Was macht Tidio?
Tidio ist eine webbasierte Software, die verschiedene Kommunikationskanäle wie Live-Chat, E-Mail und Messenger in einer einheitlichen Oberfläche vereint. Unternehmen können so die Kommunikation mit ihren Kunden übersichtlich abwickeln. Sie können Tidio als Chat-Widget, Seitenleiste oder spezielle Chatseite nutzen, um Kundenanfragen zu bearbeiten. Worauf müssen Unternehmen datenschutzrechtlich achten, wenn sie Tidio verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Warum ist Tidio datenschutzrechtlich relevant?
Unternehmen erheben über Tidio Userdaten wie
- Browsertyp,
- IP-Adresse und
- Betriebssystem.
Daneben können sie bei Tidio einstellen, welche Daten sie von ihren Kunden erheben wollen, damit diese den Chat nutzen können. In der Regel sammeln sie so
- Namen,
- E-Mail-Adressen und
- Telefonnummern
von Usern. Sie geben diese an den Anbieter der Software in Großbritannien und in den USA weiter. Bei den Daten handelt es sich zum Teil um personenbezogene Daten. Diese sind durch die Datenschutz-Grundverordnung (DSGVO) und das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)) besonders geschützt. Unternehmen müssen daher verschiedene datenschutzrechtliche Pflichten beachten, wenn sie Tidio nutzen.
Tidio DSGVO-konform verwenden
Das Gesetz gibt diese Pflichten vor, wenn Seitenbetreiber Tidio verwenden:
Vertrag zur Auftragsverarbeitung abschließen
Laut der DSGVO ist Tidio ein externer Auftragsverarbeiter. Denn: Unternehmen leiten Kundendaten, die sie über die Software sammeln, zur weisungsgebundenen Verarbeitung an den Anbieter weiter. Dafür müssen sie mit diesem einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Diese Pflicht ergibt sich aus § 28 DSGVO.
Der Vertrag sollte dabei festlegen,
- welche Daten Tidio wie lange speichern darf,
- warum und wie Tidio die Daten verarbeiten darf und
- welche Rechte und Pflichten beide Parteien haben.
Schließen Unternehmen mit Tidio keinen AV-Vertrag, droht ihnen ein Bußgeld. Das kann gemäß Art. 83 Abs. 4 lit. a DSGVO bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen.
Datenschutzerklärung anpassen
Unternehmen erheben über Tidio verschiedene Userdaten und geben diese an Dritte weiter. Darauf müssen sie in ihrer Datenschutzerklärung hinweisen. Dabei sollten sie erwähnen,
- welche Userdaten sie an Tidio weitergeben,
- warum sie Daten an Tidio weiterreichen,
- dass sie für die Datenweitergabe mit Tidio einen AV-Vertrag geschlossen haben,
- wie Tidio diese Daten nutzt und
- dass Nutzer der Datenweitergabe und Datenverwendung widersprechen können.
Diese und weitere Pflichten schreibt § 13 Abs. 1 DSGVO vor. Damit Kunden wissen, was genau mit ihren Daten bei Tidio passiert, sollten Unternehmen zudem auf die Nutzungsbedingungen und Datenschutzbestimmungen der Software verweisen.
Cookie-Banner anpassen
Tidio verwendet Cookies, um seine Software anbieten und die Services personalisieren zu können. Das bedeutet: Tidio setzt Cookies in den Browser von Usern. Das müssen Unternehmen ihren Kunden erklären. Und: Sie müssen dafür ihre Einwilligung einholen. Das können sie über einen Cookie-Banner vornehmen, der Nutzer per Check-In-Box um Erlaubnis für die Cookies bittet. Um einen Cookie-Banner datenschutzkonform zu gestalten, sollten Unternehmen ein Cookie Consent Tool nutzen. Dies fragt das Einverständnis der Nutzer rechtskonform ab und passt dann die Datentransfers auf der Webseite entsprechend an.
Standardvertragsklauseln prüfen
Unternehmen nutzen Tidio auf Basis von Standardvertragsklauseln. Diese verpflichten Tidio dazu, ein gewisses Datenschutzniveau einzuhalten. Unternehmen sollten überprüfen, ob die Standardvertragsklauseln den Vorgaben der DSGVO genügen. Im Rahmen einer sogenannten Risikoabschätzung sollten sie dabei festhalten,
- welche Art von Daten sie an Tidio weitergeben,
- welche Datenschutzgesetze in Großbritannien und den USA gelten und
- ob Tidio weitere Schutzmechanismen für Daten implementiert hat.
Rechtsprechung zu Tidio
Für Tidio liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Für die Software sind jedoch diese Urteile relevant:
Datenschutzbehörde Hamburg zum AV-Vertrag
Das Versandunternehmen Kolibri Image hatte einen spanischen Dienstleister beauftragt, ohne mit diesem einen AV-Vertrag zu schließen. Denn: Kolibri Image sah sich nicht dazu verpflichtet, den Vertrag selbst aufzusetzen. Das sah die Datenschutzbehörde Hamburg anders. Sie verhängte daher am 17.12.2018 eine Strafe in Höhe von 5.000 Euro gegen das Unternehmen.
Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Auch der VfB Stuttgart hatte es versäumt, mit Dienstleistern einen AV-Vertrag zu schließen. Er hatte diese beauftragt, um mehrere tausend Mitgliederdaten verarbeiten zu lassen. Die Datenschutzbehörde Baden-Württemberg stufte das als schweren DSGVO-Verstoß ein. Sie kam daher im März 2021 zu dem Schluss: Der VfB Stuttgart muss 300.00 Euro Strafe zahlen.
Europäischer Gerichtshof zum Privacy Shield
Der Privacy Shield eignet sich nicht, um rechtssicher Daten von der EU in die USA zu transferieren. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) im Sommer 2020. Denn: Das dortige Datenschutzniveau entspricht nicht dem der DSGVO. Und: User in der EU können US-amerikanische Behörde und Unternehmen rechtlich nicht belangen, sollten diese ihre Daten anders als vereinbart verwenden.
Europäischer Gerichtshof zu Tracking Cookies
Der EuGH kam im Oktober 2019 zu dem Ergebnis: Seitenbetreiber dürfen nur dann personenbezogene oder anonyme Daten über Cookies erheben, wenn sie dafür eine Erlaubnis der User haben (C-637/17).
Bundesgerichtshof zu Tracking Cookies
Der Bundesgerichtshof entschied im Mai 2020: Unternehmen müssen eine nicht-vorangekreuzte Checkbox verwenden, um User in die Verwendung von Tracking-Cookies einwilligen zu lassen (I ZR 7/16).