Userlike und Datenschutz – Was in die Datenschutzerklärung gehört

Setzt ein Webseitenbetreiber Userlike ein, verarbeitet er Kommunikations- und Gerätedaten der Webseitenbesucher zum Zweck der Bereitstellung eines Live-Chat-Dienstes auf Basis von berechtigtem Interesse (Art. 6 Abs. 1 lit. f DSGVO) sowie gegebenenfalls von Einwilligung (§ 25 TDDDG) für das Setzen von Cookies. Userlike ist ein deutsches Unternehmen mit Sitz in Köln, das seine Server nach eigenen Angaben in Deutschland betreibt – ein datenschutzrechtlicher Vorteil, der Drittlandtransfer-Überlegungen nach Art. 44 ff. DSGVO entfallen lässt. Dieser Leitfaden erläutert, welche Informationen in die Datenschutzerklärung aufzunehmen sind und worauf Webseitenbetreiber beim Einsatz von Userlike besonders achten sollten.

A. Zweck und Funktionsweise von Userlike

Userlike ist eine Live-Chat-Software mit Sitz in Deutschland, die es Webseitenbetreibern ermöglicht, direkt über ein Chat-Widget mit ihren Besuchern zu kommunizieren. Die Integration erfolgt typischerweise durch Einbinden eines JavaScript-Snippets in die Website. Das Widget erscheint dann als Chat-Schaltfläche oder -Fenster auf der Seite und ermöglicht es Besuchern, eine Unterhaltung mit dem Support-Team zu starten.

Über den reinen Live-Chat hinaus bietet Userlike nach Angaben des Anbieters eine sogenannte Unified-Messaging-Plattform: Neben dem Website-Chat können auch Nachrichten aus Messaging-Diensten wie WhatsApp Business, Facebook Messenger, Telegram, Threema und SMS in einem zentralen Posteingang verwaltet werden. Ergänzend sind Chatbot-Funktionen verfügbar, die automatisierte Antworten auf häufige Anfragen ermöglichen.

Die Besonderheit im europäischen Markt liegt in der deutschen Herkunft des Anbieters: Userlike UG (haftungsbeschränkt) hat ihren Sitz in Köln, und die Datenspeicherung erfolgt nach Angaben des Anbieters auf Servern in Deutschland. Für Webseitenbetreiber bedeutet dies, dass kein Drittlandtransfer im Sinne von Art. 44 ff. DSGVO stattfindet, sofern keine weiteren Subprozessoren außerhalb des EWR beteiligt sind. Dies vereinfacht die datenschutzrechtliche Bewertung gegenüber US-amerikanischen Live-Chat-Anbietern erheblich.

B. Pflichtangaben für die Datenschutzerklärung beim Einsatz von Userlike

Wer Userlike auf seiner Website einsetzt, muss die Verarbeitung personenbezogener Daten gemäß Art. 13 DSGVO in der Datenschutzerklärung offenlegen. Dazu gehört zunächst die Angabe der Zwecke, für die die Daten verarbeitet werden (Art. 13 Abs. 1 lit. c DSGVO): in diesem Fall die Bereitstellung des Live-Chat-Dienstes, die Kommunikation mit Besuchern sowie gegebenenfalls der technische Betrieb und die Verbesserung des Services.

Die Rechtsgrundlage ist anzugeben, und bei der Berufung auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO sind diese konkreten Interessen zu benennen (Art. 13 Abs. 1 lit. d DSGVO). Im Falle von Userlike könnte dies beispielsweise das Interesse des Betreibers sein, seinen Kunden einen niedrigschwelligen Kommunikationskanal für Support und Anfragen anzubieten. Ferner sind Angaben zum Empfänger der Daten (Userlike als Auftragsverarbeiter, Art. 13 Abs. 1 lit. e DSGVO) sowie zur Speicherdauer oder den Kriterien zu ihrer Bestimmung erforderlich (Art. 13 Abs. 2 lit. a DSGVO).

Da Userlike nach eigenen Angaben seinen Serverstandort in Deutschland hat, entfällt die nach Art. 13 Abs. 1 lit. f DSGVO vorgesehene Informationspflicht zu Drittlandübermittlungen – jedenfalls soweit keine Subprozessoren außerhalb des EWR eingesetzt werden. Die tatsächliche Subprozessorenliste des Anbieters sollte der Betreiber vor Inbetriebnahme prüfen und im AVV absichern. Nach Angaben aus öffentlich zugänglichen Quellen nutzt Userlike unter anderem Amazon Web Services (AWS) für technische Datenzustellung, wobei die genutzte AWS-Region und die damit verbundenen Datenverarbeitungsorte [vom Betreiber zu verifizieren] sind.

Eine häufige Praxis ist es, für jeden eingesetzten Dienst einen separaten „Textbaustein" in die Datenschutzerklärung einzufügen. Dies führt oft zu unübersichtlichen, schlecht strukturierten Texten. Datenschutzrechtlich sinnvoller ist ein themenorientierter Ansatz, der alle Dienstleister und Empfänger in einem systematischen Rahmen darstellt – gegliedert etwa nach Zwecken (z. B. „Kommunikation und Support") statt nach einzelnen Tools.

C. Anbieter: Userlike

Unternehmensname: Userlike UG (haftungsbeschränkt)
Anschrift: Probsteigasse 44-46, 50670 Köln, Deutschland
Sitzland: Deutschland
Data Privacy Framework (DPF): Nicht anwendbar – Userlike ist ein deutsches Unternehmen; das DPF-Zertifizierungsprogramm betrifft ausschließlich US-amerikanische Unternehmen für Datenübermittlungen aus der EU in die USA.
Datenschutzbeauftragter/Kontakt: privacy@userlike.com
Privacy Policy: https://www.userlike.com/de/privacy-policy

Da Userlike ein deutsches Unternehmen ist, unterliegt es unmittelbar der DSGVO und dem deutschen Datenschutzrecht. Ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO ist mit Userlike abzuschließen; dieser soll nach Angaben des Anbieters im Kunden-Account unter dem Bereich „Account" abrufbar sein. Details zu Subprozessoren sollten im Rahmen des AVV-Abschlusses geprüft werden.

D. Datenverarbeitung – Ablauf beim Einsatz von Userlike

E. Erhobene Daten beim Einsatz von Userlike

Userlike erhebt abhängig von der Konfiguration und dem Nutzerverhalten verschiedene Datenkategorien. Bereits beim Laden des Widgets – ohne aktive Chat-Interaktion – werden technische Daten übertragen.

Webserver-Protokolldaten:
IP-Adresse des Besuchers (sofern nicht deaktiviert), Datum und Uhrzeit des Zugriffs, aufgerufene URL, HTTP-Referrer, Browser- und Betriebssystem-Kennzeichnung.

Endgeräte-Daten:
Gerätetyp (Desktop, Tablet, Smartphone), verwendetes Betriebssystem und Version, Bildschirmauflösung.

Browserinformationen:
Name und Version des verwendeten Browsers.

Grobe Standortdaten:
Land und ggf. Stadt, abgeleitet aus der IP-Adresse durch Geolokalisierung.

Nutzer-Inhalte:
Inhalte von Chat-Nachrichten, vom Besucher angegebene Kontaktdaten (Name, E-Mail-Adresse), gegebenenfalls hochgeladene Dateien oder Anhänge im Chat.

Klickpfade:
Im Kontext der Besucherverfolgung werden die besuchten Seiten der Website erfasst, um dem Support-Agenten Kontext über die aktuelle Browsersituation des Besuchers zu geben.

F. Nutzungszwecke beim Einsatz von Userlike

Die Datenverarbeitung im Zusammenhang mit Userlike dient mehreren Zwecken, die je nach Konfiguration und Einsatzszenario variieren können.

Funktionsbereitstellung:
Kern der Verarbeitung ist die Bereitstellung der Live-Chat-Funktion, also die technische Ermöglichung der Echtzeitkommunikation zwischen Besucher und Support-Mitarbeitendem.

Kommunikation:
Alle über den Chat eingehenden Anfragen, Support-Fälle und Unterhaltungen dienen der Kundenkommunikation – von der Erstanfrage über Beratung bis zur Nachbearbeitung.

Vertragsdurchführung:
Soweit der Chat im Rahmen eines bestehenden oder anzubahnendes Vertragsverhältnisses genutzt wird (z. B. Nachfragen zu einer Bestellung, Supportleistungen für Bestandskunden), kann die Verarbeitung der Vertragserfüllung oder -anbahnung dienen.

Sicherheit und Missbrauchsschutz:
Technische Protokolldaten werden zur Absicherung des Betriebs und zur Erkennung von Missbrauch oder Angriffen genutzt.

Allgemeine Produktverbesserung:
Aggregierte Auswertungen von Chat-Mustern und Nutzungsstatistiken können zur Optimierung des Services und der Chatbot-Konfiguration eingesetzt werden.

G. Rechtsgrundlagen

Userlike fällt in die Kategorie Live-Chat-Tools, weshalb für die Datenverarbeitung in erster Linie berechtigte Interessen als Rechtsgrundlage in Betracht kommen. Das berechtigte Interesse des Webseitenbetreibers (Art. 6 Abs. 1 lit. f DSGVO) besteht typischerweise darin, einen direkten, niedrigschwelligen Kommunikationskanal für Anfragen, Beratung und Kundensupport anzubieten. Die Verarbeitung muss im Rahmen einer Interessenabwägung gerechtfertigt sein, wobei die schutzwürdigen Interessen der Besucher zu berücksichtigen sind.

Für die durch Userlike gesetzten Cookies gilt: Soweit es sich um nicht-essenzielle Cookies handelt – also solche, die über die technische Grundfunktion des Chats hinausgehen (z. B. Wiedererkennung von Folgebesuchern) –, ist in Deutschland nach § 25 TDDDG eine vorherige Einwilligung des Besuchers erforderlich. Essenzielle Cookies, die für den technischen Betrieb des Widgets unbedingt notwendig sind, können ohne Einwilligung gesetzt werden.

Im Einzelfall ist zu prüfen, ob im konkreten Einsatzszenario auch Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung oder -anbahnung) als Rechtsgrundlage einschlägig ist, etwa wenn der Chat hauptsächlich für die Bearbeitung von Anfragen in einem bestehenden Kundenverhältnis genutzt wird.

H. Besonderheiten und Hinweise

Deutsches Unternehmen – kein Drittlandtransfer:
Da Userlike seinen Sitz in Deutschland hat und die Datenspeicherung nach Angaben des Anbieters in Deutschland erfolgt, ist kein Drittlandtransfer nach Art. 44 ff. DSGVO erforderlich. Dies vereinfacht die rechtliche Dokumentation erheblich. Voraussetzung ist jedoch, dass auch die eingesetzten Subprozessoren im EWR ansässig sind oder entsprechende Garantien nach Art. 46 DSGVO bestehen. Die Subprozessorenliste sollte im Rahmen des AVV geprüft werden.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO:
Da Userlike im Auftrag des Webseitenbetreibers personenbezogene Daten verarbeitet, ist der Abschluss eines AVV gemäß Art. 28 DSGVO Pflicht. Userlike stellt nach Angaben des Anbieters einen AVV nach deutschem Recht bereit, der im Kunden-Account abzurufen ist.

Cookies und Cookie-Consent:
Userlike setzt Cookies im Browser des Besuchers, darunter nach bekannten Quellen Session-Cookies wie userlisession. Für nicht-essenzielle Cookies ist ein Cookie-Consent-Banner mit entsprechender Einholung der Einwilligung empfehlenswert.

Datenschutz-Chat-Modus:
Userlike bietet nach Angaben des Anbieters einen Datenschutz-Chat-Modus, bei dem personenbezogene Daten wie IP-Adresse, User Agent, Referrer und Seitenbesuche gefiltert werden. Dieser Modus kann die datenschutzfreundlichste Konfiguration darstellen, ist jedoch mit dem Verlust einiger Funktionen verbunden.

Einstellungen und Konfiguration:
Betreiber können festlegen, welche Informationen im Pre-Chat-Formular abgefragt werden (z. B. Name, E-Mail). Je weniger Daten im Formular erhoben werden, desto datenschutzfreundlicher ist die Konfiguration. Die Datenschutzerklärung sollte die tatsächlich konfigurierte Variante widerspiegeln.

I. FAQ

J. Fazit

Userlike ist aus datenschutzrechtlicher Sicht ein vergleichsweise unkompliziert einsetzbares Live-Chat-Tool, das als deutsches Unternehmen direkt der DSGVO unterliegt. Das Fehlen eines Drittlandtransfers ist ein klarer Vorteil gegenüber US-amerikanischen Konkurrenzprodukten, da aufwendige Transfermechanismen wie SCCs oder DPF-Zertifizierungen entfallen.

Dennoch gilt: Auch der Einsatz eines deutschen Dienstleisters entbindet nicht von den Informationspflichten nach Art. 13 DSGVO. Webseitenbetreiber müssen ihre Datenschutzerklärung aktualisieren, einen AVV abschließen und insbesondere die Cookie-Thematik sauber abbilden. Der gängige Ansatz, einen generischen Textbaustein über Userlike in die Datenschutzerklärung einzufügen, wird den individuellen Anforderungen einer Website selten gerecht. Besser ist eine strukturierte, themenorientierte Darstellung, die alle eingesetzten Empfänger und Zwecke systematisch erfasst.