Was macht Brevo Chat?
Brevo, ehemals bekannt als Sendinblue, ist eine All-in-One-Marketing- und CRM-Plattform, die speziell für kleine und mittelständische Unternehmen entwickelt wurde. Die Plattform bietet eine Reihe von intuitiven und skalierbaren Tools, darunter E-Mail, SMS, WhatsApp, Chat und Marketing Automation. Diese Tools ermöglichen es Unternehmen, automatisierte digitale Marketingkampagnen zu erstellen und zu verwalten.
Die Funktion “Brevo Chat” ist ein Teil dieser Plattform. Mit Brevo Chat kommunizieren Unternehmen direkt mit Nutzern auf ihrer Website. Dabei übernimmt ein intelligenter Chatbot die Gespräche mit Usern. Unternehmen fördern auf diese Weise das Nutzer-Engagement, bieten eine personalisierte Interaktion sowie schnelle Antworten rund um die Uhr. Das verbessert die Kundenzufriedenheit und hilft dabei, langfristige Kundenbeziehungen aufzubauen. Was müssen Firmen datenschutzrechtlich beachten, wenn sie Brevo Chat verwenden?
Ihre Nutzer müssen in Ihrer Datenschutzerklärung bei Verwendung dieses Dienstes informiert werden.
Datenschutzerklärung kostenlos erstellen
Darum ist Brevo Chat datenschutzrechtlich relevant
Unternehmen sammeln über Brevo Chat Nutzerdaten. Welche Daten das genau sind, hängt davon ab, wie sie den Chatbot konfigurieren und welche Daten dieser im jeweiligen Gespräch mit Kunden abfragt. Das können zum Beispiel
- Namen,
- Adressen,
- E-Mail-Adressen,
- Telefonnummern und
- Produktinteressen
sein. Dabei handelt es sich zum Teil um personenbezogene Daten. Der deutsche Datenschutz schützt diese Form der Daten besonders – unter anderem durch die Datenschutz-Grundverordnung (DSGVO) das Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG (ehemals TTDSG)). Für die Praxis bedeutet das: Unternehmen müssen verschiedene datenschutzrechtliche Pflichten erfüllen, wenn sie Brevo Chat auf ihrer Webseite einsetzen.
Brevo Chat datenschutzkonform verwenden
Um Brevo Chat gemäß den datenschutzrechtlichen Anforderungen zu nutzen, müssen Unternehmen diese Pflichten aus dem Gesetz erfüllen:
Einwilligung in Datenerhebung einholen
Um die oben genannten Daten zu erheben, verwendet Brevo Cookies. Cookies sind Informationen, die vom Server der besuchten Website auf der Festplatte des Internetnutzers abgelegt werden. Sie enthalten mehrere Daten: den Namen des Servers, der sie hinterlegt hat, eine ID in Form einer eindeutigen Nummer und eventuell ein Ablaufdatum. Auf diese Weise erheben Unternehmen mit Brevo Chat personenbezogene Daten. Dafür benötigen sie die Erlaubnis der User. Sie können diese per Opt-In in die Datenerhebung einholen. Dafür sollten sie zum Start der Kommunikation mit dem Kunden eine Nachricht einblenden, die ihre Einwilligung abfragt. Diese kann zum Beispiel so aussehen:
„Hallo, ich bin dein Chatbot von [Unternehmensname] und leite dich durch die wichtigsten Fragen zu unseren Produkten. Damit das auch ordentlich funktioniert, speichere ich deinen Namen und deine E-Mail. Nähere Informationen habe ich dir in unseren Datenschutzbestimmungen (Link) bereitgestellt. Du kannst deine Daten übrigens jederzeit abbestellen und löschen. Bist du damit einverstanden?“
Zusätzlich sollten Unternehmen die Erlaubnis der Nutzer in die Datenerhebung über einen Cookie-Banner einholen. Damit dieser den gesetzlichen Anforderungen entspricht, sollten sie ein Cookie Consent Tool verwenden. Dies holt nicht nur rechtskonform die Einwilligung der Nutzer ein, sondern passt dann auch die Datenströme auf der Webseite entsprechend an.
Einwilligung für Werbung in Brevo Chat einholen
Unternehmen können im Brevo Chat Werbung ausspielen. Dafür können sie zum Beispiel über Templates Kampagnen erstellen, die im Chatfenster dann einzigartige Content-Elemente einblenden. Dafür benötigen Unternehmen ebenfalls die Erlaubnis der User. Wie bei der Erhebung der personenbezogenen Daten ist hier eine ausdrückliche und aktive Einwilligung notwendig – vor der ersten Werbeeinblendung.
Vertrag zur Auftragsverarbeitung schließen
Erheben Unternehmen über Brevo Chat Kundendaten, geben sie diese automatisch an den dahinterstehenden Anbieter weiter. Gemäß der DSGVO ist Brevo dann ein sogenannter Auftragsverarbeiter. Das heißt für die Praxis: Unternehmen müssen mit Brevo einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Dieser stellt sicher, dass der hinter Brevo Chat stehende Anbieter mit den personenbezogenen Daten rechtskonform umgeht. Bei Brevo finden Unternehmen den AV-Vertrag in den allgemeinen Nutzungsbedingungen. Sie sollten überprüfen, dass der Vertrag festhält,
- welche Nutzerdaten Brevo speichert,
- wie lange der Anbieter die Daten speichert,
- warum Brevo die Kundendaten speichert und
- welche Rechte und Pflichten beide Seiten haben.
Schließen Unternehmen keinen AV-Vertrag mit Brevo, droht ihnen ein Bußgeld. Die DSGVO ermöglicht dabei in Art. 83 Abs. 4 lit. a eine Geldstrafe von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes.
Datenschutzerklärung aktualisieren
Immer wenn Unternehmen personenbezogene Daten erheben, müssen sie Nutzer in ihrer Datenschutzerklärung darüber informieren. Für Brevo Chat sollten sie daher in ihrer Datenschutzerklärung festhalten,
- welche Nutzerdaten sie über Brevo Chat erheben,
- welche Daten sie an Brevo weitergeben,
- warum sie die Daten an Brevo weiterreichen,
- dass sie für die Datenweitergabe mit Brevo einen AV-Vertrag geschlossen haben,
- wie Brevo die Daten nutzt und
- dass Nutzer der Datenspeicherung und Datenweitergabe jederzeit widersprechen können.
Möglichst wenige Daten erheben
Die DSGVO gibt einen Grundsatz der Datensparsamkeit vor. Das bedeutet: Unternehmen dürfen über Brevo Chat nur die Daten erheben, die sie tatsächlich für die Kommunikation mit Nutzern benötigen.
Datenauskunft gewähren
Verlangen Nutzer die bisher über Brevo Chat erhobenen Daten einzusehen, müssen Unternehmen diese zur Verfügung stellen. Sie können das beispielsweise per Download vornehmen.
Userdaten regelmäßig löschen
Benötigen Unternehmen die über Brevo Chat erhobenen Daten nicht mehr und haben die Daten damit ihren Zweck erfüllt, müssen sie diese löschen. Das gilt nur dann nicht, wenn das Gesetz etwas anderes vorschreibt. Das ist zum Beispiel der Fall, wenn es eine längere Aufbewahrung verlangt. Die Pflicht zur Löschung gilt auch, wenn Nutzer diese verlangen.
Rechtsprechung zu Brevo Chat
Für Brevo oder Brevo Chat liegt bisher – soweit ersichtlich – keine Rechtsprechung vor. Analog könnte jedoch diese Rechtsprechung für den Einsatz von Brevo Chat relevant sein:
2021: Datenschutzbehörde Baden-Württemberg zum AV-Vertrag
Die Datenschutzbehörde Baden-Württemberg sprach im März 2021 ein Bußgeld gegen den Fußballclub VfB Stuttgart aus. Der Grund: Der Verein hatte zwar mehrere tausend Mitgliederdaten an Dienstleister weitergegeben, um diese weisungsgebunden verarbeiten zu lassen. Er hatte mit den Dienstleistern jedoch keine AV-Verträge geschlossen. Die Datenschutzbehörde legte daher ein Bußgeld in Höhe von 300.000 Euro fest.
2020: Bundesgerichtshof zu Tracking Cookies
Um Tracking Cookies zu verwenden, benötigen Unternehmen die Erlaubnis der Nutzer. Sie müssen diese per Opt-In einholen, so dass User aktiv und ausdrücklich der Datenerhebung zustimmen. Eine vorangekreuzte Checkbox zur Einwilligung ist daher nicht erlaubt. Das stellte der Bundesgerichtshof (BGH) im Mai 2020 fest (I ZR 7/16).
2019: Europäischer Gerichtshof zu Tracking Cookies
Seitenbetreiber dürfen nur dann Daten über Cookies erheben, wenn User in die Cookies vorher eingewilligt haben. Dabei ist es irrelevant, ob die Cookies personenbezogene oder anonyme Daten erheben. Zu diesem Schluss kam der Europäische Gerichtshof (EuGH) im Oktober 2019 (C-637/17).
2018: Datenschutzbehörde Hamburg zum AV-Vertrag
Ein deutsches Versandunternehmen musste im Dezember 2018 ein Bußgeld in Höhe von 5.000 Euro zahlen. Der Grund: Die Datenschutzbehörde Hamburg hatte festgestellt, dass das Unternehmen zwar personenbezogene Daten an einen spanischen Dienstleister weitergab, dafür jedoch kein AV-Vertrag vorlag.