Braucht man mit Cookie-Banner-Anbietern einen AV-Vertrag?

Cookies sind Datenpakete, die von Webbrowsern und Internetseiten erzeugt werden, um individuelle Nutzerdaten zu speichern. Im Internet werden damit vor allem HTTP-Cookies bezeichnet. Das sind Datenpakete, mit denen Webanwendungen personenbezogene Daten sammeln, um beispielsweise Login-Daten, Surfverhalten, Einstellungen und Aktionen in Webapplikationen (z.B. Warenkörbe in Webshops) zu speichern.

Ein Cookie-Banner wird auf Webseiten bspw. dann benötigt, wenn eine Erhebung, Verarbeitung oder Auswertung personenbezogener Daten (v.a. IP-Adressen) technisch nicht notwendig ist (vgl. § 25 TTDSG) und z.B. für Tracking-Analysen vorgenommen wird. Für diese Verarbeitung personenbezogener Daten braucht es eine ausdrückliche Einwilligung des Nutzers, die  z.B. mittels eines Cookie-Banners eingeholt werden kann. 

Alles zum Thema Cookies: siehe FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit BW

Verarbeitet nun die Anwendung „Cookie-Banner-Tool“ eines Anbieters selbst personenbezogene Daten im Auftrag?

Falls ja, ist der Webseitenbetreiber gesetzlich dazu verpflichtet, einen Auftragsverarbeitungsvertrag (AV-Vertrag) mit dem Anbieter abzuschließen. Die DSGVO schreibt vor,  dass gem. Art. 28 Abs. 3 DSGVO ein Auftragsverarbeitungsvertrag abgeschlossen werden muss, sobald ein Auftragsverarbeitungsverhältnis vorliegt.

Wie wird laut Art. 4 Abs. 8 DSGVO ein Auftragsverarbeiter definiert?
„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“.

Das dürfte bei Cookie-Banner-Anwendungen regelmäßig der Fall sein!

Begründung:

Beispiel Cookiebot: Bindet eine Webseite ein Cookiebot-Script ein, wird zwangsweise aufgrund des Internet-Protokolls TCP die IP-Adresse des Nutzers durch die Webseite zu Cookiebot weitergeleitet und dort im Sinne der DSGVO verarbeitet, vgl. Ausführungen dazu bei Dr. DSGVO.

Was muss im AV-Vertrag laut Art. 28 DSGVO geregelt werden?

Im Vertrag werden u.a. die jeweiligen Rechte und Pflichten von Auftragnehmer und Auftraggeber geregelt. Des weiteren wird auch der konkrete Gegenstand, die Art und der Zweck der Verarbeitung definiert. Zudem können noch weitere Regelungen, wie z.B. die Dauer des Auftrags, Regelungen zu Informationspflichten und zum Weisungsrecht oder auch Regelungen zur Rückgabe bzw. Löschung von Daten nach Auftragsbeendigung festgehalten werden.

Ergebnis: In aller Regel braucht man einen AV-Vertrag mit dem Cookie-Banner-Anbieter.

Stand: 05.10.2022