Intercom und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Intercom ein, verarbeitet er technische Verbindungsdaten (IP-Adresse, Browser, Gerät), Klickpfade und – sofern ein Chat geöffnet wird – Kommunikationsdaten (Name, E-Mail, Gesprächsinhalte) zum Zweck der Kundenkommunikation und des Support-Managements, vorrangig auf Basis berechtigter Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO. Intercom tritt dabei als Auftragsverarbeiter auf; der Webseitenbetreiber bleibt Verantwortlicher im datenschutzrechtlichen Sinne. Die Datenverarbeitung kann über die EU-Niederlassung Intercom R&D Limited in Dublin erfolgen, was einen Drittlandtransfer in die USA für EU-Daten grundsätzlich vermeidet – sofern die EU-Region gewählt wird.

A. Zweck und Funktionsweise von Intercom

Intercom ist eine Customer-Messaging-Plattform, die es Webseitenbetreibern ermöglicht, mit Besuchern und Kunden in Echtzeit zu kommunizieren. Das Kernprodukt für die Website-Integration ist der sogenannte Intercom Messenger – ein Chat-Widget, das durch ein JavaScript-Snippet in den <head>-Bereich oder kurz vor dem schließenden <body>-Tag der Website eingebunden wird. Sobald eine Seite mit diesem Snippet aufgerufen wird, lädt der Messenger automatisch und baut eine Verbindung zu den Intercom-Servern auf – unabhängig davon, ob der Besucher das Chat-Fenster öffnet oder nicht.

Neben der reinen Live-Chat-Funktion bietet Intercom weitere Funktionen, die über das Chat-Widget zugänglich sind: automatisierte Chatbots (Fin AI), proaktive Nachrichten (Outbound Messaging), Product Tours zur interaktiven Benutzerführung, ein integriertes Help Center mit Selbsthilfe-Artikeln sowie E-Mail-Marketing-Sequenzen. Auf der Backend-Seite bietet Intercom ein vollständiges Customer-Relationship-Management (CRM), Besucherverfolgung (Visitor Tracking), Team-Postfach und Reporting-Dashboards.

Für diese Datenschutzbetrachtung steht die Website-seitige Integration im Vordergrund: das Chat-Widget, das bei jedem Seitenaufruf lädt, und die damit verbundene automatische Datenerhebung. Reine Backend-Funktionen (CRM-Einträge durch den Betreiber, E-Mail-Kampagnen ohne Website-Trigger) unterliegen einer gesonderten datenschutzrechtlichen Bewertung und werden hier nur am Rande erwähnt. Intercom setzt dabei eigene Cookies, insbesondere intercom-id (persistentes Identifikations-Cookie) und intercom-session (Session-Cookie), die eine Wiedererkennung von Besuchern über mehrere Sitzungen hinweg ermöglichen.

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Intercom

Die DSGVO verpflichtet Webseitenbetreiber nach Art. 13, Betroffene bereits zum Zeitpunkt der Datenerhebung über alle wesentlichen Verarbeitungsparameter zu informieren. Für den Einsatz von Intercom bedeutet das: Angabe der Verarbeitungszwecke (Art. 13 Abs. 1 lit. c DSGVO), der Rechtsgrundlagen – einschließlich der konkret verfolgten berechtigten Interessen bei Stützung auf Art. 6 Abs. 1 lit. f DSGVO (Art. 13 Abs. 1 lit. d) –, der Empfängerkategorien (Art. 13 Abs. 1 lit. e DSGVO) sowie bei etwaigen Drittlandübermittlungen der eingesetzten Garantien (Art. 13 Abs. 1 lit. f DSGVO). Hinzu kommt die Angabe der Speicherdauer oder der Kriterien für deren Festlegung (Art. 13 Abs. 2 lit. a DSGVO).

Besondere Beachtung verdient der Umstand, dass Intercom bereits beim bloßen Laden der Seite Daten erhebt – also bevor ein Besucher aktiv mit dem Chat interagiert. Dies betrifft insbesondere die IP-Adresse, die für sich genommen ein personenbezogenes Datum ist. In der Datenschutzerklärung sollte dieser automatische Datenfluss explizit erwähnt werden und nicht der Eindruck entstehen, Intercom werde nur bei aktiver Chat-Nutzung aktiv.

Da Intercom außerdem Cookies setzt – darunter das persistente intercom-id-Cookie –, ist für deren Einsatz in Deutschland nach § 25 Abs. 1 TDDDG grundsätzlich eine vorherige Einwilligung erforderlich, sofern diese Cookies nicht als technisch unbedingt erforderlich eingestuft werden können. Die Datenschutzerklärung sollte daher auch auf den Cookie-Einsatz und dessen Rechtsgrundlage eingehen.

Viele Webseitenbetreiber neigen dazu, für jedes eingesetzte Tool einen separaten „Textbaustein" in ihre Datenschutzerklärung einzufügen. Dieser tool-zentrierte Ansatz hat den Nachteil, dass er unübersichtlich wird und thematische Zusammenhänge zerreißt. Datenschutzbehörden empfehlen stattdessen einen themenorientierten Aufbau: ein Abschnitt „Kundenkommunikation und Support" beschreibt alle eingesetzten Kommunikationskanäle (Chat, E-Mail, Telefon) und deren jeweiligen Datenverarbeitungen im Zusammenhang.

C. Anbieter: Intercom R&D Limited / Intercom, Inc.

Juristischer Name (EU-Einheit): Intercom R&D Limited

Anschrift: 2nd Floor, Stephen Court, 18-21 Saint Stephen's Green, Dublin 2, Irland

Sitzland: Irland (Europäische Union)

Muttergesellschaft: Intercom, Inc., 55 2nd Street, 4th Floor, San Francisco, CA 94105, USA

DPF-Status (Intercom, Inc.): Nach Angaben des Anbieters ist Intercom, Inc. unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Die aktuelle Zertifizierung sollte unter https://www.dataprivacyframework.gov/s/participant-search verifiziert werden [vom Betreiber zu verifizieren].

Datenschutzerklärung: https://www.intercom.com/legal/privacy

Subprozessoren: Die aktuelle Liste der Subprozessoren wird von Intercom veröffentlicht und ist über die Intercom-Datenschutzseite erreichbar [vom Betreiber zu verifizieren].

Data Processing Agreement (DPA/AVV): Intercom stellt einen standardisierten Auftragsverarbeitungsvertrag (DPA) gemäß Art. 28 DSGVO zur Verfügung, der über das Intercom-Kundenportal abgeschlossen werden kann.

D. Datenverarbeitung – Ablauf beim Einsatz von Intercom

E. Erhobene Daten beim Einsatz von Intercom

Intercom erhebt bereits beim Laden des Widgets technische Verbindungsdaten; weitere Daten kommen hinzu, wenn Besucher aktiv mit dem Chat interagieren. Die folgende Übersicht zeigt die relevanten Datenkategorien:

Webserver-Protokolldaten: IP-Adresse, Datum und Uhrzeit des Seitenaufrufs, aufgerufene URL, HTTP-Referrer (vorherige Seite), Browser- und Betriebssystem-Kennung (User-Agent), Statuscode der Serverantwort.

Klickpfade: Besuchte Seiten innerhalb der Website während einer Sitzung, angeklickte Elemente, Navigationshistorie – sofern der Betreiber das Visitor Tracking aktiviert hat.

Endgeräte-Daten: Gerätetyp (Desktop, Tablet, Smartphone), Betriebssystem und Version, Bildschirmauflösung, Touch-Unterstützung.

Browserinformationen: Browsername und -version, installierte Spracheinstellungen, Cookie-Fähigkeiten.

Grobe Standortdaten: Stadt- oder Gemeindeebene, abgeleitet aus der IP-Adresse mittels Geo-IP-Lokalisierung.

Nutzungskonto-Daten: E-Mail-Adresse, Name, Benutzerkennung – sofern der Besucher diese im Chat-Formular eingibt oder der Betreiber identifizierte Nutzer über die Intercom Identity Verification übergibt.

Nutzer-Inhalte: Chat-Nachrichten (Text), vom Besucher hochgeladene Dateien, im Pre-Chat-Formular eingegebene Kontaktdaten, Gesprächsverläufe.

Nutzerprofile: Segmentierungsattribute, Nutzungshistorie, Tags und Notizen, die vom Betreiber im CRM-Dashboard hinzugefügt werden; Verhaltensdaten aus dem Visitor Tracking.

Interaktionsdaten: Ob der Besucher das Chat-Fenster geöffnet hat, Tipp-Indikatoren, Reaktionszeiten, Nachrichten-Sequenzen.

Technische Telemetriedaten: Ladezeiten des Widgets, Fehlermeldungen, Session-Metadaten für die Qualitätssicherung.

F. Nutzungszwecke beim Einsatz von Intercom

Die erhobenen Daten werden für folgende Zwecke verarbeitet:

Funktionsbereitstellung: Laden und Betrieb des Chat-Messengers auf der Website; Fehlererkennung und -behebung im Widget-Betrieb.

Kommunikation: Bearbeitung von Kundenanfragen im Live-Chat; Kundensupport durch menschliche Agenten; Chatbot-gestützte Erstantworten (Fin AI).

Sicherheit und Missbrauchsschutz: Bot-Erkennung, Spam-Abwehr im Chat, Überwachung der Systemintegrität.

Allgemeine Produktverbesserung: Analyse von Chat-Mustern, Verbesserung der KI-Modelle (Fin AI), Optimierung des Messenger-Verhaltens durch Intercom als Anbieter.

Nutzerprofil-Erstellung: Segmentierung von Besuchern und Kontakten nach Verhaltensdaten (besuchte Seiten, Interaktionshistorie) für gezielteres Messaging durch den Betreiber.

Nutzerindividuelles Marketing: Sofern der Betreiber proaktive Nachrichten oder E-Mail-Sequenzen auf Basis von Nutzerdaten konfiguriert, kommt auch eine marketingbezogene Nutzung in Betracht.

Erfüllung von Aufbewahrungspflichten: Speicherung von Gesprächsverläufen zur Dokumentation und Nachvollziehbarkeit von Kundeninteraktionen.

Vertragsdurchführung: Bei Support im Rahmen eines bestehenden Vertragsverhältnisses zwischen dem Betreiber und dem Besucher.

G. Rechtsgrundlagen für den Einsatz von Intercom

Intercom ist als Live-Chat- und Customer-Messaging-Plattform einzustufen, bei der die Rechtsgrundlage von der konkreten Nutzungsweise abhängt:

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO) – typischerweise für die Basis-Chatfunktion: Der Betreiber hat ein berechtigtes Interesse daran, Webseitenbesuchern einen direkten Kommunikationskanal anzubieten, Support effizient abzuwickeln und die Sicherheit des Chat-Systems zu gewährleisten. Die konkret verfolgten Interessen umfassen: Kundenkommunikation und Serviceverbesserung, Missbrauchsschutz und Sicherheit, Effizienz der Supportprozesse. Die Verarbeitung der beim Widget-Laden automatisch anfallenden technischen Daten kommt auf dieser Grundlage typischerweise in Betracht, sofern die Interessen der Betroffenen im Einzelfall nicht überwiegen.

Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO): Soweit der Chat für Support im Rahmen eines bestehenden Vertrages oder zur Vertragsanbahnung genutzt wird, kommt diese Rechtsgrundlage für die konkreten Kommunikationsinhalte in Betracht.

Einwilligung (Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG): Für das Setzen von nicht technisch notwendigen Cookies (insbesondere intercom-id zur persistenten Besucher-Wiedererkennung) ist in Deutschland nach § 25 Abs. 1 TDDDG eine vorherige Einwilligung erforderlich. Dies gilt ebenso, wenn Intercom für Tracking- oder Marketingzwecke eingesetzt wird. Im Einzelfall ist zu prüfen, welche Cookies als technisch unbedingt erforderlich eingestuft werden können.

H. Besonderheiten und Hinweise zu Intercom

Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich: Intercom ist als Auftragsverarbeiter gemäß Art. 28 DSGVO tätig. Ein schriftlicher Auftragsverarbeitungsvertrag (AVV / DPA) ist daher Pflicht. Intercom stellt eine standardisierte DPA bereit, die über das Kundenportal abgeschlossen werden kann. Ohne unterzeichneten AVV ist die Nutzung von Intercom nicht DSGVO-konform.

EU-Datenresidenz (empfohlen für deutsche Betreiber): Intercom bietet eine EU-Datenresidenz-Option an, bei der personenbezogene Daten in der EU verarbeitet werden (über Intercom R&D Limited, Dublin). Diese Option ist für deutsche Betreiber zu empfehlen, da sie einen Drittlandtransfer in die USA für die primäre Datenverarbeitung vermeidet. Die Konfiguration erfolgt auf Kontoebene [vom Betreiber zu verifizieren und einzustellen].

Drittlandtransfer und DPF: Auch bei EU-Datenresidenz können Daten über Subprozessoren (z. B. AWS US-Regionen) in die USA fließen. Die US-Muttergesellschaft Intercom, Inc. ist nach Angaben des Anbieters unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Für Datenübermittlungen, die nicht unter das DPF fallen, stellt Intercom Standardvertragsklauseln (SCCs) nach Art. 46 DSGVO bereit.

Cookies – Consent-Management-Integration: Das persistente intercom-id-Cookie identifiziert Besucher über Sitzungen hinweg und dürfte in Deutschland einer vorherigen Einwilligung bedürfen. Intercom unterstützt die Integration mit Consent-Management-Plattformen (CMPs), sodass der Messenger erst nach erteilter Einwilligung geladen werden kann. Diese Konfiguration ist empfohlen.

Visitor Tracking deaktivierbar: Das Intercom-Visitor-Tracking (besuchte Seiten, Klickpfade) kann in den Einstellungen eingeschränkt oder deaktiviert werden. Betreiber, die nur die reine Chat-Funktion benötigen, sollten prüfen, ob erweitertes Tracking aktiviert ist.

Identifizierte vs. anonyme Nutzer: Intercom unterscheidet zwischen identifizierten Nutzern (Betreiber übergibt Name, E-Mail per Identity Verification) und anonymen Besuchern. Die Datenschutzerklärung sollte beide Szenarien abdecken.

Subprozessoren: Intercom nutzt eine Reihe von Subprozessoren für Hosting, Analysen und Sicherheit (darunter Amazon Web Services). Die aktuelle Liste ist auf der Intercom-Website verfügbar und sollte regelmäßig auf Änderungen geprüft werden.

I. Häufige Fragen zu Intercom und Datenschutz

J. Fazit und Handlungsempfehlung

Intercom ist eine leistungsstarke Customer-Messaging-Plattform, die datenschutzrechtlich mehrere Anforderungen auf einmal berührt: automatische Datenerhebung beim Widget-Laden, persistente Cookies, optionales Visitor Tracking, proaktive Messaging-Funktionen und eine Auftragsverarbeitungsstruktur mit Bezug zur US-Muttergesellschaft.

Für Betreiber ist entscheidend: Die Datenschutzerklärung darf nicht auf einen generischen Intercom-Textbaustein beschränkt sein. Stattdessen muss sie die tatsächlich aktivierten Funktionen widerspiegeln – insbesondere ob Visitor Tracking, proaktive Nachrichten oder identifizierte Nutzerprofile im Einsatz sind. Zudem muss das Consent-Management die Intercom-Cookies korrekt erfassen und den Messenger bei fehlender Einwilligung zurückhalten.

Drei konkrete Handlungsschritte: erstens AVV mit Intercom abschließen (falls noch nicht erfolgt); zweitens EU-Datenresidenz im Intercom-Konto aktivieren (sofern europäische Datenverarbeitung gewünscht); drittens CMP-Integration sicherstellen, sodass das Widget erst nach Einwilligung lädt.