SCHUFA setzt Hotjar Session-Recording ein — ohne es in der Datenschutzinformation zu erwähnen

Eine technische Analyse des Quellcodes von meineschufa.de zeigt: Das Bonitätsportal setzt das Session-Recording-Tool Hotjar ein — in der Datenschutzinformation fehlt davon jedes Wort. Und ein KI-Chat-Widget lädt komplett ohne Consent-Steuerung.

Wer sich bei meineschufa.de einloggt, um seinen SCHUFA-Score einzusehen oder eine Bonitätsauskunft zu bestellen, erwartet zu Recht, dass seine Daten vertraulich behandelt werden. Schließlich handelt es sich um eines der sensibelsten Finanzportale Deutschlands — Millionen Verbraucher vertrauen der SCHUFA ihre Bonitätsdaten an.

Was die wenigsten Nutzer wissen dürften: Im Hintergrund stehen unsichtbare Beobachter bereit.

Hotjar: Das Tool, das jeden Mauszeiger verfolgt

Im HTML-Quellcode von meineschufa.de findet sich folgender Code-Block:

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Hotjar">
  function loadHotjar() {
    (function(h,o,t,j,a,r){
      h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
      h._hjSettings={hjid:6613050,hjsv:6};
      a=o.getElementsByTagName('head')[0];
      r=o.createElement('script');r.async=1;
      r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
      r.id="hotjar-script"
      a.appendChild(r);
    })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=')
  }

Die SCHUFA-Kennung bei Hotjar: hjid:6613050. Damit ist eindeutig belegt, dass die SCHUFA einen aktiven Hotjar-Account betreibt und ihn auf ihrem Bonitätsportal eingebunden hat.

Das Script ist über das Attribut data-usercentrics="Hotjar" an die Consent Management Platform (Usercentrics) gebunden und als type="text/plain" markiert — es wird also erst nach Einwilligung des Nutzers ausgeführt. Doch in der Datenschutzinformation wird Hotjar mit keinem Wort erwähnt. Nutzer, die wissen wollen, welche Dienste auf dem Portal laufen, finden dort keinen Hinweis auf Session-Recording.

Was genau macht Hotjar? Das Tool der gleichnamigen Firma aus Malta bietet sogenanntes Session Recording — die vollständige Aufzeichnung einer Nutzersitzung. Konkret bedeutet das: Jede Mausbewegung wird aufgezeichnet — wohin der Zeiger wandert, wo er verweilt, wie er sich bewegt. Jeder Klick wird protokolliert. Jedes Scrollverhalten wird erfasst. Je nach Konfiguration auch Tastatureingaben — also potenziell Passwörter, Suchbegriffe und persönliche Daten.

Auf einer normalen Webseite wäre das schon fragwürdig. Auf einem Portal, auf dem Verbraucher ihre Kreditwürdigkeit einsehen, SCHUFA-Auskünfte bestellen und Zahlungsdaten eingeben, ist es ein bemerkenswerter Vorgang.

In der Datenschutzinformation: Kein Wort davon

Die Datenschutzinformation von meineschufa.de listet in Abschnitt 9 (“Onlineauftritt und Webseitenoptimierung”) folgende Dienste auf: AWIN (Affiliate-Netzwerk), etracker (Web-Analyse), Friendly Captcha (Bot/Spam-Schutz), CDN, Eye-Able Assist (Barrierefreiheit) und HubSpot (Marketing/CRM).

Hotjar fehlt in dieser Liste vollständig. Wer also die Datenschutzinformation liest — das Dokument, das laut Art. 13 DSGVO vollständig und transparent über alle Datenverarbeitungen informieren soll — erfährt nichts über den Einsatz von Session-Recording.

Die SCHUFA verweist auf den Cookie-Dialog (Usercentrics), in dem Hotjar unter “Marketing & Statistik” aufgeführt sei. Das mag sein — aber ein Consent-Banner ist kein Ersatz für die Datenschutzinformation nach Art. 13 DSGVO. Die Informationspflichten verlangen eine umfassende, eigenständige Darstellung aller eingesetzten Tools, ihrer Zwecke, Rechtsgrundlagen und Empfänger. Ein Klick auf “Einstellungen” im Cookie-Banner, gefolgt von einem Klick auf “Services”, gefolgt von einem Scrollen durch eine Liste — das erfüllt nicht den Transparenzanspruch von Art. 13 DSGVO.

moin.ai: KI-Chat-Widget lädt ohne jede Consent-Steuerung

Besonders bemerkenswert ist ein weiterer Fund: Das KI-Chat-Widget moin.ai wird als type="text/javascript" geladen — ohne data-usercentrics-Attribut, ohne Consent-Steuerung, ohne Opt-in:

<!-- meineschufa.de – Abruf: 29.03.2026, bestätigt 01.04.2026 -->
<script type="text/javascript" id="moinloader"
  src="https://widget.moin.ai/moin-loader.js?id=9OzEGKKr&channelid=9OzEGKKr">
</script>

Zum Vergleich: Hotjar, AB Tasty und Google Tag Manager sind als type="text/plain" mit data-usercentrics eingebunden — sie warten auf Einwilligung. Moin.ai hingegen lädt bei jedem Seitenaufruf sofort, ohne dass der Nutzer gefragt wird. In der Datenschutzinformation wird moin.ai nicht erwähnt.

Nicht nur Hotjar: Welche Tracker noch in der DSE fehlen

Unsere Quellcode-Analyse zeigt, dass Hotjar bei weitem nicht der einzige in der Datenschutzinformation fehlende Dienst ist. Im <head>-Bereich von meineschufa.de finden sich weitere Script-Einbindungen, die in Abschnitt 9 der Datenschutzinformation nicht erwähnt werden:

Google Tag Manager (GTM-MGDZXJH) — Container für die Verwaltung von Tracking-Scripten. In der Datenschutzinformation: nicht erwähnt.

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Google Tag Manager">
  (function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
  new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
  j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
  'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
  })(window,document,'script','dataLayer','GTM-MGDZXJH');
</script>

AB Tasty (A/B-Testing) — analysiert Nutzerverhalten, um verschiedene Seitenversionen gegeneinander zu testen. In der Datenschutzinformation: nicht erwähnt.

Google Consent Mode v2 — stellt eine Verbindung zu Googles Werbe-Infrastruktur her. In der Datenschutzinformation: nicht erwähnt.

Auch schufa.de und elektronische-datenkopie.de betroffen

Das Problem beschränkt sich nicht auf meineschufa.de. Auf schufa.de fanden wir ebenfalls einen undokumentierten Google Tag Manager (GTM-KN3PLLP). Die dortige Datenschutzerklärung ist mit “Stand: August 2024” datiert — zum Zeitpunkt unserer Analyse über 19 Monate alt.

Besonders bemerkenswert ist der Befund auf elektronische-datenkopie.de — der Seite, über die Verbraucher ihre kostenlose DSGVO-Datenkopie anfordern können. Die dortige Datenschutzerklärung behauptet, es kämen lediglich “Notwendige Cookies” und “Session Cookies” zum Einsatz. Im Quellcode findet sich jedoch etracker — ein Web-Analyse-Tool, das weit über “notwendige Session-Cookies” hinausgeht.

Warum das problematisch ist

Seit den BGH-Urteilen vom 27. März 2025 (Az. I ZR 222/19, I ZR 223/19) steht fest: Die Informationspflichten nach Art. 13 DSGVO sind Marktverhaltensregeln. Wer Nutzer nicht korrekt über eingesetzte Tracking-Tools informiert, handelt nicht nur datenschutzwidrig, sondern auch wettbewerbswidrig.

Art. 13 DSGVO verlangt, dass Webseitenbetreiber vollständig und transparent über die Verarbeitung personenbezogener Daten informieren. Dazu gehört: welche Tools eingesetzt werden, zu welchem Zweck, welche Daten erhoben werden, an wen sie übermittelt werden und wie lange sie gespeichert werden.

Bei Hotjar auf einem Bonitätsportal verschärft sich die Problematik zusätzlich. Denn die dort verarbeiteten Daten — Mausbewegungen auf Seiten mit Score-Anzeigen, Klickverhalten bei Kreditauskünften, Scrollverhalten bei Vertragsbedingungen — lassen Rückschlüsse auf die finanzielle Situation und das Entscheidungsverhalten der Nutzer zu.

Je sensibler die Daten, desto weniger Transparenz

Man muss sich das einmal vor Augen führen: Die SCHUFA ist die zentrale Stelle, die über die Kreditwürdigkeit von Millionen Deutschen entscheidet. Verbraucher loggen sich auf meineschufa.de ein, um ihren Score einzusehen, Kreditauskünfte zu bestellen, Zahlungsdaten einzugeben. Es sind die sensibelsten Finanzdaten, die ein Mensch hat.

Und ausgerechnet auf diesem Portal wird ein Session-Recording-Tool eingesetzt, das in der Datenschutzinformation mit keinem Wort erwähnt wird. Ein KI-Chat-Widget lädt ohne jede Consent-Steuerung. Und die Datenschutzerklärung der Schwesterseite schufa.de ist seit über 19 Monaten nicht aktualisiert.

Wer hier keine mangelnde Sorgfalt konstatieren will, muss zumindest eine erhebliche Nachlässigkeit im Umgang mit den eigenen Datenschutzpflichten einräumen — und das bei einer Firma, deren gesamtes Geschäftsmodell auf dem Vertrauen der Verbraucher in den sorgfältigen Umgang mit ihren Daten basiert.

Was Nutzer jetzt tun können

Wer meineschufa.de nutzt, sollte sich bewusst sein, dass sein Verhalten auf der Seite bei erteilter Einwilligung aufgezeichnet werden kann. Folgende Schritte sind möglich:

1. Auskunftsersuchen nach Art. 15 DSGVO an die SCHUFA stellen: Welche Hotjar-Daten wurden über mich erhoben? Das geht über unseren kostenlosen Service in wenigen Minuten.

2. Beschwerde bei der Datenschutzaufsicht einlegen: Zuständig ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (Sitz: Wiesbaden).

3. Browser-Erweiterungen wie uBlock Origin oder NoScript blockieren Hotjar-Scripte zuverlässig.

Stellungnahme der SCHUFA

Die SCHUFA hat auf unseren Artikel reagiert und darauf hingewiesen, dass Hotjar über den Cookie-Dialog (Usercentrics) consent-gesteuert eingebunden ist und erst nach Einwilligung geladen wird. Wir haben dies technisch verifiziert und den Artikel entsprechend korrigiert. Die SCHUFA weist ferner darauf hin, dass Hotjar im Cookie-Dialog unter “Marketing & Statistik” aufgeführt sei. Dies ändert nichts daran, dass Hotjar in der Datenschutzinformation (Art. 13 DSGVO) namentlich nicht genannt wird.

Unsere Methodik

Die in diesem Artikel dargestellten Befunde basieren auf einer Analyse des HTML-Quellcodes, wie er am 29. März 2026 von den Servern der SCHUFA ausgeliefert wurde, am 01. April 2026 erneut gesichert und am 02. April 2026 nochmals verifiziert wurde. Sämtliche Code-Auszüge stammen direkt aus dem Seitenquelltext und sind reproduzierbar. Die vollständige technische Dokumentation einschließlich aller Script-Tags und Zeitstempel liegt vor.

Haben Sie Fragen zu Ihren SCHUFA-Daten oder Ihren Rechten? Kontaktieren Sie uns über unser Kontaktformular.