Clicky und Datenschutz – Was in die Datenschutzerklärung gehört

Clicky ist ein Web-Analytics-Tool für Echtzeit-Nutzeranalysen. Betreiber von Websites, die Clicky einsetzen, müssen ihre Datenschutzerklärung entsprechend anpassen. Diese Anleitung zeigt, welche Inhalte erforderlich sind und wie Sie Clicky Datenschutz korrekt dokumentieren.

A. Zweck und Funktionsweise von Clicky

Clicky bietet Real-Time-Analytics für Website-Betreiber. Das Tool erfasst Besucherströme, Klickpfade und Engagement-Metriken, um Website-Performance zu optimieren. Weitere Funktionen umfassen Heatmaps (visuelle Darstellung von Klickmustern), Session-Recording (Aufzeichnung von Nutzerinteraktionen) und Uptime-Monitoring (Verfügbarkeitsprüfung).

Die Implementierung erfolgt über ein JavaScript-Snippet, das in den <head>- oder <body>-Bereich der Website eingebunden wird. Das Snippet lädt sich automatisch beim Seitenbesuch und beginnt sofort mit der Datenerfassung.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Clicky

Webseitenbetreiber müssen folgende Informationen transparent in der Datenschutzerklärung dokumentieren:

• Anbieter und Kontakt: Name, Rechtsform und Anschrift des Anbieters
• Verarbeitete Daten: Konkrete Angabe, welche Kategorien erfasst werden
• Zweck der Verarbeitung: Nachvollziehbare Erläuterung der Nutzungszwecke
• Rechtsgrundlage: Nennung der anwendbaren DSGVO-Artikel
• Speicherdauer: Aufbewahrungsfristen für Daten
• Opt-Out-Möglichkeit: Link oder Anleitung zum Ausschluss aus dem Tracking
• Drittlandtransfer: Falls Daten in die USA übertragen werden

C. Anbieter von Clicky

Clicky wird betrieben von Roxr Software Ltd., einem US-amerikanischen Unternehmen. Die genaue Anschrift und die vollständigen Kontaktdaten finden sich in der Privacy Policy des Anbieters.

Wichtig: Da Roxr Software Ltd. seinen Sitz in den USA hat, erfolgt eine Datenübertragung in ein Drittland. Der Status unter dem Data Privacy Framework (DPF) – dem Nachfolger des Privacy Shield – sollte unter dataprivacyframework.gov überprüft werden. Falls Roxr Software Ltd. nicht zertifiziert ist, müssen Standardvertragsklauseln (SCC) oder andere Transfermechanismen gemäß Art. 44–49 DSGVO herangezogen werden.

Weitere Informationen: Konsultieren Sie die Privacy Policy von Clicky und das Auftragsverarbeitungsabkommen (AVV), das Roxr Software zur Verfügung stellt.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Clicky erhobene Daten

Clicky erfasst folgende Datenkategorien:

• Webserver-Protokolldaten: IP-Adresse (gekürzt oder anonym), User-Agent
• Eindeutige Identifikatoren: Persistente und Session-basierte Cookies, Clicky User-ID
• Klickpfade und Navigationsdaten: Besuchte URLs, Seitenreihenfolge, Verweildauer
• Endgeräte- und Browserinformationen: Gerätetyp, Betriebssystem, Browser-Version
• Grobe Standortdaten: Geolokalisierung auf Stadt-Ebene
• Interaktionsdaten: Heatmap-Daten (wo Nutzer klicken, wo sie scrollen)
• Session-Recording-Daten: Falls aktiviert, Aufzeichnung von Nutzersitzungen inkl. Tastatureingaben und Mauszeiger
• Conversion-Ereignisse: Benutzerdefinierte Ereignisse, die Nutzerverhalten nachverfolgbar machen
• Nutzerprofile: User-ID-basierte Profile für Wiedererkennung

F. Nutzungszwecke

Die Verarbeitung durch Clicky verfolgt folgende Zwecke:

• Allgemeine Produktverbesserung: Statistische Auswertung von Website-Performance und Nutzerverhalten
• Nutzerprofile-Erstellung: Aggregation und Anonymisierung von Daten zu Nutzergruppen
• Nutzer-individuelle Produktverbesserung: Optimierung der Website basierend auf individualisierten Nutzerinformationen
• Marketingorientierte Nutzung (je nach Konfiguration): Erstellung von Zielgruppenprofilen; teilweise Nutzung für personalisierte Inhaltsanpassung

G. Rechtsgrundlagen für Clicky

1. Kategorisierung

Clicky fällt überwiegend in die Kategorie Tracking zu Statistikzwecken, weist aber auch Marketing-ähnliche Aspekte auf (Heatmaps, UID-basierte Nutzerprofile).

2. Anwendbare Rechtsgrundlagen

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG)

• Die Verarbeitung über Cookies und lokale Speicher ist grundsätzlich eine Einwilligung. Diese muss vor der Platzierung wirksam eingeholt werden (z. B. via Cookie-Banner).
• § 25 Abs. 1 TDDDG ordnet an, dass die Speicherung und der Abruf von Informationen auf Endgeräten nur mit vorheriger Einwilligung zulässig ist.

Drittlandtransfer (Art. 44–49 DSGVO)

• Data Privacy Framework (DPF): Falls Roxr Software Ltd. unter das DPF fällt, ist der Transfer zulässig (Art. 45 Abs. 3 DSGVO, Angemessenheitsbeschluss 2023/1250).
• Standardvertragsklauseln (SCC): Sollte Roxr nicht zertifiziert sein, müssen SCC herangezogen werden (Art. 46 Abs. 2 lit. c DSGVO).
• Ergänzende Maßnahmen: In seltenen Fällen Zusatzsicherungen (Verschlüsselung, Pseudonymisierung) prüfen.

H. Besonderheiten und Hinweise zu Clicky

• Datenstandort USA: Roxr Software Ltd. speichert Daten auf US-Servern. US-Behörden können unter bestimmten Bedingungen Zugriff verlangen (FISA Amendments Act).
• DPF-Status überprüfen: Unter dataprivacyframework.gov prüfen, ob Roxr zertifiziert ist. Ist die Zertifizierung abgelaufen oder nicht vorhanden, gelten SCC.
• Auftragsverarbeitungsabkommen (AVV): Fordern Sie ein wirksames AVV an (Art. 28 DSGVO), das Garantien zu Datenschutzmaßnahmen enthält.
• IP-Anonymisierung: Prüfen Sie, ob Clicky IP-Anonymisierungsoptionen bietet und nutzen Sie diese.
• Heatmap und Session Recording: Diese Funktionen erfassen potenziell sensiblere Daten (z. B. Eingabefelder). Dokumentieren Sie, ob diese aktiviert sind.
• Speicherdauer: Clicky bietet typischerweise Aufbewahrungsoptionen; dokumentieren Sie die gewählte Einstellung.
• Opt-Out und Widerspruchsrecht: Clicky stellt üblicherweise einen Opt-Out-Mechanismus bereit; der Link sollte in der Datenschutzerklärung aufgeführt werden.

I. FAQ

J. Fazit und Praktisches Vorgehen

Clicky ist ein leistungsstarkes Analyse-Tool, das aber sorgfältige datenschutzliche Dokumentation erfordert. Folgende Schritte sichern Compliance:

1. Cookie-Banner: Implementieren Sie einen rechtskonformen Cookie-Consent vor Clicky-Aktivierung.
2. Datenschutzerklärung: Integrieren Sie alle Angaben aus dieser Anleitung (Anbieter, Daten, Zwecke, Rechtsgrundlagen, Opt-Out).
3. AVV-Abschluss: Fordern Sie von Roxr Software Ltd. ein signiertes Auftragsverarbeitungsabkommen an.
4. DPF-Check: Überprüfen Sie regelmäßig, ob Roxr unter dem Data Privacy Framework zertifiziert ist.
5. Konfiguration: Aktivieren Sie nur die Funktionen, die Sie benötigen; dokumentieren Sie, welche an sind (insbes. Session-Recording).
6. Opt-Out-Link: Stellen Sie einen gut erreichbaren Link zum Opt-Out bereit.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com