Freshchat und Datenschutz – Was in die Datenschutzerklärung gehört
Kompakte Anleitung zu Freshchat: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.
Freshchat und Datenschutz – Was in die Datenschutzerklärung gehört
Setzt ein Webseitenbetreiber Freshchat ein, verarbeitet er technische Verbindungsdaten (IP-Adresse, Browser, Gerät), Nutzungsverhaltensdaten sowie – bei aktiver Chat-Nutzung – Kommunikationsdaten (Name, E-Mail, Nachrichteninhalte) zum Zweck der Kundenkommunikation und des Omnichannel-Supports, vorrangig auf Basis berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Freshchat ist Teil der Freshworks-Produktfamilie und wird von Freshworks Inc., einem US-amerikanischen Unternehmen, betrieben. Freshworks bietet europäischen Kunden eine EU-Datenregion an, die einen Drittlandtransfer für die primäre Datenverarbeitung vermeiden kann. Freshchat tritt gegenüber dem Webseitenbetreiber als Auftragsverarbeiter auf; dieser bleibt datenschutzrechtlich Verantwortlicher.
A. Zweck und Funktionsweise von Freshchat
Freshchat ist eine Messaging- und Live-Chat-Plattform aus dem Hause Freshworks, die es Webseitenbetreibern ermöglicht, Besucher und Kunden über verschiedene Kanäle in Echtzeit zu erreichen. Die primäre Integration auf der Website erfolgt über ein JavaScript-Widget (<script>-Tag), das typischerweise im <head>-Bereich oder am Ende des <body>-Tags eingebunden wird. Beim Laden der Seite wird das Chat-Widget automatisch initialisiert und baut eine Verbindung zu den Freshworks-Servern auf – unabhängig davon, ob der Besucher das Chat-Fenster aktiv öffnet.
Der Freshchat-Messenger bietet Live-Chat mit menschlichen Agenten, KI-gestützte Chatbots (Freddy AI), proaktive Kampagnennachrichten, automatisierte Trigger-basierte Nachrichten sowie eine FAQ-/Self-Service-Wissensdatenbank. Im weiteren Freshworks-Ökosystem kann Freshchat mit Freshdesk (Ticketing), Freshsales (CRM) und anderen Freshworks-Produkten verknüpft werden. Darüber hinaus unterstützt Freshchat Omnichannel-Integrationen (WhatsApp, E-Mail, Apple Business Chat u. a.), die jedoch außerhalb der reinen Website-Widget-Integration liegen.
Für diese Datenschutzbetrachtung steht das Chat-Widget auf der Website im Mittelpunkt: die automatische Erhebung technischer Daten beim Laden des Widgets sowie die darüber hinausgehende Datenverarbeitung, wenn Besucher aktiv kommunizieren. Freshchat setzt Browser-Cookies und nutzt lokalen Speicher (localStorage) des Browsers, um Sitzungen zu verwalten und Besucher über mehrere Sitzungen hinweg zu erkennen.
B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Freshchat
Die DSGVO verpflichtet Webseitenbetreiber nach Art. 13, Betroffene bereits zum Zeitpunkt der Datenerhebung über alle wesentlichen Verarbeitungsparameter zu informieren. Beim Einsatz von Freshchat bedeutet das insbesondere: Angabe der Verarbeitungszwecke (Art. 13 Abs. 1 lit. c DSGVO), der Rechtsgrundlagen – bei Stützung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO sind die konkret verfolgten Interessen offenzulegen (Art. 13 Abs. 1 lit. d DSGVO) –, der Empfängerkategorien einschließlich Freshworks als Auftragsverarbeiter (Art. 13 Abs. 1 lit. e DSGVO) sowie der eingesetzten Garantien bei Drittlandübermittlungen (Art. 13 Abs. 1 lit. f DSGVO). Die Speicherdauer oder die Kriterien zu ihrer Festlegung sind nach Art. 13 Abs. 2 lit. a DSGVO anzugeben.
Besondere Beachtung verdient, dass Freshchat bereits beim bloßen Laden der Seite Daten erhebt. Die IP-Adresse des Besuchers wird übertragen, sobald das Widget initialisiert wird – ohne aktive Nutzerinteraktion. In der Datenschutzerklärung sollte dieser automatische Datenfluss klar beschrieben sein. Ferner setzt Freshchat Cookies und verwendet localStorage; für nicht technisch notwendige Cookies gilt in Deutschland nach § 25 Abs. 1 TDDDG grundsätzlich ein Einwilligungserfordernis.
Der verbreitete Ansatz, für jedes eingesetzte Tool einen separaten Textbaustein in die Datenschutzerklärung einzufügen, erzeugt unübersichtliche, schwer pflegbare Dokumente und entspricht häufig nicht dem Stand der DSGVO-Anforderungen. Empfehlenswert ist ein themenorientierter Aufbau, bei dem alle Chat- und Support-Tools gemeinsam in einem Abschnitt „Kundenkommunikation und Support" behandelt werden.
Privacy policy in minutes — easy to maintain, no subscription.
Instead of an unreadable text block per tool: a topic-oriented, hybrid approach with a clear list of recipients — maintainable, transparent, GDPR-compliant.
- No subscription, no hidden costs
- Easy to maintain thanks to a topic-based structure instead of tool-by-tool blocks
- Curated by Dr. Thomas Helbing, certified specialist for IT law
The generator is offered by matterius GmbH. matterius is not a law firm and does not provide legal advice.
C. Anbieter: Freshworks Inc.
Juristischer Name: Freshworks Inc.
Anschrift: 2950 S Delaware Street, Suite 201, San Mateo, CA 94403, USA
Sitzland: USA (US-amerikanisches Unternehmen)
EU-Niederlassung / Europäischer Repräsentant: Freshworks GmbH, Neue Grünstraße 17, 10179 Berlin, Deutschland [vom Betreiber zu verifizieren]
DPF-Status (Freshworks, Inc.): Nach Angaben des Anbieters ist Freshworks, Inc. unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die aktuelle Zertifizierung sollte unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden [vom Betreiber zu verifizieren].
Datenschutzerklärung: https://www.freshworks.com/privacy/
EU-Datenregion: Freshworks bietet europäischen Kunden eine EU-Datenregion an, in der personenbezogene Daten auf Servern innerhalb der EU gespeichert und verarbeitet werden. Ob diese Option für das jeweilige Konto aktiviert ist, ist vom Betreiber zu prüfen und zu konfigurieren [vom Betreiber zu verifizieren].
Subprozessoren: Die aktuelle Liste der Subprozessoren wird von Freshworks veröffentlicht und ist über die Freshworks-Datenschutzseite erreichbar [vom Betreiber zu verifizieren].
Data Processing Agreement (DPA/AVV): Freshworks stellt einen standardisierten Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO zur Verfügung, der über das Freshworks-Kundenportal abgeschlossen werden kann.
D. Datenverarbeitung – Ablauf beim Einsatz von Freshchat
Beim Laden einer Seite mit eingebundetem Freshchat-Script wird das Widget automatisch initialisiert. Dabei überträgt der Browser des Besuchers sofort technische Daten an die Freshworks-Server: IP-Adresse, Browser-Typ und -Version, Betriebssystem, Gerätetyp sowie die aufgerufene URL und den HTTP-Referrer. Freshchat setzt zudem Cookies und schreibt Daten in den lokalen Browser-Speicher (localStorage), um Sitzungen zu verwalten. Öffnet ein Besucher das Chat-Fenster und interagiert aktiv, werden zusätzlich eingegebene Daten (Name, E-Mail-Adresse, Chat-Nachrichten) erhoben.
Die erhobenen Daten werden auf Freshworks-Servern gespeichert. Bei Nutzung der EU-Datenregion erfolgt die Speicherung auf Servern innerhalb der Europäischen Union. Ohne explizite EU-Region-Konfiguration können Daten auf Servern in den USA verarbeitet werden. Chat-Historien, Kontaktdaten und Nutzungsprofile werden gespeichert, bis der Betreiber sie löscht oder die vereinbarte Aufbewahrungsfrist abläuft. Die genauen Fristen richten sich nach dem DPA.
Freshchat nutzt die erhobenen Daten zur Bereitstellung des Chat-Widgets, zur Unterstützung von Live-Chat-Gesprächen, für KI-gestützte Chatbot-Antworten (Freddy AI), für proaktive Nachrichten-Kampagnen sowie zur Segmentierung von Besuchern und Nutzern im Betreiber-Dashboard. Der Betreiber kann Chat-Historien, Kontaktprofile und Verhaltensanalysen im Freshchat-Backend einsehen und für CRM-Zwecke nutzen.
Freshworks gibt Daten an Subprozessoren weiter, die für Cloud-Hosting, Datenanalyse, Sicherheitsdienste und weitere technische Infrastruktur eingesetzt werden. Daten können auch innerhalb der Freshworks-Konzernfamilie weitergegeben werden. Für Transfers in die USA stützt sich Freshworks auf das EU-U.S. Data Privacy Framework (DPF) sowie auf Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO. Eine aktuelle Subprozessoren-Liste ist beim Anbieter erhältlich.
Daten können durch den Betreiber über das Freshchat-Dashboard oder per API gelöscht werden. Nach Löschung behält Freshworks Daten für eine begrenzte Frist in Backup-Systemen, bevor sie endgültig gelöscht werden. Die konkreten Fristen sind im DPA geregelt. Betroffenenrechte (Löschung nach Art. 17 DSGVO) sind über den Betreiber als Verantwortlichen gegenüber Freshworks als Auftragsverarbeiter geltend zu machen.
E. Erhobene Daten beim Einsatz von Freshchat
Freshchat erhebt bereits beim Laden des Widgets automatisch technische Daten; weitere Kategorien kommen hinzu, sobald Besucher aktiv interagieren. Die relevanten Datenkategorien im Überblick:
Webserver-Protokolldaten: IP-Adresse, Datum und Uhrzeit des Seitenaufrufs, aufgerufene URL, HTTP-Referrer (vorherige Seite), Browser-User-Agent, Statuscode der Serverantwort.
Klickpfade: Besuchte Seiten innerhalb der Website während einer Sitzung, angeklickte Elemente – sofern der Betreiber das seitenübergreifende Tracking aktiviert hat.
Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und Version, Bildschirmauflösung, Touch-Unterstützung.
Browserinformationen: Browsername und -version, Spracheinstellungen, Cookie-Fähigkeit, Unterstützung von localStorage.
Grobe Standortdaten: Stadt- oder Gemeindeebene, abgeleitet aus der IP-Adresse mittels Geo-IP-Lokalisierung.
Nutzungskonto-Daten: E-Mail-Adresse, Name, Benutzerkennung – sofern der Besucher diese im Chat-Formular eingibt oder der Betreiber identifizierte Nutzer über die Freshchat-Benutzeridentifikation übergibt.
Nutzer-Inhalte: Chat-Nachrichten (Text), im Pre-Chat-Formular eingegebene Kontaktdaten, Gesprächsverläufe, ggf. hochgeladene Dateien.
Nutzerprofile: Segmentierungsattribute (besuchte Seiten, Interaktionshistorie, Tags), vom Betreiber angelegte Kontaktnotizen und CRM-Attribute.
Interaktionsdaten: Ob das Chat-Fenster geöffnet wurde, Tipp-Indikatoren (Typing Indicator), Reaktionszeiten, Nachrichten-Sequenzen.
Technische Telemetriedaten: Ladezeiten des Widgets, Fehlermeldungen, Session-Metadaten für Qualitätssicherung und Fehlerbehebung.
F. Nutzungszwecke beim Einsatz von Freshchat
Die erhobenen Daten werden für folgende Zwecke verarbeitet:
Funktionsbereitstellung: Laden und Betrieb des Chat-Widgets auf der Website; Fehlererkennung und -behebung im Widget-Betrieb; Sicherstellung der Verfügbarkeit des Chat-Dienstes.
Kommunikation: Bearbeitung von Kundenanfragen im Live-Chat; Kundensupport durch menschliche Agenten; KI-gestützte Erstantworten und Chatbot-Interaktionen (Freddy AI).
Sicherheit und Missbrauchsschutz: Bot-Erkennung, Spam-Abwehr im Chat, Überwachung der Systemintegrität und Schutz vor missbräuchlicher Nutzung.
Allgemeine Produktverbesserung: Analyse von Chat-Mustern, Training und Optimierung der KI-Modelle (Freddy AI), Verbesserung des Messenger-Verhaltens durch Freshworks als Anbieter.
Nutzerprofil-Erstellung: Segmentierung von Besuchern und Kontakten nach Verhaltens- und Interaktionsdaten für gezielteres Messaging durch den Betreiber.
Nutzerindividuelles Marketing: Sofern der Betreiber proaktive Kampagnennachrichten oder Trigger-basierte Nachrichten auf Basis von Nutzerdaten konfiguriert, kommt auch eine marketingbezogene Nutzung in Betracht.
Erfüllung von Aufbewahrungspflichten: Speicherung von Gesprächsverläufen zur Dokumentation und Nachvollziehbarkeit von Kundeninteraktionen.
Vertragsdurchführung: Bei Support im Rahmen eines bestehenden Vertragsverhältnisses zwischen dem Betreiber und dem Besucher.
G. Rechtsgrundlagen für den Einsatz von Freshchat
Freshchat ist als Live-Chat- und Customer-Messaging-Plattform einzustufen. Die anwendbaren Rechtsgrundlagen hängen von der konkreten Nutzungsweise ab:
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – typischerweise für die Basis-Chatfunktion: Der Betreiber hat ein berechtigtes Interesse daran, Webseitenbesuchern einen direkten Kommunikationskanal anzubieten, Support effizient zu gestalten und die Sicherheit des Chat-Systems zu gewährleisten. Die konkret verfolgten Interessen umfassen: Kundenkommunikation und Serviceverbesserung, Missbrauchsschutz und Systemsicherheit, Effizienz der Supportprozesse. Die Verarbeitung der beim Widget-Laden automatisch anfallenden technischen Daten kommt auf dieser Grundlage typischerweise in Betracht, soweit die Interessen der Betroffenen im Einzelfall nicht überwiegen.
Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Soweit Freshchat für Support im Rahmen eines bestehenden Vertrags oder zur Vertragsanbahnung genutzt wird, kommt diese Rechtsgrundlage für die konkreten Kommunikationsinhalte in Betracht.
Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Für das Setzen von nicht technisch notwendigen Cookies sowie die Nutzung von localStorage zur Besucher-Wiedererkennung ist in Deutschland nach § 25 Abs. 1 TDDDG eine vorherige Einwilligung erforderlich. Dies gilt ebenso, wenn Freshchat für Tracking- oder Marketingzwecke eingesetzt wird. Im Einzelfall ist zu prüfen, welche Speicheroperationen als technisch unbedingt erforderlich eingestuft werden können.
Die Einordnung der Rechtsgrundlagen hängt von der konkreten Konfiguration von Freshchat ab. Wer Seitentracking, proaktive Kampagnennachrichten oder erweiterte Nutzungsprofile aktiviert, kann nicht durchgehend auf berechtigte Interessen verweisen. Eine individuelle rechtliche Prüfung ist empfohlen.
H. Besonderheiten und Hinweise zu Freshchat
Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich: Freshworks agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV / DPA) ist Pflicht. Freshworks stellt eine standardisierte DPA bereit, die über das Freshworks-Kundenportal abgeschlossen werden kann. Ohne unterzeichneten AVV ist die Nutzung von Freshchat nicht DSGVO-konform.
EU-Datenregion aktivieren (empfohlen für deutsche Betreiber): Freshworks bietet eine EU-Datenregion an, bei der Daten auf Servern innerhalb der EU gespeichert und verarbeitet werden. Für deutsche Betreiber ist die Aktivierung dieser Option zu empfehlen, da sie einen Drittlandtransfer für die primäre Datenverarbeitung vermeidet. Die Aktivierung erfolgt auf Kontoebene und muss vom Betreiber explizit angefordert oder konfiguriert werden [vom Betreiber zu verifizieren und einzustellen].
Drittlandtransfer und DPF: Freshworks, Inc. ist ein US-amerikanisches Unternehmen. Auch bei Nutzung der EU-Datenregion können Daten über Subprozessoren oder interne Konzernprozesse in die USA übermittelt werden. Freshworks, Inc. ist nach Angaben des Anbieters unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Für weitere Drittlandtransfers stellt Freshworks Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO bereit.
Cookies und localStorage – Consent-Management-Integration: Freshchat setzt Cookies und nutzt den lokalen Speicher des Browsers (localStorage). Nicht technisch notwendige Speicheroperationen bedürfen in Deutschland einer vorherigen Einwilligung (§ 25 Abs. 1 TDDDG). Freshchat unterstützt die Integration mit Consent-Management-Plattformen (CMPs), sodass das Widget erst nach erteilter Einwilligung geladen werden kann. Diese Konfiguration ist für deutsche Webseitenbetreiber empfohlen.
Freddy AI – KI-Chatbot-Funktion: Freshchat bietet mit Freddy AI einen KI-gestützten Chatbot, der Konversationsdaten für KI-Training und -Verbesserung verarbeiten kann. Betreiber sollten in der Datenschutzerklärung auf den KI-Einsatz hinweisen und prüfen, ob Freshworks Chatbot-Daten auch für eigene Produktverbesserungen nutzt.
Omnichannel-Integrationen: Freshchat kann mit weiteren Kanälen verknüpft werden (WhatsApp, E-Mail, Apple Business Chat). Für jede zusätzliche Kanalintegration gelten ggf. eigene datenschutzrechtliche Anforderungen, die separat zu prüfen sind.
Subprozessoren: Freshworks nutzt eine Reihe von Subprozessoren für Hosting, Analysen und Sicherheit. Die aktuelle Liste ist auf der Freshworks-Website verfügbar und sollte regelmäßig auf Änderungen geprüft werden.
I. Häufige Fragen zu Freshchat und Datenschutz
J. Fazit und Handlungsempfehlung
Freshchat bietet als Teil der Freshworks-Plattform eine leistungsstarke Chat- und Messaging-Infrastruktur, die datenschutzrechtlich mehrere Anforderungen gleichzeitig aufwirft: automatische Datenerhebung beim Widget-Laden, Cookie- und localStorage-Nutzung, möglicher Drittlandtransfer in die USA sowie eine Auftragsverarbeitungsstruktur mit US-amerikanischer Muttergesellschaft.
Für Betreiber gilt: Eine Datenschutzerklärung, die lediglich einen generischen Freshchat-Textbaustein enthält, genügt den DSGVO-Anforderungen in der Regel nicht. Die tatsächlich aktivierten Funktionen – insbesondere KI-Chatbot (Freddy AI), Seitentracking und proaktive Kampagnennachrichten – müssen transparent gemacht werden. Zudem ist das Consent-Management so zu konfigurieren, dass das Freshchat-Widget erst nach erteilter Einwilligung lädt.
Drei konkrete Handlungsschritte: erstens AVV mit Freshworks abschließen (falls noch nicht erfolgt); zweitens EU-Datenregion im Freshworks-Konto aktivieren (sofern europäische Datenhaltung gewünscht); drittens CMP-Integration sicherstellen, sodass das Widget erst nach Einwilligung initialisiert wird.
Privacy policy in minutes — easy to maintain, no subscription.
Instead of an unreadable text block per tool: a topic-oriented, hybrid approach with a clear list of recipients — maintainable, transparent, GDPR-compliant.
- No subscription, no hidden costs
- Easy to maintain thanks to a topic-based structure instead of tool-by-tool blocks
- Curated by Dr. Thomas Helbing, certified specialist for IT law
The generator is offered by matterius GmbH. matterius is not a law firm and does not provide legal advice.
Dieser Beitrag dient der allgemeinen Information zu Freshchat und ersetzt keine rechtliche Beratung im Einzelfall. Die Darstellung basiert auf öffentlich zugänglichen Angaben des Anbieters und recherchierbaren Quellen. Stand: 2026-05-06.
Authorship
This knowledge article is provided by matterius GmbH. matterius is not a law firm and does not provide legal advice.
matterius is editorially accompanied by Dr. Thomas Helbing, a German-based lawyer specialised as Fachanwalt für IT-Recht (certified specialist for IT law) in Munich.
Dr. Helbing has been continuously recognised by Handelsblatt since 2020 through to today (2026) as one of "Germany's best lawyers" in the fields of IT law and data protection law.
According to Kanzleimonitor.de (editions 2024–2026), he ranks among the leading lawyers for data protection and IT law and is listed in the Top 100 lawyers in Germany. Kanzleimonitor is regarded as a particularly meaningful market study, as it is based exclusively on personal recommendations from in-house counsel.
Dr. Helbing has many years of advisory experience in data protection and IT law and advises clients of all sizes — from startups to high-growth SaaS companies and unicorns through to international corporations.
His professional background covers the full spectrum of practice in IT and technology law. He began his career at an international major law firm, subsequently gained in-house experience at a DAX corporation, and is himself an entrepreneur and founder of several digital projects. He also has hands-on programming experience, allowing him to understand technical systems, software architectures, and digital business models not only from a legal but also from a technical perspective.
For many years his clients have included technology companies and SaaS providers, leading German research institutions, and a systemically important German major bank. His advisory focus lies in particular in the areas of GDPR compliance, the data economy, SaaS, AI regulation, and IT contract law.
More about Dr. Helbing: www.thomashelbing.com
FoxMetrics and Data Protection – What Belongs in the Privacy Policy
Concise guide to FoxMetrics: processed data, purposes, legal bases (GDPR) and what website operators must include in their privacy policy.
Friendly Captcha and Data Protection – What Belongs in the Privacy Policy
Concise guide to Friendly Captcha: processed data, purposes, legal bases (GDPR) and what website operators must include in their privacy policy.