tawk.to ist ein cloudbasiertes Live-Chat-Modul, das Unternehmen auf ihrer Webseite einbauen können. Es ermöglicht ihren Kunden, direkt per Chat mit ihnen in Kontakt zu treten. Über 250.000 Unternehmen verwenden das Tool.
Für tawk.to benötigen Sie einen Passus in Ihrer Datenschutzerklärung
Datenschutzerklärung kostenlos erstellen
Warum ist tawk.to datenschutzrechtlich relevant?
Unternehmen erheben über tawk.to verschiedene Daten ihrer Kunden. Dazu zählen unter anderem
- der Chatverlauf,
- der Chatzeitpunkt und
- die IP-Adresse.
Je nachdem, welche Angaben Kunden in dem Chat machen, erheben Unternehmen personenbezogene Daten. Sie geben diese an den Anbieter von tawk.to weiter. Sie müssen daher verschiedene Pflichten aus der Datenschutz-Grundverordnung (DSGVO) beachten.
tawk.to datenschutzkonform verwenden
Um tawk.to datenschutzkonform zu verwenden, müssen Unternehmen diesen Anforderungen der DSGVO nachkommen:
Vertrag zur Auftragsverarbeitung abschließen
Unternehmen geben die Daten, die sie über tawk.to erheben, an den Anbieter des Tools weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Denn: Art. 28 DSGVO gibt vor, dass Unternehmen mit Dritten einen AV-Vertrag schließen müssen, wenn sie personenbezogene Daten an diesen weiterreichen.
Der Vertrag muss dabei aufführen,
- welche personenbezogenen Daten tawk.to erhält und speichert,
- wie lange der Anbieter diese speichert,
- warum er die Daten speichert und
- welche Rechte und Pflichten die Verantwortlichen haben.
Datenschutzerklärung anpassen
Unternehmen, die tawk.to verwenden, müssen das in ihrer Datenschutzerklärung erwähnen. In diesem Kontext sollten sie angeben, dass sie mit tawk.to einen AV-Vertrag geschlossen haben. Dabei müssen sie erklären,
- welche personenbezogenen Daten sie speichern,
- wie lange sie diese speichern,
- welche Rechtsgrundlage ihnen das ermöglicht (Art. 6 Abs. 1 DSGVO) und
- dass User der Erhebung und Speicherung ihrer Daten jederzeit widersprechen können.
tawk.to datensparsam verwenden
tawk.to gibt Unternehmen die Möglichkeit, die IP-Aufzeichnung des Tools zu deaktivieren. Dem sollten sie nachkommen. Denn: Die DSGVO gibt einen Grundsatz der Datensparsamkeit vor. Das bedeutet: Unternehmen dürfen nur die Daten erheben, die sie unbedingt für die Nutzung des Tools benötigen. Die Erhebung der IP-Adresse dürfte in der Regel nicht dazu gehören.
Wollen Unternehmen die IP-Adresse über tawk.to erheben, muss das
- einem erlaubten Zweck dienen,
- geeignet sein, diesen Zweck zu erfüllen und
- erforderlich sein, diesen Zweck zu erreichen.
Daneben dürfen Unternehmen die Daten, die sie über tawk.to erheben, nur so lange aufbewahren, wie sie diese tatsächlich benötigen. Das heißt: Wollen sie beispielsweise nach Ende eines Chats erhobene Kundendaten noch verwenden, um ein Anliegen des Kunden zu erledigen, dürfen sie die Daten weiter behalten. Sobald sie das Anliegen jedoch erledigt haben, müssen sie auch die Daten löschen.
Rechtsprechung zu tawk.to
Nutzen Unternehmen tawk.to, geben sie personenbezogene Daten an den Anbieter des Tools weiter. Schließen sie dafür keinen AV-Vertrag mit tawk.to, müssen sie mit einem Bußgeld rechnen. Das Bußgeld kann bei bis zu 10 Millionen Euro oder alternativ 2 Prozent des weltweiten Jahresumsatzes liegen. Die Datenschutzbehörde Hamburg verhängte in diesem Kontext ein Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Gebühren an ein Versandunternehmen. Dies hatte mit einem beauftragten Dienstleister keinen AV-Vertrag geschlossen.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
