Crisp Chat und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Crisp Chat ein, verarbeitet er beim Laden der Webseite IP-Adressen, Browser- und Endgeräte-Informationen sowie – bei aktiver Chat-Nutzung – die Inhalte der Konversation zum Zweck der Echtzeit-Kundenkommunikation auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) bzw. bei gesetzten Session-Cookies auf Basis einer Einwilligung (§ 25 TDDDG). Diese Seite erläutert, welche Daten Crisp Chat nach den öffentlich zugänglichen Anbieterangaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Crisp Chat

Crisp Chat ist eine Messaging- und Kundenkommunikationsplattform der Crisp IM SARL mit Sitz in Nantes, Frankreich. Frankreich ist EU-Mitgliedstaat; Datenübermittlungen zwischen einem deutschen Webseitenbetreiber und Crisp IM SARL begründen damit keinen Drittlandtransfer im Sinne des Kapitel V DSGVO. Dies ist ein datenschutzrechtlicher Vorteil gegenüber vergleichbaren US-amerikanischen Anbietern.

Die Integration erfolgt über ein kompaktes JavaScript-Widget: Webseitenbetreiber fügen ein nur zweizeiliges Code-Snippet in die Webseite ein, woraufhin beim Seitenaufruf der Besucher das Chat-Widget von den Crisp-Servern nachgeladen wird. Das Widget erscheint als Chat-Overlay auf der Webseite. Neben dem klassischen Live-Chat bietet Crisp eine Reihe ergänzender Funktionen: automatisierte Nachrichten und Bots, eine Wissensdatenbank, E-Mail-Integration, Video-Anrufe sowie ein einheitliches Inbox-Dashboard für verschiedene Kommunikationskanäle (Chat, E-Mail, Instagram, Messenger). Für die Besucher-Wiedererkennung über Sitzungen hinweg setzt Crisp Chat nach Anbieterangaben Session-Cookies (u. a. crisp-client/session).

Für Datenschutzzwecke relevant ist insbesondere, dass das Widget bereits beim Laden der Seite Verbindung zu den Crisp-Servern aufbaut – also bevor ein Besucher das Chat-Fenster öffnet oder eine Nachricht sendet.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Crisp Chat

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Da Crisp IM SARL als Auftragsverarbeiter mit Sitz in der EU tätig wird, entfällt die Notwendigkeit, eine Drittlandübermittlung in der Datenschutzerklärung zu adressieren – sofern die Verarbeitung tatsächlich auf EU-Servern stattfindet. Dies ist ein wesentlicher Unterschied zu US-amerikanischen Anbietern vergleichbarer Dienste.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Crisp – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine präzise, transparente, verständliche und leicht zugängliche Form verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden nach Themenblöcken beschrieben; die konkret eingesetzten Dienstleister wie Crisp werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter: Crisp IM SARL

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieterangaben:

• Crisp IM SARL
• Anschrift: 2 rue Paul Baudry, 44000 Nantes, Frankreich [vom Betreiber zu verifizieren]
• Sitzland: Frankreich (EU-Mitgliedstaat, EWR)
• Privacy Policy: https://crisp.chat/en/privacy/
• DPA / AVV: über das Crisp-Dashboard abrufbar bzw. auf Anfrage; Crisp stellt nach Anbieterangaben eine DSGVO-konforme DPA bereit.
• DPF-Status: Nicht relevant, da Crisp IM SARL eine EU-Gesellschaft (Frankreich) ist. Das Data Privacy Framework gilt nur für US-amerikanische Unternehmen.

Nach Anbieterangaben werden Kundendaten auf Servern innerhalb der EU verarbeitet und gespeichert. Die Server befinden sich nach öffentlich zugänglichen Informationen in Frankreich. Eine eigenständige Drittland-Problematik besteht daher bei reiner Nutzung von Crisp ohne US-Subprozessoren nicht. Ob Subprozessoren mit Sitz außerhalb der EU eingesetzt werden, ist anhand der aktuellen Subprozessoren-Liste des Anbieters zu prüfen.

D. Datenverarbeitung – Ablauf beim Einsatz von Crisp Chat

E. Erhobene Daten beim Einsatz von Crisp Chat

Beim Einsatz des Crisp-Widgets verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere technische Verbindungsdaten sowie – bei aktiver Chat-Nutzung – Kommunikationsinhalte. Das Widget überträgt Verbindungsmetadaten bereits beim Laden der Seite, also bevor ein Besucher aktiv interagiert. Dies ist datenschutzrechtlich insbesondere mit Blick auf das Cookie-Recht (§ 25 TDDDG) und die Rechtsgrundlagenwahl relevant.

Diese Daten lassen sich in folgende standardisierte Datenkategorien einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit des Seitenaufrufs, angeforderte URL, Referrer-URL, HTTP-Statuscode.
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und -version, Bildschirmauflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter ungefährer Standort (Stadt/Region).
• Nutzungskonto-Daten: vom Besucher im Chat eingegebene Kontaktdaten wie Name und E-Mail-Adresse.
• Nutzer-Inhalte: Inhalte der Chat-Konversation (Textnachrichten, ggf. übertragene Dateien oder Links).
• Klickpfade: je nach Konfiguration besuchte Seiten vor und während der Chat-Sitzung (Echtzeit-Besuchermonitoring im Dashboard).
• Technische Telemetriedaten: Ladezeiten und technische Betriebsdaten des Widgets.

F. Nutzungszwecke beim Einsatz von Crisp Chat

Crisp Chat wird von Webseitenbetreibern typischerweise zur direkten Kommunikation mit Webseitenbesuchern eingesetzt – etwa für Erstberatung, Verkaufsunterstützung, technischen Support oder allgemeinen Kundenservice. Die Plattform ermöglicht dabei die Zusammenführung verschiedener Kommunikationskanäle in einer gemeinsamen Inbox.

Die einschlägigen Nutzungszwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Betrieb des Chat-Widgets und Echtzeit-Kommunikation zwischen Besucher und Agenten.
• Vertragsdurchführung: Nutzung des Chats zur Anbahnung oder Begleitung von Vertragsbeziehungen, z. B. Support bei bestehenden Kunden.
• Kommunikation: Kundenkommunikation, Bearbeitung von Anfragen und Supportanliegen.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr von Spam oder missbräuchlichen Chat-Anfragen.
• Allgemeine Produktverbesserung: Analyse von Chat-Statistiken zur Verbesserung des Kundenservices.

G. Rechtsgrundlagen

Crisp Chat ist der Tool-Kategorie Live-Chat zuzuordnen. Als Rechtsgrundlagen für den Einsatz kommen nach hier vertretener Auffassung insbesondere in Betracht:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Der Webseitenbetreiber hat typischerweise ein berechtigtes Interesse an der Bereitstellung eines effizienten Kommunikationskanals, an Missbrauchsschutz und an der Effizienz des Kundenservices. Diese Interessen sind gegen die schutzwürdigen Interessen der Besucher abzuwägen. Da Crisp-Server in der EU betrieben werden, fällt die Interessenabwägung im Vergleich zu US-Diensten tendenziell leichter zugunsten des Webseitenbetreibers aus.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Wird der Chat zur Anbahnung oder Abwicklung eines konkreten Vertrags genutzt, kommt diese Rechtsgrundlage ergänzend in Betracht.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Da Crisp beim Laden des Widgets Session-Cookies setzt, ist für das Setzen dieser nicht zwingend technisch erforderlichen Cookies nach deutschem Recht eine vorherige Einwilligung erforderlich. Ob Session-Cookies, die ausschließlich der Funktionsfähigkeit des Chats dienen, als "unbedingt erforderlich" im Sinne des § 25 Abs. 2 TDDDG eingestuft werden können, ist im Einzelfall zu prüfen.

Die einschlägige Rechtsgrundlage ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise

• AVV/DPA: Crisp stellt nach Anbieterangaben einen Auftragsverarbeitungsvertrag bereit. Webseitenbetreiber sollten diesen vor dem produktiven Einsatz abschließen. Die DPA ist über das Crisp-Dashboard oder auf Anfrage beim Anbieter erhältlich.
• EU-Server / kein Drittlandtransfer: Crisp IM SARL ist eine französische Gesellschaft; nach Anbieterangaben werden Daten auf Servern in der EU (Frankreich) verarbeitet. Ein Drittlandtransfer im Sinne des Kapitel V DSGVO besteht durch den Anbieter selbst nicht. Dies vereinfacht die datenschutzrechtliche Bewertung erheblich.
• Subprozessoren: Ob und welche Subprozessoren mit Drittland-Bezug eingesetzt werden, ist anhand der aktuellen Subprozessoren-Liste des Anbieters zu prüfen [vom Betreiber zu verifizieren].
• Cookies: Crisp setzt nach Anbieterangaben Session-Cookies (u. a. crisp-client/session). Diese sind bei der Konfiguration der Consent-Management-Lösung der Webseite zu berücksichtigen.
• Datenschutzfreundliche Positionierung: Crisp positioniert sich nach eigenen Angaben als datenschutzfreundliche Alternative zu US-amerikanischen Anbietern. EU-Datenhaltung und französisches Datenschutzrecht (CNIL) sind Bestandteile dieser Positionierung.
• Opt-Out / Besucherrechte: Besucher können das Laden des Widgets durch entsprechende Cookie-Einstellungen im Consent-Banner verhindern. Betroffenenrechte (Auskunft, Löschung) sind in der Datenschutzerklärung zu dokumentieren.

I. Häufige Fragen zu Crisp Chat und Datenschutz

J. Fazit zu Crisp Chat und Hinweise zur Datenschutzerklärung

Crisp Chat ist ein datenschutzfreundlich positioniertes Live-Chat-Tool aus Frankreich. Gegenüber US-amerikanischen Anbietern entfällt das Drittlandtransfer-Problem, da sowohl der Anbieter als auch die Server nach Anbieterangaben in der EU ansässig sind. Dennoch müssen Webseitenbetreiber die DSGVO-Grundanforderungen erfüllen: Rechtsgrundlage bestimmen, Consent-Management für Cookies konfigurieren, einen AVV abschließen und die Verarbeitung transparent in der Datenschutzerklärung darstellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Crisp einen isolierten Textbaustein aufzunehmen. Tool-spezifische Einzelbausteine machen Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Live-Chat und Kundenkommunikation übergreifend beschreibt und im Empfänger-Anhang auf konkrete Dienstleister wie Crisp verweist. Das ist die Methodik des matterius-Generators.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com