Über die Autoren

Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV
Marketing Experte & Geschäftsführer der Frame for Business GmbH

Florian Decker
Angestellter Rechtsanwalt
Kanzlei RAe Dr. Schultheiß

Marketing Experte & Geschäftsführer der Frame for Business GmbH

Max Frings
Co-Founder
VE Virtual Entity GmbH

Das Tool Hotjar des in Malta ansässigen Unternehmens Hotjar Ltd ist ein beliebtes Analysetool, das dazu dient, das Verhalten von Nutzern zu tracken.

Ausgangssituation

Hier kann man Folgendes zum Thema Serverstandort nachlesen:

Der Serverstandort ist somit Irland, allerdings ist ein Zugriff auf dort gespeicherte Daten durch US-Behörden auf Grund des CLOUD-Acts möglich, da es sich bei Amazon um einen US-amerikanischen Konzern handelt. Zudem scheint auch eine Übertragung von Daten in die USA nicht ausgeschlossen. Des Weiteren gibt Hotjar auch an, auf sub-processors außerhalb der EU Daten zu verarbeiten. Da dies unter der Überschrift „Data Saftey, Privacy & Securtiy“ mitgeteilt wird, scheint hier auch die Verarbeitung von personenbezogenen Daten) zu erfolgen.

Zwischenergebnis

Aufgrund der aufgezeigten Problematik ist unserer Einschätzung nach, derzeit keine sicher rechtskonforme Nutzung des Tools möglich, insbesondere nach dem  EuGH-Urteil vom 16.07.2020 „Schrems II“  aber auch nach der Stellungnahme der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in ihrer Orientierungshilfe vom 20.12.2021:

„Personenbezogene Daten, die im Zusammenhang mit der regelmäßigen Nachverfolgung von Nutzerverhalten auf Webseiten oder in Apps verarbeitet werden, können grundsätzlich nicht auf Grundlage einer Einwilligung nach Art. 49 Abs. 1 lit. a DS-GVO in ein Drittland übermittelt werden. Umfang und Regelmäßigkeit solcher Transfers widersprechen regelmäßig dem Charakter des Art. 49 DS-GVO als Ausnahmevorschrift und den Anforderungen aus Art. 44 S. 2 DS-GVO.“

Wobei man hierzu sagen muss, dass diese Stellungnahme zwar wichtig ist, allerdings keine Rechtsverbindlichkeit entfaltet. Dennoch ist ein Einsatz von Hotjar derzeit mit erheblichen Risiken behaftet. Daher ist zur raten, nach Alternativen zu suchen. Allenfalls Maßnahmen zur Risikominimierung erscheinen möglich. Im Folgenden erklären wir, wie Sie diese umsetzen können.

Risikominimierung

1. Abschluss des DPA

Hotjar bietet den Abschluss eines Auftragsverarbeitungsvertrages, zu Englisch also eines Data Processing Agreement (DPA) an. Sofern Sie das Tool trotz der bestehenden Problematik einsetzen wollen, sollten Sie das DPA mit Hotjar in jedem Fall abschließen, falls noch nicht geschehen. Hier können Sie dieses abrufen und abschließen: https://www.hotjar.com/legal/support/dpa/

2. Informierte Einwilligung

Wir haben einen Test-Account für das Tool erstellt und auf einer Testumgebung mittels eines manuellen Codes eingebunden. Beim folgenden Test traten diverse externe Verbindungen zu Tage, zudem werden Cookies gesetzt und der Session Storage wird beschrieben. Man benötigt daher allein aus diesen Gründen definitiv die Einwilligung der User zu Nutzung des Tools und dies aus mehreren Gründen: Möglicher Zugriff von US-Behörden, Setzen von Cookies, Beschreiben des Session Storage sowie Tracking von Nutzerverhalten (auch wenn die DSK, die Einwilligung hierfür als nicht ausreichende Rechtsgrundlage ansieht). Dabei ist es sehr wichtig, dass der Dienst als anfängliche Grundeinstellung vollständig geblockt wird (und geblockt bleibt, wenn ein Nutzer nicht einwilligt) und erst entblockt wird, sobald die Einwilligung erteilt wurde. Für die entsprechende technische Umsetzung empfehlen wir Ihnen unseren Kooperationspartner Max Frings, Geschäftsführer der VE Virtual Entity GmbH und Mitautor dieses Artikels. Den entsprechenden Einwilligungstext können Sie zum Beispiel von uns erhalten.

3. Klausel in die Datenschutzerklärung aufnehmen

Zudem ist es wichtig, dass Sie eine Klausel in Ihre Datenschutzerklärung aufnehmen, die den Sachverhalt möglichst genau beschreibt, und vor allem auf die Risiken, die mit einer Datenübertragung in die USA verbunden sind, aufklärt.

Fragen oder Hilfe?

Gerne helfen wir Ihnen dabei Ihre Website abmahnsicher zu machen.

Senden Sie uns Ihre Fragen einfach über das Kontaktformular oder per E-Mail an info@frame-for-business.de. Wir freuen uns auf Ihre Nachricht.

Datenschutzrechtlicher Hinweis* (Pflichtfeld)