Zendesk Support und Datenschutz – Was Webseitenbetreiber wissen müssen

Setzt ein Webseitenbetreiber Zendesk für Customer Support und Live Chat ein, verarbeitet er Kontaktdaten (Name, E-Mail, Telefon, Support-Anfrage), Chatnachrichten und Ticketing-Daten zum Zweck der Kundenkommunikation und Supportabwicklung auf Basis berechtigter Interessen und ggf. Vertragsdurchführung. Zendesk International Ltd, Dublin, Irland, fungiert dabei als Auftragsverarbeiter und nicht als Verantwortlicher – der Webseitenbetreiber trägt die Hauptverantwortung für die Datenverarbeitung.

Diese Anleitung richtet sich an Webseitenbetreiber, die Zendesk Support, Zendesk Chat oder Zendesk Ticketing nutzen und daher eine DSGVO-konforme Datenschutzerklärung benötigen.

A. Zweck und Funktionsweise von Zendesk

Zendesk ist eine Cloud-basierte Customer-Support-Plattform mit mehreren Funktionsmodulen:

• Zendesk Support (Ticketing): Websitebesucher reichen Support-Anfragen über ein Formular oder E-Mail ein; der Websitenbetreiber verwaltet diese Tickets in einem Zendesk-Dashboard
• Zendesk Chat (Live Chat): Ein Live-Chat-Widget auf der Website ermöglicht direkte Kommunikation zwischen Besucher und Supportagent in Echtzeit
• Zendesk Messaging: Messaging über WhatsApp, SMS, Messenger und andere Kanäle
• Knowledge Base: Öffentliche FAQ und Selbstservice-Artikel

Die typische Integration erfolgt über:

1. Chat-Widget: Ein JavaScript-Snippet auf der Website zeigt ein kleines Chat-Fenster
2. Support-Formular: Ein Kontaktformular sendet Anfragen an Zendesk
3. Email-Integration: Support-Anfragen können auch per E-Mail eingereicht werden

Bei der Nutzung werden Kontakt- und Kommunikationsdaten an die Zendesk-Server übermittelt, wo sie in einem ticketing System gespeichert, gesucht und analysiert werden.

B. Pflichtangaben in der Datenschutzerklärung zu Zendesk

Die DSGVO verlangt für jeden Auftragsverarbeiter: Zwecke (Art. 13 Abs. 1 lit. c), Rechtsgrundlagen (Art. 13 Abs. 1 lit. a), Empfängerkategorien (Art. 13 Abs. 1 lit. e), Drittlandtransfers (Art. 13 Abs. 1 lit. f, falls relevant) und Speicherdauer (Art. 13 Abs. 2 lit. a).

Sichtweise auf Zendesk-Integration: Viele Webseitenbetreiber schreiben zu Zendesk nur »Zendesk verarbeitet Support-Anfragen« – dies ist zu kurz und nicht aussagekräftig. Stattdessen sollte klar werden:

• Wer ist Zendesk (Auftragsverarbeiter in Dublin)?
• Welche Daten fließen (Name, E-Mail, Chat-Inhalte)?
• Welcher Zweck (Supportabwicklung, Ticketing)?
• Welche Rechtsgrundlage (berechtigte Interessen, ggf. Vertrag)?
• Wo werden Daten verarbeitet (Server-Standorte)?

Besser: Ein themenorientierter Abschnitt »Kundenkommunikation und Support« mit Auflistung aller Support-Tools (Zendesk, Mail, Telefon).

C. Anbieter von Zendesk: Zendesk International Ltd

Juristischer Name: Zendesk International Ltd

Anschrift: 55 Charlemont Place, Saint Kevin's, Dublin D02 F985, Irland

Sitzland: Irland (Europäische Union / EWR)

Datenschutzerklärung: https://www.zendesk.com/company/agreements-and-terms/privacy-policy/

DPF-Status: Zendesk International Ltd ist eine EU-Gesellschaft (Irland) und unterliegt nicht dem Data Privacy Framework. Das DPF gilt nur für US-Unternehmen. Zendesk nutzt jedoch Binding Corporate Rules (BCR) und Standard Contractual Clauses (SCC) für Drittlandtransfers an Zendesk-Gesellschaften und Subprozessoren in den USA.

Datenschutzvereinbarung (DPA/AVV): Zendesk bietet eine standardisierte Data Processing Agreement (DPA) an. Diese ist unter https://www.zendesk.com/company/data-processing-agreement/ erhältlich und lässt sich elektronisch unterzeichnen. Die DPA regelt:

• Zendesks Rolle als Auftragsverarbeiter (Art. 28 DSGVO)
• Subprozessoren-Verwaltung
• Sicherheitsmaßnahmen (Verschlüsselung, Zugriffskontrolle)
• Betroffenenrechte (Unterstützung bei Auskunftsersuchen, Löschanfragen)
• Drittlandtransfers via SCC und BCR

Sie müssen diese DPA unterzeichnet haben, um Zendesk DSGVO-konform zu nutzen.

D. Datenverarbeitung durch Zendesk – Ablauf

E. Erhobene Daten beim Einsatz von Zendesk

Bei der Integration von Zendesk verarbeitet der Websitenbetreiber folgende Datenarten:

• Name und E-Mail-Adresse des Besuchers
• Telefonnummer (falls angegeben)
• Chat- oder Support-Nachrichten (frei geschriebene Texte)
• IP-Adresse
• Geräteinformationen (Betriebssystem, Bildschirmauflösung, Browsertyp)
• Browser-Informationen (User-Agent, Browser-Version)
• Hochgeladene Dateien/Anhänge (Screenshots, PDFs, Bilder, Dokumente)
• Besuchte Seite (Referrer)
• Zeitstempel und Dauer der Chat-/Ticket-Interaktion
• Ticket-Status und Zuordnung zu Supportagent
• Automatische Notizen und Tags durch Zendesk KI

Diese Daten lassen sich in folgende standardisierte Datenarten-Klassen einordnen:

• Webserver-Protokolldaten: IP-Adresse, Datum/Uhrzeit, Browser/OS, Referrer, technische Metadaten
• Klickpfade: Besuchte Seite vor Chat-Öffnung, angeklickte Support-Links
• Endgeräte-Daten: Gerätetyp, Betriebssystem, Bildschirmauflösung, Browser
• Browserinformationen: Browsername, -version, installierte Plug-ins
• Nutzungskonto-Daten: Kundenname, E-Mail-Adresse, Telefonnummer
• Nutzer-Inhalte: Chat-Nachrichten, Support-Tickets, hochgeladene Dateien
• Nutzerprofile: Ticket-Historie, frühere Kontakte, Support-Kategorienzuordnung
• Interaktionsdaten: Chat-Dauer, Nachrichten-Sequenzen, Antwortzeiten

F. Nutzungszwecke beim Einsatz von Zendesk

Bei der Kundenkommunikation mit Zendesk werden Daten zu folgenden Zwecken verarbeitet:

Primäre Zwecke:

• Funktionsbereitstellung: Bereitstellung des Chat-Widgets und Support-Formular-Funktionalität
• Kommunikation: Beantwortung von Kundenanfragen, Support-Tickets bearbeiten, Live-Chat-Gespräche
• Ticketing: Verwaltung, Kategorisierung und Priorisierung von Support-Anfragen
• Betroffenenrechte: Aufbewahrung von Support-Nachweisen und Dokumentation der Kommunikation
• Produktverbesserung: Analyse von Ticket-Mustern, Supporteffizienz, Fehleridentifikation
• Allgemeine Produktverbesserung: Verbesserung der Chat-Benutzerfreundlichkeit, Fehleranalyse, Performance-Optimierung
• Sicherheit: Bekämpfung von Spam und Missbrauch im Chat/Ticket-System

Sekundäre Zwecke (falls aktiviert):

• Analytik: Zendesk-interne Analytics zur Verbesserung des Produkts (mit Anonymisierung)
• KI/Machine Learning: Automatische Kategorisierung, Sentiment-Analyse (optional)
• Reporting: Erstellung von Support-Reports für den Websitenbetreiber

G. Rechtsgrundlagen für Zendesk

Schritt 1: Kategorisierung von Zendesk Zendesk ist ein Auftragsverarbeiter (Art. 28 DSGVO). Der Websitenbetreiber ist Verantwortlicher und trägt die Verantwortung dafür, dass:

• Eine Rechtsgrundlage für die Verarbeitung besteht
• Betroffenenrechte gewährleistet sind
• Eine DPA mit Zendesk besteht

Schritt 2: Anwendbare Rechtsgrundlagen

1. Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – Primär:

   • Der Websitenbetreiber hat ein berechtigtes Interesse, Kundensupport anzubieten
   • Kundenkommunikation verbessert die Geschäftsbeziehung
   • Ticketing ermöglicht Nachverfolgung und Dokumentation von Anfragen
   • Die Interessen des Websitenbetreibers überwiegen die Interessen der Betroffenen, da die Verarbeitung notwendig und vorhersehbar ist
   • Abwägung: Der Betroffene erwartet, dass ein Support-Kontakt dokumentiert wird

2. Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO) – Sekundär:

   • Falls der Betroffene ein Support-Ticket einreicht, ist die Speicherung zur Erfüllung des Support-Versprechens notwendig
   • Die Speicherung und Bearbeitung ist vertraglich erforderlich

3. Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) – Optional:

   • Nicht erforderlich, da berechtigte Interessen ausreichend sind
   • Optional: Falls der Websitenbetreiber Chat-Daten für Marketing nutzt (z.B. Remarketing-Listen), ist Einwilligung nötig

Besonderheit – § 25 TDDDG: Falls das Chat-Widget auch Cookies setzt (z.B. zur Session-Verfolgung oder Besucher-Erkennung), ist Opt-in-Einwilligung erforderlich (§ 25 Abs. 1 TDDDG). Reine Support-Funktionalität ohne Tracking-Cookies braucht keine zusätzliche Einwilligung.

H. Besonderheiten und Hinweise zu Zendesk

1. Auftragsverarbeiter mit eigenem Verantwortlichen Zendesk ist Auftragsverarbeiter für den Websitenbetreiber, aber auch Verantwortlicher für eigene Verarbeitungen (z.B. Produktverbesserung, Sicherheitsforschung). Das bedeutet:

• Sie sind Verantwortlicher für die Support-Daten, die Sie sammeln
• Zendesk ist Auftragsverarbeiter für die technische Speicherung
• Zendesk ist auch Verantwortlicher für interne Analytics und Sicherheitsanalysen

2. DPA ist zwingend erforderlich Sie müssen eine Data Processing Agreement (DPA) mit Zendesk haben. Diese ist unter https://www.zendesk.com/company/data-processing-agreement/ verfügbar und regelt:

• Datenverarbeitung nach Art. 28 DSGVO
• Subprozessoren-Genehmigung
• Sicherheitsstandards (BSI C5, ISO 27001)
• Unterstützung bei Betroffenenrechten

Ohne DPA verstoßen Sie gegen Art. 28 DSGVO.

3. Subprozessoren und Drittlandtransfers Zendesk nutzt Subprozessoren für Hosting (AWS), Analytics und Sicherheit. Viele dieser Subprozessoren sind in den USA ansässig. Geltende Transfer-Mechanismen:

• Data Privacy Framework (DPF): Zendesk nutzt DPF für US-Subprozessoren (prüfe https://www.dataprivacyframework.gov/s/participant-search)
• Standard Contractual Clauses (SCC): Für weitere US-Transfers
• Binding Corporate Rules (BCR): Zendesk betreibt eigene BCR für Intragruppen-Transfers

Sie sollten in Ihrer Datenschutzerklärung offenlegen: »Support-Daten werden teilweise in die USA zu AWS übermittelt. Zendesk nutzt Data Privacy Framework und Standard Contractual Clauses.«

4. Betroffenenrechte und Zendesk Betroffene können Auskunft, Berichtigung oder Löschung ihres Support-Tickets verlangen (Art. 15–17 DSGVO). Sie müssen:

• Ein Verfahren haben, Löschanfragen entgegenzunehmen (z.B. per E-Mail)
• Diese Anfragen an Zendesk weiterleiten
• Zendesk unterstützt Sie bei der Umsetzung (per DPA geregelt)

5. Speicherdauer und Compliance Sie können Support-Daten beliebig lange aufbewahren. Zendesk selbst löscht Daten innerhalb von 30 Tagen nach Ihrer Löschung. Empfehlung: Dokumentieren Sie Ihre Aufbewahrungsrichtlinien (z.B. »Support-Tickets 2 Jahre«).

I. FAQ zu Zendesk

J. Fazit und Empfehlung zu Zendesk

Zendesk ist ein bewährtes Support-Tool, das jedoch datenschutzrechtlich komplex ist: Auftragsverarbeiter-Struktur, Drittlandtransfers in die USA, Subprozessoren, und verschiedene Rechtsgrundlagen.

Toolspezifische Textbausteine (»Zendesk verarbeitet Support-Anfragen«) sind zu kurz und erfüllen die DSGVO-Anforderungen nicht.

Empfehlung: Nutzen Sie einen themenorientierten Aufbau:

• Sektion »Kundenkommunikation und Support« mit Beschreibung aller Support-Kanäle (Chat, Email, Telefon)
• Sektion »Betroffenenrechte« mit Info zu Auskunfts- und Löschanfragen
• Sektion »Drittlandtransfers« mit Verweis auf DPF/SCC
• Anhang mit Subprozessoren-Liste (von Zendesk abrufbar)

Stellen Sie sicher, dass:

• Die DPA mit Zendesk unterzeichnet ist
• Sie die aktuelle Subprozessoren-Liste haben
• Ein interner Prozess für Betroffenenrechtsanfragen besteht