Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.

Engati

PraeferenzenWebsite

Was macht Engati?

Engati ist eine KI gestützte Customer Engagement und Chatbot Plattform, die Website Live Chat, Conversational AI, WhatsApp Business Automatisierung und Voicebots kombiniert. Betreiber binden ein Engati JavaScript Widget ein, das einen Echtzeit Kanal zur Engati Cloud öffnet, Besuchernachrichten, Kontaktdaten und Kontextsignale (Seite, Referrer, IP) erfasst und das Gespräch an Bots oder menschliche Agenten leitet. Da Engati Konversationsverläufe speichert, Formulare mit Kontaktdaten vorausfüllen kann und Cookies sowie Local Storage nutzt, um wiederkehrende Besucher zu erkennen, ist für jeden Einsatz, der europäische Nutzer adressiert, eine vorherige Einwilligung nach DSGVO und ePrivacy Richtlinie erforderlich.

Was Engati leistet und wie es eingebunden wird

Engati ist eine SaaS Plattform für Customer Engagement mit Hauptsitz in Indien. Das Angebot umfasst Live Chat auf Websites, Conversational AI Bots, WhatsApp Business Automatisierung, Voicebots und Integrationen in CRM und Helpdesk Tools. Betreiber binden ein kleines JavaScript Snippet ein, das das Widget von cdn.engati.com lädt, einen WebSocket zu engati.com (oder dem regionalen EU Spiegel) öffnet und eine Chat Bubble einblendet. Sobald der Besucher schreibt, streamt das Widget die Konversation in die Engati Cloud, wo Bots auf Basis großer Sprachmodelle oder regelbasierter Dialogbäume Antworten liefern und bei Bedarf an menschliche Agenten eskalieren.

Cookies, Identifikatoren und erhobene personenbezogene Daten

Engati setzt typischerweise einen First Party Cookie unter Ihrer Domain (engati_visitor_id), um wiederkehrende Chatter zu erkennen und Konversationen über Seiten und Sitzungen hinweg fortzusetzen, sowie einen Session Cookie (engati_session) und ein Consent Flag (engati_consent). Außerdem werden Local Storage Einträge geschrieben, um die IDs zu spiegeln, falls Third Party Cookies blockiert sind. Verarbeitet werden insbesondere IP Adresse, User Agent, Bildschirmgröße, Sprache, Referrer URL, aktuelle URL, ein Fingerprint Hash, sämtliche im Chat eingegebene Nachrichten, hochgeladene Anhänge, freiwillig geteilte Kontaktdaten (E Mail, Telefon, Name) sowie Betreiber Metadaten (Agent ID, Ticket Referenz). Mit aktivierten KI Funktionen können Verläufe an Anbieter großer Sprachmodelle zur Zusammenfassung oder Intent Erkennung übergeben werden.

DSGVO und ePrivacy Auswirkungen

Das Laden des Engati Widgets bedeutet stets das Speichern oder Auslesen von Informationen auf dem Endgerät des Besuchers und löst damit Art. 5 Abs. 3 ePrivacy Richtlinie aus. CNIL, AEPD und der italienische Garante sehen proaktive Chat Einladungen (automatisches Aufpoppen, verhaltensbasierte Trigger) als einwilligungspflichtig an, da sie Tracking vor jeder Kontaktanfrage voraussetzen. Ein rein reaktives Chat Icon, das der Besucher aktiv anklicken muss, kann als unbedingt erforderlich gelten und ist von der Einwilligung befreit, sofern parallel keine Analytics oder Marketing Cookies gesetzt werden. Sobald die Konversation läuft, ist der Betreiber Verantwortlicher und Engati Auftragsverarbeiter nach Art. 28 DSGVO: ein schriftlicher AVV ist Pflicht.

Get GDPR compliant in 10 minutes

Free plan available · No credit card required

Try FlowConsent free

Internationale Transfers und Datenresidenz

Die Hauptinfrastruktur von Engati läuft auf AWS Mumbai (Indien), eine US Region wird für bestimmte Workloads genutzt und eine EU Region ist für Enterprise Pläne auf Anfrage verfügbar. Indien verfügt über keinen Angemessenheitsbeschluss, daher müssen Übermittlungen auf den EU Standardvertragsklauseln (Module 2 und 3) plus einer Transfer Folgenabschätzung gemäß Schrems II und EDSA Empfehlungen 01/2020 beruhen. Wer europäische Daten verarbeitet, sollte ausdrücklich die EU Residenz anfordern, AES 256 Verschlüsselung im Ruhezustand und TLS 1.2 oder höher in Übertragung dokumentieren und die Subprozessor Liste (AWS, OpenAI, Google Cloud, Meta WhatsApp, Twilio) regelmäßig prüfen.

Einwilligung und CMP Integration

Um konform zu bleiben, koppeln Sie das Laden des Engati Widgets an Ihre CMP und laden es nur, wenn der Besucher in die Kategorie Kundenservice oder Funktionalität einwilligt. Deaktivieren Sie das automatische Aufpoppen, solange keine Einwilligung vorliegt. Konfigurieren Sie das Widget so, dass beim ersten Kontakt ein Datenschutzhinweis erscheint mit Angaben zum Verantwortlichen, zum Auftragsverarbeiter Engati Technologies Pvt. Ltd., zum Indien Transfer, zur Speicherdauer der Verläufe und zum Recht auf Löschung. Stellen Sie in Ihrer Datenschutzerklärung einen Widerrufslink bereit, der den Engati Auskunfts und Löschendpunkt aufruft und die Besucher Cookies entfernt.

Praktische Compliance Checkliste

Schließen Sie einen AVV ab, fordern Sie EU Residenz an, wo verfügbar, konfigurieren Sie kurze Speicherfristen (90 Tage für Verläufe, sofern keine dokumentierte längere Begründung besteht), aktivieren Sie rollenbasierte Zugriffskontrollen für Agenten, schulen Sie Agenten, im Chat keine besonderen Datenkategorien zu erfragen, beschränken Sie zulässige Dateitypen, protokollieren Sie jeden Verlaufs Export und prüfen Sie die Engati Subprozessor Liste jährlich. Dokumentieren Sie KI Anwendungsfälle (Intent Klassifikation, Zusammenfassung) im Verzeichnis von Verarbeitungstätigkeiten und halten Sie eine Alternative bereit, mit der Nutzer einen Menschen erreichen, wenn sie KI Funktionen ablehnen.

GDPR consent category

Praeferenzen

Websites using Engati must obtain user consent under GDPR regulations.

Legal basisArticle 6(1)(a) GDPR (consent) for the proactive chat invite and analytics cookies, Article 6(1)(b) (performance of contract) for the strictly necessary support session once the visitor has actively initiated a chat, and Article 6(1)(f) (legitimate interest) only for fraud prevention. Article 5(3) ePrivacy applies to all storage on the device.

Risk levelmedium

Applicable regulationsGDPR, ePrivacy Directive 2002/58/EC, French CNIL chatbot guidance, Spanish AEPD live chat guide, German TDDDG, Italian Garante chatbot opinion, EU AI Act for the conversational AI features, Digital Services Act when transcripts are used to moderate user generated content

DPIA considerations

Eine DSFA wird in zwei Szenarien empfohlen. Erstens: Wenn Engati als Support Einstieg lange Konversationen mit KI Funktionen aufzeichnet und auswertet, erfüllt die systematische Verarbeitung freier Texte in großem Umfang das EDSA Kriterium der innovativen technologischen Lösungen. Zweitens: Wenn Engati an ein CRM angebunden ist, um Leads zu scoren oder Marketingaktionen auszulösen, erreicht das resultierende Profiling die Schwelle des Art. 35 DSGVO. Die DSFA muss die erhobenen Datenkategorien (Identität, Kontakt, Verlauf, Anhänge, IP, Seitenkontext), die in der Engati Konsole konfigurierten Speicherfristen, die Transfers nach Indien und in die USA, den Einsatz großer Sprachmodelle und das Review der Bot Vorschläge dokumentieren.

Sample consent text

Unsere Website nutzt Engati für Live Chat und KI Unterstützung. Mit Ihrer Einwilligung wird Engati in Ihrem Browser geladen, setzt First Party Cookies und verarbeitet die ausgetauschten Nachrichten zusammen mit Ihrer IP Adresse, der Seiten URL und freiwillig geteilten Kontaktdaten. Konversationsverläufe und Anhänge werden auf Engati Infrastruktur in Indien gespeichert und können in die USA übermittelt werden. Sie können ohne Konto chatten, jederzeit die Löschung Ihres Verlaufs verlangen oder den Cookie ablehnen und stattdessen das Standard Kontaktformular nutzen.

Technical details

Tracking methodJavaScript widget loaded from cdn.engati.com that opens a WebSocket to engati.com, sets first party visitor cookies, captures chat transcripts, page URL, referrer, IP address, browser fingerprint and any data the visitor types or uploads (file attachments) into the chat.

Server locationPrimary infrastructure on AWS Asia Pacific (Mumbai, ap-south-1) with mirrors in the US (us-east-1) and the EU (eu-central-1) for select enterprise customers

Data transferred outside the EUChat content, contact details, attachments, IP address, browser metadata and persistent visitor IDs are processed in India (Engati head office and primary AWS region) and may be replicated to the United States. Transfers rely on Standard Contractual Clauses (Module 2 controller to processor and Module 3 processor to processor), supplemented by encryption in transit and at rest, and on the EU US Data Privacy Framework where downstream subprocessors (AWS, OpenAI, Google Cloud) are certified.

Third-party domains contacted

engati.comcdn.engati.comapp.engati.comapi.engati.comws.engati.com

Cookies placed

Name	Type	Duration	Purpose
engati_visitor_id	first_party	12 months	Persistent visitor identifier used by Engati to recognise returning chatters across pages and sessions and to resume conversations.
engati_session	first_party	Session	Short lived session cookie used to maintain the WebSocket connection state between the browser and the Engati cloud.
engati_consent	first_party	6 months	Stores the user consent state for the Engati chat widget and prevents the platform from setting non essential cookies when consent is missing or has been withdrawn.
_engati_uid	third_party	12 months	Cross domain visitor identifier set on engati.com to synchronise chat history across multiple operator properties using the same Engati workspace.

Engati verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.

Kostenlos starten Website scannen

Häufig gestellte Fragen

Welche Cookies und Identifikatoren setzt Engati?

Engati schreibt üblicherweise einen First Party Cookie unter Ihrer Domain (engati_visitor_id), um den Besucher über Seiten und Sitzungen hinweg zu erkennen, sowie einen Session Cookie (engati_session) und ein Consent Flag (engati_consent). Diese IDs werden im localStorage gespiegelt, um Beschränkungen für Third Party Cookies zu überdauern; auf Subdomains kann ein engati.com Third Party Cookie zur Synchronisation des Chats über mehrere Properties desselben Betreibers genutzt werden.

Ist eine Einwilligung erforderlich, um das Engati Widget zu laden?

Das hängt von der Konfiguration ab. Ein rein reaktives Icon, das der Besucher anklicken muss, kann als unbedingt erforderlich gelten, wenn parallel keine Analyse oder Marketing Cookies gesetzt werden. Ein proaktives Widget, das sich automatisch öffnet, auf Verhalten reagiert oder Identifikatoren vor jeglicher Interaktion ablegt, erfordert eine vorherige Einwilligung nach Art. 5 Abs. 3 ePrivacy und Art. 6 Abs. 1 lit. a DSGVO, im Einklang mit Leitlinien von CNIL und AEPD zu Chatbots.

Welche Rechtsgrundlage gilt für die Verarbeitung von Chatdaten über Engati?

Bei einwilligungspflichtigen Funktionen ist die Grundlage Art. 6 Abs. 1 lit. a DSGVO. Sobald der Besucher selbst eine Konversation startet, wechselt sie zu Art. 6 Abs. 1 lit. b (Erfüllung einer vorvertraglichen oder vertraglichen Supportanfrage). Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) kann für Betrugsprävention dienen, niemals jedoch, um eine Ablehnung zu umgehen oder Marketingpipelines zu speisen.

Übermittelt Engati Daten in die USA oder nach Indien?

Ja. Die Hauptinfrastruktur von Engati liegt in Indien (AWS Mumbai), mit weiterer Verarbeitung in den USA und EU Residenz auf Anfrage in Enterprise Plänen. Indien Transfers stützen sich auf Standardvertragsklauseln und eine Transfer Folgenabschätzung mangels Angemessenheitsbeschluss; US Transfers können das EU US Data Privacy Framework nutzen, sofern Subprozessoren wie AWS oder OpenAI zertifiziert sind.

Brauche ich für Engati eine DSFA?

Eine DSFA wird empfohlen, wenn Engati in großem Umfang lange Konversationen aufzeichnet, Verläufe von KI Funktionen analysiert werden oder Chatdaten an ein CRM für Lead Scoring fließen. Die DSFA muss Datenkategorien, Speicherfristen, Transfers nach Indien und in die USA, den Einsatz großer Sprachmodelle und das Human Review der Bot Vorschläge gemäß Art. 35 DSGVO abdecken.

Wie setze ich Engati DSGVO konform um?

Schließen Sie den Engati AVV ab, fordern Sie EU Residenz an, wo verfügbar, steuern Sie das Widget über Ihre CMP, deaktivieren Sie das Auto Open, bis die Einwilligung vorliegt, konfigurieren Sie kurze Speicherfristen (typisch 90 Tage), aktivieren Sie rollenbasierte Zugriffe für Agenten, schulen Sie Agenten, keine besonderen Daten zu erfragen, und prüfen Sie mit den Browser Devtools, dass das Widget erst nach Annahme der Marketing oder Funktionalitätskategorie geladen wird.

Gibt es Alternativen zu Engati?

EU basierte Alternativen sind Crisp (Frankreich, EU Hosting), Userlike (Deutschland, EU Hosting), Tidio mit EU Residenz oder selbstgehostete Lösungen wie Chatwoot oder Rocket.Chat. Für KI lassen sich datenschutzfreundliche Assistenten wie Mistral Le Chat oder Aleph Alpha mit einem selbstgehosteten Live Chat kombinieren, um Transfers außerhalb des EWR zu vermeiden.

Wie aktualisiere ich die Cookie Richtlinie für Engati?

Fügen Sie für jeden Engati Cookie (engati_visitor_id, engati_session, engati_consent) einen eigenen Eintrag mit Name, Reichweite, Speicherdauer und Zweck hinzu. Erläutern Sie die Rolle als Verantwortlicher und Engati als Auftragsverarbeiter, den Indien Transfer, die geltenden SCC, die Aufbewahrung der Verläufe und einen Link zum Stellen einer Löschanfrage. Aktualisieren Sie die Richtlinie bei jeder Änderung der Engati Subprozessor Liste oder der Standard Speicherfristen.

DSGVO-konform werden — FlowConsent kostenlos testen

mobileCta.note