DSGVO Wissen
Datenschutz Website – Übersicht

Complianz und Datenschutz – Was in die Datenschutzerklärung gehört

Kompakte Anleitung zu Complianz: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.

Complianz und Datenschutz – Was in die Datenschutzerklärung gehört

Wer eine Website mit Cookies, Tracking-Tools oder sonstigen Technologien betreibt, die auf Endgeräten gespeichert werden oder auf diese zugreifen, benötigt ein zuverlässiges Consent-Management-System. Complianz ist ein solches WordPress-Plugin, das als Self-Hosted-Lösung auf der eigenen Installation läuft. Dieses Dokument zeigt, welche Angaben zum Einsatz von Complianz in die Datenschutzerklärung gehören, welche Datenverarbeitungen stattfinden und wie die rechtliche Zulässigkeit unter der DSGVO und dem deutschen TDDDG einzuordnen ist.

A. Zweck und Funktionsweise von Complianz

Complianz ist ein WordPress-Plugin für Consent Management (CMP) und wird von Complianz B.V. (Niederlande) entwickelt und gepflegt. Die Kernfunktionen sind:

  • Cookie-Banner und Einwilligungsformular: Ein Button oder Modal-Dialog auf der Website, über den Besucher ihre Zustimmung zu Cookies und Tracking-Tools erteilen oder ablehnen können.
  • Consent-Logging: Die Entscheidungen der Nutzer werden mit Zeitstempel und (ggf. anonymisierter) Nutzer-ID protokolliert.
  • Cookie-Scan: Das Plugin scannt die WordPress-Installation auf installierte Cookies und Scripts und ordnet diese Kategorien zu.
  • Policy-Generator: Complianz erzeugt automatisiert eine Datenschutzerklärung und ein Cookie-Banner basierend auf den erkannten und konfigurierten Cookies.

Technisch ist Complianz ein Self-Hosted-Plugin: Es läuft auf der eigenen WordPress-Installation des Webseitenbetreibers und speichert Consent-Logs typischerweise in der eigenen WordPress-Datenbank. Das Plugin kommuniziert mit den Complianz-Servern (EU) nur für Updates, Lizenz-Verifizierungen und bei aktivierten Zusatz-Services (z. B. erweiterte Cookie-Scans).

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von Complianz

Betreiber einer Website, auf der Complianz eingesetzt wird, müssen in ihrer Datenschutzerklärung folgende Punkte transparent machen:

  1. Einsatz eines Consent-Management-Systems und dessen Anbieter (Complianz B.V., Niederlande)
  2. Rechtsgrundlagen für die Verarbeitung von Consent-Entscheidungen (vgl. Abschnitt G)
  3. Arten der verarbeiteten Daten (vgl. Abschnitt E)
  4. Nutzungszwecke (Funktionsbereitstellung, Compliance, Nachweis)
  5. Speicherdauer der Consent-Logs
  6. Weitergabe an Dritte (falls vorhanden, z. B. bei Cookie-Scan-Services)
  7. Betroffenenrechte nach Art. 12–22 DSGVO

Ein Muster-Textbaustein könnte lauten:

Auf unserer Website setzen wir das Consent-Management-Plugin Complianz (Anbieter: Complianz B.V., Niederlande) ein. Das Plugin zeichnet Ihre Einwilligungsentscheidungen bezüglich Cookies und Tracking-Tools auf und generiert basierend auf Ihrer Konfiguration eine Datenschutzerklärung. Die erhobenen Daten werden in unserer eigenen WordPress-Datenbank gespeichert und dienen dem Nachweis Ihrer Zustimmung sowie der Compliance mit Art. 7 DSGVO.

Empfehlung

Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.

Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.

  • Kein Abo, keine versteckten Kosten
  • Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
  • Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Jetzt Datenschutzerklärung erstellen

Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.

C. Anbieter von Complianz

Name und Anschrift:

  • Complianz B.V.
  • Sitz: Niederlande (EU)
  • Website: complianz.io

Besonderheit bei Self-Hosted-Betrieb: Da Complianz als Plugin auf der eigenen WordPress-Installation läuft, ist Complianz B.V. kein direkter Datenempfänger für Consent-Logs und Nutzer-IP-Adressen. Die Consent-Entscheidungen verbleiben auf den eigenen Servern des Webseitenbetreibers. Complianz kann höchstens:

  • Updates und Sicherheits-Patches abrufen
  • Lizenz-Status überprüfen
  • Anonymisierte Nutzungsstatistiken (falls aktiviert) sammeln
  • Cookie-Scan-Services im Rahmen von zusätzlichen kostenpflichtigen Features anbieten

Sollte der Betreiber optionale Cloud-Services (z. B. erweiterte Cookie-Analyse) in Anspruch nehmen, müssen diese in der Datenschutzerklärung ebenfalls offengelegt werden.

D. Datenverarbeitung – Ablauf in Schritten

Die Verarbeitung von Consent-Daten durch Complianz folgt diesem Schema:

Einwilligung erfassen: Der Websitebesucher tritt mit dem Consent-Banner interaktiv in Berührung und trifft eine Entscheidung (z. B. "Alle Cookies akzeptieren" oder "Nur notwendige Cookies").
Speicherung in eigener Datenbank: Die Entscheidung wird mit Zeitstempel, Nutzer-ID und ggf. Browserinformationen in die lokale WordPress-Datenbank geschrieben.
Nutzung zur Policy-Generierung: Das Plugin nutzt die erfassten Daten zur Erstellung und Aktualität der automatisierten Datenschutzerklärung und zum Nachweis der Compliance.
Keine regelmäßige Weitergabe an Complianz selbst: Außer bei aktivierten Premium-Services erfolgt keine automatisierte Übertragung der Consent-Logs an die Complianz-Server.
Löschung nach Aufbewahrungsfrist: Consent-Daten sollten nach der im Unternehmen festgelegten Aufbewahrungsfrist (z. B. 2–3 Jahre) gelöscht werden, um Art. 5 Abs. 1 lit. e DSGVO einzuhalten.

E. Von Complianz erhobene Daten

Complianz verarbeitet die folgenden Datenkategorien:

  • Einwilligungsstatus (akzeptiert/abgelehnt pro Cookie-Kategorie)
  • Zeitstempel der Entscheidung
  • Nutzer-ID oder Cookie-basierte Identifikation (meist anonymisiert oder pseudonymisiert)

Umgebungsdaten (falls im Plugin aktiviert)

  • IP-Adresse des Besuchers (kann anonymisiert sein oder nicht gespeichert werden, je nach Konfiguration)
  • Browsertyp und -version
  • Betriebssystem
  • Grobe Standortdaten (Geo-Targeting auf Länder- oder Stadt-Ebene, falls konfiguriert)

Verarbeitungsereignisse

  • Conversion-Ereignisse (z. B. Nutzer hat ein Formular abgesendet, nachdem er Cookies akzeptiert hat)
  • Aktivitätslog bei Aktivierung erweiterter Features

Diese Daten können in drei Klassen eingeteilt werden:

  1. Webserver-Protokolldaten (Standard-HTTP-Logs)
  2. Browserinformationen (User-Agent, Viewport-Größe, etc.)
  3. Consent- und Conversion-Events (Geschäftsrelevante Vorgänge)

F. Nutzungszwecke

Die Verarbeitung von Consent-Daten durch Complianz verfolgt mehrere Zwecke:

  • Funktionsbereitstellung des CMP: Damit das Plugin die Einwilligungen speichern und abrufen kann
  • Sicherheit und Missbrauchschutz: Zur Erkennung von Bot-Traffic oder ungewöhnlichen Mustern
  • Compliance mit Datenschutzvorgaben: Nachweis der Einwilligung nach Art. 7 DSGVO; Erfüllung von § 25 TDDDG
  • Rechtsdurchsetzung und Rechtsverfolgung: Falls notwendig, um rechtliche Ansprüche geltend zu machen oder Verletzungen aufzudecken

G. Rechtsgrundlagen für Complianz

Die Verarbeitung von Consent-Daten durch Complianz stützt sich auf mehrere Rechtsgrundlagen:

1. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 7 DSGVO)

Der Betreiber einer Website ist verpflichtet, die Einwilligung der Nutzer zu Cookies nachzuweisen. Art. 7 DSGVO fordert, dass der Verantwortliche „nachweisen kann, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat". Complianz hilft, diese Nachweispflicht zu erfüllen, indem Consent-Logs angelegt werden.

Rechtsgrundlage für die Speicherung der Logs selbst: Art. 6 Abs. 1 lit. c DSGVO (Erfüllung einer rechtlichen Verpflichtung).

2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Darüber hinaus kann die Verarbeitung durch ein Berechtigtes Interesse des Betreibers gerechtfertigt sein:

  • Compliance und Rechtssicherheit: Der Betreiber hat ein berechtigtes Interesse, die Konformität seiner Website mit der DSGVO und dem TDDDG nachzuweisen
  • Schutz vor Haftung: Durch den Nachweis der Einwilligung kann der Betreiber sich gegen Vorwürfe der Datenschutzverletzung schützen
  • Betriebliche Effizienz: Automatisierte Consent-Verwaltung reduziert administrative Lasten

Eine Interessensabwägung nach Art. 6 Abs. 1 lit. f DSGVO fällt in der Regel zugunsten des Betreibers aus, da die Interessen der Nutzer (Schutz vor Tracking) durch die Möglichkeit, Cookies abzulehnen, ausreichend gewahrt sind.

3. Technische Notwendigkeit (§ 25 Abs. 2 Nr. 2 TDDDG)

Das deutsche Telekommunikations-Datenschutz-Gesetz (TDDDG) regelt den Einsatz von Cookies. § 25 Abs. 2 Nr. 2 TDDDG erlaubt die Speicherung einer Einwilligung in einem Cookie, sofern diese Speicherung technisch notwendig ist, um die Einwilligung zu dokumentieren. Complianz setzt ein „Consent-Cookie", das die Entscheidung des Nutzers speichert – dieses Cookie unterliegt der technischen Notwendigkeit nach § 25 Abs. 2 Nr. 2 TDDDG.

H. Besonderheiten und Hinweise zu Complianz

Self-Hosted-Modell

Im Gegensatz zu Cloud-basierten CMPs verbleiben Consent-Daten bei Complianz auf der eigenen WordPress-Installation. Das reduziert die Datenweitergabe an Dritte und kann die Compliance vereinfachen.

Kommunikation mit Complianz-Servern

Das Plugin sendet regelmäßig Informationen an die Complianz-Server zur Verifizierung der Lizenz und zum Abruf von Updates. Diese Kommunikation sollte in der Datenschutzerklärung offengelegt werden, sofern IP-Adressen oder andere personenbezogene Daten übertragen werden.

Sollte der Betreiber den automatisierten Cookie-Scan oder erweiterte Policy-Generator-Services nutzen, erfolgt eine Verbindung zu den Complianz-Servern (EU-Rechenzentren). Dies muss ebenfalls in der Datenschutzerklärung erwähnt werden.

Europäischer Anbieter

Complianz B.V. hat seinen Sitz in der Europäischen Union (Niederlande), sodass keine Drittlandtransfers nach Kapitel V DSGVO erforderlich sind. Das vereinfacht die Compliance.

Regelmäßige Updates erforderlich

Da das Plugin aktiv weiterentwickelt wird, sollte der Betreiber regelmäßige Sicherheits-Updates einspielen, um Vulnerabilities zu schließen und die Datenschutz-Compliance zu gewährleisten.

I. Häufig gestellte Fragen (FAQ)

Muss ich Complianz offenbaren, wenn ich es einsetze?

Ja. Jedes Consent-Management-System, das Daten verarbeitet, muss in der Datenschutzerklärung transparent offengelegt werden. Dies ist eine Anforderung aus Art. 13 Abs. 1 lit. c DSGVO (Angabe des Verantwortlichen) und Art. 14 DSGVO (Informationen bei nicht direkt erhobenen Daten).

Ist Complianz ein Auftragsverarbeiter nach Art. 28 DSGVO?

Beim Self-Hosted-Modell gilt Complianz B.V. nicht als Auftragsverarbeiter, da es nicht aktiv Daten verarbeitet – das Plugin läuft auf der eigenen Infrastruktur des Betreibers. Ein AVV nach Art. 28 DSGVO ist nicht erforderlich. Sollte der Betreiber jedoch Cloud-Services (z. B. Echtzeit-Cookie-Scan) buchen, kann sich die Situation ändern; dann kann ein AVV notwendig sein.

Wie lange muss ich Consent-Logs speichern?

Es gibt keine einheitliche gesetzliche Aufbewahrungsfrist für Consent-Logs. Eine Speicherung von 2–3 Jahren ist in der Praxis üblich, um:

  • Nachweise bei Behördenanfragen zu erbringen
  • Betroffenenrechte erfüllen zu können (z. B. Auskunft nach Art. 15 DSGVO)
  • Haftungsrisiken zu minimieren

Nach Ablauf sollten die Logs gelöscht werden (Art. 5 Abs. 1 lit. e DSGVO – Speicherbegrenzung).

Benötige ich eine Datenschutz-Folgenabschätzung (DSFA) für Complianz?

Nach Art. 35 DSGVO ist eine DSFA erforderlich, wenn eine Verarbeitung „ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen" mit sich bringt. Für ein Standard-CMP ohne besondere Risiken (z. B. keine Fernüberwachung, keine automatisierte Entscheidungsfindung) ist eine DSFA in der Regel nicht erforderlich. Der Betreiber sollte jedoch eine Risikoanalyse durchführen und dokumentieren.

Wie setze ich ein Widerspruchsrecht für Tracking-Cookies um?

Das Cookie-Banner von Complianz ermöglicht Nutzern, Cookies abzulehnen oder zu granulieren. Dies entspricht dem Erfordernis aus § 25 Abs. 1 TDDDG und Art. 21 DSGVO. Nutzer müssen die Möglichkeit haben, ihre Einwilligung jederzeit zu widerrufen – Complianz stellt Mechanismen dafür bereit (z. B. über ein Preference-Center).

J. Fazit und Nächste Schritte

Complianz ist ein datenschutzkonformes Consent-Management-Plugin, sofern es korrekt konfiguriert und in der Datenschutzerklärung transparent offengelegt wird. Die Verarbeitung von Consent-Daten stützt sich auf Art. 6 Abs. 1 lit. c und f DSGVO sowie § 25 TDDDG. Als europäischer Anbieter (Niederlande) entfallen Drittland-Compliance-Anforderungen.

Webseitenbetreiber sollten:

  1. Complianz in der Datenschutzerklärung angeben und die verarbeiteten Datenkategorien auflisten
  2. Consent-Logs regelmäßig überprüfen und nach Aufbewahrungsfrist löschen
  3. Plugin-Updates einspielen, um Sicherheitsvulnerabilitäten zu schließen
  4. Cookie-Einstellungen granular konfigurieren, damit Nutzer Tracking ablehnen können
  5. Optional: Datenschutz-Audit durchführen, um die Compliance zu verifizieren

Zuverlässige rechtliche Unterstützung bietet ein spezialisierter Datenschutzbeauftragter oder Datenschutzrechtsanwalt.

Empfehlung

Datenschutzerklärung in Minuten — pflegeleicht, ohne Abo.

Statt eines unleserlichen Textbausteins pro Tool: ein themenorientierter, hybrider Ansatz mit übersichtlicher Empfängerliste — wartbar, transparent, DSGVO-konform.

  • Kein Abo, keine versteckten Kosten
  • Pflegeleicht durch Themenstruktur statt Tool-Bausteinen
  • Von Dr. Thomas Helbing, Fachanwalt für IT-Recht, kuratiert
Jetzt Datenschutzerklärung erstellen

Der Generator ist ein Angebot der matterius GmbH. matterius ist keine Anwaltskanzlei und erbringt keine Rechtsberatung.

Autorenschaft

Dr. Thomas Helbing

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com

Clicky und Datenschutz – Was in die Datenschutzerklärung gehört

Kompakte Anleitung zu Clicky: verarbeitete Daten, Zwecke, Rechtsgrundlagen (DSGVO) und was Webseitenbetreiber in ihre Datenschutzerklärung aufnehmen müssen.

Cookiebot und Datenschutz – Was in die Datenschutzerklärung gehört

Cookiebot (Usercentrics): Datenschutzpflichten, verarbeitete Daten, DSGVO-Rechtsgrundlagen und Pflichtangaben für die Datenschutzerklärung.

On this page

Complianz und Datenschutz – Was in die Datenschutzerklärung gehörtA. Zweck und Funktionsweise von ComplianzB. Pflichtangaben der Datenschutzerklärung bei Einsatz von ComplianzC. Anbieter von ComplianzD. Datenverarbeitung – Ablauf in SchrittenE. Von Complianz erhobene DatenDirekter Bezug zu Consent-EntscheidungenUmgebungsdaten (falls im Plugin aktiviert)VerarbeitungsereignisseF. NutzungszweckeG. Rechtsgrundlagen für Complianz1. Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO i.V.m. Art. 7 DSGVO)2. Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)3. Technische Notwendigkeit (§ 25 Abs. 2 Nr. 2 TDDDG)H. Besonderheiten und Hinweise zu ComplianzSelf-Hosted-ModellKommunikation mit Complianz-ServernCookie-Scan und Policy-GeneratorEuropäischer AnbieterRegelmäßige Updates erforderlichI. Häufig gestellte Fragen (FAQ)J. Fazit und Nächste Schritte