Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Krible ist eine russische Kundenkommunikationsplattform, die Live-Chat, einen Rückrufbutton und Co-Browsing-Funktionen für Websites bietet. Das 2008 in Moskau gegründete Unternehmen ermöglicht es, in Echtzeit mit Besuchern zu interagieren. Das Widget setzt funktionale und Analyse-Cookies, und personenbezogene Daten werden auf russischen Servern verarbeitet. Für europäische Betreiber ergeben sich daraus erhebliche Fragen zur Konformität mit der DSGVO und der ePrivacy-Richtlinie.
Krible ist eine russische Kundenkommunikationsplattform, die seit 2008 von Moskau aus betrieben wird. Sie stellt Website-Betreibern ein JavaScript-Widget bereit, das Live-Chat, eine Rückrufanfrage-Schaltfläche und Co-Browsing-Werkzeuge kombiniert. Supportmitarbeiter können in Echtzeit mit Besuchern interagieren und sogar deren Browseransicht teilen. Der Dienst positioniert sich als Konkurrent anderer Engagement-Suiten wie LiveChat oder JivoChat und wird vorwiegend von russischsprachigen E-Commerce-Seiten, Banken und Online-Dienstleistern eingesetzt. Sobald das Widget eingebunden ist, stellt der Browser des Besuchers eine Verbindung zu den Krible-Servern her und tauscht Kennungen, Seitenkontext und Chatinhalte aus.
Krible setzt funktionale Cookies für die Chatsitzung, die Besucherkennung und den Status des Rückrufdialogs sowie Analyse-Cookies, die wiederkehrende Besucher, die vor Öffnen des Chats besuchten Seiten und die Verweildauer erfassen. Serverseitig protokolliert Krible IP-Adressen, User-Agent-Strings, eine aus der IP abgeleitete ungefähre Geolokalisierung, vollständige Chatprotokolle, jegliche im Widget eingegebene Kontaktdaten sowie Zeitstempel jeder Interaktion. Co-Browsing überträgt zusätzlich DOM-Schnappschüsse der aktuell besuchten Seite. All dies sind personenbezogene Daten im Sinne von Artikel 4 DSGVO.
Artikel 5 Absatz 3 der ePrivacy-Richtlinie, in allen Mitgliedstaaten des Europäischen Wirtschaftsraums in nationales Recht umgesetzt, verlangt eine vorherige Einwilligung, bevor Cookies gespeichert oder gelesen werden, die für einen vom Nutzer ausdrücklich gewünschten Dienst nicht unbedingt erforderlich sind. Die Analyse- und Besucher-Tracking-Cookies von Krible fallen nicht unter die Ausnahme für unbedingt erforderliche Cookies und dürfen daher erst gesetzt werden, nachdem der Besucher auf einem konformen Consent-Banner auf Akzeptieren geklickt hat. Die Verarbeitung der Chatinhalte und IP-Adressen erfordert zudem eine gültige DSGVO-Rechtsgrundlage und eine transparente Datenschutzinformation, die Krible als Empfänger und Russland als Zielland nennt.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Russland hat nie einen Angemessenheitsbeschluss der Europäischen Kommission erhalten, und das russische Bundesgesetz 152-FZ über personenbezogene Daten bietet kein der DSGVO gleichwertiges Schutzniveau. Russische Behörden verfügen über umfassende Zugriffsbefugnisse auf in Russland verarbeitete Daten, unter anderem nach den sogenannten Jarowaja-Gesetzen, die Betreiber zur Speicherung von Kommunikation und zur Herausgabe an Sicherheitsdienste auf Verlangen verpflichten. Seit dem Schrems-II-Urteil müssen Exporteure, die sich auf Standardvertragsklauseln stützen, eine Übermittlungs-Folgenabschätzung durchführen und ergänzende Maßnahmen ergreifen. Für Russland gehen die meisten europäischen Aufsichtsbehörden davon aus, dass keine realistische Kombination von Maßnahmen ein DSGVO-gleichwertiges Schutzniveau wiederherstellt, sodass nur die ausdrückliche Einwilligung nach Artikel 49 Absatz 1 Buchstabe a als praktische Ausnahme verbleibt, mit allen ihren Einschränkungen.
Der Einsatz von Krible auf einer Website mit europäischem Publikum ohne vorherige Einwilligung ist nicht konform. Der Consent-Banner muss nicht-essenzielle Cookies standardmäßig ablehnen, Krible separat aufführen, Russland als Zielort nennen und das erhöhte Risiko erläutern, damit die Einwilligung tatsächlich informiert erfolgt. Eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO wird dringend empfohlen, da die Kombination aus systematischer Besucherüberwachung, Drittlandtransfer in eine Hochrisikojurisdiktion und potenzieller Erfassung sensibler im Chat eingegebener Inhalte mehrere DSFA-Kriterien der EDSA-Liste erfüllt.
Für die meisten europäischen Anbieter ist die verhältnismäßige Option, Krible durch eine europäische oder selbstgehostete Alternative wie Crisp, Chatwoot oder LiveChat mit EU-Hosting zu ersetzen, wodurch der Drittlandtransfer vollständig entfällt. Wenn Krible bestehen bleiben muss, sollte das Widget hinter einem granularen Consent-Banner liegen, das Skript bis zur Einwilligung blockiert sein, die Rechtsgrundlage im Verzeichnis der Verarbeitungstätigkeiten dokumentiert, eine Übermittlungs-Folgenabschätzung durchgeführt und die Cookie-Richtlinie aktualisiert werden, um Krible, die Datenkategorien und den Transfer nach Russland in klarer Sprache offenzulegen.
Websites using Krible must obtain user consent under GDPR regulations.
DPIA considerations
Vor dem Einsatz von Krible auf einer europäischen Website wird dringend eine Datenschutz-Folgenabschätzung empfohlen. Personenbezogene Daten, einschließlich IP-Adressen, Verhaltensdaten und Chatinhalten, werden nach Russland übertragen, ein Drittland ohne Angemessenheitsbeschluss und mit dokumentierten Zugriffsbefugnissen staatlicher Stellen, die denen im Europäischen Wirtschaftsraum nicht gleichwertig sind. Die DSFA muss die systematische Überwachung, die Kategorien der erhobenen Daten (möglicherweise auch besondere Kategorien, die im Chat geteilt werden), das Fehlen ergänzender technischer Maßnahmen wie Ende-zu-Ende-Verschlüsselung, die realistische Wahrscheinlichkeit eines behördlichen Zugriffs und die strikte Erforderlichkeit gegenüber einer europäischen Lösung adressieren.
Sample consent text
Wir verwenden Krible, einen russischen Live-Chat- und Rückrufdienst, um unser Besucher-Support-Widget bereitzustellen. Krible setzt Cookies auf Ihrem Gerät und überträgt Ihre Daten, darunter Ihre IP-Adresse, Ihre Aktivitäten auf dieser Website und alle über das Widget gesendeten Nachrichten, an Server in Russland. Russland verfügt nicht über einen europäischen Angemessenheitsbeschluss und bietet ein geringeres Schutzniveau als die EU. Mit Klick auf Akzeptieren erteilen Sie Ihre ausdrückliche Einwilligung in diese Übermittlung nach Artikel 49 Absatz 1 Buchstabe a DSGVO.
Third-party domains contacted
krible.comcdn.krible.comapi.krible.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| krible_session | functional | Session | Identifies the current chat session and links incoming messages with the visitor and the support agent. |
| krible_visitor | analytics | 1 year | Persistent visitor identifier used to recognise returning users across pages and visits. |
| krible_state | functional | 30 days | Stores the open or minimised state of the chat widget and the callback dialogue. |
| krible_track | analytics | 6 months | Records page visits, referrers and time on site for the visitor analytics dashboard. |
Krible verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Krible setzt in der Regel ein Sitzungs-Cookie, das die laufende Konversation identifiziert, ein persistentes Besucher-Cookie, das wiederkehrende Nutzer über Besuche hinweg erkennt, ein Status-Cookie, das den geöffneten oder minimierten Zustand des Widgets speichert, und ein Tracking-Cookie für die Besucheranalyse (Seitenaufrufe, Verweildauer). Die genauen Namen können sich zwischen Versionen unterscheiden, aber nur das Chat-Sitzungs-Cookie kommt überhaupt als unbedingt erforderlich in Frage, und auch nur dann, wenn der Besucher den Chat tatsächlich geöffnet hat.
Ja. Da Krible ein Drittanbieter-JavaScript-Widget lädt, das nicht-essenzielle Cookies setzt und IP-Adressen sowie Surfdaten nach Russland überträgt, ist nach Artikel 5 Absatz 3 ePrivacy-Richtlinie und Artikel 6 Absatz 1 Buchstabe a DSGVO eine vorherige, freiwillige, spezifische, informierte und unmissverständliche Einwilligung erforderlich. Das Widget-Skript muss bis zur Zustimmung blockiert sein, und die Ablehnung muss genauso einfach sein wie die Annahme.
Für das Speichern und Auslesen von Cookies ist die Einwilligung die einzig gültige Rechtsgrundlage (Artikel 5 Absatz 3 ePrivacy). Für die zugrunde liegende Verarbeitung personenbezogener Daten (Chatinhalt, IP, Verhaltensdaten) ist die Einwilligung nach Artikel 6 Absatz 1 Buchstabe a DSGVO am tragfähigsten, da das berechtigte Interesse angesichts der mit Russland verbundenen Überwachungsrisiken kaum abzuwägen ist. Die internationale Übermittlung erfordert zusätzlich eine ausdrückliche Einwilligung nach Artikel 49 Absatz 1 Buchstabe a oder eine andere Ausnahme nach Artikel 49.
Krible wird aus Moskau betrieben und nutzt russische Infrastruktur. Besucher-IP-Adressen, Chatinhalte, Rückrufanfragen und Analysedaten werden an Server in Russland übertragen und dort gespeichert. Für Russland besteht kein Angemessenheitsbeschluss der Europäischen Kommission, und das russische Recht gewährt den Sicherheitsdiensten umfassende Zugriffsbefugnisse auf in Russland gespeicherte Daten; jeder Transfer muss daher als Drittlandtransfer in eine Hochrisikojurisdiktion bewertet und dokumentiert werden.
Eine DSFA wird dringend empfohlen und ist in den meisten Fällen verpflichtend. Die Kombination aus systematischer Überwachung von Website-Besuchern, Übermittlung an ein Drittland ohne Angemessenheitsbeschluss und mit sehr hohem Überwachungsrisiko sowie der möglichen Erfassung sensibler im Chat eingegebener Inhalte erfüllt mehrere Kriterien der EDSA-DSFA-Leitlinien. Die Dokumentation hilft zudem, die Rechenschaftspflicht nach Artikel 5 Absatz 2 DSGVO nachzuweisen.
Blockieren Sie das Krible-Skript in Ihrem Tag-Manager oder CMP, bis eine ausdrückliche Einwilligung vorliegt; führen Sie Krible als eigenen Anbieter mit Russland als Zielort auf; konfigurieren Sie ein granulares Consent-Banner, in dem Ablehnen genauso sichtbar ist wie Akzeptieren; führen Sie eine Übermittlungs-Folgenabschätzung und eine DSFA durch; schließen Sie einen schriftlichen Auftragsverarbeitungsvertrag nach Artikel 28 DSGVO ab; und aktualisieren Sie Ihre Datenschutz- und Cookie-Richtlinien mit Datenkategorien, Speicherfristen und Hinweisen zu Übermittlungen.
Europäische oder in der EU gehostete Live-Chat-Lösungen wie Crisp (Frankreich), Chatwoot (selbst gehostet, französischer Ursprung), LiveChat mit EU-Servern, Userlike (Deutschland) oder Tidio (Polen) vermeiden das Drittlandtransfer-Problem vollständig. Sie bieten in der Regel vergleichbare Funktionen (Chat, Rückruf, Besucheranalyse, teilweise Co-Browsing), eine einfachere DSGVO-Dokumentation und einen europäischen Standard-Auftragsverarbeitungsvertrag.
Fügen Sie einen eigenen Eintrag für Krible hinzu, der die gesetzten Cookies, Zwecke, Speicherdauer, den Verantwortlichen und das Zielland aufführt. Stellen Sie ausdrücklich klar, dass Daten nach Russland übertragen werden, dass kein Angemessenheitsbeschluss besteht und dass die Einwilligung die Rechtsgrundlage ist. Verlinken Sie die Datenschutzerklärung von Krible, geben Sie das Datum der letzten Überprüfung an und bieten Sie eine einfache Möglichkeit zum Widerruf über das CMP. Holen Sie die Einwilligung nach wesentlichen Änderungen erneut ein.