SCHUFA zeichnet Mausbewegungen und Klicks auf — ohne es zu erwähnen

Eine technische Analyse des Quellcodes von meineschufa.de zeigt: Das Bonitätsportal setzt das Session-Recording-Tool Hotjar ein, das jede Mausbewegung, jeden Klick und jedes Scrollen aufzeichnet. In der Datenschutzinformation fehlt davon jedes Wort.

Wer sich bei meineschufa.de einloggt, um seinen SCHUFA-Score einzusehen oder eine Bonitätsauskunft zu bestellen, erwartet zu Recht, dass seine Daten vertraulich behandelt werden. Schließlich handelt es sich um eines der sensibelsten Finanzportale Deutschlands — Millionen Verbraucher vertrauen der SCHUFA ihre Bonitätsdaten an.

Was die wenigsten Nutzer wissen dürften: Im Hintergrund läuft ein unsichtbarer Beobachter mit.

Hotjar: Das Tool, das jeden Mauszeiger verfolgt

Im HTML-Quellcode von meineschufa.de findet sich folgender Code-Block:

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Hotjar">
  function loadHotjar() {
    (function(h,o,t,j,a,r){
      h.hj=h.hj||function(){(h.hj.q=h.hj.q||[]).push(arguments)};
      h._hjSettings={hjid:6613050,hjsv:6};
      a=o.getElementsByTagName('head')[0];
      r=o.createElement('script');r.async=1;
      r.src=t+h._hjSettings.hjid+j+h._hjSettings.hjsv;
      r.id="hotjar-script"
      a.appendChild(r);
    })(window,document,'https://static.hotjar.com/c/hotjar-','.js?sv=')
  }

Die SCHUFA-Kennung bei Hotjar: hjid:6613050. Damit ist eindeutig belegt, dass die SCHUFA einen aktiven Hotjar-Account betreibt und ihn auf ihrem Bonitätsportal einsetzt.

Besonders aufschlussreich ist das Attribut data-usercentrics="Hotjar" im Script-Tag. Es zeigt, dass die SCHUFA Hotjar bewusst in ihre Consent Management Platform (Usercentrics) integriert hat — es handelt sich also nicht um eine vergessene Altlast oder ein versehentlich eingebundenes Script, sondern um einen aktiv konfigurierten Dienst. Trotzdem erscheint Hotjar nicht als auswählbarer Service im Cookie-Dialog. Die SCHUFA weiß offensichtlich, dass Hotjar läuft, hat es sogar technisch in ihr Consent-System eingebunden — zeigt es den Nutzern aber nicht an.

Hotjar feuert ohne jeglichen Consent

Unsere Analyse geht über den Quellcode hinaus. Wir haben geprüft, ob die Tracker trotz type="text/plain" tatsächlich ausgeführt werden — also ob Usercentrics sie korrekt blockiert, bis der Nutzer zustimmt. Das Ergebnis ist eindeutig:

Hotjar wird beim ersten Seitenaufruf aktiviert — ohne Consent-Banner, ohne Opt-in, ohne jede Nutzerinteraktion. Bei einem Test mit gelöschten Cookies und ohne gespeicherte Consent-Entscheidung (uc_interaction_type: null) ergab die Prüfung:

window.hj existiert — Hotjar ist initialisiert. window._hjSettings enthält {hjid: 6613050}. Das externe Script hotjar-6613050.js ist aktiv geladen. Und: Es gibt nicht einmal ein Usercentrics-Root-Element auf der Seite — der Consent-Banner wird gar nicht angezeigt.

Zum Vergleich: AB Tasty bleibt im selben Test korrekt als type="text/plain" blockiert. Hotjar hingegen wird offenbar als “notwendig” oder “vorab aktiviert” eingestuft — obwohl Session-Recording unter keiner denkbaren Auslegung als “technisch notwendig” im Sinne von § 25 Abs. 2 TTDSG gelten kann.

Damit liegt nicht nur ein Verstoß gegen die Informationspflicht nach Art. 13 DSGVO vor, sondern ein klarer Verstoß gegen § 25 Abs. 1 TTDSG (Einwilligung für nicht-notwendige Zugriffe auf Endeinrichtungen) und gegen Art. 6 und 7 DSGVO (fehlende Rechtsgrundlage und fehlende Einwilligung für die Verarbeitung personenbezogener Daten).

Was genau macht Hotjar? Das Tool der gleichnamigen Firma aus Malta bietet sogenanntes Session Recording — die vollständige Aufzeichnung einer Nutzersitzung. Konkret bedeutet das: Jede Mausbewegung wird aufgezeichnet — wohin der Zeiger wandert, wo er verweilt, wie er sich bewegt. Jeder Klick wird protokolliert. Jedes Scrollverhalten wird erfasst. Je nach Konfiguration auch Tastatureingaben — also potenziell Passwörter, Suchbegriffe und persönliche Daten.

Auf einer normalen Webseite wäre das schon fragwürdig. Auf einem Portal, auf dem Verbraucher ihre Kreditwürdigkeit einsehen, SCHUFA-Auskünfte bestellen und Zahlungsdaten eingeben, ist es ein bemerkenswerter Vorgang.

In der Datenschutzinformation: Kein Wort davon

Die Datenschutzinformation von meineschufa.de listet in Abschnitt 9 (“Onlineauftritt und Webseitenoptimierung”) folgende Dienste auf: AWIN (Affiliate-Netzwerk), etracker (Web-Analyse), Friendly Captcha (Bot/Spam-Schutz), CDN, Eye-Able Assist (Barrierefreiheit) und HubSpot (Marketing/CRM).

Hotjar fehlt in dieser Liste vollständig. Auch im Cookie-Dialog (Consent-Banner) taucht Hotjar nicht als eigenständiger Service auf. Die Consent Management Platform (CMP) von Usercentrics zeigt lediglich sieben “Notwendige” Dienste an — Hotjar ist nicht darunter.

Das bedeutet: Nutzer haben keine Möglichkeit, dem Session-Recording zu widersprechen, weil sie schlicht nicht darüber informiert werden.

Nicht nur Hotjar: Welche Tracker noch im Code stecken

Unsere Quellcode-Analyse zeigt, dass Hotjar bei weitem nicht der einzige undokumentierte Dienst ist. Im <head>-Bereich von meineschufa.de finden sich weitere Script-Einbindungen, die in der Datenschutzinformation nicht erwähnt werden:

Google Tag Manager (GTM-MGDZXJH) — übermittelt bereits beim Laden Daten an Google-Server: IP-Adresse, User-Agent, Referrer. In der Datenschutzinformation: nicht erwähnt.

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Google Tag Manager">
  (function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
  new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
  j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
  'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
  })(window,document,'script','dataLayer','GTM-MGDZXJH');
</script>

AB Tasty (A/B-Testing) — analysiert Nutzerverhalten, um verschiedene Seitenversionen gegeneinander zu testen. In der Datenschutzinformation: nicht erwähnt.

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="AB Tasty"
  src="https://try.abtasty.com/601bb20e0abfe6203e4d878c41ebe2c1.js">
</script>

Google Consent Mode v2 — stellt eine Verbindung zu Googles Werbe-Infrastruktur her. In der Datenschutzinformation: nicht erwähnt.

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Google Consent Mode">
  window.dataLayer = window.dataLayer || [];
  function gtag() { dataLayer.push(arguments); }
  gtag("consent", "default", {
    ad_user_data: "denied",
    ad_personalization: "denied",
    ad_storage: "denied",
    analytics_storage: "denied",
    wait_for_update: 2000
  });
  gtag("set", "ads_data_redaction", true);
</script>

Moin.ai (KI-Chat-Widget) — verarbeitet Nutzerdaten und wird in der Datenschutzinformation ebenfalls nicht genannt.

<!-- meineschufa.de – Abruf: 29.03.2026 -->
<script type="text/javascript" id="moinloader"
  src="https://widget.moin.ai/moin-loader.js?id=9OzEGKKr&channelid=9OzEGKKr">
</script>

Auch schufa.de und elektronische-datenkopie.de betroffen

Das Problem beschränkt sich nicht auf meineschufa.de. Auf schufa.de fanden wir ebenfalls einen undokumentierten Google Tag Manager:

<!-- schufa.de – Abruf: 29.03.2026 -->
<script type="text/plain" data-usercentrics="Google Tag Manager">
  (function(w,d,s,l,i){w[l]=w[l]||[];w[l].push({'gtm.start':
  new Date().getTime(),event:'gtm.js'});var f=d.getElementsByTagName(s)[0],
  j=d.createElement(s),dl=l!='dataLayer'?'&l='+l:'';j.async=true;j.src=
  'https://www.googletagmanager.com/gtm.js?id='+i+dl;f.parentNode.insertBefore(j,f);
  })(window,document,'script','dataLayer','GTM-KN3PLLP');
</script>

Die dortige Datenschutzerklärung ist mit “Stand: August 2024” datiert — zum Zeitpunkt unserer Analyse über 19 Monate alt und offensichtlich nicht mehr aktuell.

Besonders bemerkenswert ist der Befund auf elektronische-datenkopie.de — der Seite, über die Verbraucher ihre kostenlose DSGVO-Datenkopie anfordern können. Die dortige Datenschutzerklärung behauptet, es kämen lediglich “Notwendige Cookies” und “Session Cookies” zum Einsatz. Im Quellcode steht jedoch:

<!-- elektronische-datenkopie.de – Abruf: 29.03.2026 -->
<script id="_etLoader" type="text/plain" charset="UTF-8"
  data-block-cookies="false" data-usercentrics="etracker"
  data-secure-code="W5EgX9"
  src="//static.etracker.com/code/e.js"
  data-respect-dnt="true" data-enable-eo="true" async>
</script>

etracker ist ein Web-Analyse-Tool, das weit über “notwendige Session-Cookies” hinausgeht. Die Behauptung in der Datenschutzerklärung ist schlicht falsch.

Warum das problematisch ist

Seit den BGH-Urteilen vom 27. März 2025 (Az. I ZR 222/19, I ZR 223/19) steht fest: Die Informationspflichten nach Art. 13 DSGVO sind Marktverhaltensregeln. Wer Nutzer nicht korrekt über eingesetzte Tracking-Tools informiert, handelt nicht nur datenschutzwidrig, sondern auch wettbewerbswidrig.

Art. 13 DSGVO verlangt, dass Webseitenbetreiber vollständig und transparent über die Verarbeitung personenbezogener Daten informieren. Dazu gehört: welche Tools eingesetzt werden, zu welchem Zweck, welche Daten erhoben werden, an wen sie übermittelt werden und wie lange sie gespeichert werden.

Bei Hotjar auf einem Bonitätsportal verschärft sich die Problematik zusätzlich. Denn die dort verarbeiteten Daten — Mausbewegungen auf Seiten mit Score-Anzeigen, Klickverhalten bei Kreditauskünften, Scrollverhalten bei Vertragsbedingungen — lassen Rückschlüsse auf die finanzielle Situation und das Entscheidungsverhalten der Nutzer zu.

Je sensibler die Daten, desto mehr Tracking

Man muss sich das einmal vor Augen führen: Die SCHUFA ist die zentrale Stelle, die über die Kreditwürdigkeit von Millionen Deutschen entscheidet. Verbraucher loggen sich auf meineschufa.de ein, um ihren Score einzusehen, Kreditauskünfte zu bestellen, Zahlungsdaten einzugeben. Es sind die sensibelsten Finanzdaten, die ein Mensch hat.

Und ausgerechnet hier, auf diesem Portal, werden Mausbewegungen aufgezeichnet, Klicks protokolliert, A/B-Tests durchgeführt und Daten an Google, Hotjar und AB Tasty übermittelt — ohne dass die Nutzer davon erfahren. Die Ironie ist schwer zu übersehen: Ein Unternehmen, das von Verbrauchern maximales Vertrauen mit ihren Finanzdaten erwartet, behandelt die Browsing-Daten derselben Verbraucher mit bemerkenswerter Intransparenz.

Es entsteht der Eindruck: Je sensibler die Daten der Nutzer, desto weniger Hemmungen hat die SCHUFA, sie ohne Wissen der Betroffenen zu analysieren. Wer hier keine bewusste Täuschung unterstellen will, muss zumindest eine erhebliche Nachlässigkeit im Umgang mit den eigenen Datenschutzpflichten konstatieren — und das bei einer Firma, deren gesamtes Geschäftsmodell auf dem Vertrauen der Verbraucher in den sorgfältigen Umgang mit ihren Daten basiert.

Was Nutzer jetzt tun können

Wer meineschufa.de nutzt, sollte sich bewusst sein, dass sein Verhalten auf der Seite möglicherweise aufgezeichnet wird. Folgende Schritte sind möglich:

1. Auskunftsersuchen nach Art. 15 DSGVO an die SCHUFA stellen: Welche Hotjar-Daten wurden über mich erhoben? Das geht über unseren kostenlosen Service in wenigen Minuten.

2. Beschwerde bei der Datenschutzaufsicht einlegen: Zuständig ist der Hessische Beauftragte für Datenschutz und Informationsfreiheit (Sitz: Wiesbaden).

3. Browser-Erweiterungen wie uBlock Origin oder NoScript blockieren Hotjar-Scripte zuverlässig.

Unsere Methodik

Die in diesem Artikel dargestellten Befunde basieren auf einer Analyse des HTML-Quellcodes, wie er am 29. März 2026 von den Servern der SCHUFA ausgeliefert wurde. Sämtliche Code-Auszüge stammen direkt aus dem Seitenquelltext und sind reproduzierbar. Die vollständige technische Dokumentation einschließlich aller Script-Tags und Zeitstempel liegt vor.

Wir haben die SCHUFA vor Veröffentlichung nicht um Stellungnahme gebeten. Sollte die SCHUFA reagieren, werden wir diesen Artikel entsprechend aktualisieren.