Die Analyse des Nutzerverhaltens auf Websites ist entscheidend, um deren Benutzerfreundlichkeit zu verbessern. Microsoft Clarity bietet Unternehmen hierfür ein mächtiges Tool, das detaillierte Einblicke in das Verhalten der Besucher ermöglicht. Doch bei der Nutzung von Analysetools wie Clarity ist es unerlässlich, die Vorgaben der DSGVO zu beachten. In diesem Beitrag erfahren Sie, wie Sie Microsoft Clarity DSGVO-konform einsetzen und dabei die Daten Ihrer Website-Besucher schützen.
Was ist Microsoft Clarity?
Microsoft Clarity ist ein kostenloses Nutzerverhalten-Analyse-Tool, das mit Heatmaps, Session Recordings und KI-gestützten Insights Unternehmen dabei hilft, Website-Schwachstellen zu identifizieren, die User Experience zu optimieren und Conversion-Raten datenbasiert zu steigern – ohne komplexe Einrichtung oder versteckte Kosten.
Es zeichnet das Verhalten der Nutzer auf, indem es unter anderem Sitzungen in Form von Videos erfasst und Heatmaps erstellt, die zeigen, wie Besucher mit der Website interagieren. Zu den erfassten Daten gehören Informationen wie Zugriffszeiten, IP-Adressen, sowie Cursor- und Scroll-Bewegungen. Diese Daten helfen Unternehmen, Problemstellen auf ihrer Website zu identifizieren und das Nutzererlebnis gezielt zu optimieren. Da jedoch personenbezogene Daten verarbeitet werden, ist der Einsatz von Microsoft Clarity aus datenschutzrechtlicher Sicht besonders relevant.
Datenschutzrechtliche Relevanz von Microsoft Clarity
Microsoft Clarity erfasst personenbezogene Daten wie IP-Adressen und Nutzerverhalten, was es aus datenschutzrechtlicher Sicht besonders relevant macht. Nach der DSGVO müssen Unternehmen, die solche Tools einsetzen, strenge Vorgaben einhalten, einschließlich der Einholung der Nutzer-Einwilligung.
Gemäß der DSGVO ist die Verarbeitung personenbezogener Daten durch Microsoft Clarity nur zulässig, wenn die betroffenen Nutzer zuvor ihre ausdrückliche Einwilligung erteilt haben (Art. 6 Abs. 1 lit. a DSGVO). Diese Einwilligung sollte vor Beginn der Datenverarbeitung eingeholt werden, etwa durch einen gut gestalteten Cookie-Banner, der den Nutzer klar über die Datenverarbeitung informiert und ihm die Möglichkeit gibt, zuzustimmen oder abzulehnen. Nur so kann die Nutzung des Tools rechtlich abgesichert und DSGVO-konform erfolgen.
Consent-Signal-Pflicht seit Oktober 2025
Seit dem 31. Oktober 2025 erzwingt Microsoft für alle Besucher aus dem Europäischen Wirtschaftsraum (EWR), dem Vereinigten Königreich und der Schweiz ein gültiges Consent-Signal, bevor das Tracking-Skript Daten sammeln darf. Eine bloße Annahme der Einwilligung reicht nicht mehr aus. Sie müssen ein explizites Signal wie analytics_storage = granted an Clarity übermitteln.
Was passiert ohne Consent-Signal? Clarity läuft dann im sogenannten Restricted Mode. Das bedeutet konkret:
- Session Recordings, Funnel-Tracking und User-Journey-Analysen sind nicht verfügbar
- Jeder Seitenaufruf wird als separate Sitzung behandelt, sodass zusammenhängende Nutzerreisen nicht nachvollziehbar sind
- Returning-Visitor-Daten gehen verloren
- Die Datenqualität sinkt insgesamt erheblich: Sitzungsdauern werden falsch gemessen, und Funnel-Analysen zeigen künstliche Abbrüche
Stellen Sie daher sicher, dass Ihr Cookie-Banner ein korrektes Consent-Signal an Clarity sendet, bevor das Tracking-Skript geladen wird.
Welche Daten erfasst Microsoft Clarity?
Um die DSGVO-Anforderungen korrekt umzusetzen, sollten Sie genau wissen, welche Daten Clarity erhebt. Die folgende Übersicht zeigt die wichtigsten Datenkategorien:
- IP-Adresse (wird zur Standortbestimmung verwendet)
- Standortinformationen (aus der IP-Adresse abgeleitet)
- Browser-Typ und -Version
- Betriebssystem und Gerätetyp (Desktop, Mobil, Tablet)
- Bildschirmauflösung
- Spracheinstellungen
- Referrer-URL (woher der Besucher kommt)
- Zugriffszeitstempel
- Seitenaufrufe und Verweildauer
- Klick-, Scroll- und Mausbewegungen
- Session Recordings (Videoaufzeichnungen der Nutzersitzung)
Cookies von Microsoft Clarity
Clarity setzt mehrere Cookies, die in Ihrer Datenschutzerklärung und Ihrem Cookie-Banner aufgeführt werden sollten:
| Cookie | Zweck | Speicherdauer |
|---|---|---|
_clck |
Speichert die Clarity-Nutzer-ID und Einstellungen | 1 Jahr |
_clsk |
Verknüpft Seitenaufrufe zu einer Sitzung | 1 Tag |
CLID |
Identifiziert den Nutzer geräteübergreifend | 1 Jahr |
ANONCHK |
Prüft, ob der Browser Cookies unterstützt | Session |
MR |
Wird für Microsoft-Tracking verwendet | 1 Woche |
MUID |
Microsoft-weite Nutzeridentifikation | 1 Jahr |
Drittlandtransfer und Data Privacy Framework
Microsoft Clarity wird von der Microsoft Ireland Operations Limited bereitgestellt. Dennoch können Daten an die US-amerikanische Muttergesellschaft übermittelt werden, da Microsoft die Daten in der Azure Cloud verarbeitet.
Diese Datenübermittlung in die USA ist derzeit rechtlich abgesichert, da Microsoft unter dem EU-US Data Privacy Framework (DPF) zertifiziert ist. Auf Basis des Angemessenheitsbeschlusses der EU-Kommission vom Juli 2023 ist die Übermittlung personenbezogener Daten an DPF-zertifizierte US-Unternehmen zulässig.
Wichtig: Die Rechtsgrundlage für den Drittlandtransfer kann sich ändern. Ähnlich wie beim Vorgänger Privacy Shield, das 2020 vom EuGH für ungültig erklärt wurde (Schrems-II-Urteil). Behalten Sie die aktuelle Rechtslage daher im Blick und dokumentieren Sie die DPF-Zertifizierung von Microsoft in Ihrer Datenschutzerklärung.
Schritte zur DSGVO-konformen Nutzung von Microsoft Clarity
Um Microsoft Clarity DSGVO-konform auf Ihrer Website einzusetzen, müssen Sie als Webseitenbetreiber folgende Schritte unternehmen:
Einwilligung der Nutzer einholen
- Cookie-Banner integrieren: Implementieren Sie einen klaren und verständlichen Cookie-Banner, der die Nutzer über die Verwendung von Microsoft Clarity informiert und ihre aktive Zustimmung einholt, bevor das Tool personenbezogene Daten verarbeiten kann.
- Consent-Signal an Clarity senden: Nach erteilter Einwilligung muss das Consent-Signal über den Consent Mode an Clarity übermittelt werden. Laden Sie das Clarity-Skript idealerweise erst nach der Einwilligung dynamisch.
- Opt-In-Option: Stellen Sie sicher, dass die Nutzer ausdrücklich zustimmen müssen (Opt-In), bevor Daten erfasst werden. Der Banner sollte die Möglichkeit bieten, verschiedene Datenverarbeitungen separat zu akzeptieren oder abzulehnen.
- Widerrufsrecht: Der Cookie-Banner sollte auch über das Recht der Nutzer informieren, ihre Einwilligung jederzeit zu widerrufen, und eine einfache Möglichkeit bieten, dies zu tun.
Code-Beispiel: Clarity nach Einwilligung laden
// Clarity erst nach Einwilligung laden
if (userHasConsented('analytics')) {
(function(c,l,a,r,i,t,y){
c[a]=c[a]||function(){(c[a].q=c[a].q||[]).push(arguments)};
t=l.createElement(r);t.async=1;
t.src="https://www.clarity.ms/tag/"+i;
y=l.getElementsByTagName(r)[0];y.parentNode.insertBefore(t,y);
})(window, document, "clarity", "script", "IHRE_PROJECT_ID");
// Consent-Signal an Clarity senden
window.clarity('consent');
}
// Bei Widerruf der Einwilligung: Clarity-Cookies löschen
function revokeClarityConsent() {
var cookies = ['_clck', '_clsk', 'CLID', 'ANONCHK', 'MR', 'MUID'];
cookies.forEach(function(name) {
document.cookie = name + '=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/;';
});
}
Eingabefelder maskieren
Sensible Daten schützen: Stellen Sie sicher, dass alle Eingabefelder, die sensible oder personenbezogene Daten enthalten könnten, in den Screen-Recordings von Clarity maskiert werden. Nutzen Sie hierfür das Attribut data-clarity-mask="true" in den relevanten HTML-Tags, um eine zusätzliche Sicherheitsebene zu gewährleisten.
Session Recordings: Risiken beachten
Ein besonderer Aspekt von Microsoft Clarity sind die Session Recordings, also Videoaufzeichnungen, die das Verhalten einzelner Nutzer auf Ihrer Website wiedergeben. Aus Datenschutzsicht sollten Sie folgende Punkte beachten:
- Kein natives Opt-out: Microsoft Clarity bietet Nutzern keine eigene Möglichkeit, die Aufzeichnung ihrer Sitzung zu verhindern. Die vorherige Einwilligung über Ihren Cookie-Banner ist daher umso wichtiger.
- Do-Not-Track wird ignoriert: Clarity respektiert den Do-Not-Track-Header des Browsers nicht. Auch deshalb ist eine aktive Einwilligung (Opt-In) die einzig rechtssichere Lösung.
- Maskierung konsequent einsetzen: Neben Eingabefeldern sollten Sie auch andere Bereiche mit sensiblen Inhalten maskieren, beispielsweise Kontodaten, persönliche Nachrichten oder medizinische Informationen.
Vertrag zur Auftragsverarbeitung (AV-Vertrag) abschließen
Da Microsoft bei der Nutzung von Clarity als Auftragsverarbeiter auftritt, müssen Sie einen AV-Vertrag mit Microsoft abschließen. Microsoft stellt diesen über die Online Services Terms und das Data Protection Addendum (DPA) bereit. Der AV-Vertrag ist in der Regel automatisch Bestandteil der Nutzungsbedingungen, wenn Sie ein Microsoft-Konto für Clarity anlegen.
Prüfen Sie dennoch, ob der Vertrag die folgenden Punkte abdeckt:
- Welche Nutzerdaten erhoben werden und wie lange sie gespeichert werden
- Zu welchem Zweck die Verarbeitung erfolgt
- Welche Rechte und Pflichten beide Seiten haben
- Welche technischen und organisatorischen Maßnahmen (TOMs) Microsoft zum Schutz der Daten umsetzt
Datenschutzerklärung anpassen
- Informationen zur Datenerhebung: Aktualisieren Sie Ihre Datenschutzerklärung, um die Verwendung von Microsoft Clarity transparent zu machen. Erläutern Sie, warum und welche Daten gesammelt werden, wie lange diese gespeichert werden, und auf welcher Rechtsgrundlage dies geschieht.
- Drittlandtransfer dokumentieren: Weisen Sie auf die mögliche Datenübermittlung in die USA hin und nennen Sie die DPF-Zertifizierung von Microsoft als Rechtsgrundlage.
- Verweis auf AV-Vertrag: Weisen Sie darauf hin, dass Sie einen AV-Vertrag mit Microsoft abgeschlossen haben.
- Widerspruchsrecht: Informieren Sie die Nutzer über ihr Recht, der Datenverarbeitung zu widersprechen, und bieten Sie Anleitungen, wie dies umgesetzt werden kann.
Muster-Text für Ihre Datenschutzerklärung
Den folgenden Textbaustein können Sie als Orientierung für Ihre eigene Datenschutzerklärung verwenden. Er basiert auf den Anforderungen der DSGVO und gängigen Empfehlungen von Datenschutzportalen. Passen Sie den Text an Ihre konkreten Gegebenheiten an und lassen Sie ihn im Zweifel von einem Datenschutzbeauftragten prüfen.
Wir nutzen Microsoft Clarity, einen Webanalysedienst der Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, Irland). Clarity erstellt Heatmaps und zeichnet anonymisierte Nutzersitzungen auf, um die Benutzerfreundlichkeit unserer Website zu verbessern. Dabei werden unter anderem folgende Daten verarbeitet: IP-Adresse, Standortinformationen, Browser- und Geräteinformationen, Bildschirmauflösung, Spracheinstellungen, Referrer-URL, Klick-, Scroll- und Mausbewegungen sowie Zugriffszeitstempel. Rechtsgrundlage für die Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft über unsere Cookie-Einstellungen widerrufen. Wir haben mit Microsoft einen Auftragsverarbeitungsvertrag geschlossen. Daten können an Microsoft in die USA übermittelt werden; Microsoft ist unter dem EU-US Data Privacy Framework zertifiziert.
Nachweispflicht für Einwilligungen
Die DSGVO verlangt, dass Sie erteilte Einwilligungen nachweisen können (Art. 7 Abs. 1 DSGVO). Dokumentieren Sie daher:
- Wer wann seine Einwilligung erteilt hat
- Welcher Consent-Text zum Zeitpunkt der Einwilligung angezeigt wurde
- Welche Version des Cookie-Banners aktiv war
Die meisten Consent-Management-Plattformen (CMPs) wie Cookiebot, Borlabs Cookie oder Complianz übernehmen diese Dokumentation automatisch. Prüfen Sie, ob Ihre CMP diese Funktion unterstützt.
Wenn Sie Unterstützung bei der Implementierung oder der datenschutzkonformen Auswertung von Microsoft Clarity benötigen, steht Ihnen readData mit fundiertem Fachwissen und praxisnahen Lösungen zur Seite. Wir helfen Ihnen dabei, Microsoft Clarity effizient und sicher in Ihren Webauftritt zu integrieren.
Quellen und weiterführende Links
- Microsoft Clarity: Cookie Consent Setup (Microsoft Learn)
- Art. 6 DSGVO / Art. 7 DSGVO / Art. 28 DSGVO (dejure.org)
- Datenschutzerklärung für Microsoft Clarity (eRecht24)
- Microsoft Clarity DSGVO (Cookiebox)
- Microsoft Clarity Consent Signal Deadline (CookieHub)
- EU-US Data Privacy Framework (offizielle Seite)
Anna ist eine erfahrene Webanalyse-Spezialistin und Expertin in der Verwendung von Webanalyse-Tools wie Google Analytics, Adobe Analytics und Piwik, um Kunden dabei zu helfen, wertvolle Einblicke in ihre Website-Besucher zu gewinnen. Mit ihrem tiefen Verständnis für die Analyse von Daten und der Identifizierung von Mustern hilft Anna ihren Kunden, ihre Online-Präsenz zu verbessern und ihr Geschäft auszubauen.