Zoho SalesIQ und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu Zoho SalesIQ: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.
Zoho SalesIQ und Datenschutz – Was in die Datenschutzerklärung gehört
Setzt ein Webseitenbetreiber Zoho SalesIQ ein, verarbeitet er Besucher- und Kommunikationsdaten zum Zweck der Bereitstellung eines Live-Chat-Dienstes sowie des Besucher-Trackings auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) sowie von Einwilligung (§ 25 TDDDG) für nicht-essenzielle Cookies. Zoho SalesIQ wird von Zoho Corporation Pvt. Ltd. betrieben, einem indischen Unternehmen, das EU-Rechenzentren betreibt, aber als Muttergesellschaft ihren Sitz in Indien hat – einem Land ohne EU-Adäquanzbeschluss. Dieser Leitfaden erläutert die datenschutzrechtlichen Anforderungen beim Einsatz von Zoho SalesIQ und die Besonderheiten, die sich aus der Unternehmensstruktur ergeben.
A. Zweck und Funktionsweise von Zoho SalesIQ
Zoho SalesIQ ist eine integrierte Live-Chat- und Besucher-Tracking-Plattform, die als Teil des Zoho-Produktökosystems angeboten wird. Im Unterschied zu einfacheren Live-Chat-Tools bietet Zoho SalesIQ neben der klassischen Chat-Funktion umfangreiche Funktionen zur Besucheranalyse: Das Tool beginnt nach eigenen Angaben ab dem Moment Daten zu erfassen, in dem ein Besucher auf eine Seite mit dem eingebetteten Widget gelangt – noch bevor der Chat geöffnet wird.
Die Integration erfolgt durch Einbinden eines JavaScript-Widgets in die Website. Das Widget kommuniziert unmittelbar beim Seitenaufruf mit den Zoho-Servern und erfasst technische Daten sowie Verhaltensdaten des Besuchers. Im Agent-Dashboard können Support-Mitarbeitende in Echtzeit verfolgen, welche Besucher sich gerade auf der Website befinden, welche Seiten sie besuchen, wie lange sie verweilen und aus welchem Land sie stammen.
Zoho SalesIQ bietet darüber hinaus Chatbot-Funktionen, Lead-Scoring (Priorisierung von Besuchern nach ihrem Potenzial als Interessenten), proaktive Chat-Einladungen und eine Integration mit anderen Zoho-Produkten wie Zoho CRM. Diese umfangreichen Funktionen machen Zoho SalesIQ zu einem mächtigeren, aber auch datenschutzrechtlich komplexeren Tool als einfache Live-Chat-Lösungen. Setzt ein Betreiber nur die reine Chat-Funktion ein, reduziert sich der Datenumfang; nutzt er das vollständige Besucher-Tracking, ist der Verarbeitungsumfang entsprechend größer.
B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Zoho SalesIQ
Webseitenbetreiber sind nach Art. 13 DSGVO verpflichtet, ihre Besucher transparent über die Datenverarbeitung durch Zoho SalesIQ zu informieren. Die Informationspflichten umfassen Angaben zu den Verarbeitungszwecken (Art. 13 Abs. 1 lit. c DSGVO): Bereitstellung des Live-Chat-Dienstes, Besucher-Tracking, Lead-Scoring und gegebenenfalls Chatbot-Nutzung. Die Rechtsgrundlage sowie bei Art. 6 Abs. 1 lit. f DSGVO die konkreten berechtigten Interessen sind zu benennen (Art. 13 Abs. 1 lit. d DSGVO).
Besondere Bedeutung kommt der Informationspflicht zu Drittlandübermittlungen zu (Art. 13 Abs. 1 lit. f DSGVO): Obwohl Zoho EU-Rechenzentren betreibt, ist die Muttergesellschaft Zoho Corporation Pvt. Ltd. ein indisches Unternehmen. Indien verfügt über keinen Adäquanzbeschluss der EU-Kommission (Stand: 2026-05-06). Selbst wenn Daten primär in der EU verarbeitet werden, kann der Zugriff durch die indische Muttergesellschaft einen Drittlandtransfer im Sinne der DSGVO darstellen. Als Transfermechanismus kommen Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO in Betracht, die Zoho nach eigenen Angaben abgeschlossen hat.
Der Empfänger Zoho Corporation Pvt. Ltd. (bzw. die zuständige europäische Zoho-Einheit) ist als Auftragsverarbeiter anzugeben (Art. 13 Abs. 1 lit. e DSGVO). Speicherdauer oder die Kriterien für ihre Festlegung sind ebenfalls aufzunehmen (Art. 13 Abs. 2 lit. a DSGVO). Da Zoho SalesIQ umfangreiche Tracking-Funktionen beinhaltet, sollte die Datenschutzerklärung explizit auf das Besucher-Tracking und die damit verbundene Verarbeitung auch ohne Chat-Interaktion hinweisen.
Ein themenorientierter Aufbau der Datenschutzerklärung – mit einer systematischen Empfängerliste statt einzelner Textbausteine je Tool – ist gegenüber einer fragmentierten Darstellung vorzuziehen, da er die Übersichtlichkeit erhöht und das Risiko von Inkonsistenzen verringert.
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
C. Anbieter: Zoho SalesIQ
Unternehmensname: Zoho Corporation Pvt. Ltd.
Anschrift (Hauptsitz): Estancia IT Park, Plot No. 140 & 151, GST Road, Vallancherry Village, Chengalpattu Taluk, Kanchipuram District 603 202, Tamil Nadu, Indien
EU-Repräsentanz: Zoho Corporation B.V., Beneluxlaan 4B, 3527 HT Utrecht, Niederlande (nach öffentlich verfügbaren Angaben; [vom Betreiber zu verifizieren])
Sitzland: Indien (Muttergesellschaft); EU-Rechenzentren in Irland und den Niederlanden
Data Privacy Framework (DPF): Zoho Corporation ist nach öffentlich zugänglichen Informationen kein aktiver DPF-Teilnehmer (Withdrawal). Als Transfermechanismus setzt Zoho nach eigenen Angaben Standardvertragsklauseln (SCCs) ein.
Datenschutzbeauftragter: Zoho hat nach eigenen Angaben einen Datenschutzbeauftragten (DPO) ernannt. Kontaktinformationen: https://www.zoho.com/privacy.html
Privacy Policy: https://www.zoho.com/privacy.html
DSGVO-Informationen: https://www.zoho.com/gdpr.html
D. Datenverarbeitung – Ablauf beim Einsatz von Zoho SalesIQ
Sobald ein Besucher eine Seite mit eingebettetem Zoho-SalesIQ-Widget aufruft, beginnt die Datenerhebung unmittelbar – ohne dass der Besucher das Chat-Fenster öffnen muss. Das JavaScript-Widget überträgt technische Daten an Zoho-Server: IP-Adresse, Browser- und Geräteinformationen, besuchte URL, Referrer, Zeitzone und Betriebssystem. Bei Besucher-Tracking-Aktivierung werden zudem Klickpfade, Verweildauer und weitere Interaktionsdaten erfasst. Bei aktiver Chat-Nutzung kommen Chatinhalte und angegebene Kontaktdaten hinzu.
Nach Angaben des Anbieters können EU-Kunden ihre Daten in EU-Rechenzentren (Irland, Niederlande) speichern lassen. Cookies werden im Browser des Besuchers gesetzt: Zoho SalesIQ verwendet nach öffentlich dokumentierten Angaben First-Party-Cookies – d. h. Cookies, die unter der Domain des Webseitenbetreibers gesetzt werden. Diese dienen u. a. der Besuchererkennung und dem Session-Tracking.
Die erhobenen Daten dienen der Bereitstellung des Chat-Dienstes, der Anzeige von Besucherinformationen im Agent-Dashboard (Echtzeit-Besucherliste, Seitennavigation), dem Lead-Scoring sowie der Auslösung proaktiver Chat-Einladungen. Betreiber, die Zoho CRM oder andere Zoho-Produkte nutzen, können Visitor-Daten in diese Systeme überführen.
Zoho Corporation verarbeitet Daten als Auftragsverarbeiter nach Art. 28 DSGVO. Innerhalb des Zoho-Konzerns kann ein konzerninterner Datentransfer stattfinden, der auch die indische Muttergesellschaft einschließt. Zoho gibt an, hierzu interne SCCs zwischen Zoho-Konzerngesellschaften abgeschlossen zu haben. Details zu weiteren Subprozessoren sind im Rahmen des DPA-Abschlusses zu erfragen.
Chat-Transkripte und Besucherprofile verbleiben im System bis zur aktiven Löschung durch den Betreiber oder bis vertragliche Aufbewahrungsfristen ablaufen. Cookies im Browser erlöschen nach den in der Cookie-Richtlinie von Zoho SalesIQ angegebenen Laufzeiten. Betreiber sollten im DPA konkrete Löschfristen vereinbaren.
E. Erhobene Daten beim Einsatz von Zoho SalesIQ
Zoho SalesIQ erhebt – je nach Konfiguration des Betreibers – einen erheblichen Umfang an Besucher- und Interaktionsdaten, auch ohne aktive Chat-Nutzung.
Webserver-Protokolldaten:
IP-Adresse des Besuchers, Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Referrer, Server-Response-Daten.
Klickpfade:
Im Rahmen des Besucher-Trackings werden die besuchten Seiten der Website, die Reihenfolge der Navigation und die Verweildauer auf einzelnen Seiten erfasst.
Endgeräte-Daten:
Gerätetyp (Desktop, Tablet, Smartphone), verwendetes Betriebssystem und Version, Bildschirmauflösung.
Browserinformationen:
Name und Version des Browsers, Sprache, Zeitzone.
Grobe Standortdaten:
Aus der IP-Adresse abgeleitete geografische Information (Land, Stadt).
Nutzer-Inhalte:
Chat-Nachrichten, im Chat oder Pre-Chat-Formular angegebene Kontaktdaten (Name, E-Mail-Adresse, Telefonnummer, sofern abgefragt), hochgeladene Dateien oder Anhänge.
Nutzerprofile:
Bei aktiviertem Besucher-Tracking können über mehrere Besuche hinweg Besuchshistorien und Interessenprofile aufgebaut werden, insbesondere wenn Besucher identifiziert oder durch Cookies wiedererkannt werden.
Interaktionsdaten:
Bei Aktivierung entsprechender Funktionen können Klickverhalten, Scrolltiefe und weitere Interaktionen auf der Website erfasst werden.
Technische Telemetriedaten:
Ladezeiten und technische Performance-Daten zur Optimierung des Chat-Widgets.
F. Nutzungszwecke beim Einsatz von Zoho SalesIQ
Funktionsbereitstellung:
Betrieb und Bereitstellung des Live-Chat-Widgets sowie der Echtzeit-Kommunikation zwischen Besucher und Support-Mitarbeitendem.
Kommunikation:
Beantwortung von Kundenanfragen, Bereitstellung von Support, Beratung und Kommunikation im Rahmen des Kundenservice.
Vertragsdurchführung:
Soweit der Chat im Rahmen bestehender oder anzubahnender Vertragsverhältnisse genutzt wird, kann die Verarbeitung der Vertragserfüllung oder -anbahnung dienen.
Sicherheit und Missbrauchsschutz:
Technische Protokolldaten werden zur Absicherung des Dienstes und zur Erkennung missbräuchlicher Nutzung genutzt.
Allgemeine Produktverbesserung:
Aggregierte Nutzungsdaten können zur Weiterentwicklung des Zoho-SalesIQ-Dienstes verwendet werden.
Besucher-Tracking und Lead-Scoring:
Ein wesentliches Differenzierungsmerkmal von Zoho SalesIQ ist das integrierte Besucher-Tracking: Betreiber können in Echtzeit sehen, welche Besucher die Website nutzen, und auf Basis von Lead-Scoring-Algorithmen priorisieren, wen sie proaktiv ansprechen. Dieser Zweck geht über die reine Chat-Funktion hinaus und ist datenschutzrechtlich gesondert zu bewerten.
G. Rechtsgrundlagen
Für den Einsatz von Zoho SalesIQ kommen verschiedene Rechtsgrundlagen in Betracht, je nach genutztem Funktionsumfang. Für die reine Live-Chat-Funktion ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) eine typischerweise in Betracht kommende Grundlage – das Interesse liegt in der Bereitstellung eines effizienten Kommunikationskanals für Support und Anfragen. Für Besucher-Tracking-Funktionen, die über das für den Chat technisch Notwendige hinausgehen, und für das Lead-Scoring ist die Rechtsgrundlage im Einzelfall sorgfältig zu prüfen; hier kann eine Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO erforderlich werden.
Für Cookies und vergleichbare Tracking-Technologien gilt § 25 TDDDG: Nicht-essenzielle Cookies – insbesondere solche, die der Besuchererkennung und dem Cross-Session-Tracking dienen – setzen eine vorherige Einwilligung des Besuchers voraus. Zoho SalesIQ arbeitet zwar nach eigenen Angaben primär mit First-Party-Cookies, jedoch sind diese dennoch einwilligungspflichtig, wenn sie einem nicht-essenziellem Zweck dienen.
Für die Drittlandübermittlung an Zoho (als indisches Unternehmen) bedarf es eines Transfermechanismus nach Art. 46 oder Art. 49 DSGVO. Da Indien keinen Adäquanzbeschluss hat und Zoho nicht aktiv DPF-zertifiziert ist, kommen Standardvertragsklauseln (SCCs) als Transfermechanismus in Betracht. Zoho gibt an, diese einzusetzen. Der Betreiber sollte dies im DPA verifizieren und dokumentieren.
Die Rechtsgrundlage für das Besucher-Tracking und Lead-Scoring ist im Einzelfall gesondert zu prüfen und hängt von der konkreten Konfiguration ab. Betreiber, die alle Funktionen von Zoho SalesIQ nutzen, sollten eine individuelle rechtliche Bewertung einholen. Dies stellt keine Rechtsberatung dar.
H. Besonderheiten und Hinweise
Indische Muttergesellschaft – Drittlandtransfer:
Zoho Corporation Pvt. Ltd. ist ein indisches Unternehmen. Indien hat keinen Adäquanzbeschluss der EU-Kommission (Stand: 2026-05-06). Selbst wenn Daten in EU-Rechenzentren verarbeitet werden, kann der konzerninternen Zugriff durch die indische Muttergesellschaft einen relevanten Drittlandtransfer darstellen. Als Transfermechanismus setzt Zoho nach eigenen Angaben SCCs ein. Webseitenbetreiber sollten dies im DPA absichern und dokumentieren.
EU-Rechenzentren:
Zoho betreibt nach eigenen Angaben EU-Rechenzentren in Irland und den Niederlanden. EU-Kunden können wählen, dass ihre Servicedaten innerhalb der EU verarbeitet werden. Dies reduziert das Risiko einer Drittlandübermittlung für die primäre Datenverarbeitung, beseitigt aber nicht die Frage des konzerninternen Zugriffs aus Indien.
Kein DPF-Status:
Zoho Corporation ist nach öffentlich verfügbaren Informationen kein aktiver Teilnehmer des EU-US Data Privacy Framework. Als Transfermechanismus verweist Zoho auf SCCs.
DPA / Auftragsverarbeitungsvertrag:
Zoho stellt ein Data Processing Addendum (DPA) bereit, das auf SCCs basiert. Der Abschluss ist für Webseitenbetreiber nach Art. 28 DSGVO verpflichtend. Im DPA sollten die EU-Datenspeicherung, die Subprozessorenliste und die Transfermechanismen für interne Konzernzugriffe geregelt sein.
Besucher-Tracking ohne Chat-Interaktion:
Zoho SalesIQ beginnt nach eigenen Angaben mit der Datenerfassung ab dem Moment des Seitenbesuchs – unabhängig davon, ob der Besucher das Chat-Widget öffnet. Dieser Aspekt muss in der Datenschutzerklärung transparent dargestellt werden und erfordert gegebenenfalls eine separate Bewertung der Rechtsgrundlage für das Tracking.
Cookie-Consent:
Für den Einsatz von Zoho SalesIQ mit aktiviertem Tracking ist ein funktionierendes Cookie-Consent-Management unbedingt erforderlich. Besucher sollten vor dem Laden des vollständigen Tracking-Skripts die Möglichkeit haben, ihre Einwilligung zu erteilen oder zu verweigern.
Integration mit anderen Zoho-Produkten:
Werden Daten aus Zoho SalesIQ in andere Zoho-Dienste (z. B. Zoho CRM) übertragen, weitet sich der Verarbeitungskontext aus und ist zusätzlich in der Datenschutzerklärung darzustellen.
I. FAQ
J. Fazit
Zoho SalesIQ ist ein funktionsreiches Live-Chat- und Besucher-Tracking-Tool, das datenschutzrechtlich sorgfältig bewertet werden muss. Die Kombination aus umfangreichem Tracking-Umfang (auch ohne Chat-Interaktion), der Zugehörigkeit zu einem indischen Mutterkonzern ohne EU-Adäquanzbeschluss und dem Fehlen einer aktiven DPF-Zertifizierung macht eine gründliche Dokumentation in der Datenschutzerklärung unbedingt erforderlich.
Pauschale Textbausteine, die Zoho SalesIQ vereinfacht als „DSGVO-konform" einordnen, greifen zu kurz und können eine rechtliche Fehleinschätzung begünstigen. Betreiber sollten insbesondere das Besucher-Tracking gesondert bewerten und prüfen, ob hierfür eine Einwilligung eingeholt werden muss. Der DPA mit Zoho sollte explizit die EU-Datenspeicherung, den Transfermechanismus und die Subprozessorenliste regeln.
Ein themenorientierter, strukturierter Aufbau der Datenschutzerklärung – anstatt eines Flickenteppichs aus Einzelbausteinen – ermöglicht es, die tatsächliche Verarbeitungssituation transparent und übersichtlich abzubilden.
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
Dieser Beitrag dient der allgemeinen Information zu Zoho SalesIQ und ersetzt keine rechtliche Beratung im Einzelfall. Die Darstellung basiert auf öffentlich zugänglichen Angaben des Anbieters und recherchierbaren Quellen. Stand: 2026-05-06.
Autorenschaft
Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.
matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Mehr über Dr. Helbing: www.thomashelbing.com