Was macht Mouseflow?
Mouseflow ist ein Web-Analytics-Tool, mit dem Seitenbetreiber die Maus-, Scroll- und Klickbewegungen ihrer Webseitenbesucher untersuchen können. Dafür ermöglicht es Mouseflow beispielsweise, das Verhalten in Formularen und das Hovern auf bestimmten Seitenelementen aufzuzeichnen und zu analysieren. Außerdem erzeugen Seitenbetreiber mit dem Tool Heatmaps und messen einen Friction Score. Das Ergebnis: Sie können ihre Seite userfreundlicher gestalten und so die Conversion Rate optimieren. Mouseflow ist ein Produkt des gleichnamigen Anbieters mit Sitz in Dänemark. Was müssen Seitenbetreiber datenschutzrechtlich beachten, wenn sie Mouseflow verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Mouseflow datenschutzrechtlich relevant
Um das Nutzerverhalten auf einer Webseite auszuwerten, sammelt Mouseflow verschiedene Daten. Dazu zählen unter anderem
- die anonymisierte IP-Adresse,
- den Endgerätetyp,
- Datum und Zeit des Webseitenbesuchs und
- das Verhalten auf der Seite.
Tastatureingaben zeichnet Mouseflow jedoch nicht auf. Unternehmen müssen für das Erheben der Daten jedoch verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) und des Telekommunikation-Digitale-Dienste-Datenschutz-Gesetzes (TDDDG (ehemals TTDSG)) beachten.
Mouseflow datenschutzkonform verwenden
Damit Webseitenbetreiber Mouseflow rechtssicher nutzen, müssen sie diese Anforderungen erfüllen:
Nutzer-Einwilligung einholen
Mouseflow nutzt funktionale First Party Cookies, die über rein technische Cookies hinausgehen, um Nutzerverhalten aufzuzeichnen. Für Webseitenbetreiber heißt das: Sie müssen die Einwilligung von Usern einholen, wenn sie über das Tool Nutzerdaten erheben und an den Anbieter weitergeben. Sie können die Einwilligung zum Beispiel über ein Cookie Consent Tool einholen. Das Tool passt die Datenströme auf der Webseite nach den Präferenzen der Nutzer an.
Vertrag zur Auftragsverarbeitung abschließen
Webseitenbetreiber erheben über Mouseflow Nutzerdaten und lassen sie von dem dänischen Anbieter weisungsgebunden verarbeiten. § 28 DSGVO gibt dafür den Abschluss eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) vor. Darin müssen Unternehmen festlegen,
- welche Userdaten sie wie lange speichern,
- warum und wie sie die Daten verarbeiten und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung aktualisieren
Immer wenn Seitenbetreiber Nutzerdaten erheben und an Dritte weitergeben, müssen sie das in ihrer Datenschutzerklärung festhalten. Art. 13 Abs. 1 DSGVO gibt dafür vor, dass der Vertrag informieren muss,
- wie Seitenbetreiber die Userdaten über Mouseflow erheben, speichern und verarbeiten,
- welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. a DSGVO),
- dass sie die Daten an Mouseflow weitergeben,
- dass sie für die Datenweitergabe mit Mouseflow einen AV-Vertrag geschlossen haben und
- dass Nutzer der Datenerhebung jederzeit widersprechen können.
Rechtsprechung zu Mouseflow
Zu Mouseflow liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Es sind analog jedoch diese Urteile relevant:
Europäischer Gerichtshof zur Verwendung von Cookies
Seitenbetreiber benötigen eine Einwilligung der User, wenn sie Cookies verwenden. Dabei müssen Nutzer ihre Einwilligung aktiv erteilen. Das bedeutet für die Praxis: Das Kästchen für ihr Einverständnis darf nicht vorangekreuzt sein. Das stellte der Europäische Gerichtshof (EuGH) im Oktober 2019 fest (01.10.2019, Az. C-673/17). Mouseflow verwendet zwar ausschließlich funktionale Cookies (und keine Tracking Cookies), diese umfassen jedoch Cookies, die über die reine technische Notwendigkeit hinausgehen. Das Urteil des EuGH ist damit auch für Mouseflow relevant.
Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen gab personenbezogene Daten an einen spanischen Dienstleister weiter. Es schloss dafür jedoch keinen AV-Vertrag. Das Problem: Beide Seiten sahen sich nicht verantwortlich, einen entsprechenden Vertrag aufzusetzen. Im Dezember 2018 wertete die Datenschutzbehörde Hamburg das als Verstoß gegen die DSGVO. Sie sprach ein Bußgeld in Höhe von 5.000 Euro gegen das deutsche Unternehmen aus.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Ähnlich erging es dem Fußballclub VfB Stuttgart. Dieser hatte tausende Mitgliederdaten an externe Dienstleister weitergegeben, um die Daten weisungsgebunden verarbeiten zu lassen. Einen AV-Vertrag mit den Dienstleistern hatte der Verein jedoch nicht geschlossen. Der Umfang des Datenschutzverstoßes ließ die Datenschutzbehörde Baden-Württemberg im März 2021 zu dem Schluss kommen, dass der VfB Stuttgart eine Strafe in Höhe von 300.000 Euro zahlen muss.