CookieYes und Datenschutz – Was in die Datenschutzerklärung gehört

CookieYes ist eine Consent-Management-Plattform (CMP) mit Sitz in London (Vereinigtes Königreich), die Webseitenbetreiber bei der Verwaltung von Cookie-Einwilligungen und der Einhaltung datenschutzrechtlicher Verpflichtungen unterstützt. Der Einsatz von CookieYes ist mit erheblicher Datenverarbeitung verbunden – sowohl die Plattform selbst als auch der Verantwortliche müssen ihre Rollen und Rechtsgrundlagen transparent in der Datenschutzerklärung darstellen. Dieser Leitfaden zeigt, welche Informationen zwingend erforderlich sind und wie sie rechtssicher formuliert werden.

A. Zweck und Funktionsweise von CookieYes

CookieYes bietet ein modulares Ökosystem für Consent-Management:

• Cookie-Banner: Dynamisch generierte Consent-Banner (Cookie-Walls nach ePrivacy-Richtlinie) mit kategorisierter Darstellung (essentiell, funktional, analytisch, Marketing)
• Consent-Logging: Speicherung und Verwaltung von Nutzer-Consent-Entscheidungen mit Zeitstempeln und Audit-Trail
• Cookie-Scanner: Automatisierte Erfassung aller auf der Website eingesetzten Cookies und deren Klassifikation
• Policy-Generator: Automatische Generierung von Cookie-Policies und Datenschutzerklärungen auf Basis erkannter Scripts und Tracking-Tools
• WordPress-Plugin: Direktintegration in WordPress-Websites; alternative SaaS-Lösung für alle Plattformen
• Standards: Unterstützung von IAB TCF v2.2 (Transparency & Consent Framework) und Google Consent Mode v2 für Weitergabe von Consent-Signalen an Google und andere Werbenetzwerke

CookieYes agiert dabei als Auftragsverarbeiter (Art. 28 DSGVO), nicht als Verantwortlicher. Die Verantwortlichkeit für die Rechtmäßigkeit der Verarbeitung bleibt beim Webseitenbetreiber.

B. Pflichtangaben der Datenschutzerklärung bei Einsatz von CookieYes

Folgende Informationen müssen in der Datenschutzerklärung aufgenommen werden:

1. Nennung des Anbieters: CookieYes Limited, London (UK) – mit Hinweis auf die Funktion als Auftragsverarbeiter
2. Beschreibung der Datenverarbeitung: Welche Daten werden erhoben, gespeichert und weitergegeben?
3. Verarbeitungszwecke: Consent-Verwaltung, Compliance-Dokumentation, Sicherheit
4. Empfänger und Transfers: Speicherung in UK und ggf. Indien; Weitergabe an Drittanbieter (z. B. Google bei Google Consent Mode)
5. Rechtsgrundlagen: Art. 6 Abs. 1 lit. c, f DSGVO; § 25 Abs. 2 Nr. 2 TDDDG (Telemediengesetz)
6. Löschfristen: Aufbewahrungsdauer von Consent-Logs und Audit-Trails
7. Betroffenenrechte: Hinweis auf Recht auf Auskunft, Berichtigung, Löschung, Widerspruch
8. Datenschutzbeauftragter: Falls vorhanden, Kontaktdaten des betrieblichen DSB

C. Anbieter von CookieYes

CookieYes Limited
Sitz: London, Vereinigtes Königreich

CookieYes ist rechtlich im Vereinigten Königreich registriert. Nach dem Angemessenheitsbeschluss der Europäischen Kommission vom 28. Juni 2021 (Commission Implementing Decision 2021/914/EU) gilt das UK als sicheres Drittland mit angemessenem Datenschutzniveau – Datenübermittlungen dorthin sind ohne zusätzliche Schutzmaßnahmen (wie Standard Contractual Clauses) zulässig.

Konzernstruktur und operative Standorte
CookieYes verfügt über operative Strukturen auch in Indien (Bangalore). Sollten personenbezogene Daten in die Europäische Union betroffener Personen nach Indien weitergegeben oder dort verarbeitet werden, sind Standardvertragsklauseln (Standard Contractual Clauses, Art. 46 Abs. 2 lit. c DSGVO) erforderlich, da Indien kein Angemessenheitsbeschluss der EU-Kommission vorliegt.

Privacy Policy und DPA
CookieYes stellt seine Datenschutzerklärung unter dem Link zur Verfügung (siehe Ressourcen). Ein Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA) nach Art. 28 Abs. 3 DSGVO ist verfügbar und muss vor Vertragsschluss von Verantwortlichen angefordert und unterzeichnet werden.

D. Datenverarbeitung – Ablauf in Schritten

Drittlandstatus

• UK: Angemessenheitsbeschluss (sicheres Drittland) → kein zusätzlicher Schutz nötig
• Indien (falls Verarbeitung dort): Standardvertragsklauseln erforderlich

E. Von CookieYes erhobene Daten

CookieYes erhebt und verarbeitet folgende Kategorien personenbezogener Daten:

Webserver-Protokolldaten

• IP-Adresse des Nutzers
• HTTP-Request-Header (User-Agent, Referer)
• Zugriffszeitpunkt und Zugriffsdauer
• anfragende Domain und Pfad

Browserinformationen

• Browser-Typ und -Version
• Betriebssystem
• Spracheinstellungen
• Gerätetyp (Desktop, Tablet, Mobilgerät)

Grobe Standortdaten

• Länder- und ggf. Städteebene basierend auf IP-Geolokalisierung (nicht GPS-basiert)

Endgeräte-Identifizierer

• Unique Device ID (für Tracking über mehrere Sessions)
• Cookie-Werte (CookieYes-spezifische Session-IDs)

Consent-Ereignisse und Conversion-Daten

• Consent-Entscheidung (akzeptiert/abgelehnt) je Kategorie
• Zeitstempel der Entscheidung
• Google Consent Mode-Signal (sofern Google Consent Mode v2 aktiviert ist)
• Scrollverhalten beim Banner (z. B. Banner-Interaktion erkannt ja/nein)

Diese Daten werden in pseudonymisierter oder anonymisierter Form verarbeitet, sofern keine Verlinkung zu anderen Nutzer-Identifiern stattfindet.

F. Nutzungszwecke

CookieYes verarbeitet die o. g. Daten zu folgenden Zwecken:

Funktionsbereitstellung und -optimierung

• Bereitstellung der Consent-Management-Funktion auf der Website
• Konfiguration und Verwaltung der Cookie-Banner (visuelle Anpassung, Texte, Kategorien)
• Erfassung und Speicherung von Nutzer-Consent-Entscheidungen
• Generierung von Reports für den Verantwortlichen

Sicherheit und Missbrauchsschutz

• Schutz vor automatisierten Angriffen und Bot-Traffic
• Erkennung verdächtiger Aktivitäten auf den CookieYes-Servern
• IP-basierte Rate-Limiting und DDoS-Prävention

Rechts- und Compliance-Dokumentation

• Audit-Trail für Behörden-Anfragen und Datenschutzbehörden
• Nachweise der Consent-Einholung zu DSGVO Art. 7 und § 25 Abs. 2 Nr. 2 TDDDG
• Nachweis der Einhaltung datenschutzrechtlicher Verpflichtungen

Rechtsdurchsetzung

• Reaktion auf Vorladungen oder behördliche Anforderungen
• Verfolgung von Missbrauchsfällen (z. B. Spam-Kampagnen über falsche Consent-Banner)

G. Rechtsgrundlagen für CookieYes

1. Kategorie und primäre Rechtfertigung

CookieYes ist eine Consent-Management-Plattform zur Verwaltung von Cookie-Einwilligungen. Ihre Einsetzung wird durch folgende Normen gerechtfertigt:

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung)
i.V.m. Art. 7 Abs. 1 DSGVO (Nachweispflicht für Einwilligung)
sowie § 25 Abs. 2 Nr. 2 TDDDG (Telemediengesetz – Einwilligung für nicht-essenzielle Cookies)

Der Verantwortliche muss Einwilligungen dokumentieren können und hat damit eine rechtliche Verpflichtung zur Datenverarbeitung durch CookieYes.

2. Sekundäre Rechtfertigung

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)

Zusätzlich kann die Verarbeitung durch ein berechtigtes Interesse des Verantwortlichen gerechtfertigt sein – Betriebssicherheit, Compliance-Reporting, Missbrauchserkennung (sofern nicht in lit. c ausreichend abgedeckt).

3. Drittlandtransfer

Vereinigtes Königreich (UK)
Übermittlungen in das UK sind ohne zusätzliche Schutzmaßnahmen zulässig, weil die Europäische Kommission mit Commission Implementing Decision 2021/914/EU (vom 28. Juni 2021) festgestellt hat, dass das UK ein angemessenes Datenschutzniveau bietet.

Indien (sofern CookieYes dort verarbeitet)
Für Verarbeitungen in Indien sind Standardvertragsklauseln (Standard Contractual Clauses) gemäß Art. 46 Abs. 2 lit. c DSGVO erforderlich, da Indien keinen Angemessenheitsbeschluss besitzt. Der DPA von CookieYes muss entsprechende Klauseln enthalten.

H. Besonderheiten und Hinweise zu CookieYes

• UK-Sitz mit Angemessenheitsbeschluss: CookieYes Limited ist im UK registriert und profitiert von dem Angemessenheitsbeschluss der EU-Kommission vom 28. Juni 2021. Datenübermittlungen dorthin sind zulässig ohne Bedarf zusätzlicher Garantien.

• Operative Strukturen in Indien: Sollte CookieYes Verarbeitungen in Indien durchführen (z. B. für Support, Backup, Hosting), müssen die entsprechenden DPA-Klauseln und Standardvertragsklauseln greifen.

• Data Processing Agreement (DPA) erforderlich: Verantwortliche müssen vor oder während Vertragsschluss einen unterzeichneten DPA mit CookieYes abschließen. Dieser ist Voraussetzung für DSGVO-Konformität.

• IAB TCF v2.2-Kompatibilität: CookieYes unterstützt das IAB Transparency & Consent Framework (TCF) v2.2, das es ermöglicht, Consent-Signale an Hunderte von Werbenetzwerken und Ad-Tech-Anbietern weiterzugeben. Dies erfordert zusätzliche Transparenz in der Datenschutzerklärung und explizite Bestätigung der Weitergabe.

• Google Consent Mode v2: CookieYes ermöglicht die Weitergabe von Consent-Signalen an Google (Analytics, Google Ads, etc.). Nutzer müssen hierauf hingewiesen werden.

• Audit-Logs und Compliance-Reports: CookieYes erzeugt Audit-Trails, die als Nachweise bei Datenschutzprüfungen dienen können.

I. Häufig gestellte Fragen (FAQ)

J. Fazit und praktische Empfehlungen

CookieYes ist eine etablierte CMP mit modernen Funktionen (IAB TCF v2.2, Google Consent Mode v2) und UK-Sitz (Angemessenheitsbeschluss). Um Konformität zu erreichen, sind folgende Schritte erforderlich:

1. DPA unterzeichnen – vor oder während der Implementierung
2. Datenschutzerklärung aktualisieren – mit allen Angaben aus den Abschnitten A–H
3. Consent-Banner konfigurieren – nach § 25 Abs. 2 TDDDG und Art. 7 DSGVO (informiert, freiwillig, eindeutig)
4. Audit-Logs prüfen – CookieYes-Reports regelmäßig herunterladen als Nachweise
5. Drittanbieter-Weitergaben dokumentieren – insbesondere bei IAB TCF und Google Consent Mode

Mit diesen Maßnahmen nutzen Sie CookieYes rechtskonform und nachweisbar im Einklang mit der DSGVO und dem Telemediengesetz.

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com