Integrationsleitfaden für Cookie-Einwilligung bei der Sitzungsaufzeichnung mit Microsoft Clarity für 2026
Microsoft Clarity wurde 2020 als kostenlose Alternative ohne Kontingent zu Hotjar und Smartlook für Sitzungsaufzeichnungen, Heatmaps und Interaktionsanalysen eingeführt. Fünf Jahre später ist sie auf einem bedeutenden Anteil von Websites mittlerer und kleiner Unternehmen weltweit vertreten, teils weil sie wirklich nützlich ist und teils weil die Installation eine einzelne JavaScript-Zeile ist, die die meisten Betreiber ohne weitere Überlegung einfügen. Aus Datenschutzsicht ist genau diese Installationsleichtigkeit das Problem. Clarity zeichnet Mausbewegungen, Scroll-Verhalten, Klicks, Tastatureingaben, Formularinteraktionen und vollständige DOM-Snapshots der Seite auf — die dichteste Verhaltenslast aller weit verbreiteten Analyse-Tools — und leitet alles an die Server von Microsoft weiter, sobald das Skript geladen wird. Bei jeder Bereitstellung, die EU-, UK-, EEA-, brasilianischen oder kalifornischen Datenverkehr berührt, ist die Standardinstallation nicht konform, und die Regulatoren, die bei der Durchsetzung von Sitzungsaufzeichnungen am aktivsten sind — CNIL, der italienische Garante, UK ICO — haben ausdrücklich erklärt, dass die Analyse unabhängig vom Preisniveau oder Anbieter des Tools gilt. Dieser Leitfaden erläutert, was Clarity aufzeichnet, wie die Einwilligungsgrenze funktioniert und welches Integrationsmuster eine Prüfung besteht.
Was Clarity tatsächlich aufzeichnet
Das Clarity SDK (geladen von www.clarity.ms/tag/{project_id}) initialisiert ein globales clarity-Objekt und identifiziert Besucher mit einem Microsoft-eigenen Cookie namens _clck sowie einem Sitzungs-Cookie _clsk. Ab diesem Moment erfasst das Skript einen dichten Verhaltensdatenstrom:
- Maus- und Touch-Eingabe — jede Bewegung, jeder Klick, jedes Tippen, jedes Scrollen und jede Geste wird mit Zeitstempel und Koordinaten aufgezeichnet.
- Formularinteraktionen — Fokus-, Unschärfe- und Eingabeereignisse in jedem Formularfeld sowie der Text nicht sensibler Felder, sofern keine Maskierung konfiguriert ist.
- DOM-Snapshots — regelmäßige vollständige Snapshots des Seiten-DOM, damit die Sitzungswiedergabe den genauen visuellen Zustand jederzeit rekonstruieren kann.
- Benutzerdefinierte Ereignisse — alle Ereignisse, die die Anwendung explizit über clarity("event", "name")-Aufrufe aussendet.
- Leistungs- und Fehlerdaten — JavaScript-Fehler, Netzwerkausfälle und Messwerte der Core Web Vitals.
- Bezeichner-Daten — das Clarity-eigene Cookie sowie IP-basierte Geolokalisierung und User-Agent-Fingerprinting.
Die Kombination — insbesondere DOM-Snapshots und Formularfeld-Erfassung — macht Clarity funktional gleichwertig mit einer Videoaufzeichnung der Besuchersitzung. Die regulatorische Einstufung unter der GDPR ist eindeutig: Dies ist die Verarbeitung personenbezogener Daten, die Cookies sind nicht wesentlich, die Daten überschreiten Grenzen zur US-Infrastruktur von Microsoft und die erforderliche Rechtsgrundlage ist die Einwilligung. Der CNIL-Leitfaden 2024 zur Sitzungsaufzeichnung ist in diesem Punkt unmissverständlich und benennt ausdrücklich Tools der Kategorie von Clarity.
Das Risiko sensibler Daten
Sitzungsaufzeichnungs-Tools haben ein spezifisches Datenschutzrisiko, das andere Analyse-Tools nicht haben: Sie können versehentlich sensible personenbezogene Daten erfassen. Ein Benutzer, der eine Kreditkartennummer, einen Gesundheitszustand, eine religiöse Zugehörigkeit oder eine nationale Kennnummer in ein Formularfeld eingibt, wird von Clarity aufgezeichnet, wenn das Feld nicht explizit maskiert ist. Gemäß GDPR handelt es sich dabei um die Verarbeitung sensibler personenbezogener Daten nach Article 9, die eine ausdrückliche Opt-in-Einwilligung erfordert und selten durch eine allgemeine Marketing-Einwilligungsentscheidung abgedeckt ist.
Clarity unterstützt eine Inhaltsmaskierungskonfiguration, die bestimmte Felder vor der Aufzeichnung verbirgt, aber das Standardverhalten erfasst alles. Der prüfungsfähige Ansatz besteht darin, aggressiv zu maskieren — gehen Sie davon aus, dass jedes Formularfeld sensibel ist, bis das Gegenteil bewiesen ist — und die Maskierungsentscheidungen explizit zu dokumentieren.
Native Datenschutzkontrollen von Clarity
Microsoft hat in den letzten zwei Jahren in die Datenschutzkontrollen von Clarity investiert. Die Plattform stellt nun mehrere Primitive zur Verfügung, die eine CMP-Integration nutzen kann.
Das Maskierungsattribut
Das Hinzufügen von data-clarity-mask="true" zu einem DOM-Element verbirgt dessen Inhalt vor der Sitzungsaufzeichnung. Das Hinzufügen von data-clarity-unmask="true" zu einem untergeordneten Element überschreibt die Maske für diesen Teilbaum. Der richtige Standard für jedes Formularfeld, das personenbezogene Daten enthalten könnte, ist die Maskierung, gefolgt von der expliziten Demaskierung dort, wo es sicher ist.
Die Einwilligungs-API
Clarity stellt einen clarity("consent")-Aufruf bereit, der beim Aufruf signalisiert, dass die Einwilligung erteilt wurde und das SDK fortfahren soll. Ohne diesen Aufruf kann das SDK so konfiguriert werden, dass es nach dem ersten Laden stoppt. Dies ist das richtige Primitiv für die CMP-Integration auf der Aktivierungsseite.
IP-Maskierung und Bezeichnerverarbeitung
Die Clarity-Projekteinstellungen bieten Optionen für IP-Kürzung und Bezeichnermaskierung. Diese zu aktivieren ist eine tiefengestaffelte Schutzmaßnahme zusätzlich zum CMP-Gating; sie ersetzt nicht die Einwilligung.
Automatische Maskierung sensibler Inhalte
Neuere Clarity-Versionen versuchen, sensible Felder (Kreditkartenmuster, Kennwortfelder, Felder mit der Bezeichnung "ssn" oder ähnlich) automatisch zu erkennen und sie standardmäßig zu maskieren. Die Erkennung ist heuristisch und unvollständig; verlassen Sie sich nicht darauf als einzige Verteidigungslinie.
Schritt-für-Schritt CMP-Integration
Die zuverlässige Architektur besteht darin, das Clarity SDK vollständig zu verzögern, bis die Einwilligung erteilt wurde, und es dann explizit über die Einwilligungs-API zu aktivieren.
1. Entfernen Sie das Standard-Tag aus dem Dokumentkopf
Das Clarity-Installationsfragment ist ein einzelnes Inline-Skript, das das SDK beim Laden der Seite initialisiert. Ersetzen Sie es durch ein Platzhalter-Skriptelement, dessen type text/plain ist und dessen data-category analytics oder marketing ist, je nachdem, wie Ihr CMP Sitzungsaufzeichnungs-Tools kategorisiert.
2. Entscheiden Sie sich für das Kategorie-Mapping
Sitzungsaufzeichnungen sind eine umstrittene Kategorie. Die CNIL hat sie unterschiedlich als Analytik (wenn die Daten für interne UX-Forschung verwendet werden) und als Marketing (wenn die Daten Personalisierungsentscheidungen oder externe Weitergabe speisen) behandelt. Das konservative Mapping ist Marketing; die prüfungsfähige Position erfordert, dass Sie konkret angeben, wie die Aufzeichnungen tatsächlich verwendet werden.
3. Konfigurieren Sie aggressives Maskieren vor der Aktivierung
Fügen Sie data-clarity-mask="true" zu jedem Formularelement, jedem Eingabefeld und jedem Container hinzu, der personenbezogene Daten enthalten könnte. Die Standardrichtlinie ist standardmäßige Maskierung mit expliziten Demaskierungsausnahmen für bekanntermaßen sichere Elemente (Seitentitel, Navigationsbezeichnungen, öffentliche Inhaltsblöcke).
4. Aktivieren Sie Clarity über den Einwilligungs-Callback
Wenn der CMP das relevante Kategorie-akzeptiert-Ereignis auslöst, schreiben Sie das Platzhalter-Skript-Tag um und rufen Sie clarity("consent") auf, um dem SDK die Erlaubnis zur Fortsetzung zu erteilen. In der Warteschlange befindliche Ereignisse, die während des Einwilligungszeitraums gepuffert wurden, werden dann geleert.
5. Behandeln Sie den Widerruf explizit
Wenn der Benutzer die Einwilligung widerruft, verfügt das Clarity SDK nicht über einen sauberen "Aufzeichnung stoppen"-Aufruf, der der Aktivierungs-API entspricht. Das praktische Muster besteht darin, clarity("consent", false) aufzurufen, sofern dies in Ihrer SDK-Version unterstützt wird, und außerdem die Clarity-Cookies clientseitig zu löschen. Zur vollständigen Löschung historischer Aufzeichnungen verwenden Sie den Datenlöschungsworkflow der Clarity-Administrator-Benutzeroberfläche oder die Lösch-API.
Häufige Fehler
Vier Integrationsfehler machen den Großteil der Prüfungsergebnisse bei Clarity-Bereitstellungen aus.
Clarity installieren "nur um zu sehen, was Besucher tun"
Das häufigste Muster: Ein Produktmanager installiert Clarity, um ein UX-Problem zu untersuchen, aktiviert nie das Einwilligungs-Gating, konfiguriert nie die Maskierung und vergisst das Skript. Die Aufzeichnungsoberfläche häuft sich weiter an. Die Abhilfe besteht darin, Clarity vollständig zu entfernen oder sie unter dieselbe Einwilligungsarchitektur wie jeden anderen Tracker zu bringen.
Auf automatische Maskierung vertrauen
Die heuristische Erkennung sensibler Felder von Clarity erfasst offensichtliche Fälle, übersieht aber domänenspezifische — ein "symptoms"-Textbereich einer Gesundheitswebsite, ein "account number"-Feld einer Finanzwebsite mit einem ungewöhnlichen Namen. Maskieren Sie explizit; verlassen Sie sich nicht auf die Erkennung.
Sitzungsaufzeichnungen als Analytik behandeln
Die CNIL hat ausdrücklich erklärt, dass die Kategorie der Sitzungsaufzeichnung aus Einwilligungsperspektive dem Marketing näher ist als der First-Party-Analytik. Clarity unter einem ausschließlich auf Analytik basierenden Einwilligungs-Gating zu stellen ist nur vertretbar, wenn die Aufzeichnungen ausschließlich für interne UX-Forschung verwendet und nie außerhalb der Organisation geteilt werden.
Benutzerdefinierte Ereignis-Payloads vergessen
Anwendungscode, der clarity("event", "name", customProperties) aufruft, kann über die customProperties-Payload personenbezogene Daten in den Clarity-Datenstrom einspeisen. Überprüfen Sie jede Aufrufstelle und vermeiden Sie die Übermittlung von Benutzeridentifikatoren, E-Mail-Adressen oder anderen personenbezogenen Daten in Ereigniseigenschaften.
Prüfliste für Audits
Sechs konkrete Fragen, die für jede Clarity-Bereitstellung beantwortet werden müssen, die EU-, UK-, brasilianischen oder kalifornischen Datenverkehr berührt.
- Wartet Clarity auf die Einwilligung? Öffnen Sie die Seite in einem privaten Fenster und bestätigen Sie, dass keine clarity.ms-Anfragen ausgelöst werden, bevor das Banner akzeptiert wird.
- Ist die Maskierung aggressiv? Bestätigen Sie, dass auf jedes Formularfeld und jeden Container mit potenziell persönlichem Inhalt data-clarity-mask angewendet wird.
- Ist das Kategorie-Mapping dokumentiert? Bestätigen Sie, dass es eine schriftliche Aufzeichnung darüber gibt, ob Clarity unter Analytik oder Marketing eingestuft ist, einschließlich der Begründung.
- Ist die Einwilligungs-API verknüpft? Bestätigen Sie, dass der CMP-Callback clarity("consent") bei Erteilung und das Äquivalent bei Widerruf aufruft.
- Werden benutzerdefinierte Ereignisse überprüft? Bestätigen Sie, dass clarity("event", ...)-Aufrufe keine identifizierenden oder sensiblen Daten in ihren Eigenschafts-Payloads übergeben.
- Ist das Löschen automatisiert? Bestätigen Sie, dass DSAR-Anfragen den Löschungs-Workflow von Clarity auslösen und kein manuelles Support-Ticket.
Wo Clarity in einen einwilligungsorientierten Stack passt
Sitzungsaufzeichnungen sind die Verhaltens-Tracking-Oberfläche mit der höchsten Informationsdichte bei gängigen Bereitstellungen, und Clarity ist das Tool, das sie am aggressivsten demokratisiert hat. Die kostenlose Preisstufe und die reibungslose Installation machen sie zum Weg des geringsten Widerstands für jedes Team, das Einblick in das UX-Verhalten möchte. Eben diese reibungslose Installation macht Clarity zum am häufigsten falsch konfigurierten Analyse-Tool bei Audits 2026. Die richtige Architektur behandelt Clarity wie jeden anderen identifizierenden Tracker: Sperren Sie sie hinter explizite Einwilligung, maskieren Sie Formularfelder standardmäßig aggressiv, dokumentieren Sie das Kategorie-Mapping und verknüpfen Sie die Einwilligungs-API, damit die eigenen Primitive des SDK durchsetzen, was der CMP aufgezeichnet hat. Korrekt umgesetzt bleibt der UX-Forschungswert erhalten, für den das Tool angeschafft wurde, während das regulatorische Risiko auf einen Bruchteil dessen sinkt, was eine Standardinstallation mit sich bringt.