Sie dürfen die folgende Muster-Datenschutzerklärung übernehmen, wenn Sie uns als Quelle nennen.

Die Übernahme erfolgt ausschließlich auf Ihr eigenes Risiko. Wir empfehlen die vorherige Überprüfung durch Ihren Fachanwalt.

Basis-Muster

Gelb markierte Abschnitte müssen Sie auf Ihre Situation zutreffen lassen oder löschen.

Nutzung von Microsoft Clarity

Wir verwenden Microsoft Clarity, um die Nutzung unserer Website zu analysieren. Microsoft Clarity erstellt Sitzungsaufzeichnungen (videoähnliche Wiedergaben von Mausbewegungen, Klicks und Scrollverläufen einzelner Besucher) und Heatmaps (aggregierte Darstellungen, die zeigen, wohin Besucher klicken und wie weit sie scrollen). Die gewonnenen Erkenntnisse nutzen wir, um die Benutzerfreundlichkeit unserer Website zu verbessern.

Microsoft Clarity wird uns von Microsoft Ireland Operations Limited (One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irland) bereitgestellt. Microsoft verarbeitet die Daten zur Website-Nutzung in unserem Auftrag und verpflichtet sich vertraglich zu Maßnahmen, um die Sicherheit und Vertraulichkeit der verarbeiteten Daten zu gewährleisten.

Während Ihres Website-Besuchs werden u.a. folgende Daten aufgezeichnet und an Microsoft übermittelt:

  • Aufgerufene Seiten
  • Mausbewegungen, Klicks und Scrollverhalten
  • Bestellungen und weitere Conversion-Ereignisse
  • Ihr ungefährer Standort (Land und Stadt)
  • Ihre Internetadresse (IP-Adresse)
  • Technische Informationen wie Browser, Betriebssystem, Endgerät und Bildschirmauflösung
  • Eine zufallsgenerierte Nutzer-ID

Es werden keine persönlichen Daten wie Name, Anschrift oder Kontaktdaten übertragen. Formulareingaben werden von Microsoft Clarity automatisch maskiert und nicht aufgezeichnet.

Diese Daten werden an Server von Microsoft in den USA übertragen. Microsoft Corporation ist unter dem EU-US Data Privacy Framework (DPF) zertifiziert. Für Datenübertragungen in die USA bestehen damit angemessene Garantien im Sinne von Art. 45 DSGVO.

Microsoft Clarity speichert Cookies in Ihrem Webbrowser. Erstanbieter-Cookies: _clck wird für 1 Jahr gespeichert und enthält eine zufallsgenerierte Nutzer-ID. _clsk wird für 1 Tag gespeichert und fasst Seitenaufrufe zu einer Sitzungsaufzeichnung zusammen. Drittanbieter-Cookies von Microsoft: MUID identifiziert Ihren Browser über Microsoft-Websites hinweg und wird unter anderem für Analysezwecke und Werbung eingesetzt. Weitere Microsoft-Cookies (CLID, MR, SM, ANONCHK) dienen der Synchronisierung der Nutzer-ID innerhalb der Microsoft-Infrastruktur.

Sitzungsaufzeichnungen werden nach 30 Tagen automatisch gelöscht. Heatmap-Daten und aggregierte Klickdaten werden nach 13 Monaten automatisch gelöscht.

Rechtsgrundlage für diese Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Sie können Ihre Einwilligung jederzeit über unseren Cookie-Einstellungs-Dialog widerrufen oder die Erfassung über die Opt-out-Seite von Microsoft Clarity dauerhaft deaktivieren.

Quelle: traffic3.net

Voraussetzungen

Prüfen Sie vor der Verwendung dieses Musters, ob alle folgenden Punkte auf Ihre Situation zutreffen. Trifft ein Punkt nicht zu, muss der Text angepasst werden.

Standard-Implementierung

Clarity ist ohne benutzerdefinierte Datenbindungen und mit aktiviertem Content-Masking eingebunden. Wenn Sie das Masking manuell deaktiviert haben, müssen Formulareingaben als aufgezeichnet deklariert werden.

Sensible Seiteninhalte außerhalb von Formularen maskiert

Inhalte wie Kundennamen, Lieferadressen oder Bestellnummern, die als Text auf Seiten erscheinen (Bestellbestätigungen, Kundenkonto, personalisierte Begrüßungen), wurden mit data-clarity-mask="true" oder CSS-Selektoren in den Clarity-Einstellungen abgedeckt. Details: Abschnitt "Maskierung konfigurieren" weiter unten.

Kein Microsoft Advertising-Konto verknüpft

Das Clarity-Projekt ist nicht mit einem Microsoft Advertising-Konto verbunden. Ist es verknüpft, fließen Clarity-Daten in die Ads-Plattform, und die UET-Cookies müssen gesondert in der Datenschutzerklärung dokumentiert werden.

Auftragsverarbeitungsvertrag abgeschlossen

Der AVV mit Microsoft wurde in den Clarity-Projekteinstellungen akzeptiert. Ohne AVV fehlt die Grundlage für die Auftragsverarbeitung nach Art. 28 DSGVO.

Einwilligung als Rechtsgrundlage

Ein funktionierendes Consent-Management-Tool ist im Einsatz, das Clarity erst nach aktiver Einwilligung lädt (Art. 6 Abs. 1 lit. a DSGVO). Microsoft Clarity respektiert seit Oktober 2025 aktiv Consent-Signale für EWR-Besucher.

Europäischer Website-Betreiber

Sie betreiben die Website als Unternehmen mit Sitz in der EU oder im EWR. Andernfalls ist Microsoft Ireland Operations Limited nicht der richtige Vertragspartner; stattdessen muss Microsoft Corporation (One Microsoft Way, Redmond, WA 98052, USA) genannt werden.

Achtung: Sensible Inhalte in Aufzeichnungen prüfen

Das automatische Masking von Clarity schützt Formulareingaben, aber nicht alle sensiblen Daten auf Ihrer Website sind Formulareingaben. Namen, E-Mail-Adressen, Bestellnummern oder persönliche Daten, die als Text auf einer Seite erscheinen, zum Beispiel auf Bestellbestätigungsseiten, in personalisierten Begrüßungen ("Willkommen, Max Mustermann") oder in Kundenkontobereichen, werden im Standard-Modus mitgezeichnet und sind in Sitzungsaufzeichnungen sichtbar.

Prüfen Sie nach der Installation gezielt Testaufzeichnungen in jedem Bereich Ihrer Website, in dem personenbezogene Daten im Seiteninhalt erscheinen können. Für diese Bereiche können Sie in den Clarity-Einstellungen Maskierungsregeln per CSS-Selektor anlegen oder HTML-Elemente direkt mit data-clarity-mask="true" versehen.

Cookie-Übersicht

Microsoft Clarity setzt Erst- und Drittanbieter-Cookies. Die folgende Tabelle listet alle gesetzten Cookies mit Zweck und Speicherdauer.

Cookie Anbieter Zweck Speicherdauer
_clck Erstanbieter (Ihre Domain) Speichert eine zufallsgenerierte Nutzer-ID; identifiziert den Browser bei zukünftigen Besuchen 1 Jahr
_clsk Erstanbieter (Ihre Domain) Fasst mehrere Seitenaufrufe innerhalb einer Sitzung zu einer Sitzungsaufzeichnung zusammen 1 Tag
MUID Microsoft (clarity.microsoft.com, bing.com) Identifiziert den Browser über Microsoft-Websites hinweg; wird für Analyse und Werbung eingesetzt 13 Monate
CLID Microsoft Speichert die Clarity-ID zur Sitzungssynchronisierung innerhalb der Microsoft-Infrastruktur 1 Jahr
MR Microsoft Wird zur Erneuerung des MUID-Cookies verwendet 7 Tage
SM Microsoft Prüft, ob eine MUID-Synchronisierung über Domains hinweg erforderlich ist Sitzung
ANONCHK Microsoft Prüft, ob Cookies im Browser des Nutzers gesetzt werden können; überträgt keine Nutzerdaten 10 Minuten

Maskierung konfigurieren

Microsoft Clarity bietet drei Masking-Stufen, die Sie in den Projekteinstellungen unter "Masking" festlegen:

Stufe Was wird maskiert Geeignet für Risiko
Balanced (Standard) Formulareingaben (Text, E-Mail, Passwort), Zahlungsfelder, HTML-Attribute mit sensiblen Mustern Websites ohne eingeloggte Nutzerbereiche oder personalisierte Inhalte Personenbezogene Daten im Seitentext (Namen, Adressen, Bestellnummern) werden mitgezeichnet
Strict Sämtlicher Textinhalt der Seite Websites mit Kundenbereichen, personalisierten Inhalten oder sensiblen Daten im Seitentext Sitzungsaufzeichnungen zeigen nur Struktur und Klicks, kein Text — Auswertbarkeit eingeschränkt
Custom Gezielt einzelne HTML-Elemente per CSS-Selektor oder Klasse Wenn Balanced nicht ausreicht, aber Strict zu viel maskiert Erfordert sorgfältige Pflege: neue sensible Elemente müssen manuell ergänzt werden

Für den Custom-Modus stehen zwei Wege zur Verfügung:

Option 1: HTML-Attribut — Das offizielle Clarity-Attribut direkt am Element:

<span data-clarity-mask="true">Max Mustermann</span>
<p data-clarity-mask="true">Lieferadresse: Musterstraße 1, 1010 Wien</p>

Alternativ funktioniert auch die CSS-Klasse clarity-mask am Element, die das Attribut ersetzt:

<span class="clarity-mask">Max Mustermann</span>

Option 2: CSS-Selektor in den Projekteinstellungen — In der Clarity-Oberfläche unter Einstellungen / Masking können Sie CSS-Selektoren hinterlegen, die für alle Seiten gelten:

.order-summary .customer-name
.account-header .user-email
#shipping-address

Empfehlung: Testaufzeichnungen systematisch durchgehen

Nach der Implementierung einer Maskierungsregel immer Testaufzeichnungen aus den betroffenen Seitenbereichen abspielen und prüfen, ob sensible Inhalte vollständig unkenntlich gemacht werden. Clarity zeigt maskierte Inhalte als schwarze Balken. Bleiben Daten sichtbar, ist die Maskierungsregel zu eng gefasst oder greift der Selektor nicht.

Hinweis für österreichische Website-Betreiber

In Österreich gilt für den Einsatz von Tracking-Cookies nicht das deutsche TDDDG, sondern § 165 Abs. 3 TKG 2021 (Telekommunikationsgesetz). Das Consent-Erfordernis ist dasselbe: Tracking-Cookies dürfen nur nach vorheriger Einwilligung gesetzt werden. Der Unterschied liegt in der Zuständigkeit: Verstöße gegen § 165 TKG 2021 (unerlaubtes Setzen von Cookies) werden von der Fernmeldebehörde geahndet (Strafrahmen bis 50.000 Euro). Gleichzeitig bleibt die Datenschutzbehörde (DSB) für DSGVO-Verstöße zuständig, die bei der Verarbeitung personenbezogener Daten entstehen. Beim Einsatz von Microsoft Clarity ohne gültige Einwilligung droht in Österreich also eine doppelte Zuständigkeit: Fernmeldebehörde und DSB können parallel tätig werden. Die DSB hat in ihrer FAQ zu Cookies und Datenschutz bestätigt, dass Analyse-Cookies eine Einwilligung erfordern.

Clarity-Setup auf DSGVO-Konformität prüfen

Dieser Artikel gibt Ihnen die Grundlagen. Ob in Ihrem konkreten Setup alles stimmt, von Masking-Regeln über den korrekt akzeptierten Auftragsverarbeitungsvertrag bis zur Consent-Integration, lässt sich nur im Detail beurteilen. Wir prüfen Consent-Layer, Auftragsverarbeitungsvertrag, Masking-Konfiguration und Datenschutzerklärung und sagen Ihnen konkret, was korrekt ist und was angepasst werden muss.

Setup prüfen lassen

Häufige Fragen

Brauche ich für Microsoft Clarity einen Cookie-Consent-Banner?
Ja. Microsoft Clarity setzt Cookies und überträgt personenbezogene Daten an Microsoft. Nach DSGVO und ePrivacy-Richtlinie ist dafür eine vorherige Einwilligung der Nutzer erforderlich. Ein Cookie-Consent-Banner ist beim Einsatz von Microsoft Clarity auf europäischen Websites Pflicht.
Was zeichnet Microsoft Clarity auf, und was sind Heatmaps und Sitzungsaufzeichnungen?
Microsoft Clarity zeichnet das Nutzerverhalten auf Ihrer Website auf: aufgerufene Seiten, Mausbewegungen, Klicks, Scrolltiefe und Verweildauer. Darüber hinaus erkennt Clarity automatisch Verhaltensmuster wie Rage Clicks (wiederholtes Klicken an derselben Stelle), Dead Clicks (Klicks ohne Seitenreaktion), Quick Backs (sofortiges Zurücknavigieren nach einem Klick) und übermäßiges Scrollen.
Aus diesen Rohdaten entstehen zwei Auswertungsformen: Heatmaps zeigen aggregiert über alle Besucher hinweg, wohin auf einer Seite am häufigsten geklickt wird und wie weit Besucher scrollen. Sitzungsaufzeichnungen (Session Recordings) sind videoähnliche Wiedergaben, die den vollständigen Mausbewegungsverlauf, Klicks und das Scrollverhalten eines einzelnen Besuchers chronologisch zeigen. Diese Aufzeichnungen sind in der Clarity-Oberfläche abspielbar, ähnlich einem Bildschirmvideo.
Werden Formulardaten aufgezeichnet?
Formulareingaben nicht. Microsoft Clarity maskiert Formulareingaben (Texteingaben, Passwortfelder) automatisch, sodass eingetippte Werte nicht in Sitzungsaufzeichnungen sichtbar sind. Das Content-Masking ist in der Standard-Konfiguration aktiviert.
Anders verhält es sich mit personenbezogenen Daten, die als fertiger Seitentext erscheinen: Ein Name auf einer Bestellbestätigungsseite, eine E-Mail-Adresse im Kundenkonto oder eine Lieferadresse in einer Bestellübersicht werden im Standard-Modus mitgezeichnet, weil sie kein Formularfeld sind. Solche Stellen müssen manuell maskiert werden, entweder über Maskierungsregeln in den Clarity-Projekteinstellungen oder durch die CSS-Klasse clarity-mask am jeweiligen HTML-Element. Prüfen Sie Testaufzeichnungen in diesen Bereichen sorgfältig, bevor Sie Clarity produktiv einsetzen.
Muss ich einen Auftragsverarbeitungsvertrag mit Microsoft abschließen?
Ja. Da Microsoft Clarity personenbezogene Daten in Ihrem Auftrag verarbeitet, ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich. Microsoft stellt diesen direkt in den Clarity-Projekteinstellungen bereit. Sie können ihn dort einsehen und akzeptieren.
Was ist das EU-US Data Privacy Framework?
Das EU-US Data Privacy Framework (DPF) ist ein Angemessenheitsbeschluss der EU-Kommission aus dem Jahr 2023. Er erlaubt Datenübertragungen in die USA an zertifizierte Unternehmen ohne zusätzliche Schutzmaßnahmen. Microsoft Corporation ist unter dem DPF zertifiziert — die Zertifizierung ist im öffentlichen DPF-Register einsehbar und wird jährlich erneuert. Das DPF ersetzt das 2020 durch den EuGH gekippte Privacy Shield und ist politisch umstritten. Prüfen Sie den Zertifizierungsstatus vor der Veröffentlichung Ihrer Datenschutzerklärung.
Wie kann ein Nutzer die Aufzeichnung durch Microsoft Clarity deaktivieren?
Es gibt zwei Wege: Über Ihren Cookie-Consent-Banner können Nutzer die Einwilligung für Analytics-Cookies ablehnen oder nachträglich widerrufen, woraufhin Clarity nicht mehr geladen wird. Alternativ können Nutzer die Erfassung direkt über die Opt-out-Seite von Microsoft Clarity dauerhaft deaktivieren. In diesem Fall setzt Clarity einen Opt-out-Cookie, der das Tracking für diesen Browser unterbindet. Hinweis: Microsoft Clarity respektiert keine Do-Not-Track-Signale des Browsers. Die einzigen wirksamen Deaktivierungswege sind der Consent-Banner und die Opt-out-Seite.
Wie lange speichert Microsoft Clarity die aufgezeichneten Daten?
Die Speicherdauer hängt vom Datentyp ab. Sitzungsaufzeichnungen (Session Recordings) werden nach 30 Tagen automatisch gelöscht. Heatmap-Daten sowie aggregierte Klickdaten werden nach 13 Monaten gelöscht. Manuell markierte oder als Favorit gespeicherte Sitzungen bleiben ebenfalls bis zu 13 Monate erhalten. Diese Fristen sind in der offiziellen Microsoft-Dokumentation zur Datenspeicherung festgelegt und können nicht individuell angepasst werden.
Setzt Microsoft Clarity auch Werbe-Cookies?
Ja, indirekt. Neben den eigentlichen Analyse-Cookies _clck und _clsk setzt der Clarity-Script auch den Drittanbieter-Cookie MUID, den Microsoft explizit für Analysezwecke und Werbung beschreibt. MUID identifiziert Ihren Browser über alle Microsoft-Websites hinweg und verbindet Clarity-Daten mit dem breiteren Microsoft-Ökosystem. Dieser Cookie wird auch dann gesetzt, wenn Sie das Clarity-Projekt nicht mit einem Microsoft-Werbekonto verknüpft haben. Für die Datenschutzerklärung bedeutet das: Die Erwähnung dieser Drittanbieter-Cookies ist auch dann erforderlich, wenn Sie ausschließlich die Analyse-Funktionen von Clarity nutzen.
Kann ich auf Anfrage eines Nutzers dessen Daten aus Microsoft Clarity löschen?
Nicht selektiv. Microsoft Clarity bietet keine Möglichkeit, einzelne Sitzungsaufzeichnungen oder die Daten einer bestimmten Person gezielt zu löschen. Um alle erfassten Daten zu entfernen, müsste das gesamte Clarity-Projekt gelöscht werden. Für die Praxis bedeutet das: Einem Auskunfts- oder Löschersuchen nach Art. 17 DSGVO kann bei Microsoft Clarity nicht durch gezielte Datenlöschung entsprochen werden. Stattdessen sollten Sie in Ihrer Datenschutzerklärung auf diesen Umstand hinweisen und Betroffenen den Weg über die Opt-out-Seite von Microsoft empfehlen, um weitere Erfassung zu unterbinden.
Wo platziere ich den Datenschutztext auf meiner Website?
Der Abschnitt gehört in Ihre bestehende Datenschutzerklärung, typischerweise in den Bereich, in dem Sie Drittanbieter-Tools und Analyse-Dienste beschreiben. Die Datenschutzerklärung selbst muss von jeder Seite Ihrer Website erreichbar sein, üblicherweise über einen Link im Footer neben dem Impressum.

Weitere Muster-Datenschutzerklärungen

Datenschutz · Muster

Muster-Datenschutzerklärung für Google Analytics

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz von Google Analytics 4, inkl. Remarketing, Google Signals und Server-Side Tracking.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für das Meta-Pixel (Facebook-Pixel)

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz des Meta-Pixels, inkl. Voraussetzungen und FAQ.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für den Google Tag Manager

Kostenlose Vorlage für die DSGVO-konforme Datenschutzerklärung beim Einsatz des Google Tag Managers, mit rechtlicher Einordnung.

Weiterlesen

Datenschutz · Muster

Muster-Datenschutzerklärung für Google Ads

Conversion Tracking, Enhanced Conversions und Remarketing in einer Vorlage. Kostenlos, frei verwendbar mit Quellenangabe.

Weiterlesen