Hotjar und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Hotjar ein, verarbeitet er Nutzungsdaten (Klickpfade, Scrollbewegungen, Session Recordings, Heatmaps) zum Zweck der Webseitenoptimierung und Nutzerverhaltenserkennung auf Basis von Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Hotjar speichert diese Daten auf Servern in der Europäischen Union (Irland) und fungiert als Auftragsverarbeiter. Diese Anleitung erklärt, welche Informationen in die Datenschutzerklärung gehören und welche Besonderheiten bei Hotjar zu beachten sind.

A. Zweck und Funktionsweise von Hotjar

Hotjar ist ein Web-Analyse- und Feedback-Tool, das Webseitenbetreibern hilft, das Verhalten von Nutzern zu verstehen. Das Tool wird über ein JavaScript-Snippet direkt in den HTML-Quellcode der Website eingebettet (Tracking-Pixel / Code-Snippet). Hotjar erfasst dabei folgende Funktionalitäten:

• Heatmaps: Visualisierung, wo Nutzer klicken, scrollen und bewegen sich
• Session Recordings: Aufzeichnung von Nutzer-Sitzungen (optional mit Einschränkungen für sensible Daten)
• Umfragen und Feedback-Tools: Direkte Kommunikation mit Nutzern
• Form-Analyse: Erfassung von Formularinteraktionen

Die Datenspeicherung erfolgt auf Amazon Web Services Infrastruktur in Irland (EU-Rechenzentrum). Das Tracking wird erst aktiviert, nachdem der Nutzer der Nutzung von Hotjar ausdrücklich zugestimmt hat (Einwilligungserfordernis).

B. Pflichtangaben in der Datenschutzerklärung zu Hotjar

Nach der DSGVO muss ein Webseitenbetreiber in seiner Datenschutzerklärung transparent offenlegen, welche Daten er verarbeitet, zu welchen Zwecken (Art. 13 Abs. 1 lit. c DSGVO) und auf welcher Rechtsgrundlage (Art. 13 Abs. 1 lit. d DSGVO). Bei Hotjar sind die folgenden Angaben erforderlich:

• Zwecke: Analyse des Nutzerverhaltens, Verbesserung der Website-Funktionalität und Nutzererfahrung, Erkennung von Usability-Problemen
• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a i.V.m. § 25 Abs. 1 TDDDG), da Hotjar nicht zur Erbringung einer Kernfunktion der Website erforderlich ist
• Empfänger/Kategorien: Hotjar Limited (Malta), ggf. Subprozessoren
• Drittlandtransfers: Nicht erforderlich, da Speicherung in der EU (Irland)
• Speicherdauer: Nach Angaben von Hotjar: 365 Tage (Standard), konfigurierbar
• Datenkategorien: Siehe Abschnitt E (Endgeräte-Daten, Klickpfade, Interaktionsdaten etc.)

Wichtiger Hinweis: Toolspezifische Textbausteine, die exakt der Hotjar-Dokumentation folgen, widersprechen Art. 12 Abs. 1 DSGVO (klare und verständliche Sprache). Ein themenorientierter Ansatz (z.B. „Analytics-Tools") ist datenschutzfreundlicher und übersichtlicher für Nutzer. Der matterius-Generator unterstützt Sie dabei, solche integrierten Formulierungen zu erstellen.

C. Anbieter von Hotjar: Hotjar Limited

Juristischer Name: Hotjar Limited
Anschrift: 3 Lyons Range, 20 Bisazza Street, Sliema SLM 1640, Malta
Sitzland: Malta (Europäische Union)
DPF-Status: Nicht erforderlich (EU-Unternehmen, nicht US-basiert)
Datenschutzerklärung: https://www.hotjar.com/legal/policies/privacy/de/
AVV/DPA: Data Processing Agreement abrufbar unter https://www.hotjar.com/de/legal/support/dpa/ – wurde mit deutschem und maltesischem Recht aktualisiert
Opt-Out: https://www.hotjar.com/legal/compliance/opt-out

Bei Fragen zum Datenschutz kann Hotjar unter legal@hotjar.com kontaktiert werden.

D. Datenverarbeitung durch Hotjar – Ablauf

E. Erhobene Daten beim Einsatz von Hotjar

Hotjar erfasst verschiedene Kategorien von Nutzungsdaten, um ein vollständiges Bild des Nutzerverhaltens zu zeichnen. Die verarbeiteten Daten werden von Hotjar nach dem Standard-Datenschutzmodell der deutschen Datenschutzbehörden klassifiziert. Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit/Zeitzone, URL, Referrer, Browser/OS/Gerät, technische Metadaten
• Klickpfade: Besuchte Seiten inkl. Referrer, angeklickte Links/Schaltflächen mit Datum/Uhrzeit
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung/-größe, Ausrichtung, Touch-Unterstützung
• Browserinformationen: Browsername, Browserversion, installierte Erweiterungen
• Interaktionsdaten: Scrollbewegungen, Mausbewegungen, Tastendrücke, Mauszeigerposition, Touch-Bewegungen, Klicks
• Technische Telemetriedaten: Fehlermeldungen, Ladezeiten, Datenvolumen

Bei Session Recordings können auch Text-Eingaben, hochgeladene Dateien und Formularinhalte erfasst werden. Hotjar bietet jedoch Masking-Funktionen, um sensible Felder (z.B. Passwörter, Kreditkartendaten) automatisch zu redaktionieren.

F. Nutzungszwecke beim Einsatz von Hotjar

Hotjar verarbeitet Daten zu mehreren Zwecken, die vom Webseitenbetreiber klar in der Datenschutzerklärung dargelegt sein sollten. Diese Daten lassen sich in folgende Zweck-Klassen einordnen:

• Funktionsbereitstellung: Fehlerkennung/-behebung, Performance-Monitoring, Darstellung von Analytics-Dashboards
• Allgemeine Produktverbesserung: Optimierung auf Basis häufig aufgerufener Inhalte, Identifikation von Usability-Problemen
• Nutzerprofile-Erstellung: Ermittlung von Nutzer-Segmenten (z.B. "Abbrecher", "Power-User"), Verhalten-Cluster
• Nutzerindividuelle Produktverbesserung: A/B-Tests, Heatmap-Analyse, personalisierte Optimierung von Seiten-Elementen
• Kommunikation: Feedback-Formulare, Umfragen, direkte Fragen an Nutzer

G. Rechtsgrundlagen für Hotjar

Die Rechtsgrundlage für die Nutzung von Hotjar ist in der Regel die Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), da Hotjar nicht zur Erbringung einer Kernfunktion der Website erforderlich ist. Die Einwilligung muss nach § 25 Abs. 1 TDDDG (Telemediengesetz) eingeholt werden, bevor das Hotjar-Snippet aktiviert wird.

Ein themenscharfer Prüfungspunkt: Könnte ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bestehen, z.B. wenn die Webseitenoptimierung ein echtes Geschäftsinteresse darstellt und die Einwilligung abgelehnt wird? Im Einzelfall zu prüfen – die Balancierung zwischen Nutzer-Interessen und Unternehmensinteressen ist oft nicht eindeutig. Einwilligung ist aber der sicherere Weg und ist gesetzlich vorgesehen.

H. Besonderheiten und Hinweise zu Hotjar

• Opt-Out: Nutzer können sich gegen Hotjar-Tracking abmelden unter https://www.hotjar.com/legal/compliance/opt-out. Diese Information sollte in der Datenschutzerklärung verlinkt sein.
• Session Recordings und Sensibilität: Die Aufzeichnung von Nutzer-Sitzungen kann (insbesondere wenn Audio/Video enthalten ist) unter den Schutzbereich von § 4 Abs. 25 TMG fallen. Empfehlung: Sensitive Daten explizit masken und in der Datenschutzerklärung offenlegen.
• Standard Contractual Clauses: Obwohl Hotjar in der EU angesiedelt ist, hat das Unternehmen für Subprozessoren Standard Contractual Clauses vereinbart.
• AVV/DPA verfügbar: Das Data Processing Agreement ist unter https://www.hotjar.com/de/legal/support/dpa/ abrufbar und sollte unterzeichnet sein.
• Konfiguration: Der Webseitenbetreiber sollte in den Hotjar-Einstellungen die Speicherdauer, Masking-Regeln und die Liste der erfassten Daten überprüfen und dokumentieren.

I. FAQ zu Hotjar

J. Fazit und Empfehlung zu Hotjar

Hotjar ist ein beliebtes Analytics-Tool mit EU-Datenspeicherung und guter Dokumentation. Für die DSGVO-konforme Nutzung sind folgende Punkte essentiell: (1) Einwilligung vor Aktivierung, (2) transparente Offenlegung in der Datenschutzerklärung, (3) unterzeichnetes Data Processing Agreement, (4) regelmäßige Überprüfung der Speicherdauer und Masking-Regeln.

Problematisch: Toolspezifische Textbausteine, die exakt aus der Hotjar-Dokumentation kopiert sind. Sie sind oft zu technisch, zu lang und nicht benutzerfreundlich (Art. 12 Abs. 1 DSGVO). Besser ist ein themenorientierter Ansatz, der Hotjar in den Kontext anderer Analytics-Tools einordnet und klare, allgemeinverständliche Sprache nutzt. Diese Information beruht auf Anbieterangaben und öffentlich zugänglichen Quellen (Stand: 2026-04-22). Im Einzelfall kann rechtliche Beratung erforderlich sein.