Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Chatwoot ist eine Open-Source-Suite für Customer Engagement mit Live-Chat, geteiltem Posteingang, Helpdesk und Chatbots. Das eingebettete Widget lädt ein JavaScript-SDK, öffnet eine WebSocket-Verbindung zum Chatwoot-Server und speichert cw_conversation als Cookie und Local-Storage-Eintrag, um wiederkehrende Besucher mit ihrer Konversation zu verknüpfen. Als Support-Widget benötigt es eine Einwilligung für noch nicht aktive Besucher.
Chatwoot ist eine Open-Source-Suite für Customer Engagement, die Website-Live-Chat, geteilten Posteingang für E-Mail, WhatsApp, Facebook Messenger, Instagram und Twitter sowie Helpdesk-Artikel und KI-Bots vereint. Viele europäische SaaS-Unternehmen und Online-Shops hosten Chatwoot selbst oder nutzen Chatwoot Cloud (EU- und US-Regionen).
Das Widget speichert das Cookie cw_conversation und Local-Storage-Einträge cw_user_xxx auf der Publisher-Domain, um den Besucher mit seiner Konversation zu verknüpfen. Über die WebSocket werden Nachrichten, Page-Kontext und Besucher-IDs (über setUser-Aufrufe bei authentifizierten Endnutzern) an das Chatwoot-Backend gesendet.
Das Laden des Widgets ohne Nutzerinteraktion ist nicht zwingend erforderlich; europäische Aufsichtsbehörden (CNIL, Garante) verlangen daher vorherige Einwilligung nach Art. 5 Abs. 3 ePrivacy. Sobald der Besucher den Chat öffnet und schreibt, kann die Verarbeitung der Konversation auf Vertragserfüllung oder berechtigtes Interesse am Support gestützt werden.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Blockieren Sie sdk.js über die CMP, bis die notwendige bzw. funktionale Kategorie akzeptiert wurde. Ein häufiger rechtskonformer Pattern ist Click-to-Chat: Eine statische Schaltfläche ersetzt das Widget, das eigentliche Chatwoot-SDK lädt erst nach dem Klick und liefert eine ausdrückliche Einwilligung.
Self-Hosting in der EU hält die Konversationen in Ihrer Infrastruktur. Chatwoot Cloud nutzt AWS, EU-Regionen sind in zahlbaren Plänen verfügbar; die Standard-Region USA löst Übermittlungen aus, die mit Standardvertragsklauseln oder dem EU U.S. Data Privacy Framework abzudecken und in der Datenschutzerklärung zu beschreiben sind.
Knüpfen Sie das Widget an ein CMP-Signal oder einen Click-to-Chat-Trigger, setzen Sie Aufbewahrungsfristen für Konversationen und Kontakte, konfigurieren Sie Export- und Lösch-APIs zur Erfüllung von Betroffenenrechten und dokumentieren Sie Chatwoot Inc. als Auftragsverarbeiter (oder sich selbst beim Self-Hosting) im Verzeichnis.
Websites using Chatwoot must obtain user consent under GDPR regulations.
DPIA considerations
Eine DSFA ist zu erwägen, wenn Chatwoot mit CRM, Customer Health Scoring oder KI-Bots integriert wird, die Konversationsdaten in großem Umfang verarbeiten. Cloud-Editionen außerhalb der EU bringen zusätzliche Übermittlungsrisiken.
Sample consent text
Wir nutzen Chatwoot für Live-Chat-Support. Mit Ihrer Einwilligung wird das Widget auf Ihrem Gerät geladen, das Cookie cw_conversation gesetzt und Ihre Nachrichten an unseren Chatwoot-Server übermittelt. Sie können die Einwilligung jederzeit in den Cookie-Einstellungen widerrufen.
Third-party domains contacted
app.chatwoot.comcdn.chatwoot.comself-hosted Chatwoot instance (controller domain)Cookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| cw_conversation | first_party | 1 year | Stores the Chatwoot conversation token to keep returning visitors connected to their conversation thread. |
| cw_user_* | first_party | 1 year | Stores visitor identifier and basic context (name, email if provided) to attribute messages to the right contact in Chatwoot. |
Chatwoot verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Das Widget speichert das Cookie cw_conversation und Local-Storage-Einträge cw_user_xxx auf der Publisher-Domain, um den Besucher mit seiner Konversation zu verknüpfen. Nach dem Einstieg ist das Cookie für den Chatbetrieb erforderlich.
Ja, in den meisten Fällen. Europäische Aufsichtsbehörden sehen das automatische Laden des Widgets als nicht zwingend erforderlich und fordern vorherige Einwilligung nach Art. 5 Abs. 3 ePrivacy. Ein Click-to-Chat-Pattern kann das Banner ersetzen, indem es explizite Nutzerinteraktion erfordert.
Sobald der Besucher schreibt, kann die Verarbeitung auf Vertragserfüllung oder berechtigtes Interesse am Support gestützt werden. Das passive Laden des Widgets bleibt einwilligungspflichtig.
Nicht beim Self-Hosting in der EU. Chatwoot Cloud nutzt AWS mit EU- und US-Regionen; die US-Region löst Übermittlungen aus, die auf Standardvertragsklauseln oder das EU U.S. Data Privacy Framework gestützt werden müssen.
Eine DSFA ist empfehlenswert, wenn Chatwoot mit CRM, Customer-Scoring oder KI-Bots integriert ist, die Transkripte in großem Umfang verarbeiten. Reiner Live-Chat mit EU-Hosting und begrenzter Speicherdauer löst meist keine Pflicht-DSFA aus.
Blockieren Sie das SDK bis zur Einwilligung oder setzen Sie Click-to-Chat ein, legen Sie Speicherdauern für Konversationen fest, konfigurieren Sie Export- und Lösch-APIs zur Erfüllung von Rechten und dokumentieren Sie die Rechtsgrundlage im Verzeichnis.
EU-freundliche Alternativen sind Crisp (Frankreich), LiveChat (Polen), Zammad (Deutschland) oder selbst gehostetes Rocket.Chat, alle mit EU-Datenresidenz.
Fügen Sie einen Abschnitt hinzu, der Chatwoot nennt, das Cookie cw_conversation mit Zweck und Dauer auflistet, die Local-Storage-Einträge erwähnt und klärt, ob die Daten in Ihrer EU-Instanz bleiben oder an Chatwoot Cloud übermittelt werden.