Nutzt Ihre Website Drittanbieter-Dienste? Werden Sie in wenigen Minuten DSGVO-konform.
FlowConsent testenmobileCta.note
Userlike ist eine deutsche Live-Chat- und Kundenkommunikationsplattform mit Sitz in Koeln, gegruendet 2012. Sie betreibt Chat-Widgets fuer Websites, KI-Bots und Integrationen mit Messaging-Kanaelen (WhatsApp, Facebook Messenger, Telegram) fuer Support und Vertrieb. Alle Chat-Daten werden ausschliesslich auf Userlike-Servern in Frankfurt am Main gehostet. Damit zaehlt Userlike zu den wenigen Enterprise-Live-Chat-Loesungen mit nativer EU-Datenresidenz. Tracking- und Besucher-Identifikations-Cookies erfordern dennoch eine Einwilligung der Nutzer nach DSGVO und ePrivacy-Richtlinie.
Userlike ist eine deutsche Messaging-Plattform, die Live-Chat auf Websites, WhatsApp Business, Facebook Messenger, Telegram, SMS und KI-gestuetzte Chatbots in einem einheitlichen Support-Arbeitsplatz vereint. Mit Sitz in Koeln und aktiv seit 2012 hat sich Userlike einen Namen mit strikter EU-Datenresidenz und DSGVO-Konformitaet gemacht und hostet alle Chat-Daten ausschliesslich auf eigener Infrastruktur in Frankfurt am Main.
Der Dienst wird per kleinem JavaScript-Widget von userlike-cdn.com in die Website geladen. Sobald ein Besucher das Widget oeffnet, wird eine Chat-Sitzung aufgebaut, First-Party-Cookies und localStorage-Eintraege werden geschrieben, um den Besucher seitenuebergreifend zu erkennen, und die Konversationsinhalte werden an das Userlike-Backend uebertragen.
Beim Laden des Widgets setzt Userlike First-Party-Cookies (userlike_session, userlike_visitor sowie mehrere Feature-Flags) und legt entsprechende Eintraege im localStorage des Endgeraets ab. Diese Identifier erlauben es, den Chat-Verlauf ueber Seiten hinweg zu rekonstruieren und bei spaeteren Besuchen wieder zu oeffnen.
Sobald ein Chat startet, verarbeitet Userlike die IP-Adresse (Geolokalisierung, Missbrauchsschutz), den Browser-User-Agent, die aktuelle URL, die Referrer-URL, den vollstaendigen Nachrichteninhalt, Dateianhaenge sowie freiwillig angegebene Kontaktdaten (Name, E-Mail, Telefon). Operator-seitige Metadaten wie Tipp-Indikatoren und Agentenzuordnungen werden ebenfalls gespeichert. Bei aktivierten KI-Bots koennen Nachrichteninhalte zusaetzlich von NLP-Komponenten verarbeitet werden.
Die EU-Datenresidenz ist ein klarer Vorteil: standardmaessig findet keine Drittlanduebermittlung statt, es werden keine Standardvertragsklauseln benoetigt und die Schrems-II-Problematik entfaellt. Damit ist Userlike eine der am einfachsten zu betreibenden Chat-Loesungen in DSGVO-strengen Umgebungen wie Deutschland, Frankreich oder Italien.
Zwei Compliance-Huerden bleiben jedoch. Erstens: Die Cookies und localStorage-Schreibvorgaenge des Widgets erfordern eine informierte Einwilligung nach Art. 5(3) ePrivacy-Richtlinie und §25 TTDSG, auch wenn der Chat innerhalb der EU gehostet wird. Zweitens: Der Chat-Inhalt selbst stellt personenbezogene Daten nach Art. 4 DSGVO dar und benoetigt eine Rechtsgrundlage, typischerweise Vertragserfuellung (Support) oder berechtigtes Interesse (Vertrieb), mit einem unterzeichneten Auftragsverarbeitungsvertrag mit der Userlike GmbH.
Get GDPR compliant in 10 minutes
Free plan available · No credit card required
Ein einfaches konformes Muster ist es, das Widget beim ersten Seitenaufruf in geschlossenem Zustand anzuzeigen (keine Cookies gesetzt, das vollstaendige Skript wird noch nicht eingebunden) und den Chat erst zu initialisieren, wenn der Nutzer aktiv auf Chat oeffnen klickt. Dadurch wird jede Cookie-Schreibung vor Einwilligung vermieden, im Einklang mit den EDPB-Leitlinien 5/2020.
Wird das Widget automatisch geladen, ist eine Integration mit einer Consent-Management-Plattform erforderlich. userlike.js darf erst nach Einwilligung in die passende Kategorie injiziert werden, und der Banner muss Userlike namentlich nennen sowie auf dessen Datenschutzerklaerung verlinken.
Die Plattform speichert keine Daten ausserhalb Deutschlands. Die Userlike GmbH agiert als Auftragsverarbeiter nach Art. 28 DSGVO fuer die Chat-Inhalte, waehrend die IP-Adresse auch durch Userlike als Verantwortlicher fuer Sicherheitszwecke verarbeitet werden kann. Ein unterzeichneter AV-Vertrag ist verpflichtend und muss im Verzeichnis von Verarbeitungstaetigkeiten (Art. 30 DSGVO) gefuehrt werden.
Bei Anbindung an WhatsApp Business oder Facebook Messenger uebernehmen diese Konversationen die Uebermittlungspraxis von Meta und sind separat ueber SCC und das EU US Data Privacy Framework zu bewerten.
Schliessen Sie einen AV-Vertrag mit der Userlike GmbH und dokumentieren Sie die Auftragsverarbeitung. Listen Sie userlike_session und userlike_visitor in Ihrer Cookie-Erklaerung mit Zweck, Laufzeit und Herkunft. Konfigurieren Sie das Widget so, dass es erst nach Einwilligung laedt, oder nutzen Sie das Click-to-Open-Muster, um Cookies vor Nutzerhandlung zu vermeiden. Aktivieren Sie die IP-Anonymisierung, sofern verfuegbar.
Fuer KI-Bot-Einsaetze ist eine zusaetzliche Risikobewertung erforderlich: Die automatisierte Verarbeitung von Nachrichteninhalten kann unter Art. 22 DSGVO fallen und insbesondere in regulierten Branchen wie Gesundheit oder Finanzen eine DSFA-Pflicht nach Art. 35 DSGVO ausloesen.
Websites using Userlike must obtain user consent under GDPR regulations.
DPIA considerations
Userlike verarbeitet IP-Adressen, Browser-Fingerprints (User Agent, Sprache, Bildschirmaufloesung), den gesamten Inhalt von Chat-Nachrichten und alle freiwillig angegebenen Kontaktdaten. Wesentliche DSFA-Aspekte: (1) die ausschliessliche EU-Datenresidenz in Frankfurt reduziert das Uebermittlungsrisiko erheblich, fuer den Kernservice sind keine SCC erforderlich; (2) persistente Besucher-IDs in userlike_visitor ermoeglichen eine sitzungsuebergreifende Wiedererkennung; (3) Chat-Inhalte koennen besondere Datenkategorien nach Art. 9 DSGVO enthalten (Gesundheitsdaten, politische Meinungen), was eine zusaetzliche ausdrueckliche Einwilligung oder eine andere Rechtsgrundlage nach Art. 9(2) erfordert; (4) KI-Bot-Funktionen koennen automatisierte Entscheidungen nach Art. 22 DSGVO ausloesen, sofern rechtliche oder erheblich beeintraechtigende Wirkungen erzeugt werden; (5) Drittanbieter-Integrationen (Slack, Salesforce, WhatsApp Business) fuehren Drittlandtransfers wieder ein und sind gesondert zu bewerten; (6) die Verarbeitung von Agentenproduktivitaetskennzahlen kann mitbestimmungspflichtige Beschaeftigtendaten nach BetrVG betreffen.
Sample consent text
Wir nutzen Userlike, um auf unserer Website Live-Chat und Kundenkommunikation anzubieten. Wenn Sie den Chat oeffnen, setzt Userlike funktionale und analytische Cookies auf Ihrem Geraet, um Ihre Sitzung zu verwalten und Sie ueber Seiten hinweg zu erkennen. Alle Chat-Daten werden auf Userlike-Servern in Deutschland gespeichert. Sie koennen nicht notwendige Cookies ablehnen und uns weiterhin einmalig ueber das Kontaktformular schreiben.
Third-party domains contacted
userlike.comuserlike-cdn.comwidget.userlike.comapi.userlike.commedia.userlike-cdn.comCookies placed
| Name | Type | Duration | Purpose |
|---|---|---|---|
| userlike_session | Functional | Session | Maintains the active chat session between page reloads. Deleted when the browser is closed. |
| userlike_visitor | Functional / Analytics | 1 year | Persistent visitor identifier. Used to recognise returning visitors so that prior chat conversations can be reopened and operator history is preserved. |
| _ulkAuth | Functional | Session | Authentication token issued to logged in operators when using the agent console. Not set on regular visitor browsers. |
| userlike_widget_state | Functional | 30 days | Stores whether the chat widget was opened, minimised, or closed on previous visits to keep the user interface consistent. |
| userlike_locale | Functional | 1 year | Stores the preferred chat language so the widget displays in the same language on subsequent visits. |
Userlike verwendet Cookies für Nutzereinstellungen — informieren Sie Besucher mit einem Cookie-Banner.
Userlike setzt First-Party-Cookies auf Ihrer eigenen Domain, vor allem userlike_session (Chat-Sitzung, gelöscht beim Schliessen des Browsers) und userlike_visitor (persistente Besucher-ID, typischerweise 1 Jahr). Zusaetzlich koennen mehrere Widget-Status-Flags und ein Authentifizierungs-Token fuer Agenten (_ulkAuth) geschrieben werden. Der Chat-Verlauf selbst wird im localStorage zwischengespeichert, nicht in Cookies.
Ja, fuer das automatisch geladene Widget. Die von userlike.js gesetzten Cookies und localStorage-Eintraege sind nach §25 TTDSG und Art. 5(3) ePrivacy nicht unbedingt erforderlich, eine vorherige informierte Einwilligung ist daher noetig. Eine einwilligungsfreie Alternative ist, das Widget geschlossen zu halten, bis der Nutzer auf Chat oeffnen klickt, womit alle Cookie-Schreibvorgaenge auf diese explizite Aktion verschoben werden.
Bei Support-Anfragen ist Vertragserfuellung nach Art. 6(1)(b) DSGVO die passendste Grundlage, da der Besucher eine Anfrage im Rahmen einer (vor)vertraglichen Beziehung stellt. Fuer Vertriebs- oder Marketing-Chat wird typischerweise berechtigtes Interesse nach Art. 6(1)(f) DSGVO herangezogen, mit dokumentierter Interessenabwaegung. Die Cookies zum Laden des Widgets bleiben unabhaengig davon einwilligungspflichtig.
Standardmaessig nein. Userlike hostet alle Chat-Daten auf eigenen Servern in Frankfurt am Main und nutzt fuer den Kernservice keine US-Unterauftragsverarbeiter. Die Schrems-II-Problematik entfaellt fuer die Plattform. Uebermittlungen finden nur statt, wenn Sie optionale Integrationen mit Slack, Salesforce, HubSpot oder WhatsApp Business von Meta aktivieren, die dann separat ueber SCC oder das EU US Data Privacy Framework bewertet werden muessen.
Eine vollstaendige DSFA ist fuer Standard-Support-Chat-Deployments aufgrund der EU-Datenresidenz und des begrenzten Verarbeitungsumfangs in der Regel nicht zwingend. Sie wird hingegen wahrscheinlich, wenn Chat-Inhalte regelmaessig besondere Kategorien nach Art. 9 DSGVO enthalten (Gesundheit, Biometrie, Religion), wenn KI-Bots automatisierte Entscheidungen mit rechtlicher Wirkung nach Art. 22 DSGVO treffen oder wenn der Chat in sensiblen Kontexten genutzt wird (Kinder, psychische Gesundheit).
Schliessen Sie den AV-Vertrag mit der Userlike GmbH, fuehren Sie das Verzeichnis von Verarbeitungstaetigkeiten, deklarieren Sie die Cookies in Ihrer Cookie-Erklaerung, laden Sie das Widget-Skript erst nach Einwilligung (oder nutzen Sie das Click-to-Open-Muster) und beschreiben Sie in der Datenschutzerklaerung Zwecke, Speicherdauer und Empfaenger (Userlike GmbH in Deutschland). Nicht zum Chat gehoerige Funktionen (Analytik, Umfragen) sollten deaktiviert oder hinter eine separate Einwilligung gestellt werden.
EU-basiert: Chatwoot (Open Source, self-hostbar), Crisp (Frankreich), LiveChat (Polen), Smartsupp (Tschechien), Tidio (Polen). US-Anbieter mit optionalem EU-Hosting: Intercom, HubSpot, Zendesk Chat, Drift. Self-Hosting: Rocket.Chat, Chaskiq. Userlikes Hauptvorteil bleibt das native Hosting in Deutschland in Kombination mit Omnichannel und KI-Bots.
Listen Sie jeden Cookie bzw. Speicher-Eintrag mit Name (userlike_session, userlike_visitor), Anbieter (Userlike GmbH, Deutschland), Zweck (Sitzung halten, wiederkehrende Besucher erkennen), Laufzeit (Session, 1 Jahr) und Kategorie (funktional oder analytisch je nach Konfiguration). Fuegen Sie Userlike als Auftragsverarbeiter in Ihrer Datenschutzerklaerung mit Link zu dessen Auftragsverarbeitungsbedingungen ein und weisen Sie darauf hin, dass in Standardkonfiguration keine Uebermittlung ausserhalb der EU stattfindet.