Kostenlos beraten
Intercom DSGVO-Compliance und AVV-Pruefung fuer Unternehmen in Deutschland
tools

Intercom DSGVO: Hat Intercom einen Auftragsverarbeitungsvertrag (AVV)?

Hat Intercom einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Intercom bietet einen AVV fuer Unternehmenskunden. Deutsche Unternehmen muessen pruefen, ob der AVV Fin-AI-Datenfluesse, die Subprozessorenkette, EU-Datenspeicherung und Transparenzpflichten nach Art. 50 EU-KI-Verordnung abdeckt.

  • Intercom stellt einen AVV mit SCCs bereit — Subprozessoren, KI-Datenfluesse und Retention-Einstellungen muessen trotzdem konkret geprueft werden.
  • Der Fin AI Agent begruendet Transparenzpflichten nach Art. 50 EU-KI-Verordnung: Nutzer muessen informiert werden, wenn sie mit einem KI-System interagieren.
  • Deutsche Deployments mit Mitarbeiterbezug loesen Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG aus.

Intercom DSGVO-Fragen kommen regelmaessig von IT-Verantwortlichen, Rechtsabteilungen und Compliance-Teams, die eine konkrete Antwort benoetigen: Hat Intercom einen Auftragsverarbeitungsvertrag, und deckt dieser auch Fin AI ab? Stand 8. April 2026 lautet die Antwort ja — Intercom stellt fuer Unternehmenskunden mit entsprechenden Tarifen einen Auftragsverarbeitungsvertrag (AVV) bereit. Der AVV verweist auf Standard-Vertragsklauseln (SCCs) fuer internationale Transfers und regelt Intercoms Rolle als Auftragsverarbeiter gemaess Art. 28 DSGVO. Das ist ein notwendiger Ausgangspunkt — aber kein hinreichender. Ob der konkrete Intercom-Einsatz rechtskonform ist, haengt davon ab, welche Produkte aktiviert werden, welche Kundendaten einfliessen und ob Vertrag und Konfiguration die tatsaechlichen Datenfluesse vollstaendig abdecken.

Kurze Einschaetzung

Ja, Intercom hat einen AVV — aber den Umfang vor dem Rollout pruefen.

  • Sicherstellen, dass der AVV den Fin AI Agent und andere aktivierte KI-Features abdeckt, nicht nur den Basis-Chat.
  • Subprozessorenliste, Transfermechanismus und Umfang der EU-Datenspeicherung klaeren.
  • Art. 50 EU-KI-Verordnung: Transparenzhinweise einplanen, wenn Fin AI eingehende Kundenanfragen bearbeitet.

Diese Seite enthaelt allgemeine Informationen und ist keine rechtliche Beratung fuer einen konkreten Einsatz. Wer KI-gestuetzte Kundenservice-Plattformen fuer Deutschland vergleicht, sollte auch unsere Leitfaeden zu KI-Kundenservice, Zendesk und HubSpot lesen.

Hat Intercom einen Auftragsverarbeitungsvertrag (AVV)?

Ja. Intercom stellt fuer Unternehmenskunden, die personenbezogene Daten ueber die Plattform verarbeiten, einen Auftragsverarbeitungsvertrag (AVV) bereit. Der AVV regelt Intercoms Rolle als Auftragsverarbeiter gemaess Art. 28 DSGVO, legt Pflichten zu Subprozessoren, Sicherheitsmassnahmen, Loeschung und Unterstuetzung bei Audits fest und verweist auf SCCs fuer Datentransfers in Drittlaender.

Fuer deutsche Unternehmen ist das relevant, weil Art. 28 DSGVO einen schriftlichen Vertrag voraussetzt, bevor ein Auftragsverarbeiter personenbezogene Daten im Auftrag verarbeiten darf. Ein Anbieter ohne AVV schafft eine unmittelbare Compliance-Luecke. Intercom nimmt diese Huerde.

Was Rechtsabteilungen nach Vorlage des AVV konkret pruefen sollten:

ThemaWas zu pruefen ist
Definition der AuftragsverarbeiterrolleDeckt der AVV alle genutzten Intercom-Produkte ab, einschliesslich Fin AI Agent?
SubprozessorenlisteAuf welche Anbieter stuetzt Intercom sich fuer Cloud, KI und Support-Infrastruktur?
TransfermechanismusSCCs oder DPF — sind sie aktuell und decken sie alle Verarbeitungspfade ab?
Retention und LoeschungWelche Standardspeicherdauern gelten fuer Chat, KI-Outputs und abgeleitete Daten?
Qualitaet der Art.-28-KlauselnEntsprechen Weisungserteilung, Vertraulichkeit, Audit und Unterstuetzungsklauseln dem DSGVO-Standard?

Ein praktischer Hinweis fuer deutsche Beschaffungsteams: Der Umfang des AVV haengt davon ab, welche Intercom-Produkte aktiviert werden. Der Fin AI Agent verarbeitet Daten grundlegend anders als ein einfaches Support-Widget. Wenn das Deployment Fin AI, AI Copilot oder AI Summaries umfasst, ist explizit zu pruefen, ob diese Features von denselben Auftragsverarbeitungsklauseln, Subprozessoren-Offenlegungen und Transfermechanismen abgedeckt werden wie die Basisplattform.

Ist Intercom AI DSGVO-konform?

Die relevangtere Frage fuer deutsche Unternehmen ist nicht, ob Intercom abstrakt DSGVO-konform ist. Es geht darum, ob der eigene Intercom-Einsatz datenschutzrechtlich vertretbar ist.

Rechtsgrundlage fuer die Verarbeitung von Kundendaten im Chat

Die meisten Kundensupport-Deployments stuetzen sich auf Art. 6 Abs. 1 lit. b DSGVO (Vertragserfullung) oder Art. 6 Abs. 1 lit. f DSGVO (berechtigte Interessen) als Rechtsgrundlage fuer die Verarbeitung von Namen, Kontaktdaten und Gespraechsinhalten. Fuer Standard-Inbound-Support ist das in der Regel tragfaehig. Es wird anspruchsvoller, wenn:

  • KI-Features Chat-Inhalte analysieren, um Erkenntnisse ueber das Kundenverhalten abzuleiten,
  • besondere Kategorien personenbezogener Daten (Gesundheit, Finanzsituation) ueber Support-Kanaele eintreffen,
  • Beschaeftigtendaten fuer Monitoring oder Leistungsbewertung verarbeitet werden.

Die Rechtsgrundlage vor dem Rollout festlegen — nicht danach.

Subprozessorenkette

Intercom setzt Subprozessoren fuer Cloud-Infrastruktur, Analytics und KI-Modellverarbeitung ein. Deutsche Unternehmen sollten die oeffentliche Subprozessorenliste pruefen, die Widerspruchsrechte verstehen und sicherstellen, dass jeder wesentliche Subprozessor ueber eine gleichwertige Transfer- und Sicherheitsabsicherung wie der primaere AVV verfuegt.

KI-Features koennen insbesondere von Drittanbieter-Modellanbietern abhaengen, die nicht durch die Standard-Cloud-Infrastruktur-Offenlegung abgedeckt sind. Konkret zu klaeren: Nutzt der Fin AI Agent externe LLM-Anbieter — und wenn ja, zu welchen Bedingungen?

Optionen zur EU-Datenspeicherung

Intercom bietet fuer Enterprise-Kunden EU-Datenspeicherungsoptionen. Fuer deutsche Beschaffungsteams ist das ein nuetzlicher Ausgangspunkt fuer eine klarere Hosting-Aussage. EU-Datenspeicherung ist jedoch nicht gleichbedeutend mit ausschliesslicher EU-Verarbeitung. Globaler Support-Zugriff, KI-Modell-Calls und Subprozessoren koennen weiterhin Verarbeitungen ausserhalb des Europaeischen Wirtschaftsraums (EWR) begruenden. Den Umfang schriftlich bestaetigen lassen.

Intercoms KI-Features und DSGVO

Das KI-Portfolio von Intercom ist erheblich gewachsen — jedes Feature wirft eigene datenschutzrechtliche Fragen auf.

Fin AI Agent

Fin AI Agent ist Intercoms autonomer KI-Konversationsagent — er bearbeitet eingehende Kundenanfragen vollstaendig ohne menschlichen Agenten. Das erhoht die DSGVO-Anforderungen:

  • Verarbeitete Daten: Fin AI greift auf Gespraeche, Knowledge-Base-Inhalte und potenziell verknuepfte Kunden-Account-Daten zu, um Antworten zu generieren.
  • Ort der Verarbeitung: KI-Outputs koennen ueber Modellinfrastruktur ausserhalb des EWR generiert werden. Den Transferpfad im AVV oder direkt mit Intercom klaeren.
  • Retention: KI-generierte Gespraechs-Outputs koennen anderen Speicherdauern unterliegen als rohe Chat-Protokolle. Pruefen, was gespeichert wird, wo und wie lange.
  • Modelltraining: Enterprise-Vertraege enthalten typischerweise Opt-out-Schutz dagegen, dass Kundendaten fuer das Modelltraining genutzt werden. Verifizieren — nicht annehmen.

AI Copilot

AI Copilot ist die Agent-Assist-Funktion — sie schlaegt menschlichen Support-Agenten in Echtzeit Antworten vor. Der primaere Datenschutzbezug betrifft hier Beschaeftigtendaten, nicht Kundendaten:

  • Copilot beobachtet die Agenten-Aktivitaet, um Vorschlaege zu generieren — das kann eine Verhaltens- oder Leistungsueberwachung von Beschaeftigten darstellen.
  • Wenn Agenten systematisch ueber Copilot erfasst werden, hat der Betriebsrat aller Voraussicht nach Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG.
  • KI-generierte Leistungserkenntnisse zu Agenten duerfen ohne ordnungsgemaesse Rechtsgrundlage und Betriebsvereinbarung nicht fuer Beurteilungen herangezogen werden.

AI Summaries und Conversation Intelligence

Intercoms AI Summaries, Topic-Detection und Conversation-Intelligence-Features leiten strukturierte Daten aus Chat-Inhalten ab. Wesentliche Fragen:

  • Werden KI-generierte Zusammenfassungen separat vom urspruenglichen Gespraech gespeichert, und wie lange?
  • Wenn Zusammenfassungen in Kunden-Scoring, Routing-Entscheidungen oder CRM-Anreicherung einfliessen, besteht dafuer eine eigenstaendige Rechtsgrundlage?
  • Sind Zusammenfassungen als verantwortlichenseitig zugaengliche Daten oder als rein auftragsverarbeitungsrechtlich gehaltene Daten im AVV eingestuft?

Internationale Datentransfers aus Deutschland

Intercom hat seinen Hauptsitz in San Francisco, Kalifornien. Als US-amerikanisches Unternehmen setzt jede Uebermittlung europaeischer personenbezogener Daten an Intercoms Infrastruktur oder US-Personal einen gueltigen Transfermechanismus gemaess Kapitel V DSGVO voraus.

Der Intercom-AVV verweist auf Standard-Vertragsklauseln (SCCs) gemaess dem Beschluss der Europaeischen Kommission von 2021 sowie auf das EU-US Data Privacy Framework (DPF) soweit anwendbar. Beide Mechanismen werden unter der aktuellen DSGVO-Praxis als gueltige Transferinstrumente anerkannt, sofern sie ordnungsgemaess umgesetzt sind und die relevanten Datenfluesse abgedeckt werden.

Deutsche Unternehmen sollten dennoch pruefen:

  • Werden SCCs zwischen den richtigen Rechtspersonen abgeschlossen — der spezifischen Intercom-Gesellschaft und dem deutschen Verantwortlichen?
  • Gilt der DPF-Verweis tatsaechlich fuer die Intercom-Rechtsperson, mit der der Vertrag abgeschlossen wird?
  • Decken die SCCs auch die Verarbeitung durch KI-Features ab, nicht nur die Basis-Datenspeicherung?
  • Werden durch EU-Datenspeicherung, wo angeboten, alle SCCs obsolet — oder begruenden verbleibende Verarbeitungspfade ausserhalb des EWR weiterhin Transferbedarf?

Der praktische Massstab: Den Transfermechanismus schriftlich dokumentieren und sicherstellen, dass er alle durch das Deployment aktivierten Verarbeitungspfade erfasst.

Anforderungen an den Betriebsrat

Deutsche Deployments von Intercom, die Beschaeftigte direkt oder mittelbar betreffen, loesen Mitbestimmungsrechte nach § 87 Abs. 1 Nr. 6 BetrVG aus.

Der Betriebsrat ist zu beteiligen, wenn technische Einrichtungen eingefuehrt werden, die eine Ueberwachung oder Beurteilung des Verhaltens oder der Leistung von Arbeitnehmern ermoeglichen. Fuer Intercom sind folgende Szenarien relevant:

  • AI Copilot gibt Agenten Echtzeit-Vorschlaege. Werden diese Daten auch zur Ueberwachung von Reaktionszeiten, Qualitaets-Scores oder Produktivitaet genutzt, hat der Betriebsrat aller Voraussicht nach Mitbestimmungsrechte.
  • Fin AI Agent als Ersatz oder Ergaenzung menschlicher Agenten: Wenn das Deployment Headcount, Arbeitslastverteilung oder Leistungsbenchmarks beeinflusst, sollte der Betriebsrat einbezogen werden.
  • Interner IT-Helpdesk oder HR-Support ueber Intercom: Mitarbeiterfacing-Support-Kanaele unterliegen dem strengeren Massstab des § 26 BDSG fuer Beschaeftigtendaten.

Den Betriebsrat vor dem Rollout einbinden. Eine klare Beschreibung vorbereiten, welche Daten das Tool direkt oder indirekt ueber Beschaeftigte erhebt, und eine Betriebsvereinbarung anstreben, die Nutzungsgrenzen setzt und unzulaessige Leistungsueberwachung ausschliesst.

Einstufung nach EU-KI-Verordnung

Fin AI Agent: Transparenzpflichten fuer Chatbots

Gemaess Art. 50 Abs. 1 EU-KI-Verordnung muessen KI-Systeme, die dazu bestimmt sind, mit natuerlichen Personen zu interagieren, offenlegen, dass sie ein KI-System sind — sofern dies nicht aus dem Kontext offensichtlich ist oder durch nationales Recht fuer bestimmte Zwecke zugelassen wurde. Der Fin AI Agent — ein vollautomatischer KI-Konversationsagent, der eingehende Kundenanfragen eigenstaendig bearbeitet — faellt klar unter diesen Anwendungsbereich.

Praktische Konsequenz: Wenn das Intercom-Deployment Fin AI im kundenseitigen Chat einsetzt, muessen Nutzer informiert werden, dass sie mit einem KI-System interagieren, nicht mit einem menschlichen Agenten. Dies gilt zu Beginn der Interaktion — nicht erst, wenn der KI-Charakter im Gespraechwsverlauf deutlich wird.

Offenlegungspflicht

Die Offenlegungspflicht ist keine Branding-Entscheidung. Sie ist eine gesetzliche Anforderung der EU-KI-Verordnung, die seit August 2024 teilweise anwendbar ist. Nichtkonformitaet begruendet Regulierungsrisiken — insbesondere fuer B2C-Deployments in Deutschland, wo Verbraucherschutz-Enforcement aktiv ist.

Die Konfiguration des Intercom-Chat-Widgets pruefen. Wenn Fin AI die Erstkontaktantwort uebernimmt, bevor an menschliche Agenten eskaliert wird, muss der KI-Hinweis im Moment des Interaktionsbeginns erscheinen.

Unsere Einschaetzung

Intercom ist fuer deutsche Unternehmen ein einsetzbares Kundenservice-Tool — vorausgesetzt, der Beschaffungsprozess wird sorgfaeltig durchgefuehrt. Der AVV existiert, der Transfermechanismus ist vorhanden, und EU-Datenspeicherung ist fuer Enterprise-Kunden verfuegbar. Das sind wichtige Grundlagen.

Die Risikobereiche, die aktiv gesteuert werden muessen:

  1. Fin-AI-Datenfluesse — AVV-Umfang fuer KI-Features, LLM-Subprozessoren und Retention-Bedingungen explizit pruefen.
  2. Art. 50 EU-KI-Verordnung — Nutzerseitigen KI-Hinweis fuer alle von Fin AI bearbeiteten Interaktionen vor dem Launch implementieren.
  3. Betriebsrat — Betriebsrat einbinden, wenn ein Intercom-Feature Beschaeftigte direkt oder mittelbar betrifft.
  4. Transferdokumentation — SCCs/DPF-Grundlage schriftlich bestaetigen und sicherstellen, dass EU-Datenspeicherung keine Luecken laesst.

Fuer einen Direktvergleich mit einer alternativen Kundenservice-Plattform sind unsere Leitfaeden zu Zendesk und HubSpot empfehlenswert. Einen breiteren Rahmen fuer KI-Kundenservice-Governance in Deutschland bietet unser Leitfaden zur KI-Kundenservice-Compliance.

FAQ

Hat Intercom einen AVV?

Ja. Intercom stellt fuer Unternehmenskunden mit entsprechenden Tarifen einen oeffentlich zugaenglichen Auftragsverarbeitungsvertrag bereit. Der AVV regelt Intercoms Auftragsverarbeiterrolle gemaess Art. 28 DSGVO, Subprozessoren, SCCs und Loeschpflichten. Deutsche Unternehmen sollten pruefen, ob die AVV-Bedingungen zum konkreten Einsatz passen — insbesondere der Abdeckungsumfang fuer KI-Features und EU-Datenspeicherung.

Ist Intercom AI DSGVO-konform?

Intercom AI kann unter der DSGVO rechtskonform eingesetzt werden, wenn der Rahmen stimmt: gepruefter AVV, gueltige Rechtsgrundlage fuer Chat-Daten-Verarbeitung, KI-Transparenzhinweise fuer Fin-AI-Deployments und dokumentierter Transfermechanismus. DSGVO-Konformitaet ist immer einsatzspezifisch — keine abstrakte Anbieter-Zertifizierung ersetzt die eigene Pruefung.

Hat Intercom einen Auftragsverarbeitungsvertrag fuer Deutschland?

Ja. Der Intercom-AVV erfuellt die Anforderungen des Art. 28 DSGVO an einen schriftlichen Auftragsverarbeitungsvertrag zwischen Verantwortlichem und Auftragsverarbeiter. Deutsche Unternehmen sollten sicherstellen, dass die Bedingungen alle genutzten Intercom-Produkte abdecken — einschliesslich der KI-Features wie Fin AI Agent und AI Copilot.

Erfuellt Intercom Fin AI Agent die Anforderungen der EU-KI-Verordnung?

Fin AI Agent ist ein KI-System, das mit natuerlichen Personen interagiert, und unterliegt damit den Transparenzpflichten nach Art. 50 Abs. 1 EU-KI-Verordnung. Unternehmen muessen Nutzer informieren, dass sie mit einem KI-System kommunizieren. Dies gilt zu Beginn der Interaktion und ist nicht durch allgemeine Datenschutzhinweise erfuellt.

Wo verarbeitet Intercom Daten?

Intercom hat seinen Hauptsitz in San Francisco. EU-Datenspeicherungsoptionen sind fuer Enterprise-Kunden verfuegbar, schliessen Verarbeitungen ausserhalb des EWR jedoch nicht vollstaendig aus. Globaler Support-Zugriff, Fin-AI-Modell-Calls und Subprozessor-Infrastruktur koennen weiterhin Transfers ausserhalb des EWR begruenden. Das vollstaendige Transfer-Bild schriftlich dokumentieren lassen, bevor der Rollout beginnt.

Wenn Ihre Rechts- oder Beschaffungsabteilung Intercom vor dem Deployment prueft, beraet Compound Law Unternehmen in Deutschland zu DSGVO, KI-Beschaffung, AVV-Pruefung und EU-KI-Verordnung. Kontakt aufnehmen fuer eine AVV-Pruefung oder eine Rollout-Checkliste fuer Ihre spezifische Intercom-Konfiguration.

Weitere Tool-Guides

GitHub Copilot AVV DSGVO Datenschutz Leitfaden für deutsche Unternehmen
tools

GitHub Copilot AVV und DSGVO: Leitfaden für deutsche Unternehmen

GitHub Copilot enthält einen AVV über Microsofts Standard-DPA. Leitfaden zu Datenschutz, EU-Datenhaltung, DSGVO und BetrVG für Deutschland.
Notion AVV und DSGVO-Konformität für deutsche Unternehmen
tools

Notion AVV & DSGVO: Können deutsche Unternehmen Notion rechtssicher nutzen?

Notion AVV, DSGVO-Konformität, EU-Datenhaltung und Anforderungen für deutsche Unternehmen. Praxisleitfaden für Legal-, Datenschutz- und IT-Teams.
Microsoft 365 Copilot DSGVO-Compliance für deutsche Unternehmen
tools

Microsoft 365 Copilot DSGVO? AVV, Betriebsrat & Checkliste

Microsoft 365 Copilot DSGVO: AVV mit Microsoft, EU Data Boundary, Betriebsrat und Compliance-Checkliste für Unternehmen in Deutschland.
KI Tools Anwalt BRAO DSGVO Datenschutz Verschwiegenheit
tools

KI-Tools fuer Anwaelte: Was BRAO und DSGVO erlauben (und was nicht)

KI API BRAO-konform einsetzen: Was §43a BRAO, DSGVO Art. 28 und BRAK-Empfehlungen fuer Rechtsanwaelte bedeuten — mit Checkliste und Tool-Vergleich.
Make.com AVV und DSGVO-Compliance für deutsche Unternehmen
tools

Make.com AVV: Hat Make einen Auftragsverarbeitungsvertrag?

Make.com stellt einen AVV für kostenpflichtige Tarife bereit. Was deutsche Unternehmen vor dem Einsatz für DSGVO, EU-Datenspeicherung und BetrVG prüfen müssen.
Zapier DSGVO Deutschland — AVV, Datentransfer und Workflow-Compliance fuer deutsche Unternehmen
tools

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung & Sicherheit

Ist Zapier DSGVO-konform? AVV, EU-Datenhaltung, SCCs und Sicherheit fuer deutsche Unternehmen — praktischer Compliance-Leitfaden.

Mehr KI-Tools durchsuchen

Häufige Fragen

Hat Intercom einen AVV?

Ja. Intercom stellt fuer Unternehmenskunden einen oeffentlich zugaenglichen Auftragsverarbeitungsvertrag (AVV) bereit. Deutsche Unternehmen sollten pruefen, ob die AVV-Bedingungen zum geplanten Einsatz passen — insbesondere Prozessorrolle, Fin-AI-Datenfluesse, Subprozessorenliste, SCCs und Retention-Einstellungen.

Ist Intercom AI DSGVO-konform?

Intercom AI kann unter der DSGVO rechtskonform eingesetzt werden, wenn der Rahmen stimmt: gepruefter AVV, Rechtsgrundlage fuer Chat-Daten-Verarbeitung, KI-Transparenzhinweise fuer Fin-AI-Interaktionen und dokumentierter Transfermechanismus. DSGVO-Konformitaet haengt immer vom konkreten Einsatz ab, nicht von einer abstrakten Zertifizierung des Anbieters.

Hat Intercom einen Auftragsverarbeitungsvertrag fuer Deutschland?

Ja. Der Intercom-AVV erfuellt die Anforderungen des Art. 28 DSGVO an einen schriftlichen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter. Deutsche Unternehmen sollten pruefen, ob die Bedingungen alle genutzten Intercom-Produkte abdecken — einschliesslich der KI-Features.

Erfuellt Intercom Fin AI Agent die Anforderungen der EU-KI-Verordnung?

Fin AI Agent unterliegt den Transparenzpflichten nach Art. 50 Abs. 1 EU-KI-Verordnung. Unternehmen, die Fin AI im kundenseitigen Chat einsetzen, muessen Nutzer zu Beginn der Interaktion informieren, dass sie mit einem KI-System kommunizieren.

Wo verarbeitet Intercom Daten?

Intercom hat seinen Hauptsitz in San Francisco. Fuer Enterprise-Kunden werden EU-Datenspeicherungsoptionen angeboten. EU-Hosting schliesst Transfers ausserhalb des EWR jedoch nicht vollstaendig aus. Globaler Support-Zugriff, Fin-AI-Modell-Calls und Subprozessoren koennen weiterhin Verarbeitungen ausserhalb des EWR begruenden.

Kostenlos beraten