Yandex Metrica und Datenschutz – Was in die Datenschutzerklärung gehört

Yandex Metrica ist ein russisches Web-Analytics- und Session-Recording-Tool, das Webseitenbetreibern ermöglicht, Nutzerverhalten zu analysieren. Es erhebt dabei umfangreiche Daten – von Klickpfaden über Session Recordings bis zu Heatmaps – und überträgt diese nach Russland, einem unsicheren Drittland ohne EU-Angemessenheitsbeschluss.

Wer Yandex Metrica einsetzt, muss in der Datenschutzerklärung klar offenlegen, welche Daten erhoben werden, zu welchen Zwecken, auf welcher Rechtsgrundlage und – besonders wichtig – dass ein Drittlandtransfer nach Russland stattfindet. Ohne entsprechende Transparenz und rechtliche Grundlagen verstößt die Nutzung gegen die DSGVO.

A. Zweck und Funktionsweise von Yandex Metrica

Yandex Metrica kombiniert klassische Web-Analytics mit fortgeschrittenen Session-Tracking-Funktionen:

• Web-Analytics: Seitenzugriffe, Verweildauer, Absprungrate, Traffic-Quellen
• Session Recording (Webvisor): Aufzeichnung von Mausbewegungen, Klicks, Scrolling und Tastatureingaben innerhalb einzelner Nutzersessions
• Heatmaps: Visuelle Darstellung, wo und wie häufig Nutzer klicken oder scrollen
• Form Analyzer: Analyse von Formularinteraktionen und Abbruchquoten
• Conversion Tracking: Verfolgung von Zielkonversionen und Event-basierte Metriken
• Geräteerkennung: Erfassung von Browser, Betriebssystem, Gerätetyp, Auflösung

Die Datenerfassung erfolgt durch ein JavaScript-Snippet, das in den HTML-Code der Website eingebunden wird.

B. Pflichtangaben bei Einsatz von Yandex Metrica

Betreiber einer Website, die Yandex Metrica nutzt, müssen in ihrer Datenschutzerklärung mindestens folgende Punkte adressieren:

1. Dass Yandex Metrica eingesetzt wird – klare Nennung des Tools
2. Welche Daten erhoben werden – Auflistung der Datenarten
3. Zu welchem Zweck – Analyse und Optimierung der Website
4. An wen die Daten übermittelt werden – Nennung von Yandex LLC
5. Dauer der Speicherung – Cookie-Lebensdauer und Session-Daten
6. Rechtsgrundlage – meist Einwilligung für Cookies und Session Recording
7. Drittlandtransfer – expliziter Hinweis auf Russland als unsicheres Drittland
8. Widerspruchsmöglichkeiten – Opt-out, Cookie-Ablehnung, Browsereinstellungen

C. Anbieter von Yandex Metrica

Anbieter: Yandex LLC (Yandex Limited Liability Company)
Sitzland: Russland
Privacy Policy: https://yandex.com/legal/privacy/

Unternehmensstruktur nach 2022: Nach geopolitischen Ereignissen hat Yandex seine Unternehmensstruktur umgebildet. Die Nachfolgestrukturen und aktuelle Verantwortlichkeiten sind komplex und sollten im Einzelfall mit Yandex geklärt werden. Rechtlich relevant bleibt: Daten werden in das russische Staatsgebiet übermittelt.

Kritischer Hinweis: Russland als unsicheres Drittland

Russland ist kein Drittland mit EU-Angemessenheitsbeschluss. Darüber hinaus gibt es dort:

• Keine anerkannten Datenschutzstandards auf EU-Niveau
• Staatliche Zugriffsmöglichkeiten auf Daten nach russischem Recht (z. B. Föderales Gesetz Nr. 152-FZ)
• Keine wirksamen Rechtsmittel für EU-Bürger gegen staatliche Eingriffe
• Kein Datenschutzrahmen vergleichbar mit GDPR/DSGVO

Ein Datentransfer nach Russland unter DSGVO ist damit regelmäßig rechtlich problematisch.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Yandex Metrica erhobene Daten

Yandex Metrica erhebt ein breites Spektrum von Daten:

Webserver-Protokolldaten

• IP-Adresse des Nutzers
• Zugriffszeitpunkt und -dauer
• HTTP-Referrer (Quelle des Zugriffs)
• User-Agent (Browser, Betriebssystem)

Klickpfade und Navigationsverhalten

• Besuchte Seiten innerhalb der Website
• Reihenfolge und zeitliche Abfolge
• Verweildauer pro Seite
• Ausstiegsseite

Endgeräte- und Browserinformationen

• Gerätetyp (Desktop, Tablet, Smartphone)
• Bildschirmauflösung
• Browser-Typ und -Version
• Betriebssystem und -Version

Grobe Standortdaten

• Land und Stadt (basierend auf IP-Geolokalisierung)
• Zeitzone

Interaktionsdaten (Session Recording, Heatmaps)

• Mausbewegungen und -klicks
• Tastatureingaben (ggf. sensible Daten in Formularen)
• Scrolling-Verhalten
• Zeitpunkte von Interaktionen

Conversion-Ereignisse und benutzerdefinierte Events

• Klicks auf spezifische Elemente
• Formularausfüllung und -abbrecher
• Zielkonversionen (z. B. Käufe, Anmeldungen)

Nutzerprofile und IDs

• Persistente User-ID (via Cookie oder LocalStorage)
• Yandex-Nutzer-ID (falls angemeldet)
• Session-ID für Zwecke der Session-Zuordnung

F. Nutzungszwecke

Yandex Metrica verarbeitet Daten zu folgenden Zwecken:

1. Allgemeine Produktverbesserung – Verständnis, wie Nutzer die Website nutzen
2. Statistik und Reporting – Berichte zu Traffic, Konversionen und Nutzerverhalten
3. Nutzerprofil-Erstellung – Aggregation von Verhaltensmustern über Sessions hinweg
4. Nutzer-individuelle Produktverbesserung – Optimierung der Website basierend auf Nutzergruppen
5. Ggf. Nutzer-individuelles Marketing – Retargeting (abhängig von Yandex-Ecosystem-Integration)

G. Rechtsgrundlagen für Yandex Metrica

1. Tracking als eingriffsintensive Verarbeitung

Yandex Metrica ist ein Tracking-Tool, das zum Zweck der Statistik und des Session Recording eingesetzt wird. Die Verarbeitung ist eingriffsintensiv, da:

• Session Recording das gesamte Nutzerverhalten aufzeichnet
• Mausbewegungen, Klicks und Eingaben erfasst werden (ggf. sensible Daten)
• Persistente User-IDs verwendet werden

2. Erforderliche Rechtsgrundlagen

a) Einwilligung (Art. 6 Abs. 1 lit. a DSGVO + § 25 Abs. 1 TDDDG)

Für Cookies und Session Recording ist eine explizite, informierte Einwilligung zwingend erforderlich. Diese muss:

• Vor Aktivierung des Tracking eingeholt werden (Opt-in, nicht Opt-out)
• Granular sein (separate Einwilligung für Session Recording vs. Web-Analytics)
• Leicht widerrufbar sein
• Rechtsgrundlage deutlich machen (DSGVO Art. 6 Abs. 1 lit. a + TDDDG § 25)

b) Drittlandtransfer: Standard Contractual Clauses (SCC, Art. 46 DSGVO)

Für die Übermittlung nach Russland ist erforderlich:

• Standardvertragsklauseln (SCC) zwischen Webseitenbetreiber und Yandex
• Ergänzende Maßnahmen nach Schrems II-Rechtsprechung (EuGH C-311/18):
  • Transfer Impact Assessment (TIA) durchführen
  • Überprüfung von Zugriffsrechten im Zielland
  • Ggf. Verschlüsselung auf Übertragungswege oder Pseudonymisierung
• Fallweise Prüfung: Transfer zu weniger invasiven Zeiten oder technische Anonymisierung

Hinweis: Yandex muss (oder sollte) SCC anbieten. Deren Verfügbarkeit sollte im Vorfeld geklärt werden.

c) Problematik: Art. 49 Abs. 1 lit. a DSGVO (Einwilligung für Drittland)

Theoretisch könnten Drittlandtransfers auf Art. 49 Abs. 1 lit. a DSGVO gestützt werden (Einwilligung, wenn SCC nicht ausreichen). Dies ist aber nur für gelegentliche Transfers sinnvoll, nicht für kontinuierliche Analytics.

H. Besonderheiten und Hinweise zu Yandex Metrica

• Unsicheres Drittland Russland: Transfers erfordern eine begründete rechtliche Prüfung und regelmäßig SCC + Schrems-II-Einzelfallprüfung (TIA).

• Session Recording: Eingriffsintensität: Besonders die Aufzeichnung von Tastatureingaben, Mausbewegungen und Scrolling-Verhalten ist datenschutzrechtlich sensibel. Masking-Funktionen (z. B. für Eingabefelder) sollten aktiviert sein.

• AVV-Verfügbarkeit: Es muss geklärt werden, ob Yandex einen Data Processing Agreement (DPA / Auftragsverarbeitungsvertrag) anbietet und unter welchen Bedingungen.

• Verantwortlichkeit: Je nach Dienstkonfiguration kann Yandex als Auftragsverarbeiter (Art. 28 DSGVO) oder als gemeinsam Verantwortlicher (Art. 26 DSGVO) auftreten. Dies sollte vertraglich geklärt sein.

• Einstellungsoptionen:

  • Cookie-Tracking deaktivierbar über Browser-Einstellungen
  • Webvisor (Session Recording) kann vom Nutzer abgelehnt werden
  • Anonymisierungsflags können ggf. aktiviert werden (im Admin-Bereich)

• Webanalytics vs. Session Recording: Es ist rechtskonform, Web-Analytics (IP, Klickpfade, grobe Standortdaten) zu nutzen. Session Recording ist regelmäßig nur mit zusätzlichen Schutzmaßnahmen (Maskierung, Einwilligung, Datenminimierung) zu verantworten.

I. FAQ

J. Muster-Textbaustein für die Datenschutzerklärung

### Yandex Metrica

Wir nutzen **Yandex Metrica**, einen Web-Analytics- und Session-Recording-Dienst der 
Yandex LLC (Russland), um die Nutzung unserer Website zu analysieren und zu optimieren.

#### Erhobene Daten
- IP-Adresse und Nutzer-ID
- Besuchte Seiten, Klickpfade, Verweildauer
- Geräteinformationen (Browser, Betriebssystem, Bildschirmauflösung)
- Grobe Standortdaten (Land, Stadt)
- **Session Recording:** Mausbewegungen, Klicks, Scrolling, Tastatureingaben (ggf. maskiert)
- Conversion-Events und benutzerdefinierte Metriken

#### Rechtsgrundlage
- **Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG)**  
  Ihr Browsercookie und die Session Recording werden nur mit Ihrer ausdrücklichen 
  Zustimmung aktiviert.
  
- **Drittlandtransfer (Art. 46 DSGVO – Standard Contractual Clauses)**  
  Ihre Daten werden an Yandex LLC in Russland übermittelt. Russland ist ein Land ohne 
  anerkannten Datenschutz auf EU-Niveau. Wir haben Standardvertragsklauseln abgeschlossen 
  und führen bei Bedarf eine Transfer-Impact-Analyse durch, um ein angemessenes 
  Schutzniveau zu gewährleisten.

#### Speicherdauer
- Analytics-Cookies: Üblicherweise 2 Jahre
- Session-Daten: bis zu 30 Tage
- User-Profil: abhängig von Yandex-Einstellungen

#### Ihre Rechte
- **Widerruf der Einwilligung** jederzeit möglich
- **Opt-out** durch Cookie-Ablehnung oder Browsereinstellungen
- **Weitere Informationen** in der [Datenschutzerklärung von Yandex](https://yandex.com/legal/privacy/)

#### Datenschutzbeauftrager von Yandex
Kontaktieren Sie Yandex unter den Angaben in deren Datenschutzerklärung für Auskunfts- 
und Löschanfragen.

K. Fazit und nächste Schritte

Der Einsatz von Yandex Metrica wirft wegen des Drittlandtransfers nach Russland, des fehlenden Angemessenheitsbeschlusses und der Eingriffsintensität von Session Recording erhöhte datenschutzrechtliche Anforderungen auf.

Der Transfer ist nicht grundsätzlich verboten, erfordert aber:

1. Einwilligung vor Aktivierung (Opt-in)
2. SCC mit Yandex abschließen (oder verfügbarkeit klären)
3. Transfer Impact Assessment (TIA) durchführen (Schrems-II-Einzelfallprüfung)
4. Ggf. Datenminimierungsmaßnahmen (IP-Kürzung, Feldmaskierung)
5. Transparenz in der Datenschutzerklärung (obige Muster)

Deren Erfüllung im Einzelfall vom Webseitenbetreiber zu prüfen ist.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com