Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Smartsupp ist eine tschechische Live-Chat- und KI-Chatbot-Plattform, gegruendet 2013 in Bruenn, und wird von ueber 100.000 KMU in Europa genutzt. Sie bietet ein Chat-Widget, Besucher-Aufzeichnungen und KI-Shopping-Assistenten fuer E-Commerce-Sites. Alle Chat-Daten werden in der EU gehostet. Tracking- und Chat-Cookies erfordern eine Einwilligung der Nutzer nach DSGVO und ePrivacy-Richtlinie.
Smartsupp ist eine tschechische Live-Chat- und Customer-Engagement-Plattform, gegruendet 2013 in Bruenn. Sie vereint ein Echtzeit-Chat-Widget, Besucher-Video-Aufzeichnungen, einen KI-Shopping-Assistenten (Mira) und die Facebook-Messenger-Integration in einem Produkt, das primaer fuer E-Commerce und KMU-Websites entwickelt wurde.
Das Widget wird per kleinem JavaScript-Snippet von www.smartsuppchat.com geladen. Nach Initialisierung setzt es First-Party-Cookies, oeffnet einen Websocket zu Smartsupp-Servern in Tschechien und startet bei Aktivierung die Aufzeichnung der Besucherinteraktionen auf der Seite.
Smartsupp verarbeitet die IP-Adresse, den Browser-User-Agent, die aktuelle URL, den Referrer, die persistente Besucher-ID (Cookie ssupp.vid), Sitzungszaehler (ssupp.visits), eine grobe IP-Geolokalisierung (Cookie ssupp.geoip), den vollstaendigen Nachrichteninhalt und freiwillig angegebene Kontaktdaten.
Bei aktivierter Sitzungs-Aufzeichnung erfasst Smartsupp zusaetzlich Mausbewegungen, Klicks, Scrollen und Formularinteraktionen, rekonstruiert als abspielbares Video. Diese Funktion birgt hohes Risiko: ohne explizite Maskierung sensibler Felder koennen Zahlungsdaten, Passwoerter, Gesundheitsdaten oder andere besondere Datenkategorien in der Aufzeichnung landen.
Die wichtigsten First-Party-Cookies sind ssupp.vid (Besucher-ID, 1 Jahr), ssupp.visits (Sitzungszaehler, 1 Jahr), ssupp.geoip (IP-Geolokalisierung, 1 Jahr), ssupp.chatid (aktiver Chat, Session) und ssupp.utid (Nutzer-Tracking-ID, 1 Jahr). Im localStorage werden zusaetzlich Transkripte und Konfiguration zwischengespeichert.
Diese Cookies sind fuer die Bereitstellung der Website selbst nicht unbedingt erforderlich, fallen also unter Art. 5(3) ePrivacy und §25 TTDSG: vor dem Setzen ist eine vorherige informierte Einwilligung noetig.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Smartsupp s.r.o. agiert als Auftragsverarbeiter nach Art. 28 DSGVO fuer Chat-Inhalte und Aufzeichnungen. Ein unterzeichneter AV-Vertrag ist verpflichtend, die Beziehung muss im Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) eingetragen werden. Smartsupp speichert Chat-Daten in der EU (Tschechien) und vermarktet diese Datenresidenz aktiv als Differenzierung gegenueber US-Wettbewerbern.
Fuer statische Widget-Assets nutzt Smartsupp Cloudflare als CDN, dessen weltweite Edge-Knoten passiert werden koennen. Dies betrifft in der Regel keine personenbezogenen Chat-Inhalte, sollte aber in der Transfer-Bewertung erwaehnt werden. KI-Funktionen stuetzen sich auf externe LLM-Backends und koennen zusaetzliche Uebermittlungen aus loesen, die gesondert zu bewerten sind.
Da das Widget beim Laden nicht notwendige Cookies setzt, ist es empfehlenswert, das smartsuppchat.com-Skript hinter eine Consent-Management-Plattform zu legen: erst nach Zustimmung zu Funktional- und Analytik-Kategorien injizieren. Ist die Video-Aufzeichnung aktiv, sollte sie als separate Analytik- oder Marketing-Einwilligung praesentiert werden.
Das Click-to-Open-Muster eignet sich fuer Smartsupp weniger, da die Aufzeichnungsfunktion zur Auswertung bereits beim Seitenaufruf aktiv sein muss.
Schliessen Sie den AV-Vertrag mit Smartsupp. Fuehren Sie Smartsupp s.r.o. im Verzeichnis von Verarbeitungstaetigkeiten als Auftragsverarbeiter. Konfigurieren Sie die Aufzeichnungs-Maskierung fuer alle Eingabefelder und Elemente mit sensiblen Daten (CSS-Klassen data-sensitive oder data-smartsupp-ignore). Verzoegern Sie das Skript bis zur Einwilligung. Dokumentieren Sie die Rechtsgrundlage fuer Chat-Inhalte (Vertrag fuer Support, berechtigtes Interesse fuer Vertrieb).
Bei Einsatz von Mira AI: pruefen Sie die Lokalisation des LLM-Anbieters, dokumentieren Sie diesen als Unterauftragsverarbeiter und klaeren Sie, ob Ihre Aufsichtsbehoerde (BfDI, CNIL, AEPD, Garante) dies als Hochrisikoverarbeitung mit DSFA-Pflicht einstuft.
Websites using Smartsupp must obtain user consent under GDPR regulations.
DPIA considerations
Smartsupp kombiniert ein Chat-Widget mit Sitzungs-Aufzeichnung (Besucher-Videos) und KI-Assistenten. Wesentliche DSFA-Aspekte: (1) die optionalen Video-Aufzeichnungen reproduzieren Mausbewegungen, Scrollen, Klicks und Formulareingaben und koennen personenbezogene oder besondere Daten erfassen, wenn Felder nicht maskiert sind; (2) der Cookie ssupp.vid ist eine persistente Besucher-ID (typischerweise 1 Jahr) und stellt zusammen mit der IP-Adresse personenbezogene Daten dar, die langfristiges sitzungsuebergreifendes Tracking ermoeglichen; (3) der EU-Standort Tschechien reduziert das Uebermittlungsrisiko, jedoch koennen Cloudflare-CDN-Edge-Knoten Metadaten in Drittlaendern verarbeiten; (4) KI-Assistenz-Features koennen Chat-Inhalte an externe NLP-Backends weitergeben, was hinsichtlich Unterauftragsverarbeiter-Standort und Art. 22 DSGVO zu bewerten ist; (5) Smartsupp agiert als Auftragsverarbeiter nach Art. 28 DSGVO, ein unterzeichneter AV-Vertrag ist erforderlich.
Sample consent text
Wir nutzen Smartsupp, um auf unserer Website Live-Chat und Besucher-Analytik anzubieten. Wenn Sie zustimmen, setzt Smartsupp First-Party-Cookies, um Ihre Chat-Sitzung zu verwalten, wiederkehrende Besucher zu erkennen und optional Ihre Interaktionen mit der Seite (Mausbewegungen, Klicks, Scrollen) aufzuzeichnen. Chat-Daten werden in der Europaeischen Union gespeichert. Sie koennen diese Cookies ablehnen und uns weiterhin ueber das Kontaktformular schreiben.
Third-party domains contacted
smartsupp.comwww.smartsuppchat.comwidget-files.smartsuppcdn.comapi.smartsupp.comrecordings.smartsupp.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| ssupp.vid | Functional / Analytics | 1 year | Persistent visitor identifier. Used to recognise returning visitors and link new sessions to historical chat conversations and recordings. |
| ssupp.visits | Analytics | 1 year | Counts the number of visits and pages viewed by the same visitor across sessions. |
| ssupp.geoip | Functional | 1 year | Stores an approximate location derived from the visitor IP address. Used to route conversations to the right operator and apply localised greetings. |
| ssupp.chatid | Functional | Session | Identifier of the active chat conversation. Used to reconnect the visitor to the same chat thread across page reloads. |
| ssupp.utid | Analytics | 1 year | User tracking identifier used to link visitor recordings to the corresponding chat conversation. |
Smartsupp verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Smartsupp schreibt First-Party-Cookies auf Ihrer Domain: ssupp.vid (persistente Besucher-ID, 1 Jahr), ssupp.visits (Besucherzaehler, 1 Jahr), ssupp.geoip (grobe Geolokalisierung, 1 Jahr), ssupp.chatid (aktive Chat-Sitzung) und ssupp.utid (Nutzer-Tracking-ID, 1 Jahr). Zusaetzlich werden mehrere localStorage-Eintraege fuer Transkripte und Widget-Konfiguration angelegt.
Ja. Die beim Laden gesetzten Cookies sind nicht unbedingt erforderlich, daher verlangen Art. 5(3) ePrivacy und §25 TTDSG eine vorherige informierte Einwilligung. Das Skript darf erst nach Einwilligung in die passende Kategorie (typischerweise Funktional oder Analytik) injiziert werden. Bei aktivierter Video-Aufzeichnung ist diese als separater Einwilligungszweck zu behandeln.
Die Verarbeitung von Chat-Nachrichten stuetzt sich typischerweise auf Vertragserfuellung (Art. 6(1)(b) DSGVO) bei Support-Anfragen oder berechtigtes Interesse (Art. 6(1)(f) DSGVO) bei Vertriebs-Chat, jeweils mit dokumentierter Interessenabwaegung. Die Besucher-Aufzeichnung ist ein eigenstaendiger Vorgang, der wegen des breiten Datenerfassungsumfangs meist eine ausdrueckliche Einwilligung erfordert.
Nein, Chat-Daten werden in der EU (Tschechien) gespeichert. Smartsupp wirbt aktiv mit der EU-Residenz. Allerdings werden Widget-Assets ueber das Cloudflare CDN ausgeliefert, das weltweit verteilte Edge-Knoten verwendet; dies beschraenkt sich in der Regel auf statisches Asset-Routing. KI-Funktionen (Mira) stuetzen sich auf LLM-Backends, die ausserhalb der EU liegen koennen und separat zu bewerten sind.
Eine DSFA ist in der Regel erforderlich, wenn die Video-Aufzeichnung aktiviert ist, da die EDPB systematische Ueberwachung und innovative Technologien als Hochrisikokriterien einstuft (WP248). Fuer reine Chat-Deployments ohne Aufzeichnung ist eine vollstaendige DSFA nicht zwingend, eine Risikobewertung bleibt jedoch sinnvoll.
Schliessen Sie den AV-Vertrag mit der Smartsupp s.r.o. Tragen Sie ihn als Auftragsverarbeiter in Ihr Verzeichnis von Verarbeitungstaetigkeiten ein. Konfigurieren Sie das Aufzeichnungs-Masking fuer alle sensiblen Felder (data-smartsupp-ignore oder Eingabe-Maskierungsregeln). Laden Sie das Skript erst nach Einwilligung. Dokumentieren Sie alle Unterauftragsverarbeiter. Listen Sie die Cookies in Ihrer Cookie-Erklaerung mit Name, Laufzeit, Zweck und Herkunft.
EU-Alternativen: Userlike (Deutschland), Crisp (Frankreich), LiveChat (Polen), Tidio (Polen), Chatwoot (Open Source). US-Anbieter mit EU-Hosting-Option: Intercom, HubSpot Chat, Zendesk Chat. Smartsupps Hauptvorteil ist die integrierte Besucher-Aufzeichnung in Kombination mit dem Mira KI-Assistenten fuer E-Commerce.
Listen Sie jeden Smartsupp-Cookie mit Name (ssupp.vid, ssupp.visits, ssupp.geoip, ssupp.chatid, ssupp.utid), Anbieter (Smartsupp s.r.o., Tschechien), Zweck, Laufzeit und Kategorie (Funktional / Analytik). Weisen Sie ausdruecklich auf die Aufzeichnungsfunktion hin, inklusive maskierter Felder und Aufbewahrungsdauer. Verlinken Sie die Smartsupp-Datenschutzerklaerung.