Heap Analytics und Datenschutz – Pflichtangaben für die Datenschutzerklärung

Heap Analytics ist ein produktives Analyse-Tool, das mittels Autocapture automatisch alle Nutzerinteraktionen auf einer Webseite erfasst – von Klicks über Formulareingaben bis zu Seitenzugriffe. Webseitenbetreiber, die Heap einsetzen, müssen diese Datenverarbeitung transparent in ihrer Datenschutzerklärung offenlegen und dabei konkrete Angaben zu Datenflüssen, Speicherdauer und Rechtsgrundlagen machen, um DSGVO-konform zu agieren.

A. Zweck und Funktionsweise von Heap Analytics

Heap Analytics ist ein cloudgestütztes Tool für Produktanalyse, das automatisch Nutzerverhalten trackt. Anders als viele Konkurrenten arbeitet Heap mit dem sogenannten Autocapture-Ansatz: Ein JavaScript-Snippet wird in die Webseite eingebunden, das von Beginn an und ohne weitere manuelle Konfiguration alle Nutzerinteraktionen erfasst. Das System zeichnet automatisch auf, welche Elemente angeklickt werden, in welche Formulare Daten eingegeben werden, welche Seiten besucht werden und wie lange Nutzer auf bestimmten Seiten verweilen.

Das Besondere am Autocapture: Heap speichert zunächst alle Rohdaten im Hintergrund, ohne dass Webseitenbetreiber vorab Events definiert haben. Dies ermöglicht retrospektive Analysen – auch Events, die erst später definiert werden, können auf historische Daten zurückgreifen. Diese kontinuierliche, voraussetzungslose Datensammlung ist ein zentrales Merkmal von Heap Analytics und unterscheidet es von ereignisgesteuerten Tracking-Systemen.

B. Pflichtangaben in der Datenschutzerklärung

Die DSGVO (Datenschutz-Grundverordnung) verpflichtet Webseitenbetreiber, transparente Datenschutzerklärungen bereitzustellen. Nach Artikel 13 Abs. 1 und 2 DSGVO müssen folgende Informationen dokumentiert werden:

1. Zweck der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO): Wofür werden die Daten erfasst? Bei Heap typischerweise: Produktverbesserung, Nutzerverhalten-Analyse, Konversionsmes­sung.

2. Rechtsgrundlage der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO): Auf welche Ermächtigungsgrund­lage stützt sich die Verarbeitung? Meistens Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) oder berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Berechtigte Interessen (Art. 13 Abs. 1 lit. d DSGVO): Falls Art. 6 Abs. 1 lit. f herangezogen wird, müssen die konkre­ten berechtigten Interessen beschrieben werden.

4. Empfänger der Daten (Art. 13 Abs. 1 lit. e DSGVO): Wer erhält Zugriff auf die Daten? Dies umfasst Heap Inc., ggf. Subprozessoren und weitere Dritte.

5. Drittlandtransfer (Art. 13 Abs. 1 lit. f DSGVO): Werden Daten in Länder außerhalb der EU/des EWR übermittelt? Heap speichert auf US-Servern – hier müssen Übermittlungsmechanismen (Data Privacy Framework, Standardvertragsklauseln) erwähnt werden.

6. Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO): Wie lange werden die Daten gespeichert? Heap löscht Daten abhängig vom gewählten Plan (kostenloses Modell: 6 Monate; kostenpflichtige Pläne: typischerweise 12 Monate).

Hinweis zum Datenschutz-Ansatz: Viele Datenschutzerklärungen nutzen den Ansatz, für jedes einzelne Tool einen separaten, ausführlichen Text­baustein zu verfassen. Dies führt zu undurchsichtigen, sehr langen Datenschutzerklärungen und widerspricht damit dem Transparenzgebot der DSGVO (Art. 12 DSGVO – „klar und verständlich"). Ein themenorientierter Ansatz mit zentraler Empfängerliste ist rechtskonformer: Ein Abschnitt „Tracking und Produktanalyse" fasst alle Tools dieser Kategorie zusammen, ergänzt um eine Tabelle mit Anbieter, Zweck, Speicherdauer und Links.

C. Anbieter

Heap Inc. ist der Anbieter und Betreiber von Heap Analytics. Das Unternehmen ist in den USA domiziliert.

Adresse (Hauptsitz):
Heap Inc.
225 Bush Street, Floor 2
San Francisco, California 94104
United States of America

Data Privacy Framework (DPF):
Heap Inc., zusammen mit seinen Affiliates Content Square, Inc. und Clicktale Inc., hat sich selbstzertifiziert unter dem EU-U.S. Data Privacy Framework, dem UK Extension und dem Swiss-U.S. Data Privacy Framework. Diese Zertifizierung gewährleistet angemessene Datenschutzniveaus für Übermittlungen aus der EU, dem UK und der Schweiz in die USA. (Stand: 2026 – Webseitenbetreiber sollten den Status unter https://www.dataprivacyframework.gov/s/participant-search überprüfen.)

Standardvertragsklauseln (Standard Contractual Clauses, SCC):
Heap hat die erforderlichen Standardvertragsklauseln unterzeichnet, um Datenübermittlungen in Drittländer rechtmäßig zu gestalten, sofern die DPF-Zertifizierung nicht ausreichen sollte.

Privacy Policy:
Die Datenschutzerklärung von Heap ist unter https://www.heap.io/privacy einsehbar und regelt, wie Heap die Daten der Besucher von Kundenwebseiten verarbeitet. (Webseitenbetreiber sollten diese Policy regelmäßig überprüfen, um aktuell zu bleiben.)

Datenverarbeitungsvertrag (AVV / Data Processing Addendum, DPA):
Heap stellt ein vorgefertigtes, unterzeichnetes Datenverarbeitungsabkommen bereit, das die DSGVO-Anforderungen an die Auftragsverarbeitung umsetzt. Der DPA incorporates the Standard Contractual Clauses und ist eine Voraussetzung für die DSGVO-konforme Nutzung von Heap.

D. Datenverarbeitung – Ablauf

E. Erhobene Daten

Heap erfasst durch das Autocapture-System ein breites Spektrum an Daten über Nutzer und deren Verhalten:

Webserver-Protokolldaten:

• IP-Adresse: Wird erfasst (nach neuerer Heap-Einstellung standardmäßig nicht zusammen mit anderen Identifikatoren verknüpft)
• Zeitstempel: Datum und Uhrzeit jeder Interaktion

Interaktionsdaten:

• Klickpfade: Welche Elemente (Links, Buttons, Bilder) wurden angeklickt?
• Besuchte Seiten: Welche URLs wurden aufgerufen? (inklusive Referrer, d.h. von welcher Seite kam der Nutzer?)
• Scrollbewegungen: Wie weit scrollt der Nutzer auf einer Seite herunter?
• Formulareingaben: Welche Felder wurden ausgefüllt? (Achtung: PII-Scrubbing beachten)
• Mausbewegungen: Ungefähre Cursor-Positionen
• Verweildauer: Wie lange verweilt der Nutzer auf einer Seite oder in einem Element?

Endgeräte- und Browser-Daten:

• Gerätetyp: Desktop, Tablet, Smartphone
• Betriebssystem: Windows, macOS, iOS, Android, etc.
• Browser: Chrome, Firefox, Safari, Edge, Versionsinfo
• Bildschirmauflösung: Viewport-Größe

Standort-Daten:

• Grobe Standortinformation: Abgeleitet aus der IP-Adresse (typischerweise Stadt/Region, nicht exakt)

Nutzer-Profile und Session-Daten:

• Session-ID: Eindeutiger Identifier pro Browsersession
• User-ID: Abhängig von der Heap-Konfiguration; wenn manuell gesetzt (via Identify API), können das Kundenbenutzer-IDs, E-Mail-Adressen oder sonstige Identifikatoren sein
• Sessiondauer: Wie lange war der Nutzer aktiv? (Heap definiert Sessions mit einer 30-minütigen Inaktivitätsgrenze)

Conversion- und Event-Daten:

• Definierte Events: Webseitenbetreiber können eigene Events einstellen (z.B. „Kauf abgeschlossen", „Newsletter angemeldet")
• Retroaktive Events: Heap kann auch historisch festgelegte Events auf alte Daten anwenden

Technische Telemetriedaten:

• Performance-Metriken: Lade- und Ausführungszeiten von Heap selbst
• Fehlerberichte: JavaScript-Fehler, die während der Nutzerinteraktion auftreten

Achtung – Sensible Daten in Formularen:
Durch die automatische Erfassung können auch sensible Daten unbeabsichtigt erfasst werden – etwa Passwörter, Kreditkartennummern oder medizinische Daten, wenn diese in offenen Textfeldern eingegeben werden. Webseitenbetreiber müssen daher PII-Scrubbing-Funktionen nutzen (siehe Abschnitt H), um solche Daten zu maskieren, bevor sie Heap verlassen.

F. Nutzungszwecke

Heap verarbeitet diese Daten für verschiedene Zwecke:

• Allgemeine Produktverbesserung und UX-Optimierung: Heap nutzt aggregierte Daten, um die Benutzerfreundlichkeit der Kundenwebseiten zu optimieren (z.B. durch Funnel-Analysen, Heatmaps, Session Replays).

• Allgemeines Marketing und Kampagnenmessung: Webseitenbetreiber können Heap-Daten für Kampagnenbewertung und allgemeine Marketinganalytik heranziehen.

• Nutzerprofil-Erstellung und Segmentierung: Heap erstellt Nutzerprofile auf Basis des erfassten Verhaltens, um Nutzersegmentierung durchzuführen (z.B. „häufige Besucher", „Abspringer in Funnel X").

• Nutzerindividuelle Produktverbesserung und Personalisierung: Einzelne Nutzererfahrungen können personalisiert werden (z.B. verschiedene Website-Versionen für unterschiedliche Nutzergruppen).

• Nutzerindividuelles Marketing und Remarketing: Auf Basis der Heap-Daten können gezielte Werbekampagnen durchgeführt werden (z.B. Retargeting für Nutzer, die einen bestimmten Funnel abgebrochen haben).

Diese Zwecke sind typischerweise nicht mit der Erbringung der Heap-Software selbst notwendig, sondern addieren sich je nach Konfiguration und Geschäftslogik des Webseitenbetreibers hinzu.

G. Rechtsgrundlagen

Heap Analytics fällt in die Kategorie Tracking- und Statistik-Tools. Die Rechtsgrundlagen für den Einsatz sind:

1. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG):
Dies ist die häufigste Rechtsgrundlage für Tracking-Tools. In Deutschland regelt das Telekommunikation-Telemedien-Datenschutz-Gesetz (TDDDG, ehemals ePrivacy-Richtlinie) explizit, dass vor dem Setzen von nicht-essentiellen Cookies und ähnlichen Tracking-Technologien (wie JavaScript-Snippets) eine aktive Einwilligung erforderlich ist. Die Einwilligung muss:

• Vorab erfolgen (vor dem Tracking)
• Granular sein (separate Zustimmung für Analytics, Marketing, etc., nicht pauschal)
• Jederzeit widerrufbar sein

Typischerweise geschieht dies über einen Cookie-Consent-Banner, in dem Nutzer Heap Analytics explizit akzeptieren müssen.

2. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO – mit Einschränkungen):
In seltenen Fällen können Webseitenbetreiber argumentieren, dass eine Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO die Verarbeitung legitimiert. Dies setzt voraus:

• Eine klare Dokumentation der berechtigten Interessen (z.B. Geschäftsoptimierung, Sicherheit)
• Ein Überwiegen dieser Interessen gegenüber den Interessen der Nutzer
• Eine explizite Interessenabwägung im Datenschutzdokument

Diese Rechtsgrundlage ist für Heap in der Praxis selten ausreichend, insbesondere in der EU, wo die Tendenz zur strikteren Auslegung neigt.

Fazit: Die meisten Webseitenbetreiber werden auf die Einwilligung (Art. 6 Abs. 1 lit. a) angewiesen sein. Darüber hinaus müssen die Einwilligungsmechanismen (Cookie-Banner) TDDDG-konform ausgestaltet sein.

H. Besonderheiten und Hinweise

PII-Scrubbing und Daten-Maskierung:
Heap bietet mehrere Tools, um sensible Daten zu schützen:

• Target Text Autocapture Toggle: Kann über Account-Einstellungen deaktiviert werden, um zu verhindern, dass sichtbarer Text aus Elementen erfasst wird.
• data-heap-redact-text: Attribut für HTML-Elemente, das Heap anweist, bestimmte Textinhalte vor Speicherung zu maskieren (wird als **** angezeigt).
• data-heap-redact-attributes: Attribut zum Maskieren von HTML-Attributen (z.B. value-Attribute von Input-Feldern).

Webseitenbetreiber sollten diese Funktionen konsequent nutzen, insbesondere für Passwort-Felder, Kreditkarten-Eingaben und andere sensitive Formularbereiche.

Opt-Out-Möglichkeiten:

• Heap gestattet es Nutzern, sich von der Datenerfassung abzumelden, typischerweise über ein Consent-Banner oder Heap-spezifische Opt-Out-Mechanismen.
• Für CCPA-Compliance: Nutzer können in Banner die Zustimmung zur „Veräußerung oder Weitergabe" von Daten ablehnen (CCPA-Anforderung).

Drittlandtransfer und rechtliche Mechanismen:

• Data Privacy Framework (DPF): Heap hat sich zertifiziert und nutzt dies als primären Übermittlungsmechanismus.
• Standardvertragsklauseln (SCC): Fungieren als Fallback und sind im DPA verankert.
• Datenverarbeitungsvertrag (DPA): Webseitenbetreiber müssen mit Heap einen DPA unterzeichnet haben. Heap stellt einen vorgefertigten, unterzeichneten DPA zur Verfügung, der alle GDPR-Anforderungen abdeckt.

Datenverantwortlichkeit:

• Webseitenbetreiber = Datenverantwortlicher (Data Controller)
• Heap Inc. = Auftragsverarbeiter (Data Processor)

Webseitenbetreiber sind primär verantwortlich für die Rechtmäßigkeit der Verarbeitung, müssen Datenschutzhinweise bereitstellen und können für Verstöße zur Verantwortung gezogen werden.

Identity Tracking und User-IDs:

• Heap kann Nutzern über die Identify API manuelle IDs zuordnen (z.B. Kundennummern, E-Mail-Adressen). Dies ermöglicht Nutzerverfolgung über mehrere Sessions.
• Webseitenbetreiber müssen sicherstellen, dass keine sensiblen Daten (Passwörter, Kreditkartennummern) via Identify API an Heap gesendet werden.

ISO-Zertifizierungen:
Heap ist ISO 27001, 27701, 27017 und 27018 zertifiziert, was Informationssicherheit, Datenschutz und Cloud-Sicherheit abdeckt.

I. Häufige Fragen zu Heap Analytics und Datenschutz

J. Fazit

Heap Analytics ist ein leistungsstarkes, aber datenschutzintensives Tool. Das Autocapture-Prinzip ermöglicht umfassende Nutzerverhaltensdaten, bringt aber auch erhebliche Transparenz- und Sicherheitsanforderungen mit sich. Webseitenbetreiber müssen:

1. Rechtmäßige Rechtsgrundlage sicherstellen: Typischerweise über Einwilligung (Art. 6 Abs. 1 lit. a) mit TDDDG-konformem Consent-Banner.

2. Vollständige und verständliche Datenschutzerklärung: Nicht über isolierte Tool-Bausteine, sondern über einen themenorientierten Ansatz mit zentraler Empfängerliste.

3. Datenverarbeitungsvertrag (DPA) unterzeichnen: Heap stellt einen vorgefertigten DPA bereit, der GDPR-Anforderungen erfüllt.

4. Sensible Daten schützen: PII-Scrubbing-Funktionen aktiv nutzen, um unbeabsichtigte Erfassung von Passwörtern, Kreditkartendaten oder ähnlichem zu verhindern.

5. Drittlandtransfer dokumentieren: Daten gehen in die USA; der Data Privacy Framework oder Standardvertragsklauseln müssen angemessen dokumentiert werden.

Ein datenschutzkonformes Datenschutzerklärung-Konzept ersetzt die klassische „Textbaustein-pro-Tool"-Methode durch logische Gruppierung nach Verarbeitungszwecken (Statistik, Marketing, Sicherheit, etc.) und eine Übersichtstabelle. Dies schafft Klarheit für Nutzer, vermeidet Redundanz und erfüllt das DSGVO-Transparenzgebot besser.