Über die Autoren
Stefan Evertz M.Sc.
Geschäftsführer
Datenschutzbeauftragter TÜV
Dennis Morgenstern LL.M.
Geschäftsführer
Wirtschaftsjurist
Immer mehr Websites und Online-Shops setzen Chats ein, um schneller mit Kunden und Interessenten in Kontakt zu treten.
Bei vielen Chattools, wird auf eine persönliche Kommunikation gesetzt. Zudem gibt es Chatbots, die ausschließlich mit künstlicher Intelligenz arbeiten. Daneben gibt es auch Hybrid-Lösungen, die beides kombinieren.
Wir haben uns das Chattool Userlike angeschaut. Das gleichnamige Unternehmen sitzt in Deutschland. Das ist aus datenschutzrechtlicher Sicht schonmal gut.
Fraglich ist, wie rechtssicher das Chattool insgesamt ist. Um dies zuklären, haben wir die häufig genutzte Version „Team“ getestet.
Userlike Chatbot 100% DSGVO-konform? – Unsere Meinung
Userlike selbst, wirbt mit einer 100%igen DSGVO-Konformität seines Chatbots.
Die Einschätzung teilen wir nicht, da ein globales Server-Netzwerk (CDN) des Unternehmens Amazon genutzt wird. Dies wird von dem Unternehmen selbst hier beschrieben.
Der hiermit verbundene Datenaustauch ist wegen des EuGH-Urteil vom 16.07.2020, Az.: C-311/18 („Schrems ll“) datenschutzrechtlich problematisch, da eine Übertragung in ein unsicheres Drittland (z.B. USA) nicht ausgeschlossen werden kann. Zudem ist es auf Grund des CLOUD Acts auch nicht zwingend notwendig, dass Daten in den USA gespeichert werden. Durch den CLOUD Act (Clarifying Lawful Overseas Use of Data Act) werden US-amerikanischen Behörden ermächtigt, auf Unternehmens- und Kundendaten von Cloud- und Kommunikationsanbietern zuzugreifen, auch wenn diese außerhalb der USA gespeichert werden und dort von Tochterunternehmen betrieben werden, solange es sich bei dem (Mutter)Unternehmen um ein US-Unternehmen (mit Sitz in den USA bzw. dem US-amerikanischen Recht unterliegend) handelt.
Zu dem EuGH-Urteil vom 16.07.2020, Az.: C-311/18 („Schrems ll“) selbst hat sich auch das Unternehmen Userlike in Form des CEO Timoor Taufig geäußert:
Many of our customers are, however, operating on a global scale. To ensure that Userlike works smoothly wherever you are, we rely on Amazon’s Web Services (AWS) for technical data delivery. In this process, Amazon AWS receives the end user’s IP address, which is automatically deleted after 24 hours. Amazon is one of that has been affected by the end of the Privacy Shield – and consequently, we have been affected as well.
If you imagine the internet like a massive network of roads, then all the main highways are owned by American companies (e.g. Amazon, Google, Apple). Blocking off those critical highways is not a sustainable option.
Either (A) a new agreement is made, (B) new highways are built, or (C) the existing highways are adjusted. Until one of the options materializes, we’re all in the same boat sailing through no man’s land.
Übersetzung:
Viele unserer Kunden sind jedoch weltweit tätig. Damit Userlike überall reibungslos funktioniert, setzen wir bei der technischen Datenauslieferung auf Amazons Web Services (AWS). Dabei erhält Amazon AWS die IP-Adresse des Endbenutzers, die nach 24 Stunden automatisch gelöscht wird. Amazon ist eines der über 5000 Unternehmen, die vom Ende des Privacy Shields betroffen sind – und damit auch wir.
Wenn man sich das Internet wie ein riesiges Straßennetz vorstellt, dann sind alle Hauptautobahnen im Besitz amerikanischer Unternehmen (z.B. Amazon, Google, Apple). Diese kritischen Autobahnen zu blockieren ist keine nachhaltige Option.
Entweder (A) wird ein neues Abkommen geschlossen, (B) werden neue Autobahnen gebaut oder (C) werden die bestehenden Autobahnen angepasst. Solange eine der Optionen nicht verwirklicht wird, sitzen wir alle im selben Boot und fahren durch das Niemandsland.
Die Stellungnahme mag aus betriebswirtschaftlicher Sicht zutreffen. Aus juristischer Sicht spielt dies keine Rolle! Der Kundenservice hat uns auf folgendes Supplementary Addendum verwiesen:
In diesem Supplementary Addendum sind keine wirkungsvollen, zusätzlichen Garantien vorhanden, die eine sicherere datenschutzkonforme Nutzung gewährleisten. Aus juristischer Sicht kann man daher die Situation nur so rechtssicher wie möglich abbilden, eine 100%-Lösung ist auf Grund der derzeitigen Rechtslage jedoch nicht möglich, sodass wir der Aussage, dass Userlike 100% DSGVO-konform ist widersprechen.
Wie schon erwähnt, haben wir das Tool selbst getestet und stellen nachfolgend, die aus unserer Sicht möglichen Vorgehensweisen dar.
Unsere empfohlene Vorgensweise
1. Informierte Einwilligung (Art. 49 Abs. 1 S. 1 lit. a DSGVO)
Zunächst sollte zwingend eine informierte Einwilligung erfolgen bevor, das Tool geladen wird. Nebenbei bemerkt müsste auch – abgesehen von einem möglichen Datenaustausch in ein unsicheres Drittland – eine Einwilligung erfolgen, da das Tool Cookies verwendet (welche als nicht technisch erforderlich einzustufen ist).
Wir haben dies mit dem Consent-Tool Borlabs umgesetzt. Bei der nachfolgenden Beschreibung setzen wir die Konfiguration von Borlabs wie innerhalb unserer Anleitung beschrieben voraus.
Schritt 1:
Nachdem Sie Userlike auf Ihrer Website aktiviert haben (Schritt-für-Schritt Anleitungen finden Sie hier), fügen Sie das Userlike-Cookie bei Borlabs unter der Kategorie „Nicht essenzielle Dienste/Anwendungen“ hinzu:
Schritt 2:
Im nächsten Step sehen Sie die Standard-Einstellungen und -Formulierungen der Cookie-Informationen
Diese Standard-Einstellungen sowie -Formulierung müssen zwingend angepasst werden. Wir haben hierzu entsprechende Formulierungen und Vorgehensweisen entwickelt, welche wir unseren Kunden exklusiv zur Verfügung stellen.
Schritt 3:
Innerhalb des Feldes „Zusätzliche Einstellungen“ geben Sie ihr Secret ein, welches Sie im Backend Ihres Userlike-Accounts finden:
Schritt 4:
Zudem müssen Sie in dem Feld „HTML & JavaScript“ den Userlike-Widget-Code einbinden, welchen Sie ebenfalls im Backend Ihres Userlike-Accounts finden:
Schritt 5:
Des Weiteren müssen Sie das Borlabs Pop-Up entsprechend anpassen:
2. Userlike-Einstellungen anpassen
Nun zeigen wir in einer zweiten Schritt-für-Schritt-Anleitung auf, welche Einstellungen innerhalb des Userlike-Accounts notwendig sind.
Schritt 1:
Nachfolgend sehen Sie den Standard-Text des Datenschutzhinweises von Userlike:
Diese Standard-Formulierung muss zwingend angepasst werden. Wir haben hierzu entsprechende Formulierungen entwickelt, welche wir unseren Kunden entsprechend zur Verfügung stellen.
Schritt 2:
Ändern Sie das Cookie-Ablauf-Timeout unter dem Punkt „Chat“ auf 1 Tag:
Schritt 3:
Ändern Sie die Datenschutzeinstellungen unter dem Punkt „Chat“. Die URL sollte via Anker-Link zu der genau passenden Stelle der Datenschutzerklärung führen.
3. Datenschutzerklärung anpassen
Zum Schluss müssen Sie Ihre Datenschutzerklärung um eine entsprechende Klausel erweitern. In dieser Klausel sollten Sie genau beschrieben werden, wie der Datenaustausch in Ihrem konkreten Fall aussieht.
Wir machen Sie abmahnsicher
Jetzt Angebot für Ihre Website anfordern.
Unverbindlich und kostenfrei.
