LiveChat und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber LiveChat ein, verarbeitet er beim Laden der Webseite IP-Adressen, Browser- und Endgeräte-Informationen sowie – bei Nutzung des Chats – die Inhalte der Konversation zum Zweck der Bereitstellung eines Echtzeit-Kommunikationskanals für den Kundenservice auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) bzw. bei gesetzten Cookies auf Basis einer Einwilligung (§ 25 TDDDG). Diese Seite erläutert, welche Daten LiveChat nach den öffentlich zugänglichen Anbieterangaben verarbeitet und was dazu in die Datenschutzhinweise einer Webseite gehört.

A. Zweck und Funktionsweise von LiveChat

LiveChat ist eine auf Echtzeit-Kundenkommunikation spezialisierte SaaS-Plattform des Unternehmens Text, Inc. (ehemals LiveChat, Inc.) mit Sitz in den USA und einer polnischen Muttergesellschaft Text SA (Wrocław, Polen). Webseitenbetreiber integrieren das Tool typischerweise über ein JavaScript-Snippet im <head> der Webseite; sobald dieses Snippet geladen ist, erscheint in der unteren Bildschirmecke ein Chat-Overlay-Widget.

Das Widget verbindet sich beim Seitenaufruf unmittelbar mit den LiveChat-Servern – unabhängig davon, ob der Besucher das Chat-Fenster öffnet oder nicht. Der Anbieter bietet neben dem klassischen Live-Chat weitere Funktionen: vorkonfigurierte Chat-Bots (über die Produkte "ChatBot" und "HelpDesk"), Ticket-System, Dateiübertragung im Chat sowie Echtzeit-Besuchermonitoring für Agenten. LiveChat verwendet für die Wiedererkennung von Besuchern eigene Cookies (__lc_cid, __lc_cst, __lc_vv), die beim Laden des Widgets gesetzt werden.

Für Datenschutzzwecke ist die Unterscheidung relevant: Das JavaScript-Widget auf der eigenen Webseite verarbeitet Besucherverbindungsdaten direkt beim Seitenaufruf; die dahinterliegende Agenten- und Ticket-Verwaltung im LiveChat-Backend betrifft hingegen primär die eigenen Mitarbeiterdaten des Webseitenbetreibers und ist nicht Gegenstand dieser Darstellung.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von LiveChat

Die DSGVO verlangt in der Datenschutzerklärung neben den allgemeinen Angaben zum Verantwortlichen, zu den Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf die Nutzung von Tools spezifische Pflichtangaben:

• die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• die Rechtsgrundlagen der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO),
• bei einer Verarbeitung auf Grundlage einer Interessenabwägung zusätzlich die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO),
• die Empfänger oder Kategorien von Empfängern (Art. 13 Abs. 1 lit. e DSGVO),
• ob die Daten in ein Drittland außerhalb EU/EWR übermittelt werden und auf welcher Grundlage (Art. 13 Abs. 1 lit. f DSGVO),
• die Speicherdauer oder die Kriterien zu deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Die nachfolgenden Abschnitte ordnen diese Pflichtangaben für den Einsatz von LiveChat ein.

In der Praxis hat sich eingebürgert, für jedes einzelne Tool – auch für LiveChat – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Dieses Vorgehen ist nach hier vertretener Auffassung nicht zwingend und führt regelmäßig zu langen, durch Wiederholungen aufgeblähten und schwer pflegbaren Datenschutzerklärungen. Das widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO, der eine präzise, transparente, verständliche und leicht zugängliche Form verlangt. Sachgerechter ist ein themenorientierter Ansatz: Verarbeitungen werden übergreifend nach Themenblöcken beschrieben (Serverbetrieb, Kundenkommunikation, Tracking …); die konkret eingesetzten Dienstleister wie LiveChat werden in einem Anhang: Empfänger aufgelistet.

C. Anbieter: LiveChat / Text, Inc.

Vertragspartner für Webseitenbetreiber ist nach den öffentlich zugänglichen Anbieterangaben:

• Text, Inc. (vormals LiveChat, Inc.)
• Anschrift: 101 Arch Street, 8th Floor, Boston, MA 02110, USA [vom Betreiber zu verifizieren]
• Sitzland: USA
• EU-Muttergesellschaft: Text SA, ul. Zwycięska 47, 53-033 Wrocław, Polen (EU/EWR) — ob die polnische Gesellschaft oder die US-Gesellschaft Vertragspartner für EU-Kunden ist, ist anhand des aktuellen Auftragsverarbeitungsvertrags vom Webseitenbetreiber zu prüfen.
• Privacy Policy: https://www.livechat.com/legal/privacy-policy/
• DPA / AVV: https://www.livechat.com/legal/data-processing-agreement/
• DPF-Status: Ein aktueller Data-Privacy-Framework-Eintrag für Text, Inc. bzw. LiveChat, Inc. ist vom Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search zu prüfen.

LiveChat bietet nach Anbieterangaben eine EU-Datenregion an, in der Kundendaten auf EU-Servern gespeichert werden können. Ob diese für den jeweiligen Account aktiviert ist, hängt vom gewählten Plan und den individuellen Einstellungen ab.

D. Datenverarbeitung – Ablauf beim Einsatz von LiveChat

E. Erhobene Daten beim Einsatz von LiveChat

Beim Einsatz des LiveChat-Widgets verarbeitet der Anbieter nach den öffentlich zugänglichen Angaben insbesondere technische Verbindungsdaten sowie – bei aktiver Chat-Nutzung – Kommunikationsinhalte. Bereits das bloße Laden des Widgets ohne Öffnen des Chat-Fensters überträgt Verbindungsmetadaten an die LiveChat-Server. Dies ist für die Frage der Einwilligung nach § 25 TDDDG relevant, da Cookies bereits beim Seitenaufruf gesetzt werden.

Diese Daten lassen sich in folgende standardisierte Datenkategorien einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit des Seitenaufrufs, angeforderte URL, Referrer-URL, HTTP-Statuscode, übertragene Datenmenge.
• Klickpfade: vom Echtzeit-Besuchermonitoring erfasste besuchte Seiten auf der Website (im Agenten-Dashboard einsehbar).
• Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und -version, Bildschirmauflösung.
• Browserinformationen: Browsername und -version.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter ungefährer Standort (Stadt/Region).
• Nutzungskonto-Daten: vom Besucher im Pre-Chat-Formular oder im Chat selbst angegebene Daten wie Name und E-Mail-Adresse.
• Nutzer-Inhalte: Inhalte der Chat-Konversation (Text-Nachrichten, ggf. übertragene Dateien).
• Nutzerprofile: bei aktiviertem Besuchermonitoring Besuchshistorie und besuchte Seiten.
• Technische Telemetriedaten: Ladezeiten und Fehlerprotokolle des Widgets.

F. Nutzungszwecke beim Einsatz von LiveChat

LiveChat wird von Webseitenbetreibern typischerweise zum Zweck der direkten Kommunikation mit Website-Besuchern eingesetzt – etwa für Beratung, Verkaufsunterstützung, technischen Support oder allgemeinen Kundenservice. Darüber hinaus ermöglicht das Besuchermonitoring-Feature eine Echtzeit-Übersicht über aktive Sitzungen auf der Webseite.

Die einschlägigen Nutzungszwecke lassen sich wie folgt einordnen:

• Funktionsbereitstellung: Betrieb des Chat-Widgets und Echtzeit-Kommunikation zwischen Webseitenbesucher und Agenten.
• Vertragsdurchführung: Nutzung des Chats zur Anbahnung oder Durchführung von Verträgen, z. B. Bestellberatung oder technischer Support bei bestehenden Vertragsverhältnissen.
• Kommunikation: Kundenkommunikation, Bearbeitung von Anfragen und Supportanliegen.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr von Spam oder missbräuchlichen Chat-Anfragen.
• Allgemeine Produktverbesserung: Analyse von Chat-Verläufen und Besucherstatistiken zur Verbesserung des Kundenservices.
• Nutzerprofil-Erstellung: bei aktiviertem Besuchermonitoring Erfassung der besuchten Seiten und Segmentierung von Besuchern.

G. Rechtsgrundlagen

LiveChat ist der Tool-Kategorie Live-Chat zuzuordnen. Als Rechtsgrundlagen für den Einsatz kommen nach hier vertretener Auffassung insbesondere in Betracht:

• Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Der Webseitenbetreiber hat typischerweise ein berechtigtes Interesse an der Bereitstellung eines effizienten Kommunikationskanals für Besucher, an Missbrauchsschutz und an der Sicherheit seiner Webseite. Diese Interessen sind gegen die Interessen der Besucher abzuwägen; da das Widget bereits beim Seitenaufruf Verbindungsdaten überträgt, ist eine sorgfältige Einzelfallprüfung angezeigt.
• Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Wird der Chat zur Anbahnung oder Abwicklung eines konkreten Vertrags genutzt, kommt diese Rechtsgrundlage ergänzend in Betracht.
• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Da LiveChat beim Laden des Widgets Cookies im Browser des Besuchers setzt (__lc_cid, __lc_cst, __lc_vv), ist für das Setzen dieser nicht zwingend technisch notwendigen Cookies eine vorherige Einwilligung nach § 25 TDDDG erforderlich. Dies gilt unabhängig von der Rechtsgrundlage für die dahinterliegende Datenverarbeitung nach der DSGVO.

Die einschlägige Rechtsgrundlage ist vom Webseitenbetreiber im Einzelfall zu prüfen.

H. Besonderheiten und Hinweise

• AVV/DPA: LiveChat stellt einen Auftragsverarbeitungsvertrag bereit, der unter https://www.livechat.com/legal/data-processing-agreement/ abrufbar ist. Der Abschluss eines AVV ist beim Einsatz des Tools für die Verarbeitung personenbezogener Daten nach Art. 28 DSGVO regelmäßig verpflichtend.
• Drittlandtransfer: Text, Inc. hat seinen Sitz in den USA. Ob und in welchem Umfang Daten in die USA übermittelt werden, hängt davon ab, ob die EU-Datenregion aktiviert ist. Für unvermeidliche Transfers in die USA stützt sich der Anbieter nach eigenen Angaben auf Standardvertragsklauseln (SCC). Den aktuellen DPF-Status von Text, Inc. sollte der Webseitenbetreiber unter https://www.dataprivacyframework.gov/s/participant-search prüfen.
• EU-Datenregion: LiveChat bietet nach Anbieterangaben eine EU-Datenhaltungsoption an. Webseitenbetreiber mit hohen Datenschutzanforderungen sollten prüfen, ob und in welchem Tarif diese Option verfügbar ist und ob sie für ihren Account aktiviert werden kann.
• Cookies: Das Widget setzt nach Anbieterangaben die Cookies __lc_cid (Besucher-ID, Persistenz-Cookie), __lc_cst (Session-Token) und __lc_vv (Besuchsanzahl). Diese sind für den Betreiber im Cookie-Consent-System zu konfigurieren.
• Besuchermonitoring: Die Funktion, aktive Sitzungen in Echtzeit zu beobachten, geht über die reine Chat-Funktion hinaus und kann als weitergehende Nutzungsanalyse eingeordnet werden. Dies ist bei der Rechtsgrundlagenbestimmung und der Datenschutzerklärung gesondert zu berücksichtigen.
• Subprozessoren: LiveChat veröffentlicht nach Anbieterangaben eine Liste der eingesetzten Subprozessoren; diese ist in der aktuellen Version über das LiveChat-Hilfe-Center abrufbar [vom Betreiber zu verifizieren].
• Opt-Out / Besucherrechte: Besucher können das Laden des Widgets durch entsprechende Cookie-Einstellungen im Consent-Banner verhindern. Die inhaltliche Ausgestaltung der Betroffenenrechte (Auskunft, Löschung) ist in der Datenschutzerklärung zu dokumentieren.

I. Häufige Fragen zu LiveChat und Datenschutz

J. Fazit zu LiveChat und Hinweise zur Datenschutzerklärung

LiveChat ist ein weit verbreitetes Live-Chat-Tool, das durch sein JavaScript-Widget bereits beim Seitenaufruf Verbindungsdaten an den Anbieter überträgt und Cookies im Browser des Besuchers setzt. Webseitenbetreiber müssen daher eine Rechtsgrundlage bestimmen, das Consent-Management entsprechend konfigurieren, einen AVV abschließen und die Verarbeitung in der Datenschutzerklärung transparent machen. Bei Einsatz ohne aktivierte EU-Datenregion ist zudem die Drittlandübermittlung in die USA zu adressieren.

Aus Sicht der Datenschutzerklärung ist es wenig sinnvoll, für LiveChat einen isolierten Textbaustein aufzunehmen. Tool-spezifische Einzelbausteine machen Datenschutzerklärungen lang, unübersichtlich, schwer pflegbar und widersprechen dem Transparenzgebot des Art. 12 Abs. 1 DSGVO.

Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Live-Chat und Kundenkommunikation übergreifend beschreibt und im Empfänger-Anhang auf konkrete Dienstleister wie LiveChat verweist. Das ist die Methodik des matterius-Generators.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com