Screen-Recording und EU-DSGVO

Screen-Recording und EU-DSGVO: Hotjar und Mouseflow datenschutzkonform einsetzen

Welche konkreten Maßnahmen die beliebtesten Screen-Recording-Anbieter im Zuge der bald anstehenden DSGVO empfehlen, stellen wir hier kurz vor. Plus eine Schnell-Check-Möglichkeit, um zu sehen, wo welche Marketing-Tools auf der Website im Einsatz sind.

Derzeit überschlagen sich Tool-Anbieter mit Informationen zum im Mai 2018 aktiv werdenden Datenschutz-Gesetz EU-DSGVO (engl. GDPR) das bekanntlich einige wichtige Anpassungen erfordert und empfindliche Strafen androht.

Auch wenn noch keiner so genau wissen kann, wie die DSGVO angewendet und überprüft wird (sprich: wann abgemahnt wird), haben Tool-Hersteller, die den Datenschutz berücksichtigen natürlich einen Konkurrenzvorteil und geben zweifelnden Anwendern zumindest etwas mehr Sicherheit in dieser Frage. Was empfehlen also Hotjar und Mouseflow ihren Nutzern? (Stand: 21.11.2017)

Heatmaps und Mouse-Tracking mit Hotjar
Heatmaps und Mouse-Tracking mit Hotjar

 

Hotjar-Nutzer aufgepasst: Vertrag zur Auftragsdatenverarbeitung notwendig

Hotjar Logo

Auf Hotjars Website zum Thema GDPR werden derzeit mindestens zwei Punkte angesprochen, die Nutzer berücksichtigen sollten:

  1. Datenschutzangaben auf der Website überprüfen (lassen). Es muss klar werden, wie und zu welchem Zweck Hotjar eingesetzt wird.
    Im Original: Make sure your Terms of Service or Privacy Policy properly communicate to your users how you are using Hotjar (and any other similar services) on your website or app. This requirement has always been part of Hotjar’s Terms of Service, but the GDPR can heavily penalize you if you’ve not done this clearly. We recommend you ensure your policies are up to date and clear to your readers.“
  1. Vertrag zur Auftragsdatenverarbeitung mit Hotjar unterschreiben und absenden. Der 18-seitige, auf der Hotjar-Website bereitgestellte Vertrag ist wie z. B. auch bei Google Analytics notwendig dafür, dass der Tool-Anbieter die formale Erklärung des Unternehmens bekommt die Daten zu verarbeiten.
    Im Original: If you are in the European Union you’ll likely want to sign a Data Processing Agreement with Hotjar. We’re happy to do so. Working with outside counsels in Germany and Malta we’ve updated this document to be in compliance with GDPR and other generally acceptable privacy laws.”

Weiterhin stellt Hotjar den Fortschritt ihrer eigenen GDPR-Roadmap übersichtlich dar. So sieht man, dass ein Datenschutzbeauftragter benannt wurde und Datenschutz-Anforderungen zur Überarbeitung der Tools erstellt und derzeit umgesetzt werden.

Mouseflow und die DSGVO: Konkretere Anweisungen bei der Entfernung persönlicher Daten im Screen-Recording

Mouseflow Logo

Der übersichtliche DSGVO-Artikel von Andrea Richter im Mouseflow-Blog bringt noch mehr Licht ins Dunkel. Es werden zum einen die Definitionen „Wer ist Verantwortlicher und wer ist Auftragsverarbeiter?“ sowie konkrete Maßnahmen zum Umgang mit personenbezogenen Daten gegeben.

Denn es „ist zukünftig sicherzustellen, dass keine personenbezogenen Daten erfasst werden und die Datenverarbeitung im Optimalfall ausschließlich innerhalb der EU stattfindet.“ (Quelle: o.g. Artikel im Mouseflow-Blog., Abruf: 21.11.2017)

Folgende Hinweise gibt Mouseflow im Zusammenhang mit personenbezogenen Daten:

  1. Personenbezogene Daten aus der Aufnahme entfernen, z. B. oft auf Bestätigungsseiten in Abschlussformularen oder im Warenkorb zu finden. Mouseflow ermöglicht dafür mit einer Anleitung, einzelne Seiten aus der Screen-Aufnahme auszuschließen. Einige Daten könnten jedoch global entstehen und sollten dann ausgeschlossen werden, z. B. in einer Login-Leiste mit Klartextnamen wie „Willkommen Max Mustermann“
  2. Die Website mit eigenen persönlichen Angaben selber testen und nachsehen, ob die Aufnahme diese Daten nicht enthält.

Zusätzlich bietet Mouseflow seinen Kunden die Option an, den Mouseflow-Support zu kontaktieren um genauer beraten werden zu können.

Datenschutz ist noch viel mehr

Natürlich sind die genannten Beispiele nur ein kleiner Ausschnitt aus dem was für die DSGVO tatsächlich notwendig ist, da durch die Verordnung ganze Unternehmens-Prozesse betroffen sind. Ein Beispiel: Gibt es eine Möglichkeit, dass ein Nutzer seine Daten einsehen und löschen lassen kann? Alleine ein Online-Shop, Website oder Web-Anwendung hat z. B. durch zahlreiche Ad-Trackings eine hohe Komplexität und der Überblick ist durch ständige Website-Anpassungen oft keinem mehr klar.

Bitte beachten: Dieser Artikel gibt nur beispielhafte Hinweise und stellt keine Rechtsberatung dar. Es wird ausdrücklich empfohlen, die für Sie relevanten EU-DSGVO-Anforderungen mit Ihrem Rechtsberater zu klären. Natürlich möglichst rechtzeitig und vor Inkrafttreten der Verordnung.

Website-Tool-Check als Download:
So bekommen Sie heraus wo Mouse-Tracking und andere Tools eingesetzt werden

In Vorbereitung auf die anstehenden Änderungen macht ein Blick auf die eigene Website Sinn um zu prüfen, welche Tools ggf. noch im Einsatz sind. Denn auch CMS-Plugins oder Ad-Formate auf der Website bringen eigene Tracking-relevante Tools mit, von denen man oft nichts weiß, die aber datenschutzrelevant gemäß DSGVO sind.

Zumindest Website-Verantwortliche und Online-Marketer als Hauptanwender von diversen Analytics- und Ad-Tracking-Pixeln und Marketing-Tools, sollten einen guten Überblick über die aktuell eingesetzten Tools im Code und Tagmanager haben.

Schneller Erst-Check: PDF-Download

Bestätigen Sie nach Download optional Ihre Anmeldung zum Newsletter.

Ralf Schukay

Ralf Schukay ist Team-Lead Analytics und Conversion-Optimierung bei der mediaworx berlin AG. Zusammen mit seinem Team realisiert er zahlreiche Analytics-Projekte und Performance-Verbesserungen für Marktführer im E-Commerce, Finanzdienstleister und Versicherungen.

E-Mail
Artikel teilen