Hotjar DSGVO: Ist Hotjar datenschutzkonform?
Hotjar ist in Malta (EU) registriert — nutzt aber US-amerikanische AWS-Server. Wir erklären das Malta-Paradox, die konkreten DSGVO-Risiken und zeigen, welche europäischen Alternativen ohne US-Transfer-Problem auskommen.
Das Wichtigste auf einen Blick
- ⚠Hotjar ist in Malta (EU) registriert — speichert Daten aber auf US-Servern (AWS)
- ⚠US-Datentransfer = CLOUD-Act-Risiko, auch mit AVV und Standard-Vertragsklauseln
- ⚠Deutsche DSK stuft Session Recordings pauschal als hohes DSGVO-Risiko ein
- ⚠Cookie-Einwilligung (Consent-Banner) ist vor dem Laden von Hotjar zwingend Pflicht
- ⚠Hotjar stellt einen AVV bereit — er eliminiert das US-Transfer-Problem nicht
- ⚠Hotjar ist nicht HIPAA-konform — nicht für Gesundheitswebsites geeignet
Das Malta-Paradox: Warum die EU-Registrierung nicht ausreicht
Hotjar wurde 2014 in Malta gegründet und gehört seit 2021 zum französischen Unternehmen Contentsquare. Auf den ersten Blick klingt das beruhigend: europäisches Unternehmen, europäischer Käufer. Aber für die DSGVO ist nicht der Unternehmenssitz entscheidend, sondern der Speicher- und Verarbeitungsort der Daten.
Und hier liegt das Problem: Hotjar speichert Session Recordings, Heatmap-Daten und Besucherprofile auf Servern von Amazon Web Services (AWS) in den USA. Damit handelt es sich um eine Drittlandsübermittlung nach Art. 44 ff. DSGVO — mit allen damit verbundenen Anforderungen und Risiken.
Der US CLOUD Act (2018) erlaubt es amerikanischen Behörden, von AWS die Herausgabe dieser Daten zu verlangen — ohne die betroffenen Personen oder europäische Datenschutzbehörden informieren zu müssen. Standard-Vertragsklauseln (SCCs) sind zwar rechtlich erforderlich, schützen aber nicht vor staatlichem Zugriff nach dem CLOUD Act.
Die konkreten DSGVO-Probleme von Hotjar
US-Datentransfer via AWS
Hotjar nutzt AWS-Rechenzentren in den USA als primäre Infrastruktur. Auch mit einem AVV und SCCs bleibt das Risiko: US-Behörden können über den CLOUD Act Datenzugriff erzwingen. Der Europäische Gerichtshof (EuGH) hat im Schrems-II-Urteil (C-311/18) klargestellt, dass SCCs allein nicht ausreichen, wenn im Drittland kein gleichwertiges Datenschutzniveau besteht.
IP-Adressen als personenbezogene Daten
Hotjar erfasst standardmäßig die IP-Adressen der Website-Besucher. Nach ständiger EuGH-Rechtsprechung gilt die IP-Adresse als personenbezogenes Datum. Das Speichern auf US-Servern ohne gültige Rechtsgrundlage oder aktive Einwilligung ist ein DSGVO-Verstoß. Hotjar bietet zwar IP-Anonymisierung an — diese muss aber explizit konfiguriert werden.
Cookie-Pflicht nach § 25 TDDDG
Hotjars JavaScript-Tracking-Code setzt Cookies und LocalStorage-Einträge im Browser. Gemäß § 25 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz) ist dafür eine vorherige, aktive Einwilligung erforderlich. Ein reines Opt-out, ein stillschweigendes Einverständnis oder das nachträgliche Laden nach Seitenaufruf reicht nicht aus — Hotjar darf erst nach dem Klick auf 'Akzeptieren' geladen werden.
Session Recordings und DSFA-Pflicht
Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) stuft Session-Replay-Tools in ihrer Orientierungshilfe als hohes Risiko ein. Das löst in vielen Fällen die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO aus. Wer Hotjar betreibt, ohne diese DSFA dokumentiert zu haben, kann sich im Prüfungsfall nicht auf Unwissenheit berufen.
Hotjar DPA: Der AVV ist Pflicht — löst das Problem aber nicht
Hotjar stellt einen Auftragsverarbeitungsvertrag (AVV / Data Processing Agreement) bereit, der für jeden Website-Betreiber, der Hotjar einsetzt, zwingend abzuschließen ist. Ohne AVV ist der Einsatz von Hotjar in der EU grundsätzlich rechtswidrig.
Der AVV allein reicht jedoch nicht für vollständige DSGVO-Konformität: Er regelt die Verantwortlichkeiten, nicht den Speicherort. Daten werden weiterhin auf AWS-Servern in den USA verarbeitet. EU-Website-Betreiber müssen zusätzlich die SCCs dokumentieren, die US-Transfer-Risiken in ihrer Datenschutzerklärung transparent machen und Besuchern eine echte Einwilligungsmöglichkeit geben.
Vergleich: Hotjar vs. DSGVO-konforme Alternativen
Alle EU-Alternativen bieten vollwertigen AVV ohne US-Transfer-Risiko.
| Tool | DSGVO-konform | Serverstandort | Open Source | Heatmaps | Ohne Consent | Preis |
|---|---|---|---|---|---|---|
| Hotjar 🇲🇹 Malta / 🇺🇸 AWS | ⚠ | USA (AWS) | ✗ | ✓ | ✗ | Ab $0 / Monat |
| Mouseflow 🇩🇰 Dänemark | ✓ | EU | ✗ | ✓ | ✗ | Ab $0 / Monat |
| Smartlook 🇨🇿 Tschechien | ✓ | EU | ✗ | ✓ | ✗ | Ab $0 / Monat |
| OpenReplay 🇪🇺 EU | ✓ | Eigene / EU | ✓ | ✓ | ✗ | Kostenlos (self-hosted) |
| Matomo 🇳🇿 / EU-Cloud | ✓ | Eigene / EU | ✓ | ✓ | ✓ | Kostenlos (self-hosted) |
✓ = gegeben · ✗ = nicht gegeben · ⚠ = eingeschränkt / mit Vorbehalt
* “Ohne Consent” = im Basisbetrieb (cookiefrei, nur aggregierte Daten) ohne Einwilligungsbanner nutzbar. Session Recordings erfordern immer eine Einwilligung.
Häufige Fragen zu Hotjar und der DSGVO
Ist Hotjar DSGVO-konform?
Nicht vollständig. Hotjar ist in Malta (EU) registriert, verarbeitet Daten aber auf US-amerikanischen AWS-Servern — das gilt als Drittlandsübermittlung. Die DSK stuft Session Recordings als hohes Datenschutzrisiko ein. Ein Consent-Banner ist Pflicht.
Ist Hotjar legal in Deutschland?
Nur unter strengen Voraussetzungen: aktive Cookie-Einwilligung (§ 25 TDDDG), abgeschlossener AVV, dokumentierte SCCs für den US-Transfer und ggf. eine Datenschutz-Folgenabschätzung. Ohne diese Maßnahmen drohen Bußgelder.
Hat Hotjar einen Auftragsverarbeitungsvertrag (DPA)?
Ja — Hotjar stellt einen AVV bereit, der zwingend abzuschließen ist. Er löst aber nicht das US-Transfer-Problem: Daten bleiben auf AWS-Servern und sind damit dem CLOUD Act ausgesetzt.
Ist Hotjar HIPAA-konform?
Nein. Hotjar ist nicht HIPAA-zertifiziert. Websites mit Gesundheitsdaten (PHI) dürfen Hotjar nicht einsetzen. Für HIPAA-konforme Session Analytics ist OpenReplay (self-hosted) die einzige geeignete Lösung.
Brauche ich für Hotjar eine Cookie-Einwilligung?
Ja, immer. Hotjar setzt Cookies und LocalStorage-Einträge. Gemäß § 25 TDDDG ist eine aktive vorherige Einwilligung Pflicht. Ein Soft Opt-in oder nachträgliches Laden reicht nicht aus.
Welche DSGVO-konforme Alternative gibt es zu Hotjar?
Mouseflow (DK), Smartlook (CZ) und OpenReplay (EU, Open Source) bieten vergleichbare Funktionen auf EU-Servern ohne US-Transfer. Matomo ist die beste Wahl für cookiefreie Webanalyse ohne Consent-Banner.
Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche Einschätzung Ihrer konkreten Datenschutzsituation wenden Sie sich bitte an einen zugelassenen Rechtsanwalt oder einen zertifizierten Datenschutzbeauftragten.
Bereit für eine DSGVO-konforme Alternative?
Mouseflow, Smartlook und OpenReplay bieten vergleichbare Heatmap- und Session-Recording-Funktionen — auf EU-Servern, ohne US-Transfer-Risiko und mit vollwertigem AVV.