Brevo Conversations und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Brevo Conversations (vormals Sendinblue Chat) als Live-Chat-Widget auf seiner Webseite ein, verarbeitet er beim Aufruf des Chats Webserver-Protokolldaten und beim Chatten Nutzer-Inhalte (Eingaben, Name, E-Mail, Nachrichten, Dateien) zum Zweck der Kommunikation, der Funktionsbereitstellung sowie der Sicherheit – regelmäßig auf Basis einer Drittanbieter-Inhalte-Einwilligung sowie berechtigter Interessen. Diese Seite gibt einen Überblick darüber, welche Daten Brevo Conversations verarbeitet, wofür der Webseitenbetreiber sie nutzt und welche Pflichtangaben dazu in die Datenschutzerklärung der Webseite gehören.

A. Zweck und Funktionsweise von Brevo Conversations

Brevo Conversations ist das Chat- und Messaging-Modul des französischen E-Mail- und Marketing-Anbieters Brevo (vormals Sendinblue). Das Produkt umfasst nach den öffentlich zugänglichen Angaben des Anbieters insbesondere ein in die eigene Webseite einbindbares Live-Chat-Widget, eine Inbox für ein- und ausgehende Nachrichten, optionale Chatbot-Szenarien sowie Schnittstellen zu E-Mail, WhatsApp, Telefonie und dem Brevo-CRM.

Diese Seite konzentriert sich auf die für Webseitenbetreiber typische Integrations-Funktion: Das Live-Chat-Widget wird über ein JavaScript-Snippet von der Domain https://conversations-widget.brevo.com in die eigene Webseite eingebunden. Sobald das Widget lädt, baut der Browser des Webseitenbesuchers eine direkte Verbindung zu Brevo-Servern auf. Nicht behandelt werden hier andere Brevo-Funktionen wie Newsletter-Versand, Transaktionsmail, Marketing-Automation oder das CRM; diese sind Gegenstand eigener Beiträge.

Funktional dient Brevo Conversations dazu, Webseitenbesucher in Echtzeit anzusprechen, Anfragen zu beantworten, Leads zu qualifizieren und – sofern aktiviert – über Chatbot-Szenarien automatisierte Antworten auszuspielen. Optional können Antworten durch KI-Komponenten unterstützt werden.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Brevo Conversations

Die DSGVO schreibt für die Datenschutzerklärung neben allgemeinen Angaben zum Webseitenbetreiber, zu den Rechten der betroffenen Person und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools wie Brevo Conversations bestimmte spezifische Pflichtangaben vor. Diese ergeben sich insbesondere aus Art. 13 und Art. 14 DSGVO und umfassen:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei Verarbeitung auf Grundlage einer Interessenabwägung (Art. 6 Abs. 1 lit. f DSGVO) zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein unsicheres Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder – falls nicht möglich – die Kriterien zur Festlegung der Speicherdauer (Art. 13 Abs. 2 lit. a DSGVO),
• sowie – wenn die Daten nicht direkt beim Betroffenen erhoben werden – zusätzlich die Kategorien der verarbeiteten personenbezogenen Daten (Art. 14 Abs. 1 lit. d DSGVO).

Diese Pflichtangaben werden nachfolgend für Brevo Conversations konkret aufgeschlüsselt.

Ein häufig anzutreffendes Vorgehen besteht darin, jedes Tool – also auch Brevo Conversations – mit einem eigenen, von Anwaltskanzleien vorformulierten Textbaustein in die Datenschutzerklärung aufzunehmen. Dieser „Textbaustein-pro-Tool"-Ansatz hat sich als schlechte Manier etabliert: Die Texte wiederholen sich inhaltlich, wachsen mit jedem zusätzlichen Dienst weiter an und machen die Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, wonach Informationen präzise, transparent, verständlich und leicht zugänglich sein sollen.

Sachgerechter ist ein themenorientierter Ansatz, der die Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Verkauf, Chat …) beschreibt und lediglich die Empfänger – also die konkret eingesetzten Dienstleister wie Brevo SAS – in einem Anhang auflistet. Diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Brevo Conversations

Vertragspartner für deutsche Webseitenbetreiber, die Brevo Conversations einsetzen, ist nach den öffentlich zugänglichen Angaben des Anbieters die

Brevo SAS (vormals Sendinblue SAS) 17 rue Salneuve 75017 Paris Frankreich

Brevo SAS hat ihren Sitz in Frankreich und damit innerhalb der EU. Das Unternehmen ist im französischen Handelsregister (RCS Paris) unter der SIREN-Nummer 498 019 298 eingetragen. Die Firma führte bis 2023 den Namen Sendinblue SAS und wurde dann in Brevo SAS umbenannt; die im Markt noch verwendete Bezeichnung „Sendinblue Chat" bezieht sich auf dasselbe Produkt, das heute unter dem Namen Brevo Conversations vermarktet wird.

Da Brevo SAS ihren Sitz in der EU hat, liegt kein Drittlandtransfer als solcher durch den Vertragspartner selbst vor. Der Anbieter setzt jedoch nach eigenen Angaben Subprozessoren ein, darunter Cloud-Infrastrukturanbieter wie Amazon Web Services (AWS); dort kann je nach gewählter Region eine Verarbeitung in den USA in Betracht kommen. Die jeweils aktuelle Subprozessoren-Liste ist Bestandteil der Auftragsverarbeitungsvereinbarung (DPA) von Brevo.

Weiterführende Quellen:

D. Datenverarbeitung bei Brevo Conversations – Ablauf in Schritten

E. Erhobene Daten bei Brevo Conversations

Beim Einsatz des Brevo-Conversations-Widgets werden nach den öffentlich zugänglichen Angaben des Anbieters insbesondere folgende konkrete Daten verarbeitet: IP-Adresse des Webseitenbesuchers, Datum und Uhrzeit, aufgerufene Seite (Referrer/Klickpfad), User-Agent und Browserinformationen, ungefährer Standort auf Stadt-/Regionsebene, Geräteinformationen (Gerätetyp, Betriebssystem), interne Besucher-IDs des Widgets, vom Nutzer im Chat eingegebene Texte, optional übermittelter Name und E-Mail-Adresse, hochgeladene Dateien sowie Interaktionsdaten (z.B. Tippstatus, Lesebestätigungen, Klicks im Widget).

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: Daten, die der Brevo-Server bei jedem Widget-Aufruf vom Endgerät erhält, insbesondere IP-Adresse, Datum/Uhrzeit, URL des angefragten Inhalts, Referrer, Browser-, Betriebssystem- und Geräte-Kennungen sowie technische Metadaten (Statuscode, Datenmenge).
• Klickpfade: Information darüber, von welcher Seite der Chat aufgerufen wurde, und Klicks auf Schaltflächen im Widget (z.B. „Chat öffnen", „Datei senden").
• Endgeräte-Daten: Angaben zum Endgerät, z.B. Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, ggf. Spracheinstellung.
• Grobe Standortdaten: Anhand der IP-Adresse ermittelter Standort des Nutzers auf Stadt- oder Regionsebene.
• Interaktionsdaten: Verhalten im Chatfenster, z.B. Tippstatus, Tastendrücke, Klicks, Scrollbewegungen – jeweils mit Datum und Uhrzeit.
• Nutzer-Inhalte: Vom Nutzer in Brevo Conversations eingegebene Inhalte, z.B. Chat-Nachrichten, im Formular angegebener Name, E-Mail-Adresse und Telefonnummer, hochgeladene Bilder, Dateien.
• Technische Telemetriedaten: Technische Daten zur Nutzung des Widgets, z.B. technische Fehlermeldungen, Ladezeiten, Datenvolumen.

Brevo Conversations kann zur Wiedererkennung des Nutzers und zur Sitzungsverwaltung Cookies bzw. ähnliche Technologien (Local Storage) im Endgerät einsetzen.

F. Nutzungszwecke beim Einsatz von Brevo Conversations

Der Webseitenbetreiber nutzt Brevo Conversations typischerweise dazu, mit Webseitenbesuchern direkt in Kontakt zu treten, Fragen zu beantworten, Leads zu qualifizieren und Support zu leisten. Die Daten dienen dabei in erster Linie der Beantwortung der Chat-Anfrage; ergänzend werden technische Daten zur Bereitstellung des Widgets, zur Bot- und Spam-Abwehr sowie zur allgemeinen Verbesserung des Kundenservices verarbeitet.

Die Zwecke, die der Webseitenbetreiber mit dem Einsatz von Brevo Conversations typisch verfolgt, lassen sich in folgende standardisierte Nutzungszweck-Arten einordnen:

• Funktionsbereitstellung: Erbringung der Chat-Funktion auf der Webseite, Anzeige und Anpassung des Chatfensters, Fehlererkennung, Fehlerbehebung und Fehlervermeidung.
• Kommunikation: Direkte Kommunikation mit dem Webseitenbesucher im Rahmen seiner Anfrage, Kundenservice und Support.
• Vertragsdurchführung: Soweit Gegenstand der Chat-Anfrage die Anbahnung oder Durchführung eines Vertrags zwischen Webseitenbetreiber und Nutzer ist (z.B. Pre-Sales-Beratung, Bestell- oder Support-Fragen).
• Sicherheit und Missbrauchsschutz: Spam- und Botabwehr im Widget, Erkennung und Verhinderung unzulässiger Nutzung, Sitzungsmanagement.
• Allgemeine Produktverbesserung: Auswertung von Häufigkeitsstatistiken (z.B. häufige Fragen, durchschnittliche Antwortzeiten) zur bedarfsgerechten Gestaltung von FAQs und Online-Diensten.
• Rechtsdurchsetzung: Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, z.B. Nachweis von Erklärungen oder Beanstandungen aus dem Chat.

G. Rechtsgrundlagen für den Einsatz von Brevo Conversations

Brevo Conversations fällt orientiert am Muster der Datenschutzhinweise-Vorlage in die Tool-Kategorie Drittanbieter-Inhalte / Chat: Das Widget wird per Skript von einer Drittdomain (conversations-widget.brevo.com) eingebunden und löst beim Seitenaufruf direkte Verbindungen zu Brevo-Servern aus.

Als Rechtsgrundlagen können beim Einsatz von Brevo Conversations regelmäßig in Betracht kommen:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG) als sog. Drittanbieter-Inhalte-Einwilligung bzw. Funktions-Einwilligung, sofern der Chat erst nach Einwilligung im Consent-Banner geladen wird oder Cookies/ähnliche Technologien für die Wiedererkennung im Endgerät gesetzt werden.
• Berechtigte Interessen des Webseitenbetreibers und des Nutzers (Art. 6 Abs. 1 lit. f DSGVO) an einer direkten und schnellen Kommunikationsmöglichkeit (Kommunikation, Effizienz) sowie an Sicherheit und Missbrauchsschutz (z.B. Bot- und Spam-Abwehr im Chat).
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO), soweit Gegenstand der Anfrage die Anbahnung oder Durchführung eines Vertrags ist.
• Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO) und berechtigte Interessen an Compliance und Rechtsdurchsetzung für die Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten bzw. zur Beweissicherung.
• Bei Einsatz von Chatbot- oder KI-Komponenten: zusätzlich Hinweis auf den KI-Einsatz erforderlich; Rechtsgrundlage bleibt fall- und konfigurationsabhängig (oft berechtigte Interessen an Effizienz, Verbesserung; bei sensiblen Daten Einwilligung).

Welche Rechtsgrundlage konkret einschlägig ist, hängt von der Ausgestaltung des Widgets, von den im Chat erhobenen Daten, vom eingesetzten Consent-Banner und vom Einzelfall ab und ist vom Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Brevo Conversations

• AVV (DPA): Brevo SAS bietet einen Auftragsverarbeitungsvertrag an, der typischerweise als Bestandteil der Allgemeinen Nutzungsbedingungen (brevo.com/legal/termsofuse) bzw. über das Hilfe-Center bereitgestellt wird. Der Abschluss eines AVV ist beim Einsatz von Brevo Conversations regelmäßig erforderlich (Art. 28 DSGVO).
• Subprozessoren: Brevo nutzt nach eigenen Angaben Subprozessoren (insb. Cloud-Hosting, ggf. KI- und Telefonie-Dienstleister). Die aktuelle Liste ist Bestandteil des AVV bzw. wird im Trust-Center / in der DPA-Anlage geführt – vom Webseitenbetreiber dort einzusehen.
• Drittlandtransfer: Brevo SAS sitzt in Frankreich (EU). Subprozessoren wie AWS können je nach gewählter Region zu einer Verarbeitung in den USA führen; in solchen Fällen stützt der Anbieter den Transfer typischerweise auf Standardvertragsklauseln (SCC) bzw. ergänzend auf das EU-US Data Privacy Framework (DPF), soweit der jeweilige Subprozessor zertifiziert ist (vom Webseitenbetreiber zu verifizieren unter dataprivacyframework.gov).
• Einstellungen für den Webseitenbetreiber: Sichtbarkeitsregeln des Widgets (Seiten/Geräte/Sprachen), Auto-Messages, Chatbot-Szenarien, Datenfelder im Vorab-Formular (Name, E-Mail), Datei-Uploads, Aufbewahrungsregeln und Integration in das Brevo-CRM. Wo möglich Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): nur erforderliche Felder als Pflichtfelder anlegen.
• Consent-Banner: Das Widget sollte in den Consent-Banner aufgenommen und – bei Einbindung als Drittanbieter-Inhalt mit Cookie-/Storage-Einsatz – erst nach Einwilligung geladen werden.
• KI-Hinweis: Werden Chatbot- oder KI-gestützte Antworten eingesetzt, ist im Widget bzw. in der Datenschutzerklärung darauf hinzuweisen.
• Hinweis zur Quelle: Die vorstehende Darstellung beruht auf Angaben des Anbieters (Privacy Policy, Hilfe-Center, Terms / DPA) sowie auf öffentlich recherchierbaren Quellen und ersetzt keine Einzelfallprüfung durch den Webseitenbetreiber.

I. FAQ zu Brevo Conversations und Datenschutz

J. Fazit zu Brevo Conversations und Call-to-Action

Brevo Conversations ist ein in der EU ansässiges Live-Chat-Tool, das beim Einsatz auf einer Webseite Webserver-Protokolldaten, Klickpfade, Endgeräte- und Browserinformationen, grobe Standortdaten, Interaktionsdaten und – beim aktiven Chatten – Nutzer-Inhalte (Nachrichten, Name, E-Mail, Dateien) verarbeitet. Vertragspartner ist die Brevo SAS in Paris; sie tritt nach den öffentlich zugänglichen Angaben für diese Verarbeitungen typischerweise als Auftragsverarbeiter auf und bindet weitere Subprozessoren (insb. Cloud-Hosting) ein. Als Rechtsgrundlagen kommen regelmäßig eine Drittanbieter-Inhalte-Einwilligung sowie berechtigte Interessen in Betracht; die konkrete Einordnung hängt von der Ausgestaltung im Einzelfall ab.

Für den Webseitenbetreiber ist es meist wenig sinnvoll, für Brevo Conversations einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Erklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO – insbesondere, wenn weitere Tools mit ähnlichen Texten dazukommen. Ein strukturierter, themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken (Serverbetrieb, Newsletter, Tracking, Verkauf, Chat …) übergreifend erklärt und nur im Anhang: Empfänger auf einzelne Tools und Dienstleister wie Brevo SAS verweist, ist sachgerechter und nutzerfreundlicher. Genau diese Methodik verfolgt der matterius-Generator: ein klar gegliederter Text, eine zentrale Empfängerliste und eine Datenschutzerklärung, die sich pflegen lässt, wenn Tools wie Brevo Conversations ergänzt oder ersetzt werden.

K. Kurator

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com