Didomi Datenschutz – Anforderungen für die Datenschutzerklärung

Didomi ist eine international verbreitete Consent Management Platform (CMP) mit Sitz in Paris, Frankreich. Wer Didomi auf einer Website einsetzt, muss in seiner Datenschutzerklärung dokumentieren, dass Didomi selbst Daten verarbeitet – nicht nur, um Einwilligungen zu verwalten, sondern auch zum Zweck des Consent-Logging, der Nachweisverpflichtung nach Art. 7 Abs. 1 DSGVO und der Compliance-Kontrolle.

Dieser Leitfaden stellt dar, welche Angaben datenschutzrechtlich erforderlich sind und wie Webseitenbetreiber (Verantwortliche) das Thema Didomi rechtssicher in ihre Datenschutzerklärung integrieren.

A. Zweck und Funktionsweise von Didomi

Didomi ist eine cloudbasierte Plattform zur Verwaltung von Nutzereeinwilligungen und Cookie-Präferenzen. Die Kernfunktionen:

• Cookie-Banner: JavaScript-basiertes UI zur Abfrage von Einwilligungen
• Consent String (IAB TCF v2.2): Kodierte Darstellung aller Einwilligungsentscheidungen nach dem Standard der Interactive Advertising Bureau
• Google Consent Mode v2: Vereinfachte Integration mit Google-Analytics, Google Ads und anderen Google-Diensten
• Consent-Logging: Speicherung und Nachverfolgung von Einwilligungsentscheidungen in Didomi-Datenbanken
• Preference Management: Verwaltungs-Dashboard für Websitebetreiber; Abruf von Consent-Logs und Nutzer-Präferenzen

Die technische Integration erfolgt üblicherweise per JavaScript-Snippet (SDK), das Didomi auf jeder Seite lädt.

B. Pflichtangaben in der Datenschutzerklärung

Folgende Angaben sind in der Datenschutzerklärung erforderlich, wenn Didomi eingesetzt wird:

• Anbieter und Kontakt (Didomi SAS, Sitz, Datenschutzbeauftragter)
• Verarbeitete Datenkategorien (anonyme User-ID, Consent-Entscheidungen, Zeitstempel, IP-Adresse, User-Agent, URL, Sprache)
• Verarbeitungszwecke (Einwilligungsmanagement, Compliance-Nachweis, Sicherheit, Rechtsdurchsetzung)
• Dauer der Speicherung (üblicherweise bis zum Widerruf oder Ablauf gesetzlicher Aufbewahrungsfristen)
• Berechtigte Empfänger (Websitebetreiber selbst, ggf. Subprozessoren von Didomi)
• Betroffenenrechte (Auskunft, Berichtigung, Löschung, Datenportabilität nach Art. 15–20 DSGVO)
• Rechtsgrundlagen (Art. 6 Abs. 1 lit. c, f DSGVO; § 25 Abs. 2 Nr. 2 TDDDG für CMP-Cookie selbst)

Zum Generieren einer vollständigen, angepassten Datenschutzerklärung nutzen viele Betreiber spezialisierte Tools:

C. Anbieter: Didomi SAS

Didomi tritt gegenüber dem Websitebetreiber typischerweise als Auftragsverarbeiter (Art. 28 DSGVO) auf, wenn eine Datenverarbeitungsvereinbarung (AVV/DPA) geschlossen wurde. Für die Datenverarbeitung zum Zweck der eigenen Betriebsoptimierung oder Missbrauchsprävention kann Didomi teilweise auch eigenverantwortlich handeln.

D. Datenverarbeitung – Ablauf in Schritten

Die folgende Sequenz verdeutlicht, wie Didomi Daten erfasst und nutzt:

E. Von Didomi erhobene und verarbeitete Daten

Didomi verarbeitet folgende Datenkategorien:

Webserver-Protokolldaten

• IP-Adresse (ggf. anonymisiert)
• Zeitstempel der Banner-Interaktion
• HTTP-Request-Header

Endgeräte- und Browserinformationen

• User-Agent (Browsertyp, Betriebssystem, Gerätetyp)
• Browsersprache
• Browsergröße / Viewport-Auflösung

Besuchte URL / Seitenkontext

• Domain und Pfad der Seite, auf der Banner angezeigt wurde
• Referrer-Information (sofern vorhanden)

Standortdaten

• Grobe geografische Lokalisierung (Land, ggf. Stadt) basierend auf IP-Adresse

Consent-spezifische Daten

• Einwilligungsentscheidung pro Cookie/Tracker (angenommen/abgelehnt)
• Consent String (IAB TCF v2.2 kodiert)
• Anonyme oder pseudonyme User-ID (Didomi-interne ID für den Nutzer)
• Zeitpunkt und Änderungen an Einwilligungspräferenzen

Conversion-Ereignisse

• Banner-Impression, Button-Clicks, Consent-Updates als Ereignisse

F. Nutzungszwecke

Didomi verarbeitet diese Daten für folgende Zwecke:

Funktionsbereitstellung des Einwilligungsmanagements

• Anzeige und Verwaltung des Cookie-Banners
• Speicherung und Abruf von Einwilligungsentscheidungen

Sicherheit und Missbrauchsprävention

• Schutz vor Manipulationen von Einwilligungen
• Erkennung automatisierter oder betrügerischer Anfragen
• Schutz vor DDoS und anderen Cyberangriffen auf die CMP-Infrastruktur

Compliance und Nachweis

• Dokumentation der Einwilligung als Beweis nach Art. 7 Abs. 1 DSGVO
• Erfüllung gesetzlicher Aufbewahrungsanforderungen
• Audit-Trails für datenschutzrechtliche Kontrollen

Rechtsdurchsetzung und Rechenschaftspflicht

• Erfüllung der Nachweispflicht (Rechenschaftsprinzip, Art. 5 Abs. 2 DSGVO)
• Bearbeitung von Betroffenenrechtsanfragen (Auskunft, Löschung)

G. Rechtsgrundlagen

1. Warum Didomi überhaupt eingebunden wird – Nötigungspflicht

Der Einsatz einer CMP wie Didomi ist notwendig zur Erfüllung der Einwilligungspflicht nach § 25 Abs. 1 TDDDG (Telekommunikation-Telemedien-Datenschutz-Gesetz) für nicht-essenzielle Cookies und Tracker. Ohne CMP kann der Websitebetreiber Einwilligungen nicht fachgerecht erfassen und nachweisen.

2. Rechtsgrundlagen für Didomi selbst

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung

• Die Datenverarbeitung durch Didomi ist notwendig, um die Nachweispflicht nach Art. 7 Abs. 1 DSGVO zu erfüllen: Der Verantwortliche (Websitebetreiber) muss nachweisen, dass und wie er eine Einwilligung erhalten hat.

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse

• Didomi verarbeitet Daten auch zum Zweck der Sicherheit (Missbrauchsprävention, DDoS-Schutz) und der Compliance-Kontrolle (interne Audits, Fehlersuche), was berechtigte Interessen darstellt.

§ 25 Abs. 2 Nr. 2 TDDDG – Ausnahme für essentielle Cookies der CMP selbst

• Das CMP-Cookie von Didomi (zur Speicherung von Einwilligungsentscheidungen) ist selbst von der Einwilligungspflicht ausgenommen, wenn es „vom Nutzer gewünscht" ist (d. h., notwendig, um den Einwilligungsvorgang überhaupt umzusetzen).

H. Besonderheiten und Hinweise

• EU-Hosting: Didomi nutzt primär EU-Rechenzentren (Frankreich, Deutschland). Das reduziert Drittlandtransfer-Risiken nach Art. 44–49 DSGVO.

• Datenverarbeitungsvereinbarung (AVV/DPA): Didomi stellt eine Standard-DPA bereit. Der Websitebetreiber muss diese abschließen, um die Auftragsverarbeiter-Anforderungen zu erfüllen.

• IAB TCF v2.2 Compliance: Der von Didomi generierte Consent String ist nach dem Standard der Interactive Advertising Bureau kodiert und wird von den meisten Ad-Tech-Plattformen verstanden.

• Google Consent Mode v2: Didomi integriert die Google-Konsent-Mode-API, was automatisierte Signale an Google-Services übermittelt (z. B. Analytics, Ads) – dies ist selbst eine Datenübermittlung, die separat dokumentiert werden sollte.

• Subprozessoren: Didomi nutzt ggf. Unterauftragsverarbeiter (z. B. Cloud-Provider, Analyse-Tools). Diese sollten in der Subprozessoren-Liste der DPA aufgeführt sein.

• Widerrufsrecht: Nutzer können Einwilligungen jederzeit über das Banner oder Didomi-Preference-Center widerrufen.

I. Häufig gestellte Fragen

J. Fazit und praktische Checkliste

Der Einsatz von Didomi ist ein datenschutzrechtlich anerkanntes Verfahren zur Verwaltung von Cookie-Einwilligungen. Voraussetzung für die Rechtmäßigkeit ist jedoch die transparente Dokumentation in der Datenschutzerklärung sowie der Abschluss einer gültigen Datenverarbeitungsvereinbarung (DPA/AVV).

Für eine vollständige und maßgeschneiderte Datenschutzerklärung empfehlen wir ein spezialisiertes Tool:

Autorenschaft

Dieser Wissensbeitrag wird von der matterius GmbH bereitgestellt. matterius ist keine Kanzlei und erbringt keine Rechtsberatung.

matterius wird inhaltlich begleitet von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München.

Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.

Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.

Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.

Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.

Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.

Mehr über Dr. Helbing: www.thomashelbing.com