Olark und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Olark ein, verarbeitet er technische Besucher- und Kommunikationsdaten zum Zweck der Bereitstellung eines Live-Chat-Dienstes auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) sowie von Einwilligung (§ 25 TDDDG) für das Setzen von Cookies. Olark wird von dem US-amerikanischen Unternehmen Habla, Inc. betrieben, was eine Drittlandübermittlung in die USA begründet, für die angemessene Garantien zu dokumentieren sind. Dieser Leitfaden erläutert, welche Informationen Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen und welche Besonderheiten der Einsatz von Olark mit sich bringt.

A. Zweck und Funktionsweise von Olark

Olark ist ein schlankes Live-Chat-Tool, das primär für den direkten Kundensupport auf Websites konzipiert ist. Im Vergleich zu umfangreichen Unified-Messaging-Plattformen konzentriert sich Olark auf die Kernfunktion: die Echtzeitkommunikation zwischen Webseitenbesuchern und Support-Mitarbeitenden über ein Chat-Widget.

Die Integration in eine Website erfolgt durch Einbinden eines JavaScript-Snippets in den <head>-Bereich der Website. Sobald ein Besucher die Seite aufruft, lädt das Widget und stellt eine Verbindung zu den Servern von Olark her – unabhängig davon, ob der Besucher das Chat-Fenster tatsächlich öffnet. Das Widget erscheint typischerweise als kleines Chat-Symbol in einer Ecke des Bildschirms und kann vom Betreiber gestalterisch angepasst werden.

Neben der Basis-Chatfunktion bietet Olark Funktionen wie vorgefertigte Antworten, Chat-Transkripte, einfache Besucherübersicht und Auswertungen. Olark positioniert sich bewusst als einfach zu bedienendes Tool ohne komplexe Marketing- oder CRM-Funktionen. Das Unternehmen Habla, Inc. hinter Olark ist als Certified B Corporation zertifiziert und positioniert Datenschutz als wichtigen Aspekt seiner Unternehmensidentität.

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Olark

Der Einsatz von Olark verpflichtet Webseitenbetreiber zur Transparenz gegenüber ihren Besuchern gemäß Art. 13 DSGVO. Die Informationspflichten umfassen zunächst die Angabe der Verarbeitungszwecke (Art. 13 Abs. 1 lit. c DSGVO): die Bereitstellung des Live-Chat-Dienstes und die direkte Kommunikation mit Besuchern. Darüber hinaus sind die Rechtsgrundlagen sowie – bei Berufung auf Art. 6 Abs. 1 lit. f DSGVO – die konkreten berechtigten Interessen des Betreibers zu nennen (Art. 13 Abs. 1 lit. d DSGVO).

Da Olark von einem US-amerikanischen Unternehmen betrieben wird und Daten in die USA übermittelt werden, greifen die Informationspflichten zu Drittlandübermittlungen nach Art. 13 Abs. 1 lit. f DSGVO. Webseitenbetreiber müssen angeben, auf welcher Grundlage (z. B. Standardvertragsklauseln, Data Privacy Framework) die Übermittlung erfolgt. Der Empfänger Habla, Inc. (Olark) ist als Auftragsverarbeiter im Sinne von Art. 28 DSGVO anzugeben (Art. 13 Abs. 1 lit. e DSGVO). Zur Speicherdauer oder den Kriterien für ihre Festlegung müssen ebenfalls Angaben gemacht werden (Art. 13 Abs. 2 lit. a DSGVO).

Ein häufiger Fehler in der Praxis ist das Einfügen generischer Textbausteine für jeden einzelnen Dienst in die Datenschutzerklärung. Diese Methode führt oft zu inkonsistenten, schwer lesbaren Texten, die die tatsächliche Verarbeitungssituation nicht korrekt abbilden. Empfehlenswert ist stattdessen ein strukturierter, themenorientierter Ansatz, der Empfänger und Zwecke systematisch darstellt – zum Beispiel unter einer Rubrik „Live-Chat und Kundenkommunikation" mit einer Empfängerliste.

C. Anbieter: Olark

Unternehmensname: Habla, Inc. (d/b/a Olark)
Anschrift: 427 N Tatnall St #73055, Wilmington, DE 19801, USA (nach verfügbaren Unternehmensregisterdaten; [vom Betreiber zu verifizieren])
Sitzland: USA
Data Privacy Framework (DPF): Olark/Habla, Inc. war zum Zeitpunkt der Recherche nicht als aktiver DPF-Teilnehmer in der öffentlich zugänglichen DPF-Teilnehmerliste des U.S. Department of Commerce nachweisbar. [vom Betreiber zu verifizieren] – im Zweifel sind Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO als Transfermechanismus zu dokumentieren.
Privacy Policy: https://www.olark.com/privacy-policy
DPA-Kontakt: Olark stellt nach eigenen Angaben ein Standard-Data-Processing-Agreement (DPA) zur Verfügung, das per E-Mail an dpo@olark.com angefordert werden kann.

D. Datenverarbeitung – Ablauf beim Einsatz von Olark

E. Erhobene Daten beim Einsatz von Olark

Olark erhebt Daten sowohl passiv (durch das bloße Laden des Widgets) als auch aktiv (durch Interaktion des Besuchers mit dem Chat).

Webserver-Protokolldaten:
IP-Adresse des Besuchers, Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Referrer (Herkunftsseite), HTTP-User-Agent-Informationen.

Endgeräte-Daten:
Gerätetyp (Desktop, Tablet, Smartphone), verwendetes Betriebssystem.

Browserinformationen:
Name und Version des verwendeten Browsers.

Grobe Standortdaten:
Aus der IP-Adresse abgeleitete geografische Informationen (in der Regel Land und Stadt).

Klickpfade:
Die aktuell besuchte Seite sowie gegebenenfalls der bisherige Navigationspfad innerhalb der Website, der dem Support-Agenten im Dashboard angezeigt wird.

Nutzer-Inhalte:
Chat-Nachrichten im Volltext, vom Besucher angegebene Kontaktdaten (Name, E-Mail-Adresse), die im Pre-Chat-Formular erfasst werden können, falls vom Betreiber aktiviert.

Nutzungskonto-Daten (Betreiberseite):
Für die Support-Agenten werden E-Mail-Adresse und Name für die Kontoverwaltung verarbeitet; dies betrifft jedoch die Mitarbeitenden des Betreibers, nicht die Webseitenbesucher.

F. Nutzungszwecke beim Einsatz von Olark

Funktionsbereitstellung:
Kernzweck ist die technische Bereitstellung und der Betrieb des Live-Chat-Widgets, das die Echtzeitkommunikation zwischen Besucher und Support-Mitarbeitendem ermöglicht.

Kommunikation:
Die erhobenen Daten dienen der direkten Kommunikation zwischen dem Webseitenbetreiber (bzw. seinen Agenten) und den Besuchern, insbesondere für Kundenservice, Beantwortung von Anfragen und technischen Support.

Sicherheit und Missbrauchsschutz:
Technische Protokolldaten werden genutzt, um missbräuchliche Nutzung des Chats zu erkennen und die Systemintegrität zu wahren.

Allgemeine Produktverbesserung:
Olark verarbeitet Nutzungsdaten nach eigenen Angaben auch zur Verbesserung und Weiterentwicklung des Dienstes.

G. Rechtsgrundlagen

Olark ist ein Live-Chat-Tool, und für dessen Einsatz kommt als primäre Rechtsgrundlage das berechtigte Interesse des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) in Betracht. Das berechtigte Interesse liegt typischerweise in der Bereitstellung eines direkten, effizienten Kommunikationskanals für Support-Anfragen und Kundenkommunikation. Im Rahmen der erforderlichen Interessenabwägung sind die schutzwürdigen Interessen der Besucher gegenüber dem Interesse des Betreibers abzuwägen.

Für die von Olark gesetzten Cookies gilt zusätzlich § 25 TDDDG: Nicht-essenzielle Cookies, die dem Tracking oder der Wiedererkennung von Besuchern dienen (etwa hblid), setzen eine vorherige Einwilligung des Besuchers voraus. Nur für den technischen Betrieb des Chats unbedingt notwendige Cookies können gegebenenfalls einwilligungsfrei gesetzt werden.

Da Olark ein US-Unternehmen ist, stellt jede Übermittlung personenbezogener Daten an Olark eine Drittlandübermittlung dar, die einer Rechtsgrundlage nach Art. 46 oder Art. 49 DSGVO bedarf. Wenn eine DPF-Zertifizierung nicht vorliegt oder nicht verifiziert werden kann, sind Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO als Transfermechanismus einzusetzen und im DPA zu verankern.

H. Besonderheiten und Hinweise

Drittlandtransfer USA:
Da Habla, Inc. ein US-amerikanisches Unternehmen ist und Daten auf US-Servern verarbeitet werden, ist jede Übermittlung personenbezogener Daten nach Art. 44 ff. DSGVO zu beurteilen. Webseitenbetreiber sollten vor Inbetriebnahme sicherstellen, dass ein angemessener Transfermechanismus dokumentiert ist – entweder eine bestätigte DPF-Zertifizierung oder im DPA vereinbarte SCCs.

DPA / Auftragsverarbeitungsvertrag:
Olark stellt nach eigenen Angaben ein Standard-DPA bereit, das bei dpo@olark.com angefordert werden kann. Bei Bedarf ist ein individuell angepasstes DPA möglich, was nach Angaben des Anbieters einen Wechsel zum Olark-Pro-Plan erfordern kann. Der Abschluss eines DPA ist nach Art. 28 DSGVO verpflichtend.

Cookies:
Olark setzt nach öffentlich dokumentierten Quellen u. a. folgende Cookies: hblid (persistenter Besucher-Identifikator), wcsid (Session-Identifikator). Der Einsatz dieser Cookies sollte im Cookie-Banner und in der Datenschutzerklärung transparent gemacht werden. Für hblid als persistenter Tracking-Cookie ist nach § 25 TDDDG typischerweise eine Einwilligung einzuholen.

Einfaches Tool – überschaubarer Datenumfang:
Olark ist bewusst auf die Kernfunktion Live-Chat ausgerichtet ohne komplexe Marketing- oder Tracking-Features. Der Datenumfang ist dadurch im Vergleich zu umfangreicheren Plattformen tendenziell geringer, was die datenschutzrechtliche Bewertung vereinfacht.

Opt-Out und Betroffenenrechte:
Besucher können das Chat-Widget durch Nicht-Interaktion nutzen, ohne Kontaktdaten preiszugeben. Für die Ausübung von Betroffenenrechten (Auskunft, Löschung etc.) gegenüber Olark ist der Webseitenbetreiber als Verantwortlicher erster Ansprechpartner; er muss entsprechende Anfragen an Olark (als Auftragsverarbeiter) weiterleiten.

I. FAQ

J. Fazit

Olark ist ein fokussiertes Live-Chat-Tool ohne überschießende Tracking-Features, was die datenschutzrechtliche Bewertung vergleichsweise überschaubar macht. Dennoch sollten Webseitenbetreiber die wichtigsten Punkte nicht vernachlässigen: die Drittlandübermittlung in die USA mit dokumentiertem Transfermechanismus, den Abschluss eines DPA sowie die korrekte Behandlung der gesetzten Cookies im Cookie-Consent.

Generische Textbausteine, die Olark pauschal als „DSGVO-konform" bezeichnen, greifen zu kurz. Die Datenschutzerklärung muss die individuelle Konfiguration des Betreibers widerspiegeln und konkrete Angaben zu Rechtsgrundlagen, Empfängern und Drittlandübermittlungen machen. Ein strukturierter, themenorientierter Aufbau der Datenschutzerklärung ist dabei einer Sammlung separater Textbausteine vorzuziehen.