Cookiebot und Datenschutz – Was in die Datenschutzerklärung gehört

Wer Cookiebot auf seiner Website einsetzt, muss die Nutzung in der Datenschutzerklärung offenlegen. Das Consent Management System verarbeitet personenbezogene Daten – etwa IP-Adressen und Browserinformationen von Website-Besuchern – und erfordert daher fundierte Datenschutzangaben nach der DSGVO. Dieser Beitrag zeigt auf, welche Informationen rechtlich notwendig sind, wie die Datenverarbeitung abläuft und welche Besonderheiten Betreiber beachten sollten.

A. Zweck und Funktionsweise von Cookiebot

Cookiebot ist eine Consent Management Platform (CMP) des dänischen Unternehmens Usercentrics A/S (ehemals Cybot). Die Plattform dient Websites dazu, rechtskonforme Einwilligungsbanner zu generieren und alle auf einer Website vorhandenen Cookies sowie Tracking-Tools automatisch zu erfassen.

Das System funktioniert über einen JavaScript-Code, den Webseitenbetreiber in ihre Website einbinden. Dieser Code führt automatisch einen Cookie-Scan durch: Das System crawlt die Website und identifiziert alle gesetzten Cookies und Tracker (auch von Drittanbietern) und kategorisiert sie automatisch. Cookiebot zeigt dann einen anpassbaren Consent-Banner an, über den Website-Besucher ihre Einwilligung zu Cookies und Trackern erteilen oder verweigern können.

Ein zentraler Punkt: Cookiebot selbst ist ein Datenschutztool, setzt aber auch eigene Cookies (auf cookiebot.com). Die Zustimmungsentscheidungen der Nutzer werden geloggt und zentral gespeichert. Der Webseitenbetreiber kann die erteilten und verweigerten Zustimmungen im Cookiebot-Dashboard abrufen und so den Nachweis einer Einwilligung führen – was Cookiebot als Auftragsverarbeiter für das Consent-Speichern darstellt.

B. Pflichtangaben in der Datenschutzerklärung

Wer Cookiebot einsetzt, muss dies in der Datenschutzerklärung nach Art. 13 Abs. 1 DSGVO offenlegen. Die DSGVO verlangt folgende Mindestangaben:

• Den Namen und die Kontaktdaten des Verantwortlichen (Art. 13 Abs. 1 lit. a)
• Den Namen und die Kontaktdaten eines Datenschutzbeauftragten, falls vorhanden (Art. 13 Abs. 1 lit. b)
• Die Zwecke der Verarbeitung (Art. 13 Abs. 1 lit. c)
• Die Rechtsgrundlagen (Art. 13 Abs. 1 lit. d)
• Die Empfänger der Daten (Art. 13 Abs. 1 lit. e)
• Die Speicherdauer oder Kriterien für die Festlegung derselben (Art. 13 Abs. 1 lit. f)
• Die Rechte der betroffenen Person (Art. 13 Abs. 2)

Für Cookiebot relevant sind insbesondere:

• Informationen darüber, dass die Zustimmungsdaten an Usercentrics A/S weitergegeben werden (Auftragsverarbeiter)
• Die spezifischen Zwecke: Einwilligungsverwaltung, Dokumentation von Zustimmungen, Missbrauchsschutz
• Rechtsgrundlage: regelmäßig Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Compliance und Rechtsdurchsetzung)
• Speicherdauer der Consent-Logs und Einzelheiten zur Anonymisierung

C. Anbieter: Usercentrics A/S

Die Datenverarbeitung durch Cookiebot erfolgt durch Usercentrics A/S, ein dänisches Unternehmen mit Sitz in der Europäischen Union. Dies ist ein bedeutender rechtlicher Vorteil, da kein Datenschutzschutzniveau-Problem (DPF/Adequacy Decision) vorliegt wie bei Übermittlungen in die USA.

Unternehmensangaben:

• Name: Usercentrics A/S
• Sitz: Havnegade 39, 1058 Kopenhagen K, Dänemark
• Unternehmens-Registrierungsnummer: 34624607
• E-Mail: mail@cookiebot.com
• Phone: +45 50 333 777

Der Sitz im Europäischen Wirtschaftsraum (EWR) bedeutet, dass die Verarbeitung grundsätzlich unter DSGVO-Schutz stattfindet. Allerdings: Usercentrics/Cookiebot nutzt Akamai, ein Content Delivery Network (CDN) mit Servern in den USA. Dies führt zu Drittlandtransfer-Problemen (siehe Abschnitt H).

Weitere Informationen zur Datenschutzpraxis von Usercentrics/Cookiebot finden sich in der Privacy Policy auf cookiebot.com.

D. Datenverarbeitung – Ablauf

Die Verarbeitung von Daten durch Cookiebot folgt einem strukturierten Ablauf:

E. Erhobene Daten

Cookiebot verarbeitet eine Vielzahl von Datenkategorien. Im Einzelnen:

Webserver-Protokolldaten Die IP-Adresse des Website-Besuchers wird in anonymisierter Form erfasst (die letzten drei Ziffern werden auf „0" gesetzt). Daneben werden Datum und Uhrzeit der Zustimmung, sowie Logdaten des Webservers erfasst.

Endgeräte- und Browserinformationen Der Browser-User-Agent (Browsertyp, Version, Betriebssystem), Gerätetyp und Bildschirmauflösung werden erfasst, um das Consent-Banner responsiv und korrekt anzuzeigen.

Cookie- und Tracker-Daten Cookiebot scannt automatisch alle Third-Party-Cookies und Tracking-Pixel auf der Website und dokumentiert deren Parameter.

Grobes Standortdatum Aus der anonymisierten IP-Adresse wird der ungefähre geografische Standort abgeleitet (auf Land/Region-Ebene).

Nutzer-Inhalte: Einwilligungsdaten Der Kern sind die Zustimmungsentscheidungen selbst: Welche Cookie-Kategorien hat der Nutzer akzeptiert oder abgelehnt? Diese Daten werden als Consent-Status mit einem verschlüsselten, anonymen Schlüssel gespeichert.

Nutzungskonto-Daten (für Betreiber) Falls der Webseitenbetreiber das Cookiebot-Dashboard nutzt, verarbeitet Usercentrics auch Daten zum Betreiber-Account: Login-Daten, Zugriffslogging, Konfigurationsänderungen.

F. Nutzungszwecke

Die Datenverarbeitung durch Cookiebot erfolgt mit folgenden Zwecken:

Funktionsbereitstellung und Consent-Management Der primäre Zweck ist, Website-Besuchern ein Consent-Banner bereitzustellen, auf dem sie ihre Zustimmung zu Cookies erteilen oder verweigern können. Ohne diese Verarbeitung kann das Banner nicht funktionieren.

Dokumentation und Compliance Cookiebot speichert alle erteilten und verweigerten Zustimmungen zentral, um dem Betreiber einen Nachweis zu erbringen, dass er bei der Aktivierung von Tracking-Tools (wie Google Analytics) eine gültige Einwilligung erhalten hat. Dies ist Anforderung der DSGVO (Art. 7 Abs. 1) und des deutschen TDDDG (§ 25 TDDDG).

Sicherheit und Missbrauchsschutz Cookiebot kann Bot-Aktivitäten erkennen und blockieren, um zu verhindern, dass Bots falsche Zustimmungen registrieren. Auch wird versucht, DoS-Attacken auf das Banner selbst zu verhindern.

Rechtsdurchsetzung Sollte es zu Rechtsstreitigkeiten kommen, können die Consent-Logs als Nachweis dienen, dass eine Einwilligung vorlag.

Systemverwaltung und Verbesserung Usercentrics nutzt Nutzungsdaten (in aggregierter Form) auch, um das System zu optimieren, Fehler zu beheben und neue Features zu entwickeln.

G. Rechtsgrundlagen

Die Rechtsgrundlagen für die Datenverarbeitung durch Cookiebot sind differenziert zu betrachten:

Einwilligungserfassung und Consent-Logging Für die bloße Erfassung und Speicherung der Zustimmungsentscheidungen ist regelmäßig Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) die Rechtsgrundlage. Der Webseitenbetreiber hat ein berechtigtes Interesse daran, den Nachweis einer gültigen Einwilligung zu führen, um selbst DSGVO-konform zu agieren. Dies ist sogar im Sinne der betroffenen Person, da sie damit ihre Datenschutzrechte wahren kann.

Eine alternative Sicht würde Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) heranziehen: Der Betreiber ist verpflichtet, Einwilligungen zu dokumentieren (Art. 7 DSGVO).

Verarbeitung für technische Zwecke (IP, Browser-Daten) Die Erfassung von IP-Adresse, Browser-Informationen und Zeitstempel ist notwendig für die Funktionsfähigkeit des Banners und die eindeutige Zuordnung von Zustimmungen. Auch hier ist Art. 6 Abs. 1 lit. f DSGVO die Rechtsgrundlage.

Besonderheit: Cookie des Consent-Banners selbst Das Cookiebot-Cookie selbst (das die Zustimmungsentscheidung speichert) wird oft als notwendig für das Consent-Management eingestuft und unterliegt somit nicht der Einwilligungspflicht nach Art. 7 TDDDG / § 25 TDDDG. Dies ist eine Grauzone und sollte vom Betreiber dokumentiert und ggf. mit Datenschutz-Beratern geklärt werden.

H. Besonderheiten und Hinweise

AVV/DPA ist zwingend erforderlich Da Cookiebot personenbezogene Daten im Auftrag des Webseitenbetreibers verarbeitet, ist ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO rechtlich erforderlich. Betreiber sollten prüfen, ob Usercentrics einen DPA (Data Processing Agreement) anbietet und diesen unterzeichnet haben. Fehlende AVV-Verträge führen zu Haftungsrisiken für den Betreiber.

Cookie-Scan und automatische Cookie-Erkennung Cookiebot scannt die Website kontinuierlich und erkennt Cookies automatisch. Dies ist ein erheblicher Verarbeitungsschritt. Der Betreiber verarbeitet durch die Nutzung von Cookiebot also zusätzliche Daten (die gescannten Cookies), was in der Datenschutzerklärung erwähnt werden sollte.

Cookiebot-Cookie selbst ist notwendig Das Cookiebot-Cookie, das die Zustimmungsentscheidung des Nutzers speichert (typischerweise als „CookieConsent" oder „OptanonConsent"), ist notwendig für die Funktion des Consent-Managements und unterliegt daher nicht der Einwilligungspflicht nach TDDDG § 25 Abs. 1. Es kann auch ohne explizite Zustimmung gespeichert werden.

Drittlandtransfer und Akamai Usercentrics nutzt das CDN Akamai (USA) als Subprozessor, was zu Datenübermittlungen in die USA führt. Dies ist datenschutzrechtlich umstritten und birgt Risiken im Hinblick auf Schrems II und das Fehlen eines angemessenen Datenschutzniveaus. Betreiber sollten klären, ob die EU-CDN-Alternative von Usercentrics genutzt werden kann (BunnyWay, Slowenien).

Anonymisierung der IP-Adresse ist unvollständig Cookiebot anonymisiert die IP-Adresse, indem es die letzten drei Ziffern auf „0" setzt. Dies entspricht der Anonymisierungspraxis anderer Tools, wird aber von Datenschützern kritisch betrachtet: Unter Umständen ist dies nur eine Pseudonymisierung, keine vollständige Anonymisierung.

Missbrauch und Manipulation Besonders kritisch ist: Zustimmungen können nicht vollständig manipulationssicher sein. Ein Nutzer könnte technisch die Zustimmung (über Browserkonsole) manipulieren. Cookiebot versucht, dies durch Bot-Detection zu verhindern, aber das Risiko bleibt.

I. Häufige Fragen zu Cookiebot und Datenschutz

J. Fazit

Cookiebot ist eine weit verbreitete CMP, die Datenschutzpflichten für Webseitenbetreiber schafft und erfüllt zugleich. Die Einbindung erfordert transparente Datenschutzangaben nach DSGVO – nicht nur einer generischen Aufzählung, sondern einer verfahrensorientierten Erklärung, die die Zwecke, Datentypen, Rechtsgrundlagen und Besonderheiten (Drittlandtransfer, Anonymisierung, AVV-Status) konkret darstellt.

Ein pauschaler Textbaustein für Cookiebot ist weniger sinnvoll als eine individuelle Dokumentation, die das eigene System abbildet: Welche Cookie-Kategorien werden betrieben? Welche Subprozessoren sind eingebunden? Wurde ein DPA mit Usercentrics geschlossen? Wird die EU-CDN-Alternative genutzt?

Die kritischen Punkte (Drittlandtransfer über Akamai, Anonymisierung, fehlende AVV) sollten dokumentiert und in Abstimmung mit Datenschutz-Beratern geklärt werden. Betreiber sollten regelmäßig überprüfen, ob Usercentrics Verbesserungen vorgenommen hat und ob die eigene Konfiguration noch datenschutzkonform ist.