Axeptio Datenschutz: Pflichtangaben für Webseitenbetreiber

Axeptio ist eine europäische Consent Management Platform (CMP), die Webseitenbetreiber beim rechtssicheren Management von Nutzereinwilligungen unterstützt. Wer Axeptio einsetzt, verarbeitet personenbezogene Daten – sowohl für die Funktionsweise der Plattform selbst als auch im Rahmen der Consent-Verwaltung. Diese Anleitung zeigt, welche Informationen in die Datenschutzerklärung gehören und wie Axeptio datenschutzrechtlich korrekt dokumentiert wird.

A. Zweck und Funktionsweise von Axeptio

Axeptio stellt ein JavaScript-basiertes Cookie-Banner und Preference Center zur Verfügung. Die CMP lädt über ein Snippet (<script>) auf der Website und ermöglicht:

• Cookie-Banner-Anzeige – beim ersten Besuch oder bei fehlender Consent-Entscheidung
• Consent-Widget & Preference Center – für granulare Cookie-Kategorie-Auswahl
• Consent-Logging – Dokumentation der Nutzer-Entscheidungen
• Technische Integration – Kopplung mit Third-Party-Tools (Google Analytics, Marketing-Plattformen etc.) via IAB TCF oder API
• Google Consent Mode Support – Echtzeit-Signalisierung von Consent-Status an Google

Das Snippet wird typischerweise im <head>-Bereich der Website eingebunden und lädt eine Axeptio-Domain.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Axeptio

Wenn Sie Axeptio einsetzen, müssen Sie in Ihrer Datenschutzerklärung folgende Punkte abdecken:

1. Nennung der CMP-Verantwortliche – Axeptio SAS als Dienstanbieter
2. Zweck der Verarbeitung – Consent-Management, Cookie-Tracking, rechtliche Compliance
3. Rechtsgrundlagen – DSGVO Art. 6 Abs. 1 lit. c und f; TDDDG § 25 Abs. 2 Nr. 2
4. Datenempfänger – ggf. Auftragsverarbeiter, Third-Party-Consent-Plattformen
5. Datenkategorien – Consent-Status, Browseridentifizierer, IP-Adresse, User-Agent
6. Speicherdauer – typisch 13 Monate für Consent-Cookies
7. Betroffenenrechte – Auskunfts-, Lösch-, Widerspruchsrechte
8. Datenschutzbeauftragter oder Kontakt – Ansprechpartner bei Datenschutzfragen

Die folgenden Textbausteine können Sie adaptieren:

C. Anbieter von Axeptio

Axeptio SAS ist ein französisches Unternehmen mit Sitz in der EU (Clermont-Ferrand, Frankreich). Die offizielle Datenschutzerklärung finden Sie unter:

• Website: axeptio.eu
• Privacy Policy: axeptio.eu/privacy (englisch/französisch)
• Data Processing Agreement (DPA): Auf Anfrage verfügbar

Axeptio unterliegt der französischen Datenschutzaufsicht (CNIL) und der DSGVO. Die Speicherung von Daten erfolgt ausschließlich in EU-Rechenzentren.

D. Datenverarbeitung – Ablauf in Schritten

E. Von Axeptio erhobene Daten

Axeptio erhebt und verarbeitet folgende personenbezogene Daten:

Webserver-Protokolldaten:

• IP-Adresse (gekürzt für Anonymisierung)
• HTTP-Request-Header (Referer, User-Agent)
• Zeitstempel der Anfrage
• HTTP-Status-Code

Browserinformationen:

• Browser-Typ und -Version
• Gerätetyp (Smartphone, Desktop, Tablet)
• Spracheinstellung
• Cookies und lokale Speicherdaten

Grobe Standortdaten:

• Land und ggf. Region (aus IP-Geolokalisierung)
• Hinweis: Keine präzise Standortbestimmung

Endgeräte-Daten:

• Geräteidentifizierer (Device ID)
• Bildschirmauflösung
• Zeitzone

Consent-Events und Conversion-Daten:

• Cookie-Kategorien (angenommen/abgelehnt)
• Zeitpunkt der Entscheidung
• ggf. Nutzer-ID (falls im Preference Center erfasst)

Diese Daten werden nicht zur Profileerstellung oder Verhaltensanalyse verwendet, sondern ausschließlich für die Funktionsbereitstellung und Compliance-Dokumentation.

F. Nutzungszwecke

Die Verarbeitung durch Axeptio erfolgt zu folgenden Zwecken:

Funktionsbereitstellung:

• Anzeige des Cookie-Banners und Preference Centers
• Speicherung von Nutzer-Einwilligungen
• Konversion der Consent-Entscheidungen in Signale für Third-Party-Tools

Sicherheit und Missbrauchsschutz:

• Erkennung und Abwehr von Bot-Traffic
• Rate Limiting (Schutz vor DoS-Angriffen)
• Anomalieerkennung (ungewöhnliche Zugriffsmuster)

Compliance und Rechtsdurchsetzung:

• Erstellung von Audit-Logs für DSGVO-Nachweise
• Archivierung von Consent-Entscheidungen
• Erfüllung gesetzlicher Aufbewahrungspflichten

Service-Verbesserung:

• Anonymisierte Nutzungsstatistiken (Aggregation)
• Fehlerdiagnose und Performance-Monitoring
• Sicherheits-Updates und Bug-Fixes

G. Rechtsgrundlagen für die Datenverarbeitung durch Axeptio

Die Verarbeitung ist rechtlich zulässig unter folgenden Grundlagen:

1. Verarbeitung für Funktionszwecke (Art. 6 Abs. 1 lit. f DSGVO): Ihre berechtigten Interessen an der Funktionssicherheit und dem Compliance-Nachweis überwiegen die Interessen des Nutzers. Diese Verarbeitung erfolgt ohne vorherige Einwilligung, da sie der technischen Bereitstellung dient.

2. Verarbeitung für Sicherheit (Art. 6 Abs. 1 lit. f DSGVO): Der Schutz Ihrer IT-Infrastruktur vor Angriffen ist ein berechtigtes Interesse.

3. Verarbeitung für Compliance-Dokumentation (Art. 6 Abs. 1 lit. c DSGVO): Die Audit-Log-Erstellung erfolgt zur Erfüllung datenschutzrechtlicher Nachweispflichten.

4. Rechtliche Grundlage für das Cookie-Banner selbst (§ 25 Abs. 2 Nr. 2 TDDDG): Sie benötigen eine Rechtsgrundlage, um überhaupt ein Banner anzeigen zu dürfen. Diese ergibt sich aus Ihrer Pflicht, Einwilligungen einzuholen, bevor Sie Cookies speichern.

Hinweis: Für die Cookies, die hinter dem Banner liegen (Analytics, Marketing), bleibt die Rechtslage unverändert – hier benötigen Sie eine vorherige Einwilligung des Nutzers (Art. 7 DSGVO, § 25 Abs. 1 TDDDG).

H. Besonderheiten und Hinweise zu Axeptio

Wichtige Merkmale:

• EU-Ansässigkeit – Axeptio SAS hat seinen Sitz in Frankreich; Datenspeicherung erfolgt ausschließlich in der EU.
• Data Processing Agreement (DPA) – Axeptio bietet ein Standard-DPA an, das Sie als Auftragsverarbeiter-Vertrag nach Art. 28 DSGVO einbinden sollten.
• IAB TCF Compliance – Axeptio unterstützt die Transparency & Consent Framework (TCF) 2.2 der IAB Europe und erfüllt damit Anforderungen für Ad-Tech-Ökosystem.
• Google Consent Mode – Axeptio signalisiert Consent-Status an Google Analytics 4, Google Ads und andere Google-Dienste.
• Auftragsverarbeiter – Axeptio agiert als Auftragsverarbeiter in Ihrem Auftrag; Sie bleiben die verantwortliche Stelle (Art. 4 Nr. 7, Art. 28 DSGVO).
• Audit-Logs – Alle Consent-Events werden protokolliert und können als Nachweis für die Einhaltung herangezogen werden.

I. Häufig gestellte Fragen

F: Ist Axeptio ein Auftragsverarbeiter? Ja. Axeptio verarbeitet Daten im Auftrag Ihrer Website. Sie müssen einen DPA abschließen und Axeptio in Ihrer Datenschutzerklärung nennen.

F: Benötige ich eine Einwilligung, um das Axeptio-Banner anzuzeigen? Nein. Das Banner selbst ist notwendig, um Einwilligungen einzuholen – es gehört zur rechtlichen Compliance. Einwilligungspflichtig sind die Cookies und Tracker hinter dem Banner.

F: Wie lange speichert Axeptio Consent-Daten? Typischerweise 13 Monate. Dies richtet sich nach Ihrer Konfiguration und den Axeptio-Richtlinien. Prüfen Sie Ihre Instanz-Einstellungen.

F: Muss ich Axeptio in meiner Datenschutzerklärung nennen? Ja. Sie müssen alle Auftragsverarbeiter nennen. Axeptio gehört dazu.

F: Ist Axeptio konform mit DSGVO und TDDDG? Axeptio ist so ausgelegt, dass es DSGVO-konform nutzbar ist. Allerdings hängt die Gesamtkonformität auch von Ihrer Konfiguration ab (z. B. welche Cookies Sie über das Banner verwalten, ob Sie Einwilligungen korrekt einholen).

F: Was ist IAB TCF? Die Transparency & Consent Framework der IAB Europe ist ein Standard für Cookie-Banner im Ad-Tech-Bereich. Sie ermöglicht es, Consent-Entscheidungen mit Dritten (z. B. Werbepartnern) zu teilen – rechtssicher, wenn alle Partner im TCF-Ökosystem registriert sind.

F: Kann ich Axeptio nutzen, ohne Einwilligungen einzuholen? Nein. Axeptio ist ein Tool zum Einholen von Einwilligungen. Die Notwendigkeit, Einwilligungen zu sammeln, ergibt sich aus DSGVO und TDDDG – nicht aus dem Tool selbst.

J. Fazit und nächste Schritte

Axeptio ist ein datenschutzfreundliches und europäisches Consent-Management-System. Damit Sie es rechtssicher einsetzen:

1. DPA abschließen – Laden Sie den Standard-DPA von Axeptio herunter und unterzeichnen Sie ihn.
2. Datenschutzerklärung aktualisieren – Nehmen Sie die hier vorgestellten Bausteine auf.
3. Cookie-Kategorien definieren – Klassifizieren Sie Ihre Cookies korrekt (notwendig, Funktionalität, Analytics, Marketing).
4. Audit-Logs aufbewahren – Die von Axeptio bereitgestellten Consent-Logs sind Ihre Nachweise für DSGVO-Compliance.
5. Betroffenenrechte einrichten – Stellen Sie sicher, dass Sie Auskunfts- und Löschanfragen bearbeiten können (einschließlich Löschung von Axeptio-Daten bei Bedarf).

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com