Tidio und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Tidio ein, verarbeitet er Nutzer-Inhalte (Chat-Eingaben), Webserver-Protokolldaten, Klickpfade, Endgeräte-Daten und Kontaktdaten zum Zweck der Kommunikation, Kundenbetreuung und ggf. Vertragsanbahnung, regelmäßig auf Basis berechtigter Interessen nach Art. 6 Abs. 1 lit. f DSGVO; soweit Tracking- und Chatbot-Komponenten profilbildend wirken, kommt eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG in Betracht. Diese Seite zeigt, welche Daten Tidio verarbeitet, wofür Webseitenbetreiber sie nutzen und welche Pflichtangaben für Tidio in die Datenschutzerklärung der Webseite gehören.

A. Zweck und Funktionsweise von Tidio

Tidio ist eine Kommunikationsplattform, die Live-Chat, KI-gestützte Chatbots (u. a. unter dem Produktnamen Lyro) und Helpdesk-Funktionen für Webseitenbetreiber bündelt. Ziel ist es, Webseitenbesuchern eine direkte Kontakt- und Service-Möglichkeit zu bieten und gleichzeitig Standardanfragen automatisiert über Bots zu bearbeiten. Tidio integriert sich per JavaScript-Snippet in die Webseite und stellt dort ein Chat-Widget bereit.

Zu den Kernfunktionen zählen nach Anbieterangaben Live-Chat mit Agenten, regelbasierte und KI-gestützte Chatbots, E-Mail- und Helpdesk-Ticketing, Besucher-Übersicht (Live-View) sowie Auswertungen zur Chat-Performance. Diese Seite konzentriert sich auf die Integrations-Funktion, also das auf der Webseite eingebundene Chat-Widget mit Live-Chat- und Chatbot-Funktionalität. Reine Backend-Helpdesk-Funktionen ohne Webseiten-Integration werden hier nicht vertieft.

B. Pflichtangaben in der Datenschutzerklärung beim Einsatz von Tidio

Die DSGVO verlangt für die Datenschutzerklärung neben allgemeinen Angaben zum Verantwortlichen, zu Betroffenenrechten und zur Aufsichtsbehörde in Bezug auf konkrete Tools wie Tidio eine Reihe spezifischer Pflichtangaben: die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c DSGVO), die Rechtsgrundlagen (Art. 13 Abs. 1 lit. c DSGVO) und – bei Stützung auf berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – die konkret verfolgten berechtigten Interessen (Art. 13 Abs. 1 lit. d DSGVO).

Hinzu kommen Angaben zu Empfängern oder Empfänger-Kategorien (Art. 13 Abs. 1 lit. e DSGVO), zur Übermittlung in unsichere Drittländer und der jeweiligen Rechtsgrundlage (Art. 13 Abs. 1 lit. f DSGVO), zur Speicherdauer bzw. Festlegungskriterien (Art. 13 Abs. 2 lit. a DSGVO) sowie – soweit Daten nicht direkt beim Betroffenen erhoben werden – zu den Datenkategorien (Art. 14 Abs. 1 lit. d DSGVO). Die nachfolgenden Abschnitte schlüsseln diese Pflichtangaben für Tidio auf.

Es ist nicht erforderlich, jedes einzelne Tool – auch nicht Tidio – in der Datenschutzerklärung mit eigenem Textbaustein und namentlicher Nennung aufzuführen. Der „Textbaustein-pro-Tool"-Ansatz erzeugt lange, von Kanzleien vorformulierte Texte, die sich wiederholen und die Datenschutzerklärung schwer pflegbar und für Nutzer kaum lesbar machen. Sachgerechter ist ein themenorientierter Ansatz, der Verarbeitungen übergreifend (Serverbetrieb, Newsletter, Tracking, Chat …) beschreibt und konkret eingesetzte Empfänger – darunter Tidio – im Anhang auflistet. Genau diese Methodik verfolgt der matterius-Generator.

C. Anbieter von Tidio

Vertragspartner für deutsche Webseitenbetreiber ist nach den öffentlich zugänglichen Angaben des Anbieters je nach Vertrags-Variante die Tidio LLC mit Sitz in den USA bzw. die Tidio Poland sp. z o.o. mit Sitz in Szafarnia 11/F8, 80-755 Gdańsk (Danzig), Polen. Welcher Konzernpartner Vertragspartner ist, ergibt sich aus der jeweiligen Bestellbestätigung bzw. den Bedingungen im Tidio-Account und sollte vom Webseitenbetreiber im Einzelfall geprüft werden. Sofern die US-Gesellschaft beteiligt ist, ist eine Drittlandübermittlung anzunehmen; nach öffentlichen Angaben kann der Status hinsichtlich des EU-US Data Privacy Framework unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden.

Die Datenschutzhinweise von Tidio sind unter https://www.tidio.com/privacy-policy/ abrufbar; ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) wird unter https://www.tidio.com/legal/dpa/ bereitgestellt. Sub-Auftragsverarbeiter (z. B. Cloud-Infrastruktur, Modell-Anbieter für Chatbot-KI) sind in der entsprechenden Sub-Prozessor-Liste des Anbieters dokumentiert.

D. Datenverarbeitung durch Tidio – Ablauf in Schritten

1. Erhebung: Beim Aufruf einer Seite mit eingebundenem Tidio-Snippet wird das Chat-Widget geladen. Tidio setzt nach Anbieterangaben Cookies und/oder Local-Storage-Einträge zur Sitzungserkennung. Nimmt der Besucher den Chat auf, werden Eingaben (Text, ggf. hochgeladene Dateien), Klickpfade, Endgeräte- und Browserinformationen sowie Webserver-Protokolldaten erhoben. Bei Chatbot-Interaktionen werden Eingaben an die KI-Komponente weitergeleitet.
2. Speicherung: Die Chat-Verläufe werden in der Tidio-Infrastruktur gespeichert. Hosting erfolgt nach Anbieterangaben in Cloud-Rechenzentren; eine Übermittlung in die USA ist je nach gewähltem Sub-Prozessor möglich.
3. Nutzung: Der Webseitenbetreiber greift über das Tidio-Dashboard auf Chat-Verläufe und Tickets zu, um Anfragen zu bearbeiten. Tidio nutzt Daten zur Funktionsbereitstellung, Sicherheit und – im Rahmen der Vertragsbeziehung – zur Plattform-Verbesserung.
4. Weitergabe: Tidio setzt Sub-Auftragsverarbeiter ein (Cloud-Infrastruktur, ggf. KI-Modell-Anbieter für Chatbot-Funktionen). Eine Übermittlung an externe Werbenetzwerke ist nach den öffentlichen Angaben grundsätzlich nicht vorgesehen.
5. Löschung: Chat-Verläufe können über das Tidio-Dashboard gelöscht werden; Aufbewahrungsfristen sind teilweise konfigurierbar. Nach Vertragsende werden die Daten gemäß DPA gelöscht oder zurückgegeben.

E. Erhobene Daten bei Tidio

Im Rahmen einer typischen Tidio-Integration werden insbesondere IP-Adresse, Datum und Uhrzeit, aufgerufene URLs, Referrer, User-Agent, Bildschirmauflösung, Cookie-/Session-IDs, Chat-Eingaben (Text, ggf. Dateien), Name und E-Mail-Adresse (sofern vom Nutzer im Pre-Chat-Formular angegeben) sowie ggf. Informationen über den verwendeten Endgerätetyp verarbeitet. Im Live-View kann der Webseitenbetreiber zudem den aktuellen Standort auf Stadt-/Gemeindeebene und die aktuell besuchte Seite einsehen.

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum, Uhrzeit, angefragte URL, Referrer, User-Agent, technische Metadaten.
• Klickpfade: aufgerufene Seiten, von denen aus der Chat geöffnet wurde, Klicks innerhalb des Widgets.
• Interaktionsdaten: Tipp-Indikatoren, Eingaben in Eingabefeldern, Reaktionen auf Bot-Nachrichten.
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Touch-Unterstützung.
• Browserinformationen: Browsername, Browserversion, Spracheinstellungen.
• Grobe Standortdaten: anhand der IP-Adresse abgeleiteter Standort auf Stadt-/Gemeindeebene.
• Nutzer-Inhalte: Chat-Nachrichten, hochgeladene Bilder oder Dateien, Antworten in Bot-Flows.
• Nutzungskonto-Daten: bei eingeloggten Nutzern oder Nutzern mit Pre-Chat-Formular: Name, E-Mail-Adresse, ggf. Telefonnummer.
• Technische Telemetriedaten: technische Fehlermeldungen, Ladezeiten des Widgets.

F. Nutzungszwecke beim Einsatz von Tidio

Webseitenbetreiber setzen Tidio typischerweise ein, um Besucher direkt auf der Webseite zu Service-, Produkt- oder Vertragsfragen ansprechen zu können, Standardanfragen automatisiert per Chatbot zu bearbeiten und Tickets in einer zentralen Helpdesk-Oberfläche zu verwalten. Daneben werden Chat-Daten zur internen Verbesserung von Antwort-Bausteinen und Bot-Flows ausgewertet.

Diese Zwecke lassen sich in folgende standardisierte Nutzungszweck-Klassen einordnen:

• Funktionsbereitstellung: technische Bereitstellung des Chat-Widgets, Anpassung des Chat-Fensters, Fehlererkennung.
• Kommunikation: Bearbeitung von Chat-Anfragen, Kundenservice, Support.
• Vertragsdurchführung: soweit der Chat zur Anbahnung oder Durchführung eines Vertrags zwischen Nutzer und Webseitenbetreiber dient.
• Sicherheit und Missbrauchsschutz: Erkennung und Abwehr von Bot- und Spam-Angriffen, Authentifizierung von Nutzern, Sitzungsmanagement.
• Allgemeine Produktverbesserung: Auswertung typischer Anfragen zur Erstellung von FAQs und zur Optimierung der Webseiten-Inhalte.
• Erfüllung von Aufbewahrungspflichten und Rechtsdurchsetzung: bei Chats mit Vertragsbezug.

G. Rechtsgrundlagen für den Einsatz von Tidio

Tidio fällt nach den öffentlich zugänglichen Funktionsbeschreibungen primär in die Tool-Kategorie Chat, ergänzt um KI-gestützte Chatbot-Komponenten.

In Betracht kommen regelmäßig berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO mit Interessen an Effizienz (schneller Kommunikationskanal), Verbesserung (Optimierung des Service) und Personalisierung (Anpassung an die Anfrage des Nutzers); soweit der Chat der Anbahnung oder Durchführung eines Vertrags dient, kommt zusätzlich Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung) in Betracht.

Soweit Tidio Cookies oder vergleichbare Identifikatoren setzt, die nicht für die unbedingte Erbringung des Chat-Dienstes erforderlich sind (z. B. zur sitzungsübergreifenden Wiedererkennung oder zur produktverbessernden Auswertung), kann eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG erforderlich sein. Auch bei umfangreichen Chatbot-Tracking-Funktionen mit Profilbildung wird in der Praxis häufig eine Einwilligung empfohlen. Die Wahl der Rechtsgrundlage ist fallabhängig und im Einzelfall durch den Webseitenbetreiber zu prüfen.

H. Besonderheiten und Hinweise zu Tidio

• AVV/DPA: Tidio stellt einen Auftragsverarbeitungsvertrag bereit (https://www.tidio.com/legal/dpa/); ein Abschluss ist regelmäßig erforderlich, da Tidio für die Chat-Daten typischerweise als Auftragsverarbeiter agiert.
• Drittlandtransfer: Bei Beteiligung der US-Gesellschaft Tidio LLC bzw. bei US-Sub-Prozessoren ist eine Übermittlung in die USA anzunehmen; einschlägig sind dann der DPF-Status (zu verifizieren unter https://www.dataprivacyframework.gov/s/participant-search) und/oder Standardvertragsklauseln.
• KI-Komponenten / Lyro: Bei Einsatz der KI-Bot-Funktionen werden Eingaben an Modell-Anbieter übermittelt; der Webseitenbetreiber sollte prüfen, welche Sub-Prozessoren in der KI-Pipeline beteiligt sind und ob Eingaben für das Training der Modelle genutzt werden.
• Pre-Chat-Formular: Die Erhebung von Name und E-Mail im Pre-Chat-Formular sollte auf das Erforderliche beschränkt werden; Pflichtfelder sind transparent zu gestalten.
• Live-View: Die Live-View-Funktion zeigt aktive Besucher auf der Webseite, was über das reine Bereitstellen eines Chat-Kanals hinausgehen kann und eine entsprechende Rechtsgrundlage erfordert.
• Speicherdauer: Chat-Verläufe sollten regelmäßig gelöscht werden, sobald sie für die Anliegens-Bearbeitung nicht mehr benötigt werden; bei Vertragsbezug greifen ggf. gesetzliche Aufbewahrungsfristen.
• Einstellungen für den Webseitenbetreiber: Aktivierung der Datenschutz-relevanten Optionen im Tidio-Dashboard (z. B. Cookie-Steuerung, Auswertungs-Optionen), Integration in das Consent-Banner sofern Einwilligung gewählt wird.

I. FAQ zu Tidio und Datenschutz

J. Fazit und Call-to-Action zu Tidio

Tidio bündelt Live-Chat, Chatbot und Helpdesk in einer Plattform und verarbeitet dabei sowohl klassische Kommunikationsdaten als auch Verhaltens- und Endgerätedaten der Webseitenbesucher. Webseitenbetreiber sollten beim Einsatz auf den Abschluss eines Auftragsverarbeitungsvertrags, eine kritische Bewertung der Drittland-Konstellation, eine sorgfältige Konfiguration der Chatbot- und KI-Komponenten und eine angemessene Speicherdauer der Chat-Verläufe achten.

Es ist für Webseitenbetreiber meist wenig sinnvoll, für jedes einzelne Tool – auch nicht für Tidio – einen eigenen Textbaustein in die Datenschutzerklärung aufzunehmen. Das macht die Datenschutzerklärung lang, unübersichtlich, schwer pflegbar und widerspricht dem Transparenzgebot des Art. 12 Abs. 1 DSGVO. Sachgerechter ist ein strukturierter, themenorientierter Ansatz, der Chat- und Kommunikations-Tools übergreifend erklärt und Tidio als Empfänger im Anhang aufführt. Genau diese Methodik unterstützt der matterius-Generator.

K. Kurator