Microsoft Clarity Datenschutz: Rechtssichere Implementierung und Transparenzpflichten

Microsoft Clarity ist ein kostenloses Session-Recording- und Heatmap-Tool von Microsoft zur Nutzerverhaltensmessung. Für Webseitenbetreiber ist zentral: Clarity verarbeitet personenbezogene Daten (Session-Aufzeichnungen, Klickpfade, Mausbewegungen, IP-Adressen), was eine rechtssichere Integration und transparente Datenschutzerklärung erfordert. Diese Anleitung klärt die DSGVO-Anforderungen, die verarbeiteten Daten und notwendige Transparenzmaßnahmen.

A. Zweck und Funktionsweise von Microsoft Clarity

Microsoft Clarity erfasst das Nutzerverhalten auf Ihrer Website in Echtzeit und speichert diese Daten zur Analyse und Optimierung:

• Session Recording: Videoähnliche Aufzeichnung von Nutzer-Aktivitäten (Klicks, Scrolling, Tastatureingaben)
• Heatmaps: Visualisierung der häufigsten Klick- und Hover-Positionen
• Rage Clicks & Dead Clicks: Erkennung von Frustrationsmomenten (mehrfaches Anklicken, nicht reagierende Elemente)
• Scroll Maps: Zeigen, bis wohin Nutzer scrollen
• Insights-Dashboard: Automatische Anomalien-Erkennung und Empfehlungen
• Conversion Tracking: Verfolgung von Zielkonversionen

Die Integration erfolgt über ein JavaScript-Snippet im <head>- oder <body>-Bereich der Website. Das Snippet wird unmittelbar beim Laden der Seite aktiviert und beginnt Daten zu erfassen.

B. Pflichtangaben bei Einsatz von Microsoft Clarity

Webseitenbetreiber sind verpflichtet, transparente Datenschutzhinweise bereitzustellen:

• Datenschutzerklärung (Art. 13/14 DSGVO): Klar und verständlich, welche Daten Clarity erfasst, zu welchem Zweck und mit welcher Rechtsgrundlage.
• Cookie-Banner / Consent-Management (§ 25 Abs. 1 TDDDG): Vor Aktivierung von Clarity (Session Recording, Cookies, LocalStorage) vorherige Einwilligung erforderlich – es sei denn, es liegt eine andere Rechtsgrundlage vor (z. B. berechtigtes Interesse nach Art. 6 Abs. 1 lit. f, nur unter engen Voraussetzungen).
• Datenverarbeitungsvertrag (AVV nach Art. 28 DSGVO): Mit Microsoft abschließen.
• Datenschutzfolgenabschätzung (DSFA): Ggf. erforderlich bei Einsatz von Session Recording (Art. 35 DSGVO).

C. Anbieter von Microsoft Clarity

Primärer Datenverantwortlicher für Clarity:

Datentransfer:

• Clarity-Daten werden in Azure-Rechenzentren gespeichert, ggf. auch in den USA.
• Microsoft bedient sich des Data Transfer Framework (Adequacy Decision EU-USA) und Standard Contractual Clauses (SCC) für Transfers in die USA.

Privacy-Dokumentation:

• Microsoft Privacy Statement
• Clarity Privacy Statement
• Microsoft Products and Services DPA – für AVV-Anforderungen

DPF-Status: Microsoft hat am Data Privacy Framework der USA teilgenommen und erfüllt damit die Adequacy-Anforderungen der EU. Aber prüfen Sie regelmäßig, da dieser Status politisch umstritten ist und Änderungen unterworfen.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Microsoft Clarity erhobene Daten

Clarity erfasst folgende Kategorien personenbezogener Daten:

Webserver-Protokolldaten

• IP-Adresse (wird teilweise maskiert, bleibt aber personenbezogen)
• User-Agent (Browser, Betriebssystem, Gerätetyp)
• Referrer (von welcher Seite kam der Nutzer)
• Zeitstempel (Datum und Uhrzeit der Aktivität)

Klickpfade und Interaktionsdaten

• Klickkoordinaten (x/y-Position jedes Klicks)
• Angeklickte Elemente (Links, Buttons, Formularfelder – ggf. maskiert)
• Scrolltiefe und Scrollgeschwindigkeit
• Mausbewegungen und Hover-Verhalten
• Tastatureingaben (teilweise erfassbar; Maskierung empfohlen)

Endgeräte-Daten

• Bildschirmauflösung
• Browsertyp und -version
• Betriebssystem
• Gerätetyp (Desktop, Tablet, Mobil)
• Netzwerk-Verbindungstyp (falls verfügbar)

Grobe Standortdaten

• Land und Bundesland (aus IP-Geolokalisierung, nicht präzise)
• Zeitzone

Session-Recording-Daten

• Komplette Rekonstruktion von Nutzer-Aktivitäten (Video-ähnlich)
• Sensible Daten (Passwörter, Kreditkartennummern): Clarity bietet Maskierung; aktivieren Sie diese dringend

Conversion-Ereignisse und Custom Events

• Zielkonversionen (benutzerdefinierten Events), die Sie registriert haben
• Dauer der Session
• Gesamtanzahl der Besuche

F. Nutzungszwecke

Microsoft verarbeitet Clarity-Daten zu folgenden Zwecken:

1. Allgemeine Produktverbesserung

• Analyse von Website-Nutzerverhalten zur Optimierung von Clarity selbst
• Identifikation von Fehlern und Verbesserungspotenzialen
• Benchmarking (anonymisiert)

2. Nutzer-individuelle Produktverbesserung

• Personalisierte Insights basierend auf Ihren spezifischen Daten
• Automatische Anomalieerkennung und Warnungen
• Optimierung des Clarity-Dashboards für Ihre Nutzung

3. Nutzer-individuelles Marketing (nur bei aktiviertem Data Sharing)

• Erstellung von Audience-Segmenten in Microsoft Advertising
• Gezielte Anzeigenauslieferung an Nutzer, die Sie besucht haben
• Cross-Device Tracking (wenn Sie mehrere Microsoft-Dienste nutzen)
• Remarketing-Kampagnen

Hinweis zu Data Sharing: Falls Sie die Verknüpfung mit Microsoft Advertising aktiviert haben, wird Microsoft teilweise eigener Verantwortlicher. Das ändert die Rollenverteilung und erfordert zusätzliche Transparenzmaßnahmen.

G. Rechtsgrundlagen für Microsoft Clarity

1. Kategorisierung nach Datentyp

Session Recording + Heatmaps (Cookies/LocalStorage erforderlich):

• Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG (Deutsches Telekommunikations-Telemedien-Datenschutz-Gesetz)
• Voraussetzung: Vor dem ersten Laden des Clarity-Snippets muss der Nutzer aktiv eingewilligt haben (z. B. via Consent-Banner mit Opt-In-Checkbox)
• Ausnahme: Nur möglich, wenn Clarity für Ihre Website nicht erforderlich ist. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) reicht bei Session Recording regelmäßig nicht aus, da der Eingriff zu erheblich ist.

Analytik ohne Session Recording (z. B. aggregierte Heatmaps):

• Ggf. berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wenn:
  • Die Verarbeitung notwendig ist
  • Ihre Interessen nicht überwiegen
  • Sie mit angemessenen Sicherheitsmaßnahmen arbeiten
• Trotzdem: In Deutschland ist § 25 Abs. 1 TDDDG auch hier oft einschlägig → Einwilligung sicherer

Data Sharing mit Microsoft Advertising:

• Rechtsgrundlage: Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO (Marketing, Remarketing)
• Zweck: Nutzer-individuelle Werbung
• Erforderlich: Separate Einwilligung in Marketing-Cookies (oder Teil des Clarity-Konsents)

2. Drittlandtransfer (USA)

Clarity speichert Daten teilweise in den USA. Microsoft nutzt:

• Data Privacy Framework (DPF-Adequacy Decision): EU-USA Abkommen, ersetzt das Privacy Shield
• Standard Contractual Clauses (SCC): Zusätzliche Schutzklauseln für Drittlandtransfer

Ihre Prüfpflicht:

• Prüfen Sie regelmäßig, ob der DPF-Status Microsoft noch aktuell ist (siehe EU-Kommission)
• Nutzen Sie die Datenschutzfolgenabschätzung (DSFA) nach Art. 35 DSGVO, um Drittland-Risiken zu dokumentieren
• Erwägen Sie zusätzliche Sicherheitsmaßnahmen (Pseudonymisierung, Verschlüsselung, Datenminimierung)

3. Auftragsverarbeiter-Verhältnis

Microsoft ist Auftragsverarbeiter nach Art. 28 DSGVO. Sie als Webseitenbetreiber sind Verantwortlicher. Erforderlich:

• Datenverarbeitungsvertrag (AVV): Schließen Sie den Microsoft Products and Services DPA ab
• Subprozessoren: Microsoft kann Sub-Auftragsverarbeiter einbinden (z. B. für Hosting, Analytics-Auswertung) – nehmen Sie die Subprozessor-Liste zur Kenntnis
• Sicherheitsmaßnahmen (Art. 32): Microsoft hat sich zu angemessenen Maßnahmen verpflichtet; prüfen Sie die Dokumentation

H. Besonderheiten und Hinweise zu Microsoft Clarity

Kritische Punkte

• Data Sharing aktiviert? Standardmäßig können Microsoft Clarity-Daten mit Microsoft Advertising verknüpft werden. Überprüfen Sie Ihre Clarity-Einstellungen und deaktivieren Sie Data Sharing, falls Sie nicht möchten, dass Microsoft die Daten für eigene Werbezwecke nutzt. Falls aktiviert, ist Microsoft Mitverantwortlicher nach Art. 26 DSGVO → zusätzliche Transparenzanforderungen.

• Session Recording ist hochsensibel: Recorded Sessions können Tastendrücke, Formularinhalte und sensible Interaktionen erfassen. Aktivieren Sie die Maskierung sensibler Felder (Kennwörter, Kreditkartennummern, personenbezogene Datenfelder) in den Clarity-Einstellungen.

• IP-Adressen werden erfasst: Auch maskirte IPs gelten als personenbezogene Daten. Dokumentieren Sie in Ihrer Datenschutzerklärung klar, dass IPs verarbeitet werden.

• Kinder-Datenschutz (Art. 8 DSGVO): Falls Ihre Website unter 16-Jährige anspricht, benötigen Sie ggf. Parental Consent oder erhöhte Sorgfalt.

• DPA / AVV mit Microsoft: Stellenweise wird noch von der älteren „Data Protection Addendum (DPA)" gesprochen. Prüfen Sie, dass Sie die aktuelle Version abgeschlossen haben.

Empfohlene Maßnahmen

1. Consent-Management: Setzen Sie ein Cookie-Banner mit Clarity-Checkbox ein (z. B. Cookiebot, Usercentrics, OneTrust)
2. AVV abschließen: Fordern Sie bei Microsoft den DPA/AVV an (meist kostenlos unter Einstellungen → Admin)
3. Datenschutzerklärung anpassen: Nutzen Sie die Textbausteine in Abschnitt J
4. Maskierung aktivieren: Sensible Felder in Clarity-Einstellungen auflisten
5. DSFA erwägen: Bei Session Recording und/oder USA-Datentransfer prüfen Sie Art. 35 DSGVO
6. Datenschutzrichtlinie intern: Schulen Sie Ihr Team, wie mit Recorded Sessions umzugehen ist (wer darf Videos anschauen?)

I. FAQ

J. Fazit und Textbausteine für Ihre Datenschutzerklärung

Microsoft Clarity ist ein mächtiges Analytics-Tool, aber es erfordert sorgfältige datenschutzrechtliche Vorbereitung. Zentrales Risiko: unzureichende Einwilligung und unkontrollierte Weitergabe an Microsoft Advertising.

Textbaustein für Datenschutzerklärung

**Microsoft Clarity**

Auf dieser Website setzen wir Microsoft Clarity ein, ein Web-Analytics-Tool der 
Microsoft Ireland Operations Limited (Dublin, Irland). 

**Verarbeitete Daten:**
Clarity erfasst pseudonymisiert und aggregiert Informationen über die Nutzung unserer 
Website, einschließlich Klicks, Scrollverhalten, Mausbewegungen, Session-Aufzeichnungen 
(Video), IP-Adressen (teilweise maskiert), Browser-Informationen und Gerätedaten. 
Sensible Daten (Passwörter, Zahlungsinformationen) werden durch Maskierungsregeln 
ausgeschlossen.

**Rechtsgrundlage:**
Die Verarbeitung erfolgt auf Grundlage Ihrer Einwilligung nach Art. 6 Abs. 1 lit. a 
DSGVO und § 25 Abs. 1 TDDDG. Sie können Ihre Einwilligung jederzeit über unseren 
Cookie-Banner widerrufen.

**Datenverantwortlicher & Auftragsverarbeitung:**
Verantwortlicher (i.S.d. DSGVO) ist wir. Microsoft fungiert als Auftragsverarbeiter 
nach Art. 28 DSGVO und hat sich zur Einhaltung angemessener Sicherheitsmaßnahmen 
verpflichtet. Ein Datenverarbeitungsvertrag ist abgeschlossen.

**Drittlandtransfer:**
Clarity-Daten werden teilweise in die USA übermittelt. Microsoft bedient sich der 
Data Privacy Framework (DPF) und Standard Contractual Clauses (SCC) für deren 
Übermittlung.

**Ihre Rechte:**
Sie haben das Recht, Informationen über die verarbeiteten Daten zu erhalten (Art. 15), 
diese berichtigen zu lassen (Art. 16), ihre Verarbeitung einzuschränken (Art. 18) oder 
der Verarbeitung zu widersprechen (Art. 21). Nutzer können sich auch direkt bei Clarity 
abmelden.

**Kontakt:**
[Angaben Ihres Unternehmens, z. B. Datenschutzbeauftragter E-Mail]

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com

Weiterführende Ressourcen