Cookiebot und Datenschutz: Der Cookie-Banner, der selbst Datenschutzpflichten auslöst

Cookiebot soll dafür sorgen, dass deine Website DSGVO-konform Einwilligungen einholt – löst dabei aber selbst eine Reihe von Datenschutzpflichten aus. Das Tool baut bei jedem Seitenaufruf eine Verbindung zu externen Servern auf, überträgt dabei Besucher-IP-Adressen und speichert Einwilligungsnachweise bei Usercentrics A/S in Dänemark. Dazu kommt ein Drittlandtransfer in die USA, den du aber durch eine Einstellungsänderung vermeiden kannst.

Überblick

Was ist Cookiebot?

Cookiebot ist ein Cookie-Banner-Dienst des dänischen Unternehmens Usercentrics A/S. Das Tool blendet beim ersten Besuch deiner Website einen Banner ein, über den Besucher ihre Einwilligung zu Cookie-Kategorien geben oder ablehnen können. Cookiebot scannt deine Website regelmäßig auf Cookies und Tracker und blockiert diese automatisch, bis eine Einwilligung vorliegt.

Cookiebot – DSGVO-Risiko

KriteriumRisikoEinschätzung
Cookies🟢Cookiebot setzt nur einen technisch notwendigen Cookie zur Speicherung der Einwilligungsentscheidung – keine zustimmungspflichtigen Tracking-Cookies.
Externe Verbindungen🔴Bei jedem Seitenaufruf wird ein externes Skript von Cookiebot-Servern geladen – diese Verbindung ist für den Betrieb des Banners zwingend erforderlich.
Datenschutzerklärung🔴Cookiebot verarbeitet Besucherdaten auf eigenen Servern – ein eigener Eintrag in der Datenschutzerklärung ist erforderlich.
Drittlandtransfer🟡In der Standardkonfiguration fließen IP-Adressen über einen US-amerikanischen CDN-Anbieter – durch eine Einstellungsänderung auf den EU-Endpunkt lässt sich das vermeiden.
Auftragsverarbeitung🔴Usercentrics A/S verarbeitet Besucherdaten im Auftrag – ein Auftragsverarbeitungsvertrag ist erforderlich.
Benutzereingaben🟢Cookiebot fragt nur nach der Einwilligungsentscheidung – keine Formulare für persönliche Daten wie Name oder E-Mail-Adresse.

Datenverarbeitung

Welche Daten verarbeitet Cookiebot – und wann?

Cookiebot wird als externes Skript in den Kopfbereich deiner Website eingebunden.

Sobald jemand deine Website aufruft, lädt der Browser dieses Skript direkt von den Servern von Usercentrics A/S. Dabei übermittelt deine Website automatisch einige technische Daten an Cookiebot: die URL deiner Seite, die Browsersprache des Besuchers, seinen User-Agent (eine Art technische Visitenkarte des Browsers) und die IP-Adresse.

Diese Daten braucht Cookiebot, um den richtigen Banner in der richtigen Sprache auszuliefern. Nach dem Anzeigen des Banners trifft der Besucher eine Entscheidung – und diese Entscheidung schickt Cookiebot an seine eigenen Server zurück, wo sie als Nachweis gespeichert wird. All das passiert, bevor der Besucher irgendetwas auf deiner Seite getan hat.

Cookiebot und Datenschutz: Datenübertragung zu Usercentrics A/S in Dänemark, in der Standardkonfiguration zusätzlich über Akamai Technologies in die USA
Sobald jemand deine Website aufruft, baut Cookiebot eine direkte Verbindung zu Usercentrics-Servern auf – dafür brauchst du einen Auftragsverarbeitungsvertrag. In der Standardkonfiguration fließt dabei die IP-Adresse auch über Akamai Technologies in den USA.

Cookies

Setzt Cookiebot selbst Cookies auf meiner Website?

Cookiebot setzt einen eigenen Cookie namens CookieConsent. Dieser Cookie speichert die Einwilligungsentscheidung des Besuchers – also was er im Banner akzeptiert oder abgelehnt hat. Ohne diesen Cookie würde Cookiebot beim nächsten Seitenaufruf wieder fragen, obwohl der Besucher schon eine Entscheidung getroffen hat.

Dieser Cookie ist technisch notwendig und braucht keine Zustimmung. Er gehört aber in deine Datenschutzerklärung, weil er eine anonymisierte Kennung enthält, mit der Cookiebot die Einwilligung deinem Besucher zuordnen kann.

Externe Verbindungen

Baut Cookiebot externe Verbindungen zu fremden Servern auf?

Cookiebot baut bei jedem Seitenaufruf eine externe Verbindung zu consent.cookiebot.com auf – oder zur EU-Variante consent.cookiebot.eu, wenn du das so eingestellt hast. Diese Verbindung ist für den Betrieb deines Cookie-Banners notwendig: Ohne sie kann Cookiebot den Banner nicht laden und deine Website wäre ohne funktionierenden Cookie-Banner. Diese Verbindung ist daher für den Betrieb deiner Website notwendig und muss nicht im Cookie-Banner blockiert werden. Sie gehört aber in deine Datenschutzerklärung.

Prüfe außerdem, ob du in deinem Cookiebot-Konto den EU-Endpunkt aktiviert hast – dazu weiter unten mehr im Abschnitt zum Datentransfer.

Cookiebot auf deiner Website? DSGVO-Check in 60 Sekunden.

Gib deine Domain ein und sieh sofort, was los ist.

→ Datenschutz-Check starten

Benutzereingaben

Verarbeitet Cookiebot Eingaben meiner Website-Besucher?

Cookiebot verarbeitet keine persönlichen Eingaben wie Name, E-Mail-Adresse oder Telefonnummer. Die einzige Interaktion, die Cookiebot mit deinen Besuchern hat, ist die Einwilligungsentscheidung im Cookie-Banner – also das Klicken auf „Akzeptieren“, „Ablehnen“ oder eine differenzierte Auswahl. Das ist keine Dateneingabe im eigentlichen Sinne.

Drittlandtransfer

Werden Besucher-IP-Adressen in die USA übertragen?

In der Standardkonfiguration überträgt Cookiebot IP-Adressen deiner Website-Besucher über einen US-amerikanischen Dienstleister namens Akamai Technologies. Akamai betreibt das Netzwerk, über das das Cookiebot-Skript weltweit schnell ausgeliefert wird. Dabei kommen Besucher-IP-Adressen zwangsläufig bei Akamai an – auch wenn Cookiebot eigene Serverdaten nur in Europa speichert.

Cookiebot bietet eine einfache Lösung dafür: Du kannst in deinen Plugin-Einstellungen oder im Skript-Code auf den EU-Endpunkt wechseln. Dazu muss im eingebundenen Skript consent.cookiebot.com durch consent.cookiebot.eu ersetzt werden. Wenn du das WordPress-Plugin verwendest, gibt es dafür eine Einstellung in den Plugin-Optionen. Mit dem EU-Endpunkt werden ausschließlich europäische Server genutzt und IP-Adressen fließen nicht mehr in die USA.

Auftragsverarbeitung

Brauche ich einen Vertrag mit Usercentrics für Cookiebot?

Cookiebot speichert die Einwilligungsentscheidungen deiner Besucher auf eigenen Servern von Usercentrics A/S in Dänemark. Dabei werden personenbezogene Daten – IP-Adressen und die zugehörigen Einwilligungsnachweise – im Auftrag verarbeitet. Das macht einen Auftragsverarbeitungsvertrag mit Usercentrics A/S erforderlich.

Den Vertrag bekommst du direkt bei Usercentrics: Auf der Seite usercentrics.com/de/rechtliche-dokumente/ findest du unter „Cookiebot Datenverarbeitungsvereinbarung“ das entsprechende Dokument zum Herunterladen und Unterzeichnen.

Datenschutzerklärung

Muss Cookiebot in meine Datenschutzerklärung?

Cookiebot verarbeitet Besucherdaten auf eigenen Servern – IP-Adresse und Einwilligungsnachweis. Daraus folgt, dass Cookiebot einen eigenen Eintrag in deiner Datenschutzerklärung braucht.

Diese Angaben gehören in den Eintrag:

  • Zweck: Einholung und Dokumentation von Cookie-Einwilligungen der Website-Besucher
  • Rechtsgrundlage: Berechtigtes Interesse (DSGVO-konforme Einwilligungsverwaltung)
  • Empfänger: Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark
  • Drittlandtransfer: In der Standardkonfiguration können IP-Adressen über einen US-amerikanischen Dienstleister übermittelt werden. Dieser Transfer entfällt, wenn du den EU-Endpunkt (consent.cookiebot.eu) verwendest.
  • Speicherdauer: Die Einwilligungsentscheidung wird im Cookie CookieConsent für bis zu 12 Monate im Browser gespeichert. Der Einwilligungsnachweis wird serverseitig bei Usercentrics A/S für Prüfzwecke aufbewahrt.

Textvorschlag für deine Datenschutzerklärung

Dieser Textvorschlag ist ein unverbindliches Beispiel und ersetzt keine Rechtsberatung. Passe ihn an deine konkrete Nutzung an.

Cookiebot – Einwilligungsverwaltung für Cookies

Auf dieser Website wird Cookiebot eingesetzt, ein Dienst der Usercentrics A/S, Havnegade 39, 1058 Kopenhagen, Dänemark. Cookiebot stellt den Cookie-Einwilligungsbanner bereit und dokumentiert die Entscheidungen der Website-Besucher. Beim Laden des Banners werden technische Daten an Server von Usercentrics A/S übermittelt, darunter die IP-Adresse, die Browsersprache und die URL der aufgerufenen Seite. Diese Daten werden ausschließlich zur Auslieferung des Banners und zur Speicherung des Einwilligungsnachweises verwendet.

Die Rechtsgrundlage für die Verarbeitung ist das berechtigte Interesse an einer nachweisbaren, datenschutzkonformen Einwilligungsverwaltung. Mit Usercentrics A/S besteht ein Auftragsverarbeitungsvertrag. Die Einwilligungsentscheidung wird im Cookie CookieConsent im Browser des Besuchers für bis zu 12 Monate gespeichert. In der Standardkonfiguration können IP-Adressen über den US-amerikanischen Dienstleister Akamai Technologies übermittelt werden; bei Verwendung des EU-Endpunkts entfällt dieser Transfer.

Alternative

Gibt es einen datenschutzfreundlicheren Cookie-Banner für WordPress?

Complianz ist eine datenschutzfreundlichere Alternative zu Cookiebot. Das Plugin erfüllt die gleiche Kernaufgabe wie Cookiebot: DSGVO-konformer Cookie-Banner mit Einwilligungsdokumentation. Und dabei speichert es alle Einwilligungsentscheidungen direkt in deiner WordPress-Datenbank – es gibt keinen externen Server, keine Verbindung zu Drittanbieter-Servern beim Seitenaufruf und keinen Transfer von IP-Adressen in die USA oder an andere externe Dienste.

Fehler

Typische Fehler beim Einsatz von Cookiebot

Der häufigste Fehler: Cookiebot ist installiert und läuft – aber der Eintrag in der Datenschutzerklärung fehlt. Weil Cookiebot selbst der Cookie-Banner ist, vergessen viele Website-Betreiber, dass das Tool selbst Daten verarbeitet und daher erklärt werden muss.

Ein weiterer verbreiteter Fehler ist das Versäumen des Auftragsverarbeitungsvertrags mit Usercentrics A/S. Ohne diesen Vertrag fehlt die vertragliche Grundlage dafür, dass Usercentrics die Einwilligungsnachweise deiner Besucher speichert.

Dritter typischer Fehler: Der EU-Endpunkt ist nicht aktiviert, obwohl du ihn einrichten könntest. In der Standardkonfiguration läuft Cookiebot über consent.cookiebot.com und nutzt dabei Akamai Technologies aus den USA als Zwischenstufe. Wechselst du auf consent.cookiebot.eu, entfällt dieser Transfer komplett – und du hast einen potenziellen Datenschutz-Kritikpunkt weniger.

DSGVO-Check

Woran erkenne ich, ob Cookiebot auf meiner Website aktiv ist?

Cookiebot verrät sich durch eine externe Verbindung: Wenn deine Website das Tool einsetzt, baut sie beim Seitenaufruf eine Verbindung zu consent.cookiebot.com oder consent.cookiebot.eu auf. Du kannst das in den Entwicklertools deines Browsers unter „Netzwerk“ prüfen – lade deine Startseite und suche in den Anfragen nach diesen Adressen.

Außerdem legt Cookiebot den Cookie CookieConsent im Browser ab, sobald jemand im Banner eine Entscheidung getroffen hat. Diesen Cookie kannst du in den Browser-Entwicklertools unter „Anwendung“ → „Cookies“ nachsehen. Alternativ zeigt dir ein Datenschutz-Scan, ob Cookiebot auf deiner Website aktiv ist und ob der EU-Endpunkt korrekt eingerichtet ist.

Quellen und weiterführende Links

Dein DSGVO-Ergebnis in 60 Sekunden?

Gib deine Domain ein – du siehst, welche Plugins, Dienste und externen Verbindungen auffallen, und bekommst eine Gesamteinschätzung.

→ Datenschutz-Check starten

Sofia

Dipl.-Informatikerin, Webentwicklerin seit 2006 und Autorin bei Packt Publishing. Mit datenrein.de helfe ich WordPress-Betreibern, Datenschutz-Probleme zu erkennen und zu lösen – ohne Juristendeutsch und ohne Technik-Kauderwelsch.