Über die Autoren

Stefan Evertz
Geschäftsführer
Frame for Business GmbH
Digital Marketing M.Sc.

Dennis Morgenstern
Geschäftsführer
Frame for Business GmbH
Wirtschaftsjurist LL.M.
Stefan Evertz M.Sc.
Geschäftsführer
Frame for Business GmbH
Dennis Morgenstern LL.M.
Geschäftsführer
Frame for Business GmbH

 

Immer mehr Websites und Online-Shops setzen Chats ein, um schneller mit Kunden und Interessenten in Kontakt zu treten.

Bei vielen Chattools, wird auf eine persönliche Kommunikation gesetzt. Zudem gibt es Chatbots, die ausschließlich mit künstlicher Intelligenz arbeiten. Daneben gibt es auch Hybrid-Lösungen, die beides kombinieren.

Wir haben uns das Chattool Userlike angeschaut. Das gleichnamige Unternehmen sitzt in Deutschland. Das ist aus datenschutzrechtlicher Sicht schonmal gut.

Fraglich ist, wie rechtssicher das Chattool insgesamt ist. Um dies zuklären, haben wir die häufig genutzte Version „Team“ getestet.

Userlike Chatbot 100% DSGVO-konform? – Unsere Meinung

Userlike selbst, wirbt mit einer 100%igen DSGVO-Konformität seines Chatbots.

Die Einschätzung teilen wir nicht, da ein globales Server-Netzwerk (CDN) des Unternehmens Amazon genutzt wird. Dies hat uns der Kundenservice bestätigt. Zudem beschreibt dies das Unternehmen selbst auf einer Unterseite https://www.userlike.com/de/data-privacy.

Der hiermit verbundene Datenaustauch ist wegen des EuGH-Urteil vom 16.07.2020, Az.: C-311/18 („Schrems ll“) datenschutzrechtlich problematisch, da eine Übertragung in ein unsicheres Drittland (z.B. USA) nicht ausgeschlossen werden kann.

Der Kundenservice führte uns gegenüber an, dass ein Endnutzer aus Deutschland die Inhalte vom Server in Frankfurt oder Nürnberg erhält. Auch diese Einschätzungen teilen wir nicht. Zum einen kommt es auf den Aufbau des CDN an. Es ist technisch durchaus möglich, dass zuerst eine Übermittlung in die USA stattfindet und danach die Inhalte von Servern innerhalb Deutschlands zur Verfügung gestellt werden (hier müsste man den Aufbau des CDN im Detail prüfen, um das zu klären, wobei das nur in Zusammenarbeit mit dem CDN-Betreiber Amazon möglich sein dürfte).

Zum anderen wird nach der intendierten Funktion des CDN immer der regional nächstgelegene Server in Anspruch genommen. In Grenzregionen kann dieser nächstgelegene Server also auch einmal in einem anderen Land liegen (z.B. angrenzende Länder wie Frankreich, Österreich etc.). Problematisch wird dies, wenn das Nachbarland z.B. die Schweiz wäre, da diese nicht Teil der EU und somit Drittland im Sinne der DSGVO ist.

Insoweit kann also – und das ist das Hauptproblem – nie ausgeschlossen werden, dass eine Verbindung in ein unsicheres Drittland hergestellt wird und Daten dorthin transferiert werden. Fällt der nächstgelegene Server aus (z.B. wegen Überlastung) ist eine Übermittlung in ein unsicheres Drittland zumindest möglich.

Zu dem EuGH-Urteil vom 16.07.2020, Az.: C-311/18 („Schrems ll“) selbst hat sich auch das Unternehmen Userlike in Form des CEO Timoor Taufig geäußert:

Many of our customers are, however, operating on a global scale. To ensure that Userlike works smoothly wherever you are, we rely on Amazon’s Web Services (AWS) for technical data delivery. In this process, Amazon AWS receives the end user’s IP address, which is automatically deleted after 24 hours. Amazon is one of that has been affected by the end of the Privacy Shield – and consequently, we have been affected as well.

If you imagine the internet like a massive network of roads, then all the main highways are owned by American companies (e.g. Amazon, Google, Apple). Blocking off those critical highways is not a sustainable option.

Either (A) a new agreement is made, (B) new highways are built, or (C) the existing highways are adjusted. Until one of the options materializes, we’re all in the same boat sailing through no man’s land.

Übersetzung:

Viele unserer Kunden sind jedoch weltweit tätig. Damit Userlike überall reibungslos funktioniert, setzen wir bei der technischen Datenauslieferung auf Amazons Web Services (AWS). Dabei erhält Amazon AWS die IP-Adresse des Endbenutzers, die nach 24 Stunden automatisch gelöscht wird. Amazon ist eines der über 5000 Unternehmen, die vom Ende des Privacy Shields betroffen sind – und damit auch wir.

Wenn man sich das Internet wie ein riesiges Straßennetz vorstellt, dann sind alle Hauptautobahnen im Besitz amerikanischer Unternehmen (z.B. Amazon, Google, Apple). Diese kritischen Autobahnen zu blockieren ist keine nachhaltige Option.

Entweder (A) wird ein neues Abkommen geschlossen, (B) werden neue Autobahnen gebaut oder (C) werden die bestehenden Autobahnen angepasst. Solange eine der Optionen nicht verwirklicht wird, sitzen wir alle im selben Boot und fahren durch das Niemandsland.

Quelle: https://www.userlike.com/en/blog/privacy-shield

Die Stellungnahme mag aus betriebswirtschaftlicher Sicht zutreffen. Aus juristischer Sicht spielt dies keine Rolle! Der Kundenservice hat uns auf folgendes Supplementary Addendum verwiesen:

In diesem Supplementary Addendum sind keine wirkungsvollen, zusätzlichen Garantien vorhanden, die eine sicherere datenschutzkonforme Nutzung gewährleisten. Aus juristischer Sicht kann man daher die Situation nur so rechtssicher wie möglich abbilden, eine 100%-Lösung ist auf Grund der derzeitigen Rechtslage jedoch nicht möglich, sodass wir der Aussage, dass Userlike 100% DSGVO-konform ist widersprechen.

Wie schon erwähnt, haben wir das Tool selbst getestet und stellen nachfolgend, die aus unserer Sicht möglichen Vorgehensweisen dar.

Unsere empfohlene Vorgensweise

1. Informierte Einwilligung (Art. 49 Abs. 1 S. 1 lit. a DSGVO)

Zunächst sollte zwingend eine informierte Einwilligung erfolgen bevor, das Tool geladen wird. Nebenbei bemerkt müsste auch abgesehen von einem möglichen Datenaustausch in ein unsicheres Drittland eine Einwilligung erfolgen, da das Tool Cookies verwendet (welche als nicht technisch erforderlich einzustufen ist).

Wir haben dies mit dem Consent-Tool Borlabs umgesetzt:

Schritt 1:

Nachdem Sie Userlike auf Ihrer Website aktiviert haben (Schritt-für-Schritt Anleitungen finden Sie hier), fügen Sie das Userlike-Cookie bei Borlabs unter der Kategorie „Externe Medien“ hinzu:

 

Schritt 2:

Im nächsten Step sehen Sie die Standard-Einstellungen und -Formulierungen der Cookie-Informationen

 

Diese Standard-Einstellungen sowie -Formulierung müssen zwingend angepasst werden. Wir haben hierzu entsprechende Formulierungen und Vorgehensweisen entwickelt, welche wir unseren Kunden exklusiv zur Verfügung stellen.

Schritt 3:

Innerhalb des Feldes „Zusätzliche Einstellungen“ geben Sie ihr Secret ein, welches Sie im Backend Ihres Userlike-Accounts finden:

Schritt 4:

Zudem müssen Sie in dem Feld „HTML & JavaScript“ den Userlike-Widget-Code einbinden, welchen Sie ebenfalls im Backend Ihres Userlike-Accounts finden:

Schritt 5:

Des Weiteren müssen Sie das Borlabs Pop-Up entsprechend anpassen:

2. Userlike-Einstellungen anpassen

Nun zeigen wir in einer zweiten Schritt-für-Schritt-Anleitung auf, welche Einstellungen innerhalb des Userlike-Accounts notwendig sind.

Schritt 1:

Nachfolgend sehen Sie den Standard-Text des Datenschutzhinweises von Userlike:

Diese Standard-Formulierung muss zwingend angepasst werden. Wir haben hierzu entsprechende Formulierungen entwickelt, welche wir unseren Kunden entsprechend zur Verfügung stellen.

Schritt 2:

Ändern Sie das Cookie-Ablauf-Timeout unter dem Punkt „Chat“ auf 1 Tag:

 

Schritt 3:

Ändern Sie die Datenschutzeinstellungen unter dem Punkt „Chat“. Die URL sollte via Anker-Link zu der genau passenden Stelle der Datenschutzerklärung führen.

 

3. Datenschutzerklärung anpassen

Zum Schluss müssen Sie Ihre Datenschutzerklärung um eine entsprechende Klausel erweitern. In dieser Klausel sollten Sie genau beschrieben werden, wie der Datenaustausch in Ihrem konkreten Fall aussieht.

Sprechen Sie uns einfach an, wenn Sie hier Unterstützung benötigen. Gerne prüfen wir die Situation auf Ihrer Website und erstellen Ihnen eine Individuell passende Klausel, die Sie dann bequem in Ihre Datenschutzerklärung einfügen können.
Schreiben Sie uns einfach eine E-Mail an: info@frame-for-business.de.