Welche Voraussetzungen müssen Hotjar Cookies erfüllen?
Hotjar ist ein Tool, das Ihnen mit Hotjar Cookies innovative Lösungen anbietet, wenn Sie als Webseitenbetreiber das Verhalten der Besucher auf Ihrer Webseite untersuchen möchten. Weil Sie hierbei nützliche Anwendungen – z. B. die Versendung von Newslettern oder Userumfragen – in das Analyseverfahren einbinden, müssen Sie die Bestimmungen erfüllen, die der Datenschutz stellt.
Seit dem Mai 2018 ist die EU-Datenschutzgrundverordnung (kurz: DSGVO) in Kraft. Hiermit hat der europäische Gesetzgeber die rechtlichen Voraussetzungen für den rechtssicheren Betrieb einer Homepage weiter verschärft.
DSGVO – was verbirgt sich dahinter?
Die DSGVO ist ein gesetzliches Regelwerk, das auf europäischer Ebene beschlossen wurde und daher für Sie als Webseitenbetreiber maßgeblich ist, wenn Sie innerhalb der Europäischen Union ein Unternehmen betreiben und sich von einem Internetauftritt unterstützen lassen bzw. Kunden aus der EU haben.
Das Ziel der DSGVO besteht darin, privaten Nutzern im Internet einen sicheren Schutz im Hinblick auf ihre persönlichen Daten zu gewährleisten.
Die DSGVO stellt an Sie als Inhaber einer Homepage neue Herausforderungen, die sich auf den Kontakt zu den Besuchern Ihrer Webseite bezieht.
Die Regelungen der DSGVO gelten auch, wenn Sie Hotjar nutzen und für Ihre Zwecke Hotjar Cookies einsetzen. Um Sanktionen in Form von Bußgeldern zu vermeiden, sollten Sie alle Voraussetzungen erfüllen, um Hotjar DSGVO konform zu nutzen. Maßgebend sind die auf europäischer Ebene verabschiedeten Grundsätze, die Sie beachten müssen, wenn Sie z. B. als Online-Shop-Betreiber die personenbezogenen Daten Ihrer Kunden verarbeiten möchten. Sie müssen hierbei nicht nur die Rechtmäßigkeit der Verarbeitung sicherstellen, sondern zusätzlich auch die Einwilligung Ihrer Nutzer zu der Verwendung von Hotjar Cookies einholen.
Die Verabschiedung einer neuen rechtlichen Regelung war schon längst überfällig, weil Datenschützer die alten Bestimmungen für nicht ausreichend hielten. Hier wurde z. B. kritisiert, dass ein Nutzer von Hotjar dem Webseitenbetreiber seine komplette IP-Adresse übermittelt, dieser aber bislang nicht darauf hingewiesen wurde, was mit seinen persönlichen Daten passiert.
Datenschutz:
Hotjar DSGVO konform nutzen
Vor der Änderung der Datenschutzbestimmungen waren Hotjar Cookies kaum ein Thema. Datenschützer bemängelten aber schon vor der Novellierung des Datenschutzrechts, dass der Schutz eines privaten Nutzers nicht ausreichend berücksichtigt wurde. Die Verhängung von Bußgeldern stand schon damals im Raum, wenn Sie als Webseitenbetreiber die datenschutzrechtlichen Vorgaben nicht beachtet haben. Aber die rechtliche Grundlage für einen umfassenden Datenschutz konnte allein durch das Bundesdatenschutzgesetz nicht gegeben werden. So war es Ihnen vor der Novellierung möglich, Hotjar ohne DSGVO und deren Bestimmungen zu nutzen.
Seit der Änderung des Datenschutzrechts müssen Sie das Folgende beachten, um Hotjar DSGVO gerecht zu verwenden:
Sie nutzen Cookies, weil diese Sie bei Ihrer Arbeit unterstützen. Die nützlichen Textdateien sorgen z. B. dafür, dass Sie Ihren Besuchern Ihre Webseite präsentieren und sie sich dort in Ruhe umschauen können. Aus diesem Grund stehen Hotjar und DSGVO in einer untrennbaren Einheit zueinander. Denn hier müssen Sie die Bestimmungen beachten, die der Gesetzgeber an eine rechtskonforme Nutzung persönlicher Daten stellt. Dies bezieht sich auf die Erhebung, Speicherung und Verarbeitung von allen personenbezogenen Daten, die der Nutzer Ihnen zur Verfügung stellt.
Mit der Verwendung von Hotjar werden die Textdateien im Browser des Besuchers gespeichert und beim nächsten Besuch auf Ihrer Webseite wieder abgerufen. Mit diesem Vorgehen greifen die Hotjar Cookies in die persönliche Sphäre des Nutzers ein. Deshalb muss Hotjar DSGVO konform genutzt werden.
Unterstützung haben die Befürworter eines strengeren Datenschutzes auch durch ein Urteil bekommen, dass der Europäische Gerichtshof (EuGH) im Jahr 2019 (Az.: C-673/17) veröffentlichte. Dieses Urteil betraf einen anderen Anbieter von Analyse-Tools. Es gilt aber gleichzeitig für Hotjar Cookies. Die Richter bekräftigten Ihre Einstellung zu der Einwilligung, die Ihnen ein Nutzer in jedem Fall geben muss, wenn Sie seine personenbezogenen Daten erheben, speichern oder verarbeiten. Auch an die Gestaltung der Einwilligungsabfrage stellten die Richter am EuGH eine bestimmte Bedingung. Hier sollte nämlich der Nutzer aktiv einbezogen werden, indem er ausdrücklich der Nutzung seiner personenbezogenen Daten zustimmt. Um Hotjar DSGVO konform zu nutzen, ist es daher erforderlich, dass Sie das Opt-in-Verfahren einsetzen. Hiernach muss ein Besucher Ihrer Homepage auf freiwilliger Basis erklären, dass er der Nutzung der personenbezogenen Daten zustimmt. Erst nach der Einwilligung haben Sie die rechtliche Legitimation dazu, Hotjar Cookies zu verwenden.
Bleiben Sie auf dem Laufenden!
Newsletter abonnierenHotjar Cookie Consent:
Opt-in-Verfahren
Das Opt-in-Verfahren bedeutet, dass ein User seine Zustimmung (Hotjar Cookie Consent) aktiv gibt. Das Gegenteil ist das Opt-out-Verfahren, wo der User seine Zustimmung aktiv widerrufen muss. Um Hotjar DSGVO konform zu verwenden, müssen Sie zwingend das Opt-in-Verfahren wählen. So darf z.B. die Checkbox, um alle Hotjar Cookies zu aktivieren, nicht mit einem Kreuz vorausgewählt sein: Der User muss das Häkchen im Cookie-Banner aktiv setzen.
In anderen Bereichen des Marketings, z.B. bei der Newsletter-Anmeldung, gibt es noch das Double-opt-in-Verfahren: Hier müssen Sie zusätzlich die E-Mail-Adresse bestätigen bzw. verifizieren. Nur so kann sichergestellt werden, dass Sie tatsächlich Ihre eigene Adresse eingegeben haben. Bei der Bestätigung von Browser-Cookies ist ein einfaches Opt-in-Verfahren ausreichend.
Hotjar und DSGVO:
Welche weiteren Voraussetzungen muss der Inhaber einer Webseite erfüllen?
Um die Voraussetzungen, die Hotjar und DSGVO an Sie als Betreiber eines Online-Shops oder im E-Commerce stellen, zu erfüllen, müssen Sie bei Ihrem Online-Auftritt bestimmte Maßnahmen durchführen.
Schaffen Sie für die Besucher Ihrer Webseite so viel Transparenz wie möglich. Bieten Sie Ihren Kunden eine umfassende Aufklärung darüber, welche Daten Sie erheben und wie Sie Hotjar Cookies einsetzen, um die personenbezogenen Daten für Ihre Zwecke einzusetzen. Um die datenschutzrechtliche Übereinstimmung von Hotjar und DSGVO zu gewährleisten, sind Sie gemäß Art. 13 DSGVO hierzu verpflichtet.
Ihr Fokus sollte sich außerdem auf eine rechtskonforme Datenschutzerklärung erstrecken. Betreiben Sie eine Webseite, um Produkte zu verkaufen oder auch Dienstleistungen anzubieten, sind Sie rechtlich dazu verpflichtet, Ihre Kunden über den Datenschutz aufzuklären. Die Besucher Ihrer Webseite sollten Sie ausführlich darüber informieren, welche personenbezogenen Daten Sie erheben und in welchem Umfang Sie diese nutzen möchten.
Die Speicherdauer der personenbezogenen Daten ist ebenfalls ein wichtiger Punkt, über den die Nutzer Ihrer Webseite Bescheid wissen sollten. Legen Sie alle Merkmale offen, die für Sie bei der Speicherung personenbezogener Daten wichtig sind, und vergessen Sie nicht, Ihre User in der Datenschutzerklärung über ihr Widerrufsrecht aufzuklären.
Um den Forderungen, die der Datenschutz an Sie als kommerziellen Webseitenbetreiber stellt, gerecht zu werden, sollten Sie ein Tracking-Tool einsetzen, das es Ihnen ermöglicht, die IP-Adressen Ihrer User zu kürzen. Damit erfüllen Sie eine wichtige Voraussetzung, die Hotjar und DSGVO im § 25 Abs. 1 des Regelwerks vorsehen. Zusätzlich machen Sie die Besucher Ihrer Homepage darauf aufmerksam, dass Sie bei der Erhebung, Speicherung und Verarbeitung von Daten regelmäßig eine Kürzung der verwendeten IP-Adressen veranlassen.
Einen weiteren Schritt, um Hotjar DSGVO gerecht zu nutzen, machen Sie, wenn Sie transparent für jeden User darstellen, wie lange Sie die personenbezogenen Daten für Ihre Nutzung aufbewahren wollen. Bei einer rechtskonformen Anwendung von Hotjar Cookies sollte ein Zeitraum von maximal 14 Monaten nicht überschritten werden.
Denken Sie außerdem daran, Ihre Nutzer ausdrücklich um ihre Zustimmung zu der Verwendung von Hotjar Cookies zu bitten. Die DSGVO sieht für diese Maßnahmen eine bestimmte Abfolge vor.
Sie müssen die Bitte zur Zustimmung des Users zunächst eindeutig definieren. Der Besucher muss wissen, wozu er seine Einwilligung geben soll und mit welchen Konsequenzen dies für ihn verbunden ist.
Sie müssen die Besucher außerdem darauf hinweisen, dass Sie Hotjar Cookies einsetzen, um die personenbezogenen Daten zu erheben. Geben Sie hierbei detailliert an, welche personenbezogenen Daten Sie nutzen möchten. Bei Hotjar analysieren Sie die Usability Ihrer Seite bzw. wie sich Besucher verhalten, d.h. zur Optimierung Ihrer Seite könnten Sie z.B. Alter, Geschlecht, Region etc. abfragen und daraus Schlussfolgerungen für Ihre Zielgruppe ziehen.
Damit Hotjar DSGVO konform ist, müssen Sie Ihre Nutzer aktiv in den Einwilligungsprozess einbinden. Dabei müssen Sie dem Besucher Ihrer Webseite die Möglichkeit geben, seine Einwilligung aktiv zu geben oder der Verwendung von Hotjar Cookies zu widersprechen. In jedem Fall sollten sie auf die Verwendung einer Checkbox verzichten, in dem die Antwort des Kunden schon definiert ist und nur noch durch einen Klick bestätigt werden muss. Verfahren Sie so, sehen die datenschutzrechtlichen Bestimmungen einen Verstoß vor.
Ist Ihre Webseite konform? Finden Sie es heraus mit unserer Checkliste
Checkliste herunterladenConsentmanager macht Hotjar DSGVO konform
Damit Sie Hotjar DSGVO gerecht verwenden können, lassen Sie sich von Consentmanager unterstützen. Unser Consent-Management-Provider ist Ihnen dabei behilflich, die Hotjar Cookies entsprechend den datenschutzrechtlichen Bestimmungen zu verwenden. Nutzen Sie Ihre Webseite für kommerzielle Zwecke, können Sie von den Lösungen des Consentmanagers profitieren. Als Online-Händler werden sie z. B. dabei unterstützt, sich die erforderliche Zustimmung Ihrer Kunden zu der Verarbeitung der personenbezogenen Daten auf rechtskonformem Weg einzuholen.
Consentmanager trägt auch dazu bei, dass Sie als werbender Unternehmer die datenschutzrechtlichen Dokumentationspflichten erfüllen, die Ihnen laut den Bestimmungen der DSGVO auferlegt werden. So schreibt Ihnen Art. 30 DSGVO z. B. vor, dass Sie ein Verarbeitungsverzeichnis erstellen müssen, in welchem Sie die einzelnen Verarbeitungsprozesse der personenbezogenen Daten Ihrer Nutzer darstellen. In unserem Cookie-Check erfahren Sie, welche Cookies derzeit aktiviert sind.
Auch bei Datenpannen sehen die Bestimmungen der Datenschutzgrundverordnung eine ausführliche Dokumentation vor. Gemäß Art. 33 DSGVO sind Sie in diesem Fall zu einer Meldung gegenüber der für Ihr Unternehmen zuständigen Datenschutzbehörde verpflichtet. Haben Sie gegen einen der Grundsätze der DSGVO – z. B. gegen die Wahrung des Schutzes personenbezogener Daten – verstoßen, müssen Sie dies entsprechend dokumentieren. Weiter sind Sie gegenüber Ihrer Datenschutzbehörde dazu verpflichtet, die Auswirkungen und die getroffenen oder beabsichtigten Abhilfemaßnahmen detailliert aufzuführen.
Entscheiden Sie sich, die Datenschutzbehörde bei einem Regelverstoß nicht zu informieren, haben Sie nicht automatisch eine Pflichtverletzung begangen. In diesem Fall müssen Sie aber Auskunft über die Gründe geben können, die Sie zu der Nichtmeldung veranlasst haben.
Consentmanager bietet Ihnen auch tragfähige Lösungen bei den weiteren Dokumentationspflichten, die Sie erfüllen müssen. Hierzu gehört etwa die Dokumentation der Datenschutz-Folgeabschätzungen.
Sie dürfen die personenbezogenen Daten, die Sie erhoben, gespeichert und verarbeitet haben, nur für einen bestimmten Zeitraum vorrätig halten. Ist dieser Zeitraum abgelaufen, müssen Sie die Daten Ihrer Nutzer wieder löschen. Zu diesem Zweck müssen Sie ein Löschkonzept entwickeln. Auch hier bietet Ihnen unser Consent-Management-Provider Lösungen an, damit Sie die datenschutzrechtlichen Bestimmungen der DSGVO einhalten können.
Möchten Sie sich nicht selbst mit dem Regelwerk zur Datensicherheit auseinandersetzen, brauchen Sie einen CMP wie Consentmanager. Dessen Lösungen sind datenschutzrechtlich abgesichert und entsprechen allen Voraussetzungen, um Hotjar DSGVO konform zu nutzen.
Welche Anforderungen werden an die Datenschutzerklärung gestellt?
Die oberste Verpflichtung, um Hotjar DSGVO konform zu gestalten, lautet, dass Sie eine Datenschutzerklärung auf Ihrer Webseite implementieren. Darin weisen Sie Ihre Nutzer auf die Erhebung, Speicherung und Verarbeitung der Daten hin. Diese Datenschutzerklärung oder zumindest ein Hinweis auf dieselbe – muss für jeden User sofort sichtbar sein.
In der Datenschutzerklärung geben Sie auch die Trackingdienste an, die Sie nutzen, um die personenbezogenen Daten für Ihre Zwecke nutzen zu können. Außerdem erklären Sie Ihren Lesern, wie sie die Hotjar Cookies einsetzen und welche Inhalte von Drittanbietern Sie auf Ihrer Homepage veröffentlichen.
Welche Sanktionen drohen Ihnen bei einem widerrechtlichen Einsatz von Hotjar Cookies?
Verwenden Sie Hotjar Cookies, ohne die erforderliche Einwilligung des Nutzers mittels des Opt-in-Verfahrens einzuholen, haben Sie gegen die rechtskonforme Nutzung von Hotjar gemäß DSGVO verstoßen. Für diesen Fall sehen die Bestimmungen der Europäischen Datenschutzgrundverordnung empfindliche Strafen vor. Bußgelder können bis zu einer Höhe von 20 Millionen Euro festgesetzt werden. Erzielt Ihr Unternehmen einen weltweiten Jahresumsatz, kann die verhängte Strafe in einer Geldzahlung bestehen, die nicht unter 4 % Ihres weltweiten Jahresumsatzes liegt.
Ihre Zusammenarbeit mit Consentmanager ist der richtige Schritt, um dieses Szenario für Ihren individuellen Fall zu vermeiden.