Drift und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Drift ein, verarbeitet er beim Laden der Webseite IP-Adressen, Browser- und Endgeräte-Informationen sowie Verhaltensdaten des Besuchers – auch ohne dass dieser das Chat-Fenster öffnet – zum Zweck der Bereitstellung eines Conversational-Marketing- und Live-Chat-Angebots auf Basis einer Einwilligung (§ 25 TDDDG i.V.m. Art. 6 Abs. 1 lit. a DSGVO) bzw. bei reiner Kommunikationsfunktion auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Diese Seite erläutert, welche Daten Drift nach den öffentlich zugänglichen Anbieterangaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von Drift

Drift ist eine Conversational-Marketing- und Sales-Plattform der Drift.com, Inc. mit Sitz in Boston, Massachusetts, USA. Seit 2023 ist Drift Teil der Salesloft Inc., ebenfalls USA. Webseitenbetreiber integrieren Drift typischerweise über ein JavaScript-Snippet im <head> ihrer Webseite; beim Laden der Seite erscheint ein Chat-Overlay-Widget in der unteren Ecke.

Im Unterschied zu klassischen Live-Chat-Tools ist Drift stark auf Marketing-Use-Cases ausgerichtet: Neben dem Echtzeit-Chat mit Agenten bietet Drift automatisierte Konversations-Bots (sogenannte Playbooks), Meetings-Booking (direkte Kalendereinbindung), Besucheridentifikation (Erkennung von Unternehmensnamen über IP-Adresse/Reverse-IP-Lookup), Besuchersegmentierung und gezielte Nachrichten-Ausspielung basierend auf Besucherverhalten. Diese Funktionen gehen deutlich über eine reine Chat-Kommunikation hinaus.

Datenschutzrechtlich besonders relevant ist, dass Drift Besucherdaten bereits beim Laden des Widgets erhebt und verarbeitet – also bevor der Besucher das Chat-Fenster öffnet oder in irgendeiner Form interagiert. Dazu zählen IP-Adresse, Besuchte Seiten, Verweildauer, technische Parameter sowie der Einsatz von Cookies und lokalem Speicher zur Besucher-Wiedererkennung (u. a. Cookie driftt_eid). Diese präventive Datenerhebung ist für die Frage der Einwilligung nach § 25 TDDDG entscheidend.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Drift

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Da Drift starke Marketing-Tracking-Funktionen enthält – einschließlich Cookies, Besucherprofilerstellung und Segmentierung – ist bei vollem Funktionsumfang eine Einwilligung nach § 25 TDDDG nahezu zwingend. Eine reine Abstützung auf berechtigte Interessen dürfte beim Einsatz der Marketing-Funktionen regelmäßig nicht ausreichen.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für Drift – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine präzise, transparente, verständliche und leicht zugängliche Form verlangt. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen nach Themenblöcken beschreibt und konkrete Dienstleister im Empfänger-Anhang auflistet.

C. Anbieter: Drift.com, Inc. / Salesloft

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieterangaben:

• Drift.com, Inc.
• Anschrift: 222 Berkeley Street, Boston, MA 02116, USA [vom Betreiber zu verifizieren]
• Sitzland: USA
• Muttergesellschaft: Salesloft, Inc., Atlanta, Georgia, USA (Übernahme 2023)
• Privacy Policy: https://www.drift.com/privacy-policy/
• DPA / AVV: https://www.drift.com/dpa/ [vom Betreiber zu verifizieren]
• DPF-Status: Den aktuellen Data-Privacy-Framework-Eintrag für Drift.com, Inc. und/oder Salesloft, Inc. sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen. Angesichts der Übernahme durch Salesloft können sich Vertragspartner und DPF-Einträge geändert haben.

Da Drift.com, Inc. und Salesloft, Inc. ihren Sitz in den USA haben, finden bei der Nutzung von Drift Drittlandtransfers in die USA statt. Diese sind in der Datenschutzerklärung zu benennen und durch geeignete Garantien (SCC, ggf. DPF) abzusichern.

D. Datenverarbeitung – Ablauf beim Einsatz von Drift

E. Erhobene Daten beim Einsatz von Drift

Beim Einsatz von Drift verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben bereits beim Widget-Laden – also ohne jegliche Nutzerinteraktion – Verbindungs- und Verhaltensdaten. Der Umfang der erhobenen Daten ist deutlich größer als bei klassischen Live-Chat-Tools, da Drift auf Marketing-Automatisierung und Besucherprofilerstellung ausgelegt ist.

Diese Daten lassen sich in folgende standardisierte Datenkategorien einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit des Seitenaufrufs, angeforderte URL, Referrer-URL, HTTP-Statuscode, übertragene Datenmenge.
• Klickpfade: besuchte Seiten auf der Website (Drift erfasst die Seitennavigation zur Personalisierung der Bot-Playbooks).
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und -version, Bildschirmauflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter ungefährer Standort (Stadt/Region) sowie ggf. Unternehmensname via Reverse-IP-Lookup.
• Nutzungskonto-Daten: vom Besucher im Chat eingegebene Kontaktdaten wie Name und E-Mail-Adresse; bei Meeting-Buchung auch Kalender- und Termindaten.
• Nutzer-Inhalte: Inhalte der Chat-Konversation (Textnachrichten, ggf. übertragene Dateien) sowie Bot-Interaktionsdaten.
• Nutzerprofile: Besuchshistorie, Seiteninteressen, Firmenzugehörigkeit (Reverse-IP), Segmentzuordnung für gezielte Nachrichten-Ausspielung.
• Interaktionsdaten: Scrollbewegungen, Klicks, Verweildauer auf einzelnen Seiten (je nach Konfiguration).
• Technische Telemetriedaten: Ladezeiten und Fehlerprotokolle des Widgets.

F. Nutzungszwecke beim Einsatz von Drift

Drift wird von Webseitenbetreibern nicht nur für Kundenservice eingesetzt, sondern vor allem als Conversational-Marketing-Tool: Bots sprechen Besucher proaktiv an, qualifizieren Leads, buchen Meetings und leiten Interessenten gezielt durch den Sales-Funnel. Dieser Einsatzzweck geht datenschutzrechtlich deutlich über klassischen Kundensupport hinaus.

Die einschlägigen Nutzungszwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Betrieb des Chat-Widgets und Echtzeit-Kommunikation zwischen Besucher und Agenten.
• Vertragsdurchführung: Nutzung des Chats zur Anbahnung oder Begleitung von Vertragsbeziehungen bei bestehenden Kunden.
• Kommunikation: Kundenkommunikation, Bearbeitung von Anfragen und Supportanliegen.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr von Spam oder missbräuchlichen Chat-Anfragen.
• Allgemeine Produktverbesserung: Analyse von Chat-Statistiken zur Verbesserung des Kundenservices.
• Nutzerprofil-Erstellung: Erstellung von Besucher- und Kontaktprofilen basierend auf Besuchshistorie, Seiteninteressen und Firmenzugehörigkeit zur Segmentierung und gezielten Ansprache.
• Nutzerindividuelles Marketing: Ausspielung personalisierter Bot-Nachrichten und Angebote basierend auf dem Besucherprofil; gezielte Ansprache identifizierter Unternehmensbesucher.

G. Rechtsgrundlagen

Drift ist der Tool-Kategorie Live-Chat zuzuordnen, enthält jedoch erhebliche Tracking- und Marketing-Komponenten, die datenschutzrechtlich über klassische Chat-Funktionen hinausgehen.

Als Rechtsgrundlagen für den Einsatz kommen nach hier vertretener Auffassung insbesondere in Betracht:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Da Drift beim Laden des Widgets Cookies setzt, auf lokalen Speicher zugreift und bereits ohne Chat-Interaktion Besucherdaten für Marketing-Zwecke (Profilerstellung, gezielte Nachrichten, Besucheridentifikation) verarbeitet, ist eine Einwilligung über das Consent-Banner bei vollem Drift-Funktionsumfang die nach hier vertretener Auffassung einzig tragfähige Rechtsgrundlage. Eine reine Abstützung auf berechtigte Interessen dürfte beim Einsatz der Marketing-Automatisierungsfunktionen regelmäßig nicht ausreichen.
• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Diese Rechtsgrundlage könnte in Betracht kommen, wenn Drift ausschließlich als reine Chat-Kommunikations-Funktion ohne Tracking, Profilerstellung und Marketing-Automatisierung eingesetzt wird. Dies ist jedoch bei vollem Drift-Funktionsumfang nicht die typische Nutzungsweise. Das konkret verfolgte Interesse wäre die Bereitstellung eines effizienten Kommunikationskanals und die Sicherheit der Webseite.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Ergänzend bei Chat-Nutzung zur konkreten Vertragsanbahnung oder -abwicklung.

Die einschlägige Rechtsgrundlage ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise

• AVV/DPA: Drift stellt nach Anbieterangaben einen Auftragsverarbeitungsvertrag bereit. Webseitenbetreiber sollten diesen vor dem produktiven Einsatz abschließen. Den aktuellen DPA-Link sollte der Betreiber direkt beim Anbieter verifizieren, da sich Zuständigkeiten im Zuge der Salesloft-Übernahme geändert haben können.
• Drittlandtransfer: Drift.com, Inc. und Salesloft, Inc. haben ihren Sitz in den USA. Es finden Drittlandtransfers in die USA statt. Als Transfergrundlagen kommen nach Anbieterangaben Standardvertragsklauseln (SCC) in Betracht. Den aktuellen DPF-Status sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.
• Salesloft-Übernahme (2023): Drift wurde 2023 von Salesloft übernommen. Vertragspartner, Datenschutzrichtlinien und DPA können sich im Zuge der Integration geändert haben. Webseitenbetreiber sollten die aktuellen Rechtsdokumente direkt beim Anbieter abrufen und prüfen [vom Betreiber zu verifizieren].
• Datenerhebung ohne Interaktion: Drift erhebt Besucherdaten bereits beim Widget-Laden, bevor der Besucher das Chat-Fenster öffnet. Dies betrifft insbesondere Cookies, Klickpfade und Besucherprofildaten. Consent-Management muss daher das vollständige Laden des Drift-Skripts blockieren, bis eine Einwilligung vorliegt.
• Besucheridentifikation (Reverse-IP-Lookup): Drift kann nach Anbieterangaben anhand der IP-Adresse des Besuchers den Unternehmensnamen ermitteln. Diese Funktion geht über klassische Chat-Funktionen hinaus und ist als eigenständige Verarbeitungstätigkeit mit eigener Rechtsgrundlage in der Datenschutzerklärung zu adressieren.
• Cookies: Drift setzt nach Anbieterangaben u. a. das Cookie driftt_eid zur Besucher-Wiedererkennung sowie weitere Cookies für Session-Management und Tracking. Diese sind im Cookie-Consent-System der Webseite zu konfigurieren.
• Subprozessoren: Drift und Salesloft setzen nach Anbieterangaben Subprozessoren für Hosting und ergänzende Dienste ein. Die aktuelle Liste ist beim Anbieter anzufragen [vom Betreiber zu verifizieren].

I. Häufige Fragen zu Drift und Datenschutz

J. Fazit zu Drift und Hinweise zur Datenschutzerklärung

Drift ist ein leistungsstarkes Conversational-Marketing-Tool, das jedoch erhebliche datenschutzrechtliche Anforderungen mit sich bringt: Das Widget erhebt Besucherdaten bereits beim Laden der Seite ohne Nutzerinteraktion, setzt Tracking-Cookies, erstellt Besucherprofile und übermittelt Daten an einen US-Anbieter. Bei vollem Funktionsumfang ist eine Einwilligung über das Consent-Banner nach § 25 TDDDG praktisch unumgehbar. Zusätzlich ist ein AVV abzuschließen, die Drittlandübermittlung zu adressieren und die gesamte Verarbeitung transparent in der Datenschutzerklärung darzustellen.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für Drift einen isolierten Textbaustein aufzunehmen. Tool-spezifische Einzelbausteine machen Datenschutzerklärungen lang, unübersichtlich und schwer pflegbar – und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Live-Chat, Conversational Marketing und Kundenkommunikation übergreifend beschreibt und im Empfänger-Anhang auf konkrete Dienstleister wie Drift verweist. Das ist die Methodik des matterius-Generators.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com