVO-konform zu sein.
2. CCPA
Was das ist: Der California Consumer Privacy Act (CCPA) regelt, wie personenbezogene Daten der Einwohner:innen Kaliforniens, USA, erhoben, gespeichert und verwendet werden. „Persönliche Daten“ sind alle Daten, die mit einer Person in Verbindung gebracht werden können, einschließlich IP-Adressen, wenn sie zur Identifizierung eines Haushalts verwendet werden können.
Was das für dich bedeutet: Der CCPA gilt, wenn du personenbezogene Daten von Webseitenbesucher:innen oder Produkt-Nutzer:innen aus Kalifornien erhebst.
Beispiel: Hier sind die Schritte, die Hotjar unternommen hat, um dem CCPA zu entsprechen.
3. LGPD
Was das ist: Das Lei Geral de Proteção de Dados (LGPD) regelt, wie Unternehmen die personenbezogenen Daten der Einwohner:innen Brasiliens verarbeiten, unabhängig davon, wo das Unternehmen seinen Sitz hat. „Personenbezogene Daten“ sind alle Daten, die von einer Person erhoben werden, auch wenn sie nicht zur direkten Identifizierung dieser Person verwendet werden können.
Was das für dich bedeutet: Das LGPD gilt, wenn du personenbezogene Daten von Webseitenbesucher:innen oder Produkt-Nutzer:innen aus Brasilien erhebst.
Beispiel: Hier sind die Schritte, die Hotjar unternommen hat, um das LGPD einzuhalten.
3. Optionale Datenschutzfunktionen einschalten
Einige Tracking-Tools verfügen über Opt-in-Datenschutzfunktionen und -einstellungen, mit denen du sowohl die Datenschutzgesetze einhalten als auch den Nutzer:innen die Möglichkeit geben kannst, zusätzliches Tracking abzulehnen.
Wir ermöglichen es Hotjar-Kontoinhaber:innen beispielsweise, eine zusätzliche Datenschutzfunktion zu aktivieren und die ausdrückliche Einwilligung der Feedback- oder Umfrage-Teilnehmenden einzuholen, bevor ihre Kommentare mit anderen Daten, die Hotjar speichert (z. B. Sitzungsaufzeichnungen ihrer Surfaktivitäten), verknüpft werden.
4. Tools wählen, die „Do Not Track“-Browseranfragen beachten
„Do Not Track“ (DNT) ist eine Browser-Einstellung, die als universelle Opt-out-Meldung fungiert. Abgesehen davon, dass die DNT-Einstellung nach dem CCPA gesetzlich vorgeschrieben ist, hilft sie dir, den Wunsch deiner Nutzer:innen zu respektieren, nicht online verfolgt zu werden. Nicht alle Tracking-Tools befolgen DNT-Anfragen, aber Hotjar respektiert DNT und trackt die betroffenen Personen nicht, wenn diese Einstellung in einem Browser aktiviert ist.
5. Das Einsehen und Löschen von Nutzerdaten erlauben
DSGVO, UK GDPR, CCPA und LGPD verlangen, dass du Nutzer:innen das Recht gibst, alle persönlichen Daten, die du über sie gespeichert hast, einzusehen und zu löschen.
Um dies zu vereinfachen, verfügt Hotjar über eine Suchfunktion, mit der alle Hotjar-Kontoinhaber:innen bei Bedarf einzelne Sitzungsaufzeichnungen oder Umfrageantworten mit nur wenigen Klicks finden und löschen können.
6. Klare Datenschutzhinweise erstellen
Datenschutzrichtlinien können schwer zu verstehen sein, wenn sie lang sind (im Durchschnitt dauert es knapp 18 Minuten, bis man sie durchgelesen hat) oder verwirrende juristische Formulierungen enthalten.
Die DSGVO schreibt vor, dass Datenschutzdokumente in einfacher Sprache verfasst werden müssen – und das ist gegenüber deinen Nutzer:innen auch einfach zuvorkommend. Zusätzlich zu unseren Datenschutzrichtlinien haben wir eine einfache Seite zum Datenschutz und eine Seite mit Datenschutz-FAQs erstellt, die allen, die mehr Informationen möchten, die Datenschutzfunktionen von Hotjar erklären.
7. Invasive Tracking-Technologien vermeiden
Nicht alle Webanalyse- und Tracking-Technologien sind gleichermaßen transparent. Fingerprinting identifiziert Internetnutzer:innen beispielsweise anhand ihrer individuellen Computereinstellungen (z. B. Betriebssystem ihrer Endgeräte, Browserversion und Add-ons) und verfolgt sie über mehrere Websites hinweg, was es schwierig oder unmöglich macht, das Tracking und die Datenübermittlung zu verhindern. Durch den Einsatz von Cookies von Drittanbietern können Nutzer:innen über viele Websites hinweg verfolgt werden (bekannt als Cross-Site-Tracking).
First-Party-Cookies und Sitzungscookies sind jedoch nur auf der Website aktiv, auf der sie installiert sind, was sie für die Privatsphäre der Internetnutzer:innen viel besser macht. Ein seriöses Tracking-Tool stellt dir eine Liste der installierten Cookies und deren Zweck zur Verfügung, sodass du diese Informationen an deine eigenen Nutzer:innen, z. B. über ein Cookie-Banner, weitergeben kannst. Hier findest du eine Liste aller Cookies, die vom Hotjar-Tracking-Skript verwendet werden, und wofür sie benötigt werden.
💭 Nutzer:innen mit Hotjar verstehen
Verwende Hotjar, um das Nutzerverhalten sicher zu verfolgen und um herauszufinden, wie Menschen deine Website oder App wahrnehmen und mit ihr interagieren.