Ist Session Replay DSGVO-konform? Was aufgezeichnet wird und was nicht

25. Juni 2026
Beatriz Andrade
5 min read

Session Replay ist DSGVO-konform, wenn es korrekt implementiert wird. Es zeichnet keine Videos von Nutzern auf, erfasst keine Webcam-Aufnahmen und speichert keine Screenshots. Was erfasst wird, sind Verhaltensdaten: Mausbewegungen, Klicks, Scrollbewegungen und Seiteninteraktionen, die als Wiedergabe der Seite während dieser Sitzung rekonstruiert werden. Sensible Felder wie Passwörter und Zahlungsdetails werden standardmäßig maskiert oder können vollständig ausgeschlossen werden. Ob Ihre Verwendung von Session Replay konform ist, hängt davon ab, wie Sie es konfigurieren, welche Daten Sie erheben und ob Sie die entsprechenden Einwilligungen und Datenverarbeitungsverträge vorliegen haben.

Dieser Artikel erklärt, was Session Replay tatsächlich aufzeichnet, wie sensible Daten behandelt werden, wie DSGVO-Konformität in der Praxis aussieht und welche Datenschutzfunktionen eine verantwortungsvolle Implementierung unterstützen. Er behandelt auch die häufigsten Missverständnisse, die unnötige Bedenken gegenüber der Technologie auslösen.

Einen umfassenderen Überblick über Session Replay und seine Möglichkeiten für Ihr Team finden Sie auf unserer Session Replay-Themenseite.

Hinweis: Dieser Artikel enthält allgemeine Informationen zu Session Replay und Datenschutz. Er ist keine Rechtsberatung. Für spezifische Hinweise zu Ihrer Organisation und Ihrem Rechtsraum wenden Sie sich bitte an einen qualifizierten Rechtsanwalt.

Copy linkLink copied

Was Session Replay tatsächlich aufzeichnet

Eine der häufigsten Bedenkenquellen bei Session Replay ist ein Missverständnis darüber, was tatsächlich erfasst wird. Es ist kein Bildschirmaufzeichnungstool und zeichnet keine Videos auf. Das Verständnis dieses Unterschieds ist sowohl für Datenschutzbewertungen als auch für realistische Erwartungen an die Daten wichtig.

Session Replay funktioniert, indem DOM-Ereignisse erfasst werden, also die Interaktionen eines Nutzers mit der Seitenstruktur, und die Sitzung als Wiedergabe rekonstruiert wird. Um die vollständigen Mechanismen zu verstehen, erklärt dieser Artikel, wie Session Replay funktioniert im Detail.


Das Ergebnis ist eine Verhaltensaufzeichnung, wie ein Nutzer Ihre Website navigiert und mit ihr interagiert hat, keine Aufzeichnung des Nutzers selbst oder der in sensible Felder eingegebenen Daten. Einen praktischen Überblick über die Art der Erkenntnisse, die diese Daten liefern können, bietet 7 Dinge, die Sie durch die Aufzeichnung Ihrer Website-Besucher lernen können mit einer Reihe von Praxisbeispielen.

Session Replay mit integrierten Datenschutzkontrollen ausprobieren

Mouseflow includes field masking, IP-Anonymisierung, consent integration, and EU-Datenspeicherung out of the box. Start your free trial and configure it for your privacy requirements today.
Mouseflow kostenlos testen →Read unsere DSGVO-FAQ →
Copy linkLink copied

Zeichnet Session Replay sensible Informationen auf?

Dies ist die Frage, die die meisten Teams und Rechtsabteilungen am meisten beschäftigt. Die kurze Antwort lautet: standardmäßig nicht, und nicht wenn Sie es korrekt konfigurieren. Session Replay-Tools werden mit der Annahme entwickelt, dass sensible Daten geschützt werden müssen, und die meisten Implementierungen umfassen automatisches Maskieren gängiger sensibler Feldtypen.

Passwörter
Passwortfelder werden in Mouseflow standardmäßig maskiert. Die Feldinteraktion wird erfasst, das heißt, Sie können sehen, dass ein Nutzer das Feld fokussiert und etwas eingegeben hat, aber der Inhalt wird nie aufgezeichnet. Was Sie in der Wiedergabe sehen, ist ein maskierter Platzhalter, nicht die tatsächliche Eingabe.

Zahlungsdetails
Kreditkartennummern, CVV-Codes und andere Zahlungsfelder werden standardmäßig maskiert. Wenn Ihr Zahlungsformular auf einer Drittanbieter-Zahlungsseite gehostet wird (was bei PCI-Konformität üblich ist), liegt diese Seite in der Regel vollständig außerhalb des Erfassungsbereichs von Session Replay.

Persönliche Informationen
Felder mit Namen, E-Mail-Adressen, Telefonnummern und ähnlichen personenbezogenen Daten können für die Maskierung konfiguriert werden. Mouseflow ermöglicht das Maskieren spezifischer Felder, ganzer Seitenabschnitte oder aller Texteingaben auf der Website, je nach Ihren Datenschutzanforderungen. Einen vollständigen Überblick über DSGVO-relevante Überlegungen für Analysetools bietet unsere DSGVO-FAQ mit den häufigsten Fragen.

💡Best Practice: Wenden Sie Maskierung proaktiv statt reaktiv an. Konfigurieren Sie sie für jedes Feld, in das ein Nutzer personenbezogene Daten eingeben könnte, auch wenn dieses Feld nicht der Hauptfokus Ihrer Analyse ist. Es ist einfacher, ein Feld später zu demaskieren, als einen Datenerfassungsvorfall zu erklären.

Copy linkLink copied

Ist Session Replay DSGVO-konform?

DSGVO-Konformität ist keine Eigenschaft des Tools selbst. Sie ist eine Eigenschaft der Implementierung und Nutzung. Session Replay kann vollständig DSGVO-konform implementiert werden. Es kann aber auch schlecht implementiert werden. Der Unterschied liegt in einigen wesentlichen Bereichen.

Rechtsgrundlage für die Verarbeitung
Gemäß DSGVO benötigen Sie eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Bei Session Replay ist dies in der Regel entweder berechtigtes Interesse oder Einwilligung, abhängig von der Art der erhobenen Daten und dem Kontext. Viele Teams stützen sich auf berechtigtes Interesse für aggregierte Verhaltensanalysen, insbesondere wenn sensible Daten maskiert sind und der Zweck eindeutig auf die Verbesserung der Nutzererfahrung ausgerichtet ist. Wenn Sie Daten erheben, die einzelne Nutzer identifizieren könnten, ist die Einwilligung die sicherere Grundlage.

Einwilligungsverwaltung
Wenn Ihre Rechtsgrundlage die Einwilligung ist, muss Ihr Cookie-Banner oder Ihre Consent-Management-Plattform das Session Replay-Tracking abdecken. Nutzer, die das Analytics-Tracking ablehnen, sollten keine aufgezeichneten Sitzungen haben. Mouseflow unterstützt die Integration mit Consent-Management-Plattformen, sodass die Aufzeichnung erst nach erteilter Einwilligung beginnt.

Datenverarbeitungsverträge
Wenn Sie ein Drittanbieter-Session Replay-Tool verwenden, teilen Sie Daten mit einem Datenverarbeiter. Die DSGVO verlangt einen Datenverarbeitungsvertrag (DVV) mit jedem Drittanbieter-Verarbeiter. Mouseflow stellt einen DVV als Teil seiner Standard-Servicebedingungen bereit.

Datenspeicherort
Die DSGVO verlangt, dass personenbezogene Daten, die außerhalb der EU übermittelt werden, angemessenen Schutzmaßnahmen unterliegen. Mouseflow bietet EU-basierte Datenspeicherung, was die Compliance für Organisationen im Europäischen Wirtschaftsraum vereinfacht. Wenn Datenspeicherort eine Anforderung Ihrer Organisation ist, bestätigen Sie vor der Implementierung, wo Ihr Session Replay-Anbieter die Daten speichert.

Datenspeicherdauer
Das Prinzip der Speicherbegrenzung der DSGVO verlangt, dass personenbezogene Daten nicht länger als nötig aufbewahrt werden. Wenden Sie eine Aufbewahrungsrichtlinie auf Ihre Session Replay-Daten an, die widerspiegelt, wie lange Sie sie realistischerweise für Analysezwecke benötigen. Die meisten Teams benötigen keine Aufzeichnungen, die älter als 90 Tage sind, für operative Zwecke.

Copy linkLink copied

Datenschutzfunktionen zum Schutz von Nutzerdaten

Eine gut implementierte Session Replay-Konfiguration nutzt die im Tool verfügbaren Datenschutzkontrollen, um die Datenerhebung auf das für die Analyse tatsächlich Notwendige zu minimieren. Mouseflow enthält mehrere Funktionen, die speziell für eine verantwortungsvolle Implementierung entwickelt wurden.

Feldebenen-Maskierung: Maskiert automatisch Passwortfelder und kann für alle anderen Feldtypen konfiguriert werden, sodass sensible Inhalte nie erfasst werden.

 

Seiten- und Elementausschlüsse: Schließen Sie ganze Seiten oder Seitenabschnitte von der Aufzeichnung aus, zum Beispiel Seiten mit sensiblen Transaktionen oder persönlichen Daten.

 

IP-Anonymisierung: IP-Adressen werden vor der Speicherung anonymisiert, um die Identifizierbarkeit zu reduzieren und die Datensparsamkeitspflicht einzuhalten.

 

Nutzer- und IP-Filterung: Schließen Sie interne Teammitglieder, bekannte Bots oder Nutzer, die das Tracking abgelehnt haben, vollständig von der Aufzeichnung aus. Siehe Anleitung zur Einrichtung.

 


Einwilligungsintegration: Die Aufzeichnung beginnt erst, nachdem ein Nutzer der Analytics-Erfassung zugestimmt hat. Nutzer, die ablehnen, werden nicht aufgezeichnet.

 

EU-Datenspeicherung: Sitzungsdaten bleiben im Europäischen Wirtschaftsraum, was die DSGVO-Compliance für EU-Organisationen vereinfacht..

 

 

Müssen Sie Nutzer individuell benachrichtigen?

Sie müssen nicht jedem Nutzer, dessen Sitzung aufgezeichnet wird, eine individuelle Benachrichtigung senden. Sie müssen Nutzer in Ihrer Datenschutzerklärung über Verhaltensanalysen informieren und je nach Rechtsgrundlage die Einwilligung über Ihr Cookie- oder Consent-Management-System einholen. Standardmäßige Einwilligungsabläufe, die das Analytics-Tracking abdecken, sind in der Regel ausreichend

Copy linkLink copied

Session Replay verantwortungsvoll nutzen

Session Replay ist nicht von Natur aus invasiv oder nicht konform. Wie bei den meisten Analysetechnologien kommt es darauf an, wie es konfiguriert wird, welche Daten erfasst werden und welche Schutzmaßnahmen vorhanden sind. Zu verstehen, was Session Replay aufzeichnet und was es niemals aufzeichnen sollte, ist die Grundlage einer verantwortungsvollen Implementierung.

Teams, die Session Replay am effektivsten einsetzen, betrachten Datenschutz nicht als Einschränkung, sondern als Konfigurationsentscheidung. Maskieren Sie, was nicht erfasst werden muss. Schließen Sie Seiten mit sensiblen Daten aus. Wenden Sie eine realistische Aufbewahrungsrichtlinie an. Integrieren Sie Consent-Management. Diese Schritte schützen Ihre Nutzer und vereinfachen die Compliance, während die für die Analyse tatsächlich benötigten Verhaltensdaten vollständig erhalten bleiben.

Einen praktischen Leitfaden zur Nutzung von Session Replay als Analysetool nach der Einrichtung finden Sie in So analysieren Sie Session Replays mit der Schritt-für-Schritt-Methodik. Und wenn Sie Session Replay-Tools evaluieren, bietet dieser Überblick über die besten Session Replay- und Heatmap-Tools einen Vergleich der führenden Optionen.

 

 

Copy linkLink copied

Wichtigste Erkenntnisse

  • Session Replay erfasst Verhaltensdaten, keine Videos. Es zeichnet Mausbewegungen, Klicks, Scrollbewegungen und Seiteninteraktionen auf, keine Bildschirmaufnahmen oder Webcam-Eingaben
  • Sensible Felder wie Passwörter und Zahlungsdetails werden standardmäßig maskiert und nie gespeichert
  • DSGVO-Konformität hängt von der Implementierung ab: Einwilligungsverwaltung, Datenmaskierung, ein Datenverarbeitungsvertrag und eine Aufbewahrungsrichtlinie
  • Privacy features including field masking, page exclusions, IP-Anonymisierung, and consent integration give you full control over what is and is not captured
  • Die häufigsten Missverständnisse über Session Replay, dass es Videos aufzeichnet, alles erfasst oder automatisch nicht konform ist, sind nicht zutreffend

Beatriz Andrade ist Campaign Marketing Managerin bei Mouseflow und entwickelt sowie steuert Marketingkampagnen, die das Wachstum einer der führenden Plattformen für Behavioral Analytics vorantreiben.

Das könnte dich auch interessieren
Unkategorisiert
6 Min. Lesezeit
Session Replay vs. Heatmaps: Wann solltest du welches Tool nutzen?
CRO
8 Min. Lesezeit
So analysierst du Session Replays effektiv