Beim Session-Replay zeichnet der Webseiten-Betreiber die Besuche («Sitzungen») ausgewählter Benutzer auf. Aufgenommen werden Maus-Bewegungen, Klicks und ggf. Texteingaben. Webseiten-Betreiber nutzen Session-Replay-Tools, um ihre Webseite zu optimieren (z.B. die Benutzbarkeit).
Beim US-Session-Replay-Tool Hotjar muss die Aufnahme zunächst aktiviert werden. Besucht ein Benutzer dann die entsprechende Webseite, werden durch das eingebundene Hotjar-Javascript die Benutzereingaben aufgezeichnet und an die Hotjar-Server im Amazon-Rechenzentrum in Dublin geschickt. Der Datentransfer ist nur verschlüsselt, sofern der Webseiten-Betreiber für seine Seite HTTPS nutzt. Der Betreiber erhält dann einen Überblick über die aufgezeichneten Sitzungen und kann Sitzungen wiedergeben («Play»)
Auswahl der wiederzugebenden Benutzersitzungen
Per Standardeinstellung werden lediglich Mausbewegungen, Klicks und Scrolling an die Hotjar-Server übermittelt. Texteingaben (E-Mails, Name, etc.) werden maskiert (***) und nicht übertragen – dies muss durch den Betreiber explizit aktiviert werden. Das Video zeigt die Aufnahme einer Sitzung auf einer Testwebseite. Falls ein Benutzer nicht getrackt werden möchte, muss er die Browser-Einstellung «Do Not Track» setzen («Opt out»). Die Firma Hotjar Ltd. erwähnt explizit, dass die Nutzung seines Tools gemäss DSGVO in der Datenschutzerklärung erwähnt werden muss. Aktuell sei der Dienst noch nicht DSGVO-konform (Stand: 01.05.18).
Wiedergabe einer Sitzung
Aus technischer, nicht-juristischer Datenschutzsicht ergeben sich durch die Einbindung der Session-Replay-Tools eine Reihe von Risiken:
- Die Benutzereingaben werden mit dem Webseiten-Betreiber und mit einer Drittpartei, dem Tool-Anbieter, geteilt. Je nach Webseite können die Daten sensitiv sein: der US-Supermarkt verkauft Medikamente online, fragt dazu den Gesundheitszustand des Benutzers und teilte diese Daten mit dem Session-Replay-Anbieter Fullstory. Die Datenübermittlung zum Tool-Anbieter ist nicht verschlüsselt, wenn der Webseiten-Betreiber lediglich http nutzt (was zunehmend selten der Fall ist). Ausserdem muss die Drittpartei die Sicherheit der Daten gewährleisten.
- Der Benutzer wird zwar zunächst nur über eine ID identifiziert, allerdings können bei vielen Anbietern durch die entsprechende Konfiguration Texteingaben aufgezeichnet werden und so der Bezug zu Attributen wie E-Mail-Adresse oder Name hergestellt werden. Einige Tools versuchen die Übertragung bestimmter Felder (z.B. Kreditkarten-Nummer) zu verbieten, jedoch funktioniert dies oftmals unzureichend. Bei manchen Anbietern werden dann Passwörter oder Kreditkartendaten aufgezeichnet.
- Falls der Benutzer beim Webseiten-Betreiber ein Benutzerkonto (mit Name, E-Mail, etc.) besitzt und dies aufruft, ist die unmittelbare Zuordnung zwischen aufgezeichneten Benutzereingaben und der Person möglich.