Jetzt Mitglied werden!
eRecht24.de

Datenschutzerklärung für Cookiebot

(3 Bewertungen, 5.00 von 5)

Zurück zur Übersicht: "Cookies, Tracking & Datenschutz"

 

1. Was macht Cookiebot?

Cookiebot ist eine Software der dänischen Firma Cybot. Der Cookie-Scanner erstellt automatisch einen DSGVO-konformen Cookie-Banner mit entsprechender Cookie-Erklärung für Webseitenbesucher. Dazu überprüft sie alle Cookies und Trackingmaßnahmen einer Webseite. Unternehmen können so kontrollieren, ob diese den Vorgaben der Datenschutzgrundverordnung (DSGVO) entsprechen. Sie können über die Cookiebot Consent Management Platform (CMP) beispielsweise ermitteln, welche Daten ihre Webseite sammelt und an Dritte weitergibt. Unternehmen können mit Cookiebot daher mehr Transparenz für ihre Webseitenbesucher schaffen und Datenschutzverstöße vermeiden. Was müssen Unternehmen datenschutzrechtlich beachten, wenn sie Cookiebot einsetzen?

Der Punkt "Cookiebot" muss Bestandteil Ihrer Datenschutz­erklärung sein!

Ihre Nutzer müssen in Ihrer Datenschutz­erklärung bei Verwendung dieses Dienstes informiert werden.

Datenschutz­erklärung kostenlos erstellen

Mit dem eRecht24 Datenschutz-Generator erstellen Sie im Handumdrehen eine DSGVO-konforme Datenschutz­erklärung.

2. Warum ist Cookiebot datenschutzrechtlich relevant?

Verwenden Webseitenbetreiber Cookiebot, sammelt und speichert die Software unter anderem User-Daten wie

  • die IP-Adresse in anonymisierter Form,
  • technische Browserdaten,
  • die aktuelle Webseiten-URL und die
  • die vom Nutzer zugelassenen Cookies als Zustimmungsnachweis.

Cookiebot speichert diese Daten nur lokal. Unternehmen erheben so zum Teil jedoch personenbezogene Daten. Sie müssen daher besondere datenschutzrechtliche Pflichten erfüllen.

Interessant: Usercentrics und Cookiebot haben sich im September 2021 zusammengeschlossen. Unter dem Dach von Usercentrics kümmert sich das fusionierte Unternehmen um Cookie-Einwilligungen und DSGVO-konforme Cookie-Lösungen für Ihre Firma.

3. Cookiebot datenschutzkonform nutzen

Um Cookiebot datenschutzkonform auf Ihrer Website zu nutzen, müssen Unternehmen diese Vorgaben beachten:

Vertrag zur Auftragsverarbeitung schließen

Unternehmen erheben über Cookiebot Nutzerdaten und geben diese zur weisungsgebundenen Verarbeitung an den Anbieter Cybot weiter. Dafür müssen sie mit Cybot gemäß Art. 28 DSGVO einen Vertrag zur Auftragsverarbeitung (AV-Vertrag) schließen. Der Vertrag muss aufführen,

  • welche Kundendaten Cookiebot wie lange speichert,
  • warum und wie Cookiebot diese Daten verarbeitet und
  • welche Rechte und Pflichten die Verantwortlichen haben.

Kommen Unternehmen dieser Pflicht nicht nach, riskieren sie ein Bußgeld. Das kann bei bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes liegen. Dieses Strafmaß gibt Art. 83 Abs. 4 lit. a DSGVO vor.

Datenschutzerklärung aktualisieren

Unternehmen müssen die Verwendung vom Cookie Manager Cookiebot in ihrer Datenschutzerklärung erwähnen. Dabei sollten sie darauf hinweisen,

  • warum sie darüber personenbezogene Daten erheben,
  • wie lange sie diese Daten speichern,
  • welche Rechtsgrundlage ihnen das erlaubt (Art. 6 Abs. 1 lit. c DSGVO),
  • dass sie für die Datenweitergabe mit Cybot einen AV-Vertrag geschlossen haben und
  • dass User der Erhebung und Speicherung ihrer Daten jederzeit widersprechen oder verhindern können, indem sie die Ausführung von Script-Code in ihrem Browser deaktivieren.

Standardvertragsklauseln schließen

Unternehmen erheben über Cookiebot Nutzerdaten und geben diese an den Anbieter weiter. Dieser sitzt zwar in Dänemark und damit in der EU. Er speichert seine Daten jedoch auf einem Server in den USA. Um diesen Datentransfer rechtlich abzusichern, müssen Unternehmen mit dem Anbieter Cybot Standardvertragsklauseln abschließen. Zusätzlich müssen sie die Datenübertragung prüfen und dokumentieren. Das soll das Risiko der Datenübermittlung offenlegen. Unternehmen sollten dabei festhalten,

  • welche Daten sie an Cybot weitergeben,
  • welche Rechtsvorschriften in den USA gelten und
  • ob Cybot weitere Schritte unternimmt, um die über das Tool erhobenen Daten zu schützen.

4. Rechtsprechung zu Cookiebot

Zu Cookiebot liegen zwei aktuelle Entscheidungen vor:

2022: Verwaltungsgerichtshof Kassel zu Cookiebot

Der Hessische Verwaltungsgerichtshof (VGH) entschied im Januar 2022: Die Hochschule RheinMain darf Cookiebot vorerst weiterverwenden. Das Gericht stützte sich jedoch auf rein formale Gründe. Es bewertete nicht, ob die Hochschule Cookiebot DSGVO-konform verwendet.

Die Richter sahen lediglich keinen Bedarf darin, den Sachverhalt in einem Eilverfahren zu beurteilen. Denn: Der antragstellende Rechtsanwalt studiert oder lehrt nicht an der Hochschule. Es liegt daher kein glaubhafter Grund vor, die Entscheidung in einem Eilverfahren zu fällen. Stattdessen muss ein Hauptsacheverfahren entscheiden, ob die Hochschule Cookiebot gemäß den Vorgaben der DSGVO einsetzt (Az. Az. 10 B 2486/21).

2021: Verwaltungsgericht Wiesbaden zu Cookiebot

Das Verwaltungsgericht (VG) Wiesbaden entschied in einem Eilverfahren: Die Hochschule RheinMain erhebt über Cookiebot ungekürzte IP-Adressen und gibt diese an den Anbieter Cybot weiter, der die Daten auf einem Server in den USA speichert. In den USA herrscht jedoch kein angemessenes Datenschutzniveau.

Aufgrund des Cloud-Acts können US-amerikanische Sicherheitsbehörden jederzeit auf die Nutzerdaten zugreifen. Der Anbieter Cybot ergreift zudem keine Maßnahmen, um die Userdaten zu schützen. Und: Die Hochschule RheinMain hat weder Standardvertragsklauseln mit Cybot geschlossen noch die Einwilligung der User in die Datenerhebung über ihre Website eingeholt. Sie darf das Cookie Consent Tool daher nicht mehr verwenden (Beschluss vom 01.12.2021, Az. 6 L 738/21).

5. Strafen für fehlende AV-Verträge

Datenschutzbehörden haben bereits Strafen für einen fehlenden AV-Vertrag ausgesprochen:

2021: Datenschutzbehörde Baden-Württemberg zum AV-Vertrag

Der Fußballverein VfB Stuttgart gab zwischen 2016 und 2018 mehrere tausend Daten seiner Mitglieder an Dienstleister weiter, um diese weisungsgebunden verarbeiten zu lassen – ohne AV-Vertrag. Das verstößt gegen die DSGVO, stellte die Datenschutzbehörde Baden-Württemberg fest. Sie sprach daher im März 2021 ein Bußgeld in Höhe von 300.000 Euro gegen den Verein aus.

2018: Datenschutzbehörde Hamburg zum AV-Vertrag

Die Datenschutzbehörde Hamburg stellte im Dezember 2018 fest: Ein deutsches Versandunternehmen hatte personenbezogene Daten an einen Postdienstleister weitergegeben, ohne dafür einen AV-Vertrag zu schließen. Die Behörde sprach daher im Dezember 2018 eine Strafe in Höhe von 5.000 Euro zzgl. 250 Euro Gebühren aus.

Ich möchte mit eRecht24 chatten!
Datenschutzhinweis: Ihre Daten und Ihre Chateingaben werden in unserem Chat-Tool Brevo verarbeitet, sobald Sie zustimmen, den Chat mit uns zu beginnen. Sie können Ihre Zustimmung jederzeit zurücknehmen. Details hierzu entnehmen Sie unserer Datenschutzerklärung.
eRecht24 - Unsere praktischen Tools und hilfreichen Tutorials

mitgliederbereich teaser

Exklusiv für unsere Mitglieder

Alles was Webseitenbetreiber, Agenturen und Selbständige wirklich brauchen: Tools, Wissen, Musterverträge, Erstberatung und Live-Webinare.

Mehr Informationen

dsgvo teaser

Jetzt eRecht24 Premium Affiliate werden

Als eRecht24 Premium Affiliate Partner empfehlen Sie eine Lösung, mit der bereits mehr als 370.000 Webseiten erfolgreich rechtlich abgesichert wurden und erhalten dafür eine 25% Lifetime Provision!

Jetzt Affiliate werden

webinar teaser

Online Schulung mit RA Siebert

Die 7 häufigsten Abmahnfallen auf Webseiten und wie Sie diese einfach und ohne teuren Anwalt vermeiden. So haben Abmahner keine Chance!

Mehr Details
Datenschutzerklärung kostenlos erstellen
Erstellen Sie kostenlos eine Datenschutzerklärung für Ihre Website
  • Rechtssichere Datenschutzerklärung - in nur 3 Minuten
  • Kostenlos und anonym
Datenschutzerklärung erstellen
(6101 Bewertungen, 4.39 von 5)