Tidio ist eines der beliebtesten Live-Chat-Plugins für WordPress – und bringt aus Datenschutzsicht einiges mit sich. Das Widget lädt beim Seitenaufruf Skripte von einem US-amerikanischen Server, Besucherdaten fließen in die USA, und du brauchst sowohl einen Eintrag in der Datenschutzerklärung als auch einen Vertrag mit Tidio. Was genau anfällt und was du konkret tun musst, erklärt dieser Artikel.
Überblick
Was ist Tidio?
Tidio ist ein Live-Chat- und Chatbot-Dienst, den du als Plugin in WordPress einbindest. Sobald das Plugin aktiv ist, erscheint auf deiner Website ein Chat-Widget, über das Besucher dir Nachrichten schicken können. Tidio bietet außerdem einen KI-gestützten Chatbot, der Fragen automatisch beantwortet.
Tidio – DSGVO-Risiko
| Kriterium | Risiko | Einschätzung |
|---|---|---|
| Cookies | 🟢 | Tidio setzt keine klassischen Cookies – Widget-Daten werden im Browser-Speicher abgelegt, nicht als Cookie. |
| Externe Verbindungen | 🔴 | Das Widget lädt vollständig von code.tidio.co – Skripte, Schriften und Sounds kommen von einem externen US-Server. |
| Datenschutzerklärung | 🔴 | Tidio muss in der Datenschutzerklärung genannt werden. |
| Drittlandtransfer | 🔴 | Besucherdaten werden in die USA übertragen – Tidio LLC hat seinen Sitz in San Francisco. |
| Auftragsverarbeitung | 🔴 | Tidio verarbeitet Besucherdaten in deinem Auftrag – ein Vertrag mit Tidio ist Pflicht. |
| Benutzereingaben | 🔴 | Besucher können Namen, E-Mail und Chatnachrichten eingeben – alle Angaben landen bei Tidio. |
Datenverarbeitung
Welche Daten verarbeitet Tidio von deinen Website-Besuchern?
Tidio wird aktiv, sobald jemand eine Seite auf deiner Website aufruft, auf der das Chat-Widget eingebunden ist. In diesem Moment baut der Browser deines Besuchers eine direkte Verbindung zu Tidio-Servern auf und lädt von dort das gesamte Widget – Programmcode, Schriftarten und Sounds. Dabei übermittelt der Browser automatisch die IP-Adresse des Besuchers und Browser-Informationen an Tidio.
Entscheidet sich ein Besucher, den Chat zu öffnen und etwas zu schreiben, kommen weitere Daten dazu: Name und E-Mail-Adresse aus dem Vorgespräch sowie der gesamte Chat-Inhalt. Alle diese Angaben werden auf Tidio-Servern gespeichert. Da Tidio eine US-amerikanische Firma ist, fließen diese Daten in die USA.
Tidio speichert den Zustand des Widgets nicht als Cookie, sondern im Browser-Speicher deines Besuchers (zum Beispiel ob der Chat schon geöffnet wurde). Das ändert aber nichts daran, dass die Verbindung zu Tidio-Servern beim Laden der Seite stattfindet – unabhängig davon, ob der Besucher den Chat überhaupt anklickt.
Cookies
Setzt Tidio Cookies auf meiner Website?
Tidio setzt keine klassischen Cookies im Browser deiner Besucher. Widget-Daten wie den Öffnungszustand des Chats speichert Tidio stattdessen im Browser-Speicher (localStorage) – das sind Einträge wie tidio_state_*, tidio_*_visitorData oder tidio_*_tidioChatLog. Dieser Mechanismus funktioniert technisch anders als Cookies, hat aber eine ähnliche Wirkung: Informationen bleiben im Browser des Besuchers gespeichert.
Da es sich nicht um Cookies handelt, brauchst du deinen Cookie-Banner dafür nicht anzupassen. Die externe Verbindung zu Tidio-Servern, die beim Laden der Seite entsteht, muss dein Cookie-Banner aber trotzdem behandeln – mehr dazu weiter unten.
Externe Verbindungen
Baut Tidio externe Verbindungen auf – und was muss ich dagegen tun?
Tidio lädt sein gesamtes Chat-Widget von der Domain code.tidio.co. Das passiert automatisch beim Laden der Seite, auf der das Widget eingebunden ist – noch bevor ein Besucher den Chat auch nur anschaut. Geladen werden der Programmcode des Widgets, Webschriften (Inter und Mulish) sowie Benachrichtigungstöne. Dabei wird die IP-Adresse des Besuchers an Tidio-Server in den USA übermittelt.
Das Widget ist eine funktionale Einbindung: Es lädt von einem externen Anbieter und kann nicht lokal betrieben werden. Dein Cookie-Banner muss das Tidio-Widget blockieren, bis der Besucher eingewilligt hat. Das bedeutet: Das Skript von code.tidio.co darf erst dann geladen werden, wenn jemand auf deiner Website dem Laden von Tidio zugestimmt hat.
Tidio auf deiner Website? DSGVO-Check in 60 Sekunden.
Gib deine Domain ein und sieh sofort, was los ist.
Benutzereingaben
Was passiert mit Daten, die Besucher im Chat eingeben?
Öffnet ein Besucher das Tidio-Chat-Widget und füllt das Vorgespräch aus, gibt er dabei in der Regel folgende Daten ein:
- Name
- E-Mail-Adresse
- Chatnachrichten und Anfragen
Alle diese Angaben werden direkt an Tidio übertragen und dort gespeichert. Du als Website-Betreiber kannst die Gespräche in deinem Tidio-Dashboard einsehen. Zusätzlich erfasst Tidio beim Laden des Widgets automatisch die IP-Adresse und Browser-Informationen des Besuchers.
Drittlandtransfer
Werden Daten meiner Besucher in die USA übertragen?
Tidio überträgt Besucherdaten in die USA. Tidio LLC, das Unternehmen hinter dem Dienst, hat seinen Sitz in San Francisco, Kalifornien. Beim Laden des Widgets wird die IP-Adresse des Besuchers an Tidio-Server übermittelt. Gibt jemand im Chat Daten ein, landen diese ebenfalls bei Tidio in den USA.
Tidio hat mit der EU vereinbart, dass diese Übertragungen unter bestimmten Bedingungen erlaubt sind – das Unternehmen ist im EU-US-Datenschutzrahmen eingetragen und nutzt entsprechende Vertragsregelungen. Du musst den Datentransfer trotzdem in deiner Datenschutzerklärung erwähnen.
Auftragsverarbeitung
Muss ich einen Vertrag mit Tidio abschließen?
Tidio verarbeitet Daten deiner Website-Besucher in deinem Auftrag – du bist also dafür verantwortlich, dass das rechtlich sauber geregelt ist. Dafür brauchst du einen Auftragsverarbeitungsvertrag mit Tidio.
So schließt du ihn ab: Schick eine E-Mail an privacy@tidio.net mit dem Betreff „DPA“. Tidio schickt dir dann ein elektronisches Dokument zum Unterschreiben. Alternativ gilt der Vertrag laut Tidio als abgeschlossen, wenn du die Nutzungsbedingungen akzeptierst – das Dokument findest du unter tidio.com. Bewahre eine Kopie auf.
Datenschutzerklärung
Was muss ich wegen Tidio in meine Datenschutzerklärung schreiben?
Tidio muss in deiner Datenschutzerklärung namentlich genannt werden. Folgende Punkte gehören hinein:
- Zweck: Live-Chat und Kundenkommunikation auf der Website
- Rechtsgrundlage: Einwilligung des Besuchers
- Empfänger: Tidio LLC, San Francisco, USA
- Drittlandtransfer: Übermittlung in die USA auf Basis des EU-US-Datenschutzrahmens und vertraglicher Regelungen
- Gespeicherte Daten: IP-Adresse, Browser-Informationen, Name, E-Mail-Adresse und Chat-Inhalte (sofern eingegeben)
- Speicherdauer: Bis zur Löschung des Tidio-Kontos oder auf Anfrage
Textvorschlag für deine Datenschutzerklärung
Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.
Tidio – Live-Chat
Auf dieser Website ist das Live-Chat-Plugin Tidio eingebunden, angeboten von Tidio LLC, 1301 Sansome Street, San Francisco, CA 94111, USA. Sobald eine Seite mit dem Chat-Widget aufgerufen wird, baut dein Browser eine Verbindung zu Servern von Tidio auf. Dabei werden deine IP-Adresse und Browser-Informationen an Tidio übermittelt.
Wenn du den Chat öffnest und Angaben machst, werden dein Name, deine E-Mail-Adresse und deine Chatnachrichten ebenfalls an Tidio übertragen und dort gespeichert. Die Daten werden in die USA übertragen. Tidio LLC nimmt am EU-US-Datenschutzrahmen teil und hat vertragliche Regelungen mit der EU getroffen, die diese Übermittlung absichern.
Rechtsgrundlage für die Verarbeitung ist deine Einwilligung. Du kannst deine Einwilligung jederzeit widerrufen, indem du den entsprechenden Eintrag in deinen Cookie-Einstellungen deaktivierst. Weitere Informationen findest du in der Datenschutzerklärung von Tidio unter https://www.tidio.com/privacy-policy/.
Drittanbieter
Mit welchen Diensten lässt sich Tidio verbinden?
Tidio lässt sich mit einer Reihe externer Dienste verbinden – alle Verbindungen sind optional und werden von dir im Tidio-Dashboard aktiviert.
Im Bereich E-Mail-Marketing und CRM kannst du Tidio mit Mailchimp, MailerLite, Brevo, Klaviyo, ActiveCampaign, Omnisend, HubSpot, Salesforce, Zoho CRM, Agile CRM, Zendesk Sell und Pipedrive verknüpfen. Über diese Verbindungen werden Kontaktdaten aus dem Chat automatisch in die jeweiligen Dienste übertragen.
Im Bereich soziale Kanäle kannst du Facebook Messenger, Instagram und WhatsApp einbinden, sodass Nachrichten aus diesen Kanälen direkt im Tidio-Postfach landen. Außerdem lässt sich Tidio mit Google Analytics (GA4), Google Tag Manager und Zapier verbinden. Jeder dieser Dienste hat eigene Datenschutzpflichten und braucht einen separaten Eintrag in deiner Datenschutzerklärung, sobald du ihn aktivierst.
Alternative
Gibt es eine datenschutzfreundlichere Alternative zu Tidio?
Lime Connect (bis September 2025 unter dem Namen Userlike bekannt) ist eine echte datenschutzfreundlichere Alternative. Das Unternehmen hat seinen Sitz in Köln und speichert alle Daten auf Servern in Deutschland – ein Datentransfer in die USA findet nicht statt.
Das WordPress-Plugin ist kostenlos und aktiv gepflegt. Der Free Plan enthält unbegrenzte Chats mit einem Bearbeiter und ein Widget – ausreichend für kleinere Websites. Zum Abschluss eines Auftragsverarbeitungsvertrags reicht die Registrierung, er ist Bestandteil der Nutzungsbedingungen.
Fehler
Diese Fehler passieren mit Tidio am häufigsten
Der häufigste Fehler: Das Tidio-Widget lädt auf der Website, ohne dass der Cookie-Banner es blockiert. Das Widget verbindet sich beim Seitenaufruf sofort mit Tidio-Servern in den USA – wenn dein Cookie-Banner das nicht verhindert, passiert das für jeden Besucher ohne Einwilligung. Prüfe in den Einstellungen deines Cookie-Banners, ob Tidio als eigene Kategorie eingetragen ist und ob das Skript von code.tidio.co wirklich erst nach Zustimmung geladen wird.
Ein weiterer verbreiteter Fehler ist ein fehlender oder unvollständiger Datenschutzerklärungseintrag. Viele Website-Betreiber haben Tidio aktiviert, aber keinen Abschnitt dazu in der Datenschutzerklärung. Besonders der Hinweis auf den Datentransfer in die USA und der Name des Empfängers (Tidio LLC) fehlen dabei oft.
Außerdem vergessen viele den Vertrag mit Tidio. Tidio verarbeitet Chat-Daten deiner Besucher in deinem Auftrag – ohne einen abgeschlossenen Auftragsverarbeitungsvertrag fehlt dir ein wichtiges Dokument, das du bei einer Datenschutzprüfung vorlegen müsstest.
DSGVO-Check
So erkennst du auf deiner Website, ob Tidio aktiv ist
Du kannst direkt im Browser prüfen, ob Tidio auf deiner Website läuft. Öffne deine Website in einem Browser, rufe die Entwicklertools auf (in Chrome oder Firefox mit der Taste F12) und wechsle zum Tab „Netzwerk“. Lade die Seite neu und suche in der Liste der Anfragen nach der Domain code.tidio.co. Wenn du dort Einträge siehst, lädt deine Website aktiv Daten von Tidio – unabhängig davon, ob jemand den Chat öffnet.
Wenn du einen Datenschutz-Scan über datenrein.de laufen lässt, erkennt der Scan ebenfalls Verbindungen zu code.tidio.co und zeigt dir, ob Tidio auf deiner Website aktiv ist und ob dein Cookie-Banner es korrekt blockiert.
Quellen und weiterführende Links
- WordPress.org – Tidio Live Chat Plugin-Seite
- Tidio – offizielle Hilfe und Dokumentation
- Tidio – Datenschutzerklärung
- Tidio – FAQ inkl. Angaben zu AVV und Datenspeicherung
- Tidio – Auftragsverarbeitungsvertrag (PDF)
Dein DSGVO-Ergebnis in 60 Sekunden?
Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.