Inspectlet und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu Inspectlet: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.
Inspectlet und Datenschutz – Was in die Datenschutzerklärung gehört
Inspectlet Datenschutz ist ein zentrales Thema für Webseitenbetreiber, die Session Recordings, Heatmaps und Form Analytics einsetzen. Das Tool erfasst Bewegungsabläufe von Besuchern in granularer Form – vom Mauszeiger über Klickpfade bis zu Tastatur-Eingaben. Dies macht eine transparente, rechtssichere Dokumentation in der Datenschutzerklärung erforderlich. Dieser Leitfaden zeigt, welche Angaben notwendig sind, welche Daten Inspectlet verarbeitet und unter welchen Rechtsgrundlagen.
A. Zweck und Funktionsweise von Inspectlet
Inspectlet ist ein Session-Recording- und Heatmap-Tool des US-amerikanischen Anbieters, das Nutzerinteraktionen auf Websites aufzeichnet und analysiert. Die Kernfunktionen sind:
- Session Recordings: Automatische Videoaufzeichnung von Besuchersitzungen mit Mausbewegungen, Klicks, Scrolls und Tastatur-Eingaben
- Heatmaps: Visuelle Darstellung von Klick-, Scroll- und Bewegungsmustern, um UX-Engpässe zu identifizieren
- Form Analytics: Überwachung von Formularausfüllungen, Fehler und Abbrüche
- Feedback Surveys: Integrierte Umfragen zur Besucherzufriedenheit
- Conversion Tracking: Verfolgung von Zielaktionen und Nutzer-Journeys
Die Integration erfolgt über ein JavaScript-Snippet, das in den <head>- oder <body>-Bereich der Website eingebunden wird und kontinuierlich Daten an Inspectlet-Server übermittelt.
B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Inspectlet
Für rechtssicher arbeitende Websites ist es unerlässlich, den Einsatz von Inspectlet in der Datenschutzerklärung transparent zu machen. Dazu gehören:
- Name und Anschrift des Anbieters (vollständige Kontaktdaten)
- Beschreibung der verarbeiteten Daten (Session Recordings, Klickpfade, Geräte- und Browserinformationen, IP-Adressen, ggf. Formularinhalte)
- Nutzungszwecke (Produktverbesserung, Nutzerverhalten-Analyse, Conversion-Optimierung, ggf. Sicherheit)
- Rechtsgrundlagen (typischerweise Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG)
- Datenübermittlung in Drittländer (USA – Datenschutzrahmen/Standard Contractual Clauses)
- Auftragsverarbeitungsvertrag (AVV) – ob ein DPA mit Inspectlet vorliegt
- Betroffenenrechte – Auskunft, Berichtigung, Löschung, Widerspruch
- Widerrufsrecht – Möglichkeit zum Opt-Out der Einwilligung
- Datenschutzbeauftragte – Kontakt zur Aufsichtsbehörde
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
C. Anbieter von Inspectlet
| Feld | Information |
|---|---|
| Anbieter-Name | Inspectlet (eigenständiges Unternehmen) |
| Unternehmensform | USA (Bundesstaat: vom Betreiber zu verifizieren) |
| Privacy Policy | https://www.inspectlet.com/privacy (vom Betreiber zu aktualisieren) |
| DPA verfügbar | Ja (Standard Contractual Clauses / DPF-Status: vom Betreiber zu prüfen) |
| Datenschutzrahmen (DPF) | Zu verifizieren – USA kann DPF-zertifiziert oder auf SCCs angewiesen sein |
Der Anbieter Inspectlet und aktuelle Zertifizierungen sollten vor Einsatz direkt auf der Inspectlet-Website und in Vertragsdokumenten verifiziert werden. Das Datenschutzniveau und die Verfügbarkeit von Standardvertragsklauseln können sich ändern.
D. Datenverarbeitung – Ablauf in Schritten
Snippet-Integration – Der Webseitenbetreiber bindet das JavaScript-Snippet von Inspectlet in seine Website ein. Das Snippet lädt sich automatisch beim Seitenaufruf.
Datenerfassung im Browser – Inspectlet erfasst Nutzerinteraktionen in Echtzeit: Mauspositions-Tracking, Klicks, Scrolls, getippte Zeichen (ggf. ohne Maskierung), Fokus-Events in Formularfeldern.
Sessionidentifikation – Der Nutzer erhält eine Sitzungs-ID (typischerweise via Cookie oder Local Storage), um Interaktionen einer Sitzung zuzuordnen.
Datenübermittlung – Erfasste Daten werden in regelmäßigen Abständen an Inspectlet-Server in den USA übermittelt. Dies geschieht ohne explizite Nutzer-Aktion.
Speicherung in Drittland – Daten werden auf US-Servern von Inspectlet gespeichert. Der Datenschutztransfer erfolgt unter Datenschutzrahmen oder Standard Contractual Clauses.
Verarbeitung und Auswertung – Inspectlet verarbeitet Daten zu Analysezwecken und stellt Heatmaps, Session-Recordings und Berichte über sein Dashboard zur Verfügung.
E. Von Inspectlet erhobene Daten
Inspectlet erfasst ein umfassendes Spektrum von Nutzer-Daten. Die gesammelten Informationen lassen sich in mehrere Klassen einordnen:
Webserver-Protokolldaten:
- IP-Adresse des Besuchers
- Zeitstempel von Seitenaufrufen
- HTTP-Referrer
- User-Agent (Browser-Typ, Betriebssystem)
Klickpfade und Navigationsdaten:
- Vollständige Abfolge aller Klicks auf der Website
- Geklikkte Links, Schaltflächen und Elemente
- Zielseiten nach Klicks
Endgeräte- und Browserdaten:
- Gerätetyp (Desktop, Tablet, Mobil)
- Bildschirmauflösung
- Browser-Name und Version
- Betriebssystem (Windows, macOS, iOS, Android)
- Spracheinstellungen
Grobe Standortdaten:
- Geografische Position basierend auf IP (Land, Stadt – ohne genaue GPS-Koordinaten)
Interaktionsdaten (Session Recordings):
- Mausbewegungen und -position in Echtzeit
- Scroll-Positionen und -Richtung
- Tastaturanschläge (in Formularfeldern, ggf. ohne Maskierung – besonders sensibel)
- Fokus und Blur von Eingabefeldern
- Fenstergrößenänderungen
Konversionsereignisse:
- Definierte Zielaktionen (z. B. Button-Klicks, Formular-Absendetests)
- Conversion-Raten und -Zeiten
Nutzer-generierte Inhalte:
- Formularausfüllungen (Eingaben in Text-, Select- und Textarea-Feldern)
- Ggf. unbewusst erfasste Inhalte (E-Mail-Adressen, Telefonnummern, Suchanfragen), wenn keine Feldmaskierung konfiguriert ist
Tastatureingaben in Passwort-Feldern oder Payment-Daten sind in der Regel automatisch maskiert. Allerdings sollte der Webseitenbetreiber explizit prüfen, welche Felder maskiert sind, und ggf. zusätzliche Feldmaskierung konfigurieren – etwa für Kreditkartennummern, Sozialversicherungsnummern oder andere hochsensible Daten.
F. Nutzungszwecke
Inspectlet verarbeitet Daten zu folgenden Zwecken:
Allgemeine Produktverbesserung:
- Analyse von Nutzerverhalten auf Aggregat-Ebene (z. B. "80 % der Besucher scrollen nicht unter die Falz")
- Identifikation von UX-Problemen und Optimierungspotenzialen
- Benchmarking gegen Industrie-Standards
Nutzer-individuelle Produktverbesserung:
- Nachträgliche Ansicht einzelner Sessions (Replay) zu Debugging und Verständnis spezifischer Nutzer-Journeys
- Analyse von Konversionsfunnel und Abbruchpunkten
- Personalisierung von Website-Elementen auf Basis von Nutzerverhalten (ggf. bei erweiterten Features)
Sicherheit und Missbrauchserkennung:
- Erkennung verdächtiger Muster (automatisierte Zugriffe, Bots)
- Schutz vor Betrug (beispielsweise ungewöhnliche Formularabsendungen)
G. Rechtsgrundlagen für Inspectlet
Kategorie: Tracking mit Session Recording
Session Recording mit Inspectlet fällt unter Tracking und Statistik nach deutschem und europäischem Datenschutzrecht. Es handelt sich nicht um essenziell erforderliche Funktionalität, sondern um optionale Analyse und Optimierung.
Erforderliche Rechtsgrundlagen
1. Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG
Das Setzen von Cookies und Tracking-IDs ist ohne Einwilligung unzulässig. Der Webseitenbetreiber muss vor Laden des Inspectlet-Snippets eine informierte, freiwillige Zustimmung einholen – typischerweise über ein Cookie-Banner oder Consent-Tool.
- Form: Vor Ablauf des Inspectlet-Skripts (!) muss Einwilligung vorliegen
- Inhalt: Konkrete Nennung von "Session Recording", "Heatmaps", Inspectlet als Anbieter
- Widerrufsrecht: Nutzer müssen Einwilligung jederzeit zurückziehen können (z. B. über Cookie-Einstellungen)
2. Datenschutzrahmen (DPF) oder Standard Contractual Clauses (SCCs) für USA-Transfer
Da Inspectlet-Server in den USA angesiedelt sind, muss ein Mechanismus für den rechtskonformen Datentransfer vorhanden sein:
- Datenschutzrahmen (DPF): Falls Inspectlet unter dem EU-US DPF zertifiziert ist → Hinweis in Datenschutzerklärung
- Standard Contractual Clauses (SCCs): Falls DPF nicht vorhanden → AVV mit Inspectlet muss SCCs enthalten
- Supplementary Measures: Ggf. zusätzliche technische/organisatorische Maßnahmen erforderlich
Ohne gültigen Datenschutztransfer-Mechanismus ist die Datenübermittlung an Inspectlet (USA) rechtswidrig. Der Webseitenbetreiber muss vor Einsatz prüfen, ob ein aktueller DPF-Status oder aktualisierte SCCs vorliegen.
H. Besonderheiten und Hinweise zu Inspectlet
-
Session Recording ist hochsensibel: Tastaturanschläge und Bewegungsmuster können persönliche Informationen offenbaren. Eine klare, verständliche Datenschutzbenachrichtigung ist essentiell.
-
Feldmaskierung konfigurieren: Der Webseitenbetreiber sollte explizit festlegen, welche Formularfelder maskiert werden (Passwörter, Kreditkarten, PIN-Felder, Sozialversicherungsnummern).
-
AVV/DPA prüfen: Ein Auftragsverarbeitungsvertrag muss vorliegen und Standard Contractual Clauses oder DPF-Zertifizierung enthalten. Der Betreiber muss sicherstellen, dass Inspectlet als Auftragsverarbeiter (Art. 28 DSGVO) eingestuft wird.
-
Datenschutzfolgenabschätzung (DSFA): Session Recording mit Inspectlet kann eine DSFA nach Art. 35 DSGVO auslösen, insbesondere wenn hochsensible Formularinhalte erfasst werden.
-
Betroffenenrechte: Nutzer müssen Auskunft erhalten, ob ihre Sitzung aufgezeichnet wurde und wo sie diese einsehen/löschen können.
-
Opt-Out-Mechanismus: Inspectlet sollte ein Opt-Out-Link oder Cookie-Sperrmöglichkeit bieten, um Nutzer von Tracking auszunehmen.
-
Speicherdauer: Die Aufbewahrungsdauer von Session-Recordings muss dokumentiert sein und sollte sich auf das erforderliche Minimum beschränken (z. B. 30–90 Tage).
I. FAQ
Muss ich Einwilligung vor oder nach dem Laden von Inspectlet einholen?
Die Einwilligung muss vor dem Laden des Inspectlet-Skripts eingeholt werden. Moderne Consent-Management-Plattformen (CMP) nutzen einen „Tag Manager" oder ähnliche Mechanismen, um das Script konditional zu laden.
Ist Inspectlet in Deutschland zulässig?
Inspectlet ist unter den Bedingungen zulässig: (1) wirksame Einwilligung nach TDDDG/DSGVO, (2) gültiger Datenschutztransfer (DPF oder SCCs), (3) AVV mit Inspectlet, (4) DSFA, falls erforderlich. Ohne diese Voraussetzungen ist der Einsatz rechtswidrig und kann zu Bußgeldern führen.
Kann ich Inspectlet ohne Einwilligung für Analytics nutzen?
Nein. Session Recording mit Inspectlet ist nicht vergleichbar mit anonymer oder pseudonymer Statistik. Die Daten sind typischerweise personenbezogen (IP, Cookies, Sessions). Einwilligung ist erforderlich.
Was passiert bei Datenpannen?
Der Webseitenbetreiber und Inspectlet sind verpflichtet, Datenpannen der Aufsichtsbehörde (Landesdatenschutzbehörde) zu melden, wenn ein Risiko für Betroffene besteht. Inspectlet muss als Auftragsverarbeiter unverzüglich benachrichtigen (AVV).
Kann ich Inspectlet mit anderen Tools kombinieren?
Ja, aber die Gesamtkombination von Tools (z. B. Inspectlet + Google Analytics + Hotjar) kann zu erhöhten Anforderungen führen (DSFA, besondere Einwilligung). Datenminimierung ist ratsam – verwende nur die Tools, die du wirklich brauchst.
Wie lange muss ich Session-Recordings speichern?
Die Speicherdauer hängt vom Zweck ab. Typisch sind 30–90 Tage für operative Analysen. Längere Speicherung ist nur mit spezifischem Grund zulässig und muss begründet sein.
J. Fazit und CTA
Der Einsatz von Inspectlet ist in Deutschland und der EU unter strikten Bedingungen zulässig: informierte Einwilligung, gültiger Datenschutztransfer in die USA, Auftragsverarbeitungsvertrag und ggf. Datenschutzfolgenabschätzung. Eine transparente, detaillierte Datenschutzerklärung ist nicht nur rechtliche Pflicht, sondern auch vertrauensfördernd für Besucher.
Webseitenbetreiber sollten:
- Inspectlet-Konfiguration prüfen: Feldmaskierung, Speicherdauer, Opt-Out
- Rechtsgrundlagen dokumentieren: Einwilligung, AVV, Datenschutztransfer-Mechnismus (DPF/SCCs)
- Datenschutzerklärung aktualisieren: Inspectlet, Datenarten, Zwecke, Betroffenenrechte, Kontaktdaten transparent machen
- Regelmäßig auditen: Inspectlet-Policy und DPA sollten mindestens jährlich überprüft werden – besonders bei DPF-Änderungen oder Anbieter-Aktualisierungen
Dieser Leitfaden bietet eine Orientierung für Datenschutz-Compliance bei Inspectlet-Einsatz. Er ersetzt keine individuelle Rechtberatung. Für konkrete Implementierungen wird empfohlen, einen Datenschutzbeauftragten oder Datenschutzrechtler hinzuzuziehen – besonders bei hochsensiblen oder komplexen Szenarien.
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
K. Weitere Ressourcen
DSGVO – Art. 6 (Rechtmäßigkeit)
Rechtsgrundlagen für Datenverarbeitung.
TDDDG – § 25 (Cookies und Tracking)
Anforderungen an Tracking, Cookies und Einwilligung nach deutschem Recht.
EDPB – Leitlinien zu Cookies und elektronischen Identifiern
Offizielle Interpretation durch europäischen Datenschutzrat.
Inspectlet Privacy Policy
Offizielle Datenschutzerklärung des Anbieters – zur Verifizierung aktualisieren.
Autorenschaft
Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.
matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Mehr über Dr. Helbing: www.thomashelbing.com
HubSpot und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu HubSpot: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO), AVV und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.
Inxmail Professional und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu Inxmail: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO), UWG und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.