Hotjar — consent fix

Hotjar beginnt sofort mit der Aufzeichnung von Besuchersitzungen und setzt Tracking-Cookies (wie _hjid, 1 Jahr gültig), sobald Ihre Website geladen wird. Da diese Sitzungsaufzeichnungen (Session Recordings) Details darüber erfassen, wie ein Besucher auf Ihrer Website navigiert, klickt und Formulare ausfüllt, verarbeiten Sie personenbezogene Daten. Geschieht dies, bevor der Besucher Statistik-Cookies zugestimmt hat, verstoßen Sie gegen die DSGVO.

Warum Hotjar zu früh geladen wird

Hotjar wird in der Regel über den Google Tag Manager (GTM) oder als direktes Skript im <head> der Website geladen. Das Problem ist, dass das Skript von Natur aus nicht "wartet". Wenn Sie den GTM-Trigger einfach auf All Pages belassen, beginnt Hotjar sofort mit der Aufzeichnung der Sitzung, noch bevor der Besucher überhaupt die Chance hatte, den Cookie-Banner zu sehen.

Die Lösung: Hotjar erst nach Einwilligung starten

Um Hotjar DSGVO-konform zu machen, müssen Sie das Laden des Skripts verhindern, solange keine Einwilligung für Statistiken (analytics_storage) vorliegt. Die robusteste Methode führt über den Google Tag Manager.

1. Einen Ausnahme-Trigger im GTM verwenden (Empfohlen)

Befolgen Sie diese genauen Schritte in Ihrem GTM-Workspace, um eine harte Blockade einzurichten:

1. Öffnen Sie Ihr Hotjar Tracking Code Tag.
2. Scrollen Sie zum Abschnitt Trigger.
3. Klicken Sie auf Ausnahme hinzufügen.
4. Klicken Sie auf das +-Symbol, um einen neuen Trigger zu erstellen.
5. Wählen Sie den Triggertyp Benutzerdefiniertes Ereignis.
6. Geben Sie als Ereignisname .* ein und aktivieren Sie Übereinstimmung mit regulärem Ausdruck verwenden.
7. Wählen Sie Einige benutzerdefinierte Ereignisse.
8. Legen Sie die Bedingung fest: Consent State — analytics_storage ist nicht gleich granted.
9. Speichern Sie den Trigger als "Exception - No Analytics Consent" und veröffentlichen Sie Ihren GTM-Container.

2. Die Hotjar Consent API (Zusätzliche Sicherheit)

Ist Ihr Hotjar-Skript fest im HTML codiert (hardcoded) und verwenden Sie keinen GTM? Dann können Sie die native Consent API von Hotjar nutzen. Sie müssen jedoch sicherstellen, dass Ihre spezifische Consent Management Platform (CMP) diese API korrekt aufruft.

Sie können den Status von Hotjar mit den folgenden Codezeilen steuern (die Sie mit den Events Ihrer CMP verknüpfen):

// Keine Einwilligung:
hj('consent', false);

// Einwilligung erteilt:
hj('consent', true);

Überprüfung

Verwenden Sie den Network-Tab Ihres Browsers, um zu überprüfen, ob Hotjar die Aufzeichnung tatsächlich stoppt.

1. Öffnen Sie Ihre Website in einem Inkognito-Fenster.
2. Ignorieren Sie den Cookie-Banner (klicken Sie nichts an).
3. Öffnen Sie die Entwicklertools (F12) und navigieren Sie zum Network-Tab.
4. Suchen Sie nach hotjar. Es dürfen keine Skripte von static.hotjar.com geladen werden, und vor allem: Es dürfen keine Datenverbindungen zu vc.hotjar.io (dem Aufzeichnungs-Endpoint) sichtbar sein.

Sind Sie unsicher, ob die Anpassung funktioniert hat, oder möchten Sie ausschließen, dass andere Skripte noch Daten leaken? Führen Sie einen kostenlosen Scan mit ConsentChecker.eu durch, um sofortige Gewissheit zu erhalten.

Quellen

• Hotjar Datenschutz & DSGVO (Hotjar Help Center)