Tawk.to und Datenschutz – Was in die Datenschutzerklärung gehört
Tawk.to Live-Chat: verarbeitete Daten, DSGVO-Rechtsgrundlagen, AVV und was Webseitenbetreiber in die Datenschutzerklärung aufnehmen müssen.
Tawk.to und Datenschutz – Was in die Datenschutzerklärung gehört
Wer Tawk.to Live-Chat auf seiner Webseite einsetzt, muss in der Datenschutzerklärung dokumentieren, welche persönlichen Daten dieses JavaScript-Widget erhebt und wie diese verarbeitet werden. Dazu gehören technische Daten wie IP-Adressen, Browserdaten, Geräte-Informationen sowie die Chat-Nachrichten selbst. Dieser Leitfaden zeigt, welche rechtliche und informationelle Basis Webseitenbetreiber schaffen müssen und welche Besonderheiten Tawk.to mit sich bringt – von der Rechtsgrundlage über Drittlandtransfers bis hin zu praktischen Einstellungen.
A. Zweck und Funktionsweise von Tawk.to
Tawk.to ist ein kostenloses Live-Chat-Tool, mit dem Betreiber einer Webseite ihren Besuchern ermöglichen können, direkt über ein Widget auf der Seite zu chatten. Die Integration funktioniert denkbar einfach: Der Betreiber kopiert eine Zeile JavaScript-Code in die HTML-Seite seiner Website ein, und das Chat-Widget wird sofort aktiv. Besucher sehen daraufhin ein Chat-Fenster, in dem sie mit den Agenten des Betreibers in Echtzeit kommunizieren können.
Das Widget lädt automatisch beim Besuch der Webseite und stellt eine Verbindung zu den Servern von Tawk.to her – unabhängig davon, ob der Besucher tatsächlich ein Chat-Fenster öffnet. Neben der Live-Chat-Funktion bietet Tawk.to auch ein Dashboard für den Betreiber, auf dem Chats verwaltet, Agenten koordiniert und Besucherdaten einsehbar sind. Für größere Teams ermöglicht das System unbegrenzte Agenten und ist damit auch für Unternehmen ohne größere Budgets einsetzbar.
B. Pflichtangaben in der Datenschutzerklärung
Gemäß Datenschutz-Grundverordnung (DSGVO) muss jeder Webseitenbetreiber gegenüber den Besuchern transparent sein, wenn er Technologien einsetzt, die personenbezogene Daten verarbeiten. Das betrifft auch Live-Chat-Tools wie Tawk.to.
Erforderliche Angaben nach Art. 13, 14 DSGVO:
- Name und Kontaktdaten des Verantwortlichen (des Webseitenbetreibers)
- Zwecke der Verarbeitung
- Rechtsgrundlagen der Verarbeitung
- Kategorien erhobener personenbezogener Daten
- Informationen über den Empfänger (Tawk.to Inc.)
- Speicherdauer oder Kriterien für die Festlegung der Speicherdauer
- Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenportabilität, Widerspruch)
- Hinweis auf Beschwerde bei der Aufsichtsbehörde
Viele Webseitenbetreiber verwenden pauschale „Textbausteine" für Datenschutzerklärungen. Dies ist problematisch, da jede Webseite unterschiedliche Tools einsetzt und unterschiedliche Daten verarbeitet. Eine individuelle Anpassung ist rechtlich erforderlich und schafft Sicherheit.
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
C. Anbieter
Unternehmensname: Tawk.to Inc.
Sitz: 187 East Warm Springs Road SB 298, Las Vegas, Nevada 89119, USA
Status: US-Unternehmen
Für deutsche und europäische Webseitenbetreiber ist Tawk.to Inc. die direkte Vertragspartei. Es gibt keine europäische Tochtergesellschaft, die als Auftragsverarbeiter tätig wird – die Datenverarbeitung erfolgt direkt durch das US-Unternehmen.
Data Privacy Framework (DPF): Tawk.to Inc. hat sich selbst zertifiziert unter dem EU-U.S. Data Privacy Framework, dem UK Extension und dem Swiss-U.S. Data Privacy Framework. Diese Zertifizierungen bieten einen Rechtsrahmen für die Übermittlung von Daten aus der EU, Großbritannien und der Schweiz in die USA.
Privacy Policy und Rechtsdokumente:
D. Datenverarbeitung – Ablauf
Die Verarbeitung von Daten durch Tawk.to verläuft in mehreren Schritten:
Das JavaScript-Widget lädt beim Aufruf der Webseite und stellt unmittelbar Verbindung zu den Servern von Tawk.to her. Dabei werden automatisch technische Daten erfasst: IP-Adresse, Browser-Typ, Betriebssystem, Geräte-Informationen und weitere Nutzer-Agenten-Daten. Falls der Besucher ein Chat-Fenster öffnet und antwortet, werden auch die Chat-Nachrichten erfasst sowie ggf. E-Mail und Name (sofern vom Besucher angegeben).
Alle Daten werden auf Servern von Tawk.to in den USA gespeichert. Chats und Tickets sind verschlüsselt (SHA-256 SSL) und bleiben auf den Servern gespeichert, solange sie nicht aktiv gelöscht werden. Es gibt keine automatische Löschung nach einer Frist – die Speicherdauer ist unbegrenzt, es sei denn, der Betreiber löscht Chats manual in seinem Dashboard.
Tawk.to nutzt die Daten zur Bereitstellung des Live-Chat-Dienstes, zur Kommunikation mit Besuchern, zur Fehleranalyse und zur Verbesserung des Services. Der Betreiber kann über sein Dashboard auf alle Chat-Inhalte, Besucherdaten und Kontaktinformationen zugreifen.
Tawk.to gibt Daten an Subunternehmer und Partner weiter, insbesondere für Hosting, Support und Service-Verbesserungen. Eine detaillierte Liste der Subunternehmer ist in der Privacy Policy enthalten oder kann beim Betreiber von Tawk.to angefordert werden.
Nur Administratoren des Betreiber-Accounts können Chats löschen. Gelöschte Chats werden in einen Papierkorb verschoben und können später permanent gelöscht werden. In einigen Regionen muss Tawk.to Aufzeichnungen für eine bestimmte Zeit aufbewahren, auch nach Löschung durch den Betreiber, um gesetzlichen Verpflichtungen nachzukommen.
E. Erhobene Daten
Die folgenden Arten von Daten werden durch Tawk.to erhoben:
Webserver-Protokolldaten:
IP-Adressen (soweit nicht deaktiviert), Zeitstempel der Seitenzugriffe, HTTP-Referrer (woher der Besucher kam), HTTP-Request-Informationen, Größe und Status der Antwort vom Server.
Seiten- und Klickpfade:
Information über die aktuell besuchte Seite (URL), Besuchsdauer auf der Seite, Reihenfolge aufgerufener Seiten auf der Webseite.
Endgeräte-Daten:
Gerätetyp (Desktop, Tablet, Smartphone), Hersteller, Modell, Betriebssystem und Version.
Browser-Informationen:
Browser-Name, Browser-Version, Browser-Plug-ins, Cookies, Web-Storage-Daten.
Grobe Standortdaten:
Land und ggf. Stadt, abgeleitet aus der IP-Adresse (Geolocation).
Nutzer-Inhalte:
Chat-Nachrichten (Text, möglicherweise auch Dateien oder Links), vom Besucher angegebener Name, E-Mail-Adresse (falls im Chat-Formular eingegeben), benutzerdefinierte Felder, sofern vom Betreiber konfiguriert (z. B. Telefonnummer, Nachricht, Grund der Anfrage).
F. Nutzungszwecke
Tawk.to und der Betreiber nutzen die erhobenen Daten für folgende Zwecke:
Funktionsbereitstellung:
Ermöglichung der Live-Chat-Kommunikation zwischen Besucher und Agent in Echtzeit.
Kommunikation:
Beantwortung von Kundenanfragen, technischer Support, Kundenservice, Bearbeitung von Anfragen und Beschwerden.
Sicherheit und Missbrauchsschutz:
Erkennung und Verhinderung von Spam, Betrug, Missbrauch und technischen Angriffen; Überwachung der Systemintegrität.
Produktverbesserung:
Analyse von Chat-Mustern, Häufigkeit, Inhalten zur Verbesserung des Services, der Benutzerfreundlichkeit und der KI-basierten Funktionen.
Kundenunterstützung:
Nachverfolgung von Anfragen, Ticketing, Export und Archivierung von Gesprächsverläufen.
G. Rechtsgrundlagen
Die Verarbeitung von Daten durch Tawk.to erfolgt auf Basis verschiedener Rechtsgrundlagen:
Artikel 6 Abs. 1 lit. f) DSGVO (Berechtigtes Interesse):
Der Betreiber hat ein berechtigtes Interesse daran, seinen Besuchern einen Live-Chat-Service anzubieten und diese zeitnah zu erreichen. Dies fällt unter die Bereitstellung von Kommunikationskanälen und Kundenservice. Die Verarbeitung ist für den Betreiber notwendig, um diesen Service zu erbringen.
Artikel 6 Abs. 1 lit. b) DSGVO (Vertragsanbahnung):
Falls durch das Chat-Tool eine Geschäftsbeziehung angebahnt wird (z. B. Beratung, Verkauf, Vertragsabschluss), können technische und kommunikative Daten zur Vorvertragsvorbereitung erhoben werden.
Besonderheit: Cookies und Tracking (§ 25 TDDDG):
Tawk.to setzt Cookies und andere Tracking-Technologien ein. Für nicht-essenzielle Cookies benötigt der Betreiber in Deutschland regelmäßig eine vorherige Einwilligung des Besuchers (nach § 25 TDDDG / ePrivacy-Richtlinie). Essenzielle Cookies für die Funktionalität des Chat-Widgets können ohne Einwilligung gesetzt werden.
Die Rechtsgrundlage im Einzelfall hängt von der Ausgestaltung der Website ab: Wenn der Chat ausschließlich dazu dient, vorvertragliche Anfragen zu beantworten, kann Art. 6 Abs. 1 lit. b) DSGVO ausreichen. Wenn es um Kundenbindung und Service-Verbesserung geht, ist Art. 6 Abs. 1 lit. f) DSGVO wahrscheinlicher. Eine individuelle Prüfung pro Webseite ist erforderlich.
H. Besonderheiten und Hinweise
Data Processing Agreement (DPA):
Tawk.to stellt ein Daten-Verarbeitungsabkommen (DPA / AVV) zur Verfügung. Dieses kann unter https://www.tawk.to/data-protection/dpa-data-processing-addendum/ abgerufen oder mit Tawk.to vereinbart werden. Der Abschluss eines DPA ist empfohlen und teilweise erforderlich, um die Verarbeitung als Auftragsverarbeitung rechtmäßig zu gestalten.
Drittlandtransfer (USA):
Alle Daten werden in die USA übermittelt und dort verarbeitet. Dies fällt unter ein Drittlandtransfer-Szenario. Tawk.to hat sich dem EU-U.S. Data Privacy Framework (DPF) unterworfen, was eine Basis für die Rechtmäßigkeit des Transfers bildet. Alternative Garantien (wie Standard-Contractual-Clauses, SCCs) sollten ebenfalls dokumentiert werden.
Speicherdauer:
Chats werden unbegrenzt gespeichert, bis sie aktiv vom Betreiber gelöscht werden. Dies ist ein wichtiger Punkt für die Datenschutzerklärung: Besuchern sollte transparent gemacht werden, dass ihre Chat-Nachrichten nicht automatisch gelöscht werden.
Konfiguration des Chat-Widgets:
Der Betreiber kann verschiedene Einstellungen vornehmen:
- Offline-Formular: Welche Felder sollen erhoben werden (Name, E-Mail, Nachricht)?
- IP-Tracking: Soll die Besuchter-IP-Adresse aufgezeichnet werden? (Kann deaktiviert werden.)
- Besucherdaten: Welche zusätzlichen Informationen werden über die Besucherlandungseite erfasst?
- Pre-Chat-Formular: Kann personalisiert werden, um nur notwendige Daten zu erfassen.
Wichtiger Hinweis zu Chat-Inhalten:
Besucherdaten im Chat können sensitiv sein: Kreditkartennummern, Passwörter, Gesundheitsinformationen, rechtliche Informationen. Der Betreiber sollte Agenten instruieren, keine sensitiven Daten im unverschlüsselten Chat zu erfassen. Die Datenschutzerklärung sollte diese Risiken adressieren.
Widget lädt ohne Interaktion:
Das JavaScript-Widget wird beim Besuch der Seite geladen und verbindet sich mit Tawk.to-Servern – auch wenn der Besucher nicht aktiv mit dem Chat interagiert. Dies bedeutet, dass sofort bei Seitenaufruf eine Verbindung zu einem US-Anbieter aufgebaut wird. Dies sollte transparent gemacht werden.
I. Häufige Fragen zu Tawk.to und Datenschutz
J. Fazit
Tawk.to ist ein beliebtes, kostenlos nutzbares Live-Chat-Tool, das viele Webseitenbetreiber einsetzen – ohne sich dabei immer der datenschutzrechtlichen Implikationen bewusst zu sein. Besucher einer Website mit Tawk.to-Widget erkennen sofort beim Laden der Seite, dass eine Verbindung zu einem US-Server aufgebaut wird und dass ihre technischen Daten erfasst werden.
Für Betreiber gilt: Eine detaillierte Datenschutzerklärung ist nicht optional, sondern eine Pflicht nach DSGVO. Diese sollte nicht aus pauschalen Textbausteinen zusammengesetzt sein, sondern spiegeln, welche Daten Tawk.to tatsächlich erhebt, wer Verantwortlicher und wer Auftragsverarbeiter ist, auf welche Rechtsgrundlage sich die Verarbeitung stützt und wie Besucher ihre Rechte wahrnehmen können.
Ein professioneller Generator oder spezialisierte Beratung hilft dabei, eine rechtssichere und transparente Datenschutzerklärung zu erstellen – tailored auf die eigene Website und die eingesetzten Tools.
Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.
Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.
- Kein Abo, keine versteckten Kosten
- Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
- Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.
Disclaimer: Dieser Text bietet allgemeine Informationen zu Datenschutz und Tawk.to. Er stellt keine Rechtsberatung dar. Die konkrete Rechtmäßigkeit der Nutzung von Tawk.to hängt von der individuellen Situation, der Konfiguration und geltenden lokalen Gesetzen ab. Für eine verbindliche Bewertung wird rechtliche Beratung empfohlen. Stand: April 2026.
Autorenschaft
Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.
matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
Mehr über Dr. Helbing: www.thomashelbing.com
SurveyMonkey Embeds und Datenschutz – Was in die Datenschutzerklärung gehört
SurveyMonkey Embeds: verarbeitete Daten, DSGVO-Rechtsgrundlagen, AVV und Pflichtangaben für die Datenschutzerklärung beim Einbetten von Umfragen.
The Trade Desk und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu The Trade Desk: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.