Crazy Egg und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Crazy Egg ein, verarbeitet er nach den Angaben des Anbieters Nutzungs- und Interaktionsdaten seiner Webseitenbesucher – insbesondere Klicks, Mausbewegungen, Scroll-Verhalten und optional Session-Aufzeichnungen – um Heatmaps, Scrollmaps, Aufzeichnungen und A/B-Tests zu erstellen. Dieser Beitrag erklärt, welche Daten Crazy Egg konkret verarbeitet, wie die Verarbeitung rechtlich einzuordnen ist und welche Angaben in die Datenschutzerklärung gehören. Die Darstellung stützt sich auf öffentlich zugängliche Angaben des Anbieters und ersetzt keine Einzelfallprüfung.

A. Zweck und Funktionsweise von Crazy Egg

Crazy Egg ist ein webbasiertes Tool zur Analyse und Optimierung des Nutzungsverhaltens auf Webseiten. Der Anbieter stellt Webseitenbetreibern visuelle Auswertungen wie Heatmaps (Klick-Karten), Scrollmaps, Confetti-Reports, Overlay-Reports und Session-Recordings (Aufzeichnungen einzelner Nutzersitzungen) zur Verfügung. Ergänzend bietet Crazy Egg A/B-Testing sowie einfache Umfragen an.

Die für den Webseitenbetreiber zentrale Integrations-Funktion ist das Crazy-Egg-Tracking-Skript: Ein JavaScript-Snippet wird in die Webseite eingebunden und erfasst die Interaktionen der Besucher. Die erhobenen Daten werden zu Heatmaps, Scroll-Visualisierungen und – sofern aktiviert – zu Session-Recordings aggregiert. Crazy Egg bietet daneben weitere Funktionen wie A/B-Tests und Umfragen, deren Einbindung jeweils über dasselbe Skript bzw. zusätzliche Komponenten erfolgt. Der nachfolgende Beitrag behandelt den Kern-Einsatzzweck von Crazy Egg – also Heatmaps, Scrollmaps und Session-Recordings. Funktionen wie A/B-Tests oder Umfragen verarbeiten im Kern ähnliche Daten, sind aber nicht eigenständig Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung bei Einsatz von Crazy Egg

Die DSGVO schreibt in Bezug auf den Einsatz von Tools wie Crazy Egg neben den allgemeinen Angaben zur Datenschutzerklärung spezifische Pflichtangaben vor. Konkret zu informieren ist über die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO), bei Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich über die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO), die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO) sowie über etwaige Übermittlungen in unsichere Drittländer außerhalb EU/EWR (Art. 13 Abs. 1 lit. f DSGVO). Ergänzend sind die Speicherdauer bzw. die Kriterien zu ihrer Festlegung (Art. 13 Abs. 2 lit. a DSGVO) anzugeben und – soweit die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Die vorgenannten Pflichtangaben werden nachfolgend für Crazy Egg aufgeschlüsselt.

Nicht erforderlich ist es, jedes einzelne Tool – auch Crazy Egg – in der Datenschutzerklärung namentlich und mit eigenem Textbaustein aufzuführen, auch wenn sich genau diese Praxis weithin eingebürgert hat. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Er führt zu langen, immer gleichen Textblöcken und macht die gesamte Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar. Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend beschreibt (Serverbetrieb, Newsletter, Tracking, Verkauf …) und konkret eingesetzte Dienstleister nur in einem Anhang auflistet. Diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Crazy Egg

Anbieter von Crazy Egg ist nach den öffentlich zugänglichen Angaben des Unternehmens die

Crazy Egg, Inc. Sitz: Vereinigte Staaten von Amerika (Kalifornien)

Die vom Anbieter auf seiner Webseite ausgewiesene Anschrift wird vom Webseitenbetreiber anhand der aktuellen Privacy Policy zu verifizieren sein. Die Datenschutzhinweise des Anbieters sind abrufbar unter https://www.crazyegg.com/privacy, die Cookie-Policy unter https://www.crazyegg.com/cookies.

Da der Anbieter in den USA sitzt, handelt es sich um eine Übermittlung in ein Drittland. Ob Crazy Egg, Inc. nach dem EU-US Data Privacy Framework (DPF) zertifiziert ist, ist vom Webseitenbetreiber aktuell zu prüfen (DPF-Liste: https://www.dataprivacyframework.gov/s/participant-search). Liegt eine DPF-Zertifizierung nicht vor, ist die Übermittlung regelmäßig auf Standarddatenschutzklauseln (SCC) nach Art. 46 Abs. 2 lit. c DSGVO zu stützen, die typischerweise Bestandteil des vom Anbieter angebotenen Auftragsverarbeitungsvertrags sind.

D. Datenverarbeitung bei Crazy Egg – Ablauf in Schritten

E. Von Crazy Egg erhobene Daten

Nach den öffentlich zugänglichen Angaben des Anbieters verarbeitet Crazy Egg auf der Webseite des Betreibers insbesondere: eine zufällig zugewiesene Besucher-UUID, die URL der aufgerufenen Seiten, Referrer, angeklickte Elemente (mit Koordinaten), Mausbewegungen, Scroll-Positionen, Gerätetyp, Bildschirmgröße, Browser-Informationen sowie – bei aktivierter Aufzeichnung – Session-Recordings mit visuellen Darstellungen der Nutzeraktivität. Eingaben in Formularfelder (z. B. Passwörter, E-Mail-Adressen) werden nach Anbieterangaben bereits im Browser unterdrückt; die IP-Adresse wird nach Anbieterangaben nicht dauerhaft gespeichert.

Die Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die bei jeder Anfrage vom Endgerät des Nutzers verarbeitet werden, insbesondere Zugriffszeitpunkt, angefragte URL, Referrer, Browser- und Gerätekennung sowie Datenvolumen. Die IP-Adresse wird nach Anbieterangaben anonymisiert.
• Klickpfade: Besuchte Seiten der Webseite einschließlich Referrer sowie angeklickte Links und Schaltflächen mit Datum und Uhrzeit.
• Endgeräte-Daten: Angaben zum Endgerät, insbesondere Gerätetyp, Betriebssystem, Bildschirmauflösung und Bildschirmgröße sowie Ausrichtung des Geräts und Touch-Unterstützung.
• Browserinformationen: Informationen über den verwendeten Browser, insbesondere Browsername und -version.
• Grobe Standortdaten: Anhand der IP-Adresse ggf. ermittelter grober Standort des Nutzers.
• Interaktionsdaten: Informationen darüber, wie sich der Nutzer auf einer einzelnen Seite verhält, insbesondere Scrollbewegungen, Mausbewegungen, Bewegungen des Mauszeigers sowie Klicks – jeweils mit Datum und Uhrzeit.
• Nutzer-Inhalte: Bei Session-Recordings können Bildschirmdarstellungen der Nutzersitzung aufgezeichnet werden; Eingaben in Formularfeldern werden nach Anbieterangaben client-seitig unterdrückt. Der Webseitenbetreiber muss im Einzelfall prüfen, ob sichtbare Inhalte Personenbezug aufweisen können.
• Conversion-Ereignisse: Vom Webseitenbetreiber als relevant festgelegte Nutzerinteraktionen, soweit entsprechende Events bzw. Ziele konfiguriert sind.

F. Nutzungszwecke von Crazy Egg

Webseitenbetreiber nutzen Crazy Egg typischerweise, um das Nutzungsverhalten auf ihrer Webseite visuell nachvollziehbar zu machen. Dazu gehört die Identifikation von häufig angeklickten Bereichen, das Aufdecken von Usability-Problemen (z. B. nicht erkannten Buttons), die Analyse des Scroll-Verhaltens sowie die Optimierung von Landingpages – etwa durch A/B-Tests und die Auswertung von Conversion-Pfaden.

Die mit dem Einsatz von Crazy Egg typischerweise verfolgten Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: Erbringung der Analyse-Funktionalität, einschließlich Fehlererkennung und -behebung auf Basis identifizierter Usability-Probleme.
• Sicherheit und Missbrauchsschutz: Begrenzte Nutzung zur Erkennung auffälliger Zugriffsmuster.
• Allgemeine Produktverbesserung: Generelle bedarfsgerechte Gestaltung der Webseite auf Basis häufig aufgerufener Inhalte und Funktionen sowie Verbesserung der Nutzerfreundlichkeit der Oberfläche (Eingabemasken und Abläufe).
• Allgemeines Marketing: Nicht nutzerindividuelle Ausrichtung und Optimierung von Marketingmaßnahmen, insbesondere Reichweitenanalyse und Erfolgsmessung von Kampagnen und Landingpages.
• Nutzerprofil-Erstellung: Bei aktivierten Session-Recordings und über A/B-Tests kann eine Zuordnung von Verhaltensmustern zu einer Besucher-UUID erfolgen, auch wenn Crazy Egg diese Kennung nach Anbieterangaben nicht direkt mit identifizierenden Daten verknüpft.
• Nutzerindividuelle Produktverbesserung: Anpassung der Webseite an das Verhalten einzelner Nutzer, etwa durch segmentspezifische Auswertungen.

G. Rechtsgrundlagen für den Einsatz von Crazy Egg

Crazy Egg fällt in die Tool-Kategorie Tracking (Statistik) mit erweiterten Analyse-Elementen (Session-Recording, A/B-Testing), die in Richtung nutzerindividueller Analyse gehen.

Da Crazy Egg nach Anbieterangaben Cookies im Endgerät des Nutzers setzt, greift für den Einsatz in Deutschland regelmäßig § 25 Abs. 1 TDDDG: Das Speichern von Informationen in der Endeinrichtung des Endnutzers und der Zugriff auf dort gespeicherte Informationen sind nur mit Einwilligung zulässig. Eine Ausnahme nach § 25 Abs. 2 TDDDG (unbedingte Erforderlichkeit) lässt sich für ein Heatmap- und Session-Recording-Tool regelmäßig nicht begründen. Als datenschutzrechtliche Rechtsgrundlage für die nachgelagerte Verarbeitung kommt daher typischerweise die Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO in Betracht.

Ergänzend kann für bestimmte Teilverarbeitungen (z. B. technische Protokollierung) ein berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO an Sicherheit, Missbrauchsschutz und Verbesserung einschlägig sein. Für die analytisch geprägte Kernnutzung – also Heatmaps, Scrollmaps und Session-Recordings – ist in der Regel jedoch die Einwilligung erforderlich.

Die konkrete Rechtsgrundlage ist fallabhängig und vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise zu Crazy Egg

• Cookie-Einsatz und Consent: Crazy Egg verwendet nach Anbieterangaben Cookies; der Einsatz in Deutschland erfordert daher regelmäßig eine wirksame Einwilligung über einen Consent-Banner.
• Session-Recordings: Bei Aufzeichnung von Sitzungen ist erhöhte Sorgfalt geboten. Der Webseitenbetreiber sollte prüfen, welche Seitenbereiche aufgezeichnet werden, ob sensible Formularfelder wirksam maskiert sind und welche Einstellmöglichkeiten zur Inhaltsmaskierung Crazy Egg im Account bietet.
• Drittlandtransfer: Der Anbieter sitzt in den USA. Ohne DPF-Zertifizierung oder Standarddatenschutzklauseln ist eine Übermittlung nicht auf eine tragfähige Rechtsgrundlage gestützt. Der DPF-Status ist unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen.
• Auftragsverarbeitungsvertrag (AVV/DPA): Crazy Egg bezeichnet sich nach eigenen Angaben als Auftragsverarbeiter („Processor of Client Visitor Information") und stellt einen entsprechenden Vertrag bereit. Der Abschluss ist beim Einsatz des Tools regelmäßig erforderlich.
• Subprozessoren: Crazy Egg gibt an, Subprozessoren einzusetzen. Eine konkrete öffentliche Subprozessor-Liste ist nicht ohne weiteres verfügbar; Informationen können beim Anbieter unter privacy@crazyegg.com angefragt werden.
• Einstellungen für den Webseitenbetreiber: Prüfung und Konfiguration der Maskierung sensibler Inhalte bei Session-Recordings, Auswahl der zu trackenden Seiten, Einbindung über einen Consent-Manager sowie Abschluss des AVV/DPA.
• Opt-Out für Besucher: Besucher können den Einsatz über Browser-Einstellungen, Blockade der Drittanbieter-Skripte oder – bei Einbindung über einen Consent-Banner – durch Verweigerung der Einwilligung unterbinden.

I. Häufige Fragen zu Crazy Egg (FAQ)

J. Fazit und Empfehlung zum Einsatz von Crazy Egg

Crazy Egg ist ein Analyse-Tool mit starker Verhaltenskomponente (Heatmaps, Session-Recordings), das nach den Angaben des Anbieters Cookies setzt, Besucher über eine UUID wiedererkennt und die IP-Adresse anonymisiert. Aufgrund des Cookie-Einsatzes ist in Deutschland regelmäßig eine Einwilligung nach § 25 Abs. 1 TDDDG erforderlich, flankiert durch eine datenschutzrechtliche Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Der Sitz des Anbieters in den USA erfordert eine saubere Drittlandtransfer-Lösung (DPF oder Standarddatenschutzklauseln).

Für die Datenschutzerklärung gilt: Es ist regelmäßig wenig sinnvoll, für jedes einzelne Tool – und damit auch für Crazy Egg – einen eigenen, langen Textbaustein aufzunehmen. Das macht die Datenschutzerklärung unübersichtlich, inhaltlich redundant und schwer pflegbar und läuft dem Transparenzgebot des Art. 12 Abs. 1 DSGVO zuwider. Sachgerechter ist ein strukturierter, themenorientierter Ansatz: Die Verarbeitungen werden nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf …) übergreifend beschrieben; einzelne Tools wie Crazy Egg werden im Anhang Empfänger namentlich aufgeführt. Genau diese Methodik verfolgt der matterius-Generator.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com