Direkt zum Inhalt wechseln
Beitrag

Neue Schweizer Leitlinien des EDÖB zu Cookies – ohne Banner geht’s nicht mehr!

Datenschutzrecht Data-Compliance

Cookies erleichtern das Surfen im Netz, speichern Einstellungen und ermöglichen gezielte Werbung. Gleichzeitig werfen sie erhebliche datenschutzrechtliche Fragen auf. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in seinem aktuellen Leitfaden präzisiert, welche Anforderungen Unternehmen und Websitenbetreiber beim Einsatz von Cookies in der Schweiz beachten müssen. Vor allem die Einwilligungsanforderungen, das Tracking und die Bearbeitungsgrundsätze des Datenschutzgesetzes (DSG) stehen dabei im Fokus. Welche Cookies weiterhin zulässig sind, wann eine ausdrückliche Zustimmung erforderlich ist und welche Anforderungen an Consent-Banner gestellt werden – wir klären die wichtigsten Fragen.

  1. Cookies – eine rechtliche Einordnung

Cookies sind kleine Textdateien, die vom Betreiber einer Website bei ihrem Besuch auf dem Gerät des Nutzers gespeichert werden. Sie dienen dazu, bestimmte Informationen zu speichern, welche die Nutzererfahrung verbessern oder personalisierte Werbung ermöglichen. Die neuen Leitlinien des EDÖB konkretisieren nun die Datenschutzpflichten für Unternehmen. Dabei werden Cookies in zwei Gruppen unterteilt:

Notwendige Cookies: Diese sind essenziell für den Betrieb einer Website (z.B. Login-Authentifizierung, Warenkorb-Funktion)

Nicht notwendige Cookies: Hierzu gehören Tracking-, Analyse- und Marketing- Cookies, die Nutzerdaten zu kommerziellen Zwecken verarbeiten.

Während notwendige Cookies auch ohne gesonderte Einwilligung des Nutzers verwendet werden dürfen, unterliegen nicht notwendige Cookies strengen Anforderungen – insbesondere im Hinblick auf Profiling und Tracking.

 

  1. Die Rechtsgrundlagen für Cookies in der Schweiz

a) Fernmeldegesetz (FMG, Art. 45c)

Das FMG enthält seit 2007 eine Regelung bezüglich der Speicherung von Cookies auf Endgeräten wie Smartphones. Die Bestimmung schützt die Integrität von Endgeräten und bezieht sich auf die technischen Prozesse zum Setzen, Auslesen und Speichern von Cookies.

Webseitenbetreiber werden dazu verpflichtet, Nutzer über den Einsatz von Cookies zu informieren und eine Widerspruchsmöglichkeit (Opt-out) anzubieten.

b) Datenschutzgesetz (DSG)

Das neue Schweizer Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft trat, regelt sämtliche Aspekte von Personendatenbearbeitungen, die unter Einsatz von Cookies und ähnlichen Technologien erfolgen. Das DSG legt den Fokus auf

Transparenz; Webseitenbetreiber müssen klar kommunizieren, welche Daten gesammelt werden.
Verhältnismässigkeit: Personendatenbearbeitungen dürfen nur in einer Art und Weise erfolgen, wie es für den vorgesehenen Zweck nötig ist. Cookies, die sich auf die wesentlichen Funktionen der Website beschränken wie Warenkorb-Cookies, Sprachauswahl oder Logins, sind als verhältnismässig zu betrachten, denn ohne sie kann eine Website für ihre eigentliche Funktion gar nicht verwendet werden.
Rechtfertigungspflichten: Persönlichkeitsverletzende Bearbeitungen müssen durch Einwilligung oder überwiegende Interessen gedeckt sein.

Besonders relevant ist die Abgrenzung zwischen normalem Profiling (mit Widerspruchsmöglichkeit) und Profiling mit hohem Risiko (Opt-in erforderlich).

 

  1. Wann sind Cookies zulässig – und wann nicht?

Die zentralen Voraussetzungen einer gültigen Einwilligung in einen personenbezogenen Einsatz nicht notwendiger Cookies oder ähnlichen Technologien sind gemäss Art. 6 Abs. 6 DSG eine angemessene Information über die Datenbearbeitungen, in die eingewilligt werden soll, und die Freiwilligkeit der Willenserklärung. Zur Einholung von Einwilligungen, für die das DSG in Art. 6 Abs. 7 DSG eine ausdrückliche Erklärung respektive ein Opt-in verlangt, müssen die Verantwortlichen dem Betroffenen stets ein aktives Verhalten abverlangen, mit dem sie ihre ausdrückliche Zustimmung manifestieren müssen.

Je nach Risiko des Cookie-Einsatzes unterscheiden sich die Anforderungen an die Einwilligung:

Das bedeutet: Während funktionale Cookies mit einem einfachen Opt-out angeboten werden können, ist für personalisierte Werbung oder komplexes Profiling eine ausdrückliche Einwilligung notwendig. Bei nicht notwendigen Cookies kann anstatt einer Einwilligung auch eine Interessensabwägung durchgeführt werden, wo geprüft wird, ob die mittels Cookies durchgeführten Datenbearbeitungen durch überwiegende private Interessen gerechtfertigt werden könnten.

Der EDÖB hat zudem klargestellt, dass das alleinige Weitersurfen auf einer Webseite keine gültige Einwilligung darstellt. Nutzer müssen aktiv einer Datenverarbeitung zustimmen – beispielsweise durch das Anklicken eines Buttons.

 

  1. Profiling und Tracking – Wo liegen die Grenzen?

Ein besonders sensibler Bereich ist das Tracking und Profiling von Nutzerdaten. Profiling wird dann problematisch, wenn Nutzerdaten so verarbeitet werden, dass wesentliche Persönlichkeitsaspekte analysiert oder vorhergesagt werden. Der EDÖB unterscheidet zwischen:

  • „Normalem“ Profiling: Hierunter fällt das Erfassen von Nutzerverhalten zur Personalisierung von Inhalten oder Werbung. Eine Opt-out-Möglichkeit ist ausreichend.
  • Profiling mit hohem Risiko: Sobald Cookies zur Analyse wesentlicher Persönlichkeitsaspekte genutzt werden oder eine personenübergreifende Identifikation ermöglichen, ist eine ausdrückliche Einwilligung (Opt-in) erforderlich.

Besonders problematisch ist die Weitergabe von Daten an Dritte, wenn daraus umfassende Konsumenten- oder Persönlichkeitsprofile entstehen. Bei einem Webshop beispielsweise mit personalisierten Produktempfehlungen ist ein Opt-out ausreichend. Bei einer Datenweitergabe an Werbenetzwerke für Cross-Site-Tracking ist ein Opt-in erforderlich.

Wann handelt es sich um ein Profiling mit hohem Risiko?

  • Cross-Site-Tracking (Verknüpfung von Nutzerdaten über verschiedene Webseiten)
  • Erhebung sensibler Daten (z. B. Gesundheits- oder Finanzdaten)
  • Automatisierte Entscheidungsfindung mit rechtlichen Auswirkungen

 

  1. Drittdienste & Drittanbieter-Cookies: Wer ist verantwortlich?

Viele Webseitenbetreiber setzen externe Tools ein – etwa Google Analytics, Facebook Pixel oder YouTube-Plugins. Dabei werden häufig personenbezogene Daten an Dritte weitergegeben.

Im Rahmen des Webauftritts ist der Inhaber der Website für den Einsatz von Cookies verantwortlich, weil er bestimmt, welche Daten zu welchem Zweck über seine Website bearbeitet werden. Wenn Drittdienste, also Social Plug-Ins wie Facebook, Twitter oder Instagram in die Website eingebunden werden, muss unterschieden werden, ob er die Drittdienste im Sinne einer Auftragsbearbeitung einsetzt, oder ob Dritte die auf der Website eingebetteten Dienste einsetzen, um Daten auch für ihre eigenen Zwecke zu beschaffen.

Der Dritte ist nach dem Leitfaden des EDÖB für seine Datenbearbeitung verantwortlich, da er aus Eigeninteresse auf die Bearbeitung von Personendaten Einfluss nimmt und damit an der Entscheidung über die Zwecke und Mittel dieser Bearbeitung mitwirkt. Der Websiteninhaber wiederum ermöglicht die Datenbeschaffung des Dritten erst mit der Einbindung des Drittdienstes auf seiner Website. Der Leitfaden des EDÖB stellt klar, dass für den Prozess der Datenbeschaffung des Dritten mittels der Website von einer gemeinsamen Verantwortlichkeit auszugehen ist.

 

  1. Anforderungen an Cookie-Banner – Was muss sich ändern?

Viele Webseiten setzen heute noch nicht DSG-konforme Cookie-Banner ein. Die neuen Leitlinien des EDÖB machen klar: Dark Patterns oder manipulative Gestaltung von Einwilligungsmechanismen sind unzulässig.

Was ein rechtskonformes Cookie-Banner beinhalten muss:

  • Klare, verständliche Information über den Zweck der Cookies
  • Echte Wahlmöglichkeit: „Alle akzeptieren“ und „Ablehnen“ müssen gleichwertig dargestellt sein
  • Detaillierte Steuerungsmöglichkeiten: Nutzer müssen einzelne Cookie-Kategorien aktiv auswählen können
  • Leichte Widerrufsmöglichkeit: Nutzer müssen ihre Einwilligung jederzeit einfach zurückziehen können

Was nicht zulässig ist:

  • Voreingestellte Zustimmung (pre-ticked boxes), wenn die Abwahl eines bereits angekreuzten Kastens komplizierter gestaltet ist als die Auswahl desselben.
  • Irreführende Gestaltung (z. B. grosse „Akzeptieren“-Buttons, versteckte „Ablehnen“-Optionen)
  • Keine Möglichkeit zur Ablehnung (z. B. nur „Akzeptieren“-Button ohne Alternative)

 

  1. Was Unternehmen jetzt tun müssen

Die neuen Leitlinien des EDÖB zeigen: Der Wildwuchs beim Cookie-Einsatz ist vorbei. Webseitenbetreiber müssen sicherstellen, dass ihr Cookie-Management den gesetzlichen Anforderungen entspricht – sonst drohen Untersagungen und Sanktionen.

To-Do-Liste für Unternehmen:

  • Cookie-Einsatz prüfen: Welche Cookies sind notwendig? Wo besteht Handlungsbedarf?
  • Consent-Banner anpassen: DSG-konforme Einwilligung und Darstellung sicherstellen.
  • Tracking-Technologien überarbeiten: Risikoanalyse bzw. Datenschutzfolgenabschätzung für Profiling durchführen.
  • Datenschutzerklärung aktualisieren: Klare und transparente Informationen bereitstellen.

Unternehmen, die jetzt handeln, können nicht nur rechtliche Risiken vermeiden, sondern auch Vertrauen bei ihren Nutzern aufbauen. Wer sich nicht an die neuen Vorgaben hält, riskiert nicht nur Datenschutzverstösse, sondern langfristig auch einen Reputationsverlust.

Datenschutz ist längst kein „Nice-to-have“ mehr, sondern ein entscheidender Faktor für die Zukunftsfähigkeit digitaler Geschäftsmodelle.

 

HÄRTING Rechtsanwälte unterstützt sie dabei, Ihre Website und Ihre digitalen Geschäftsmodelle DSG-konform zu gestalten. Wir helfen Ihnen, rechtliche Risiken zu minimieren, Sanktionen zu vermeiden und das Vertrauen Ihrer Nutzer zu stärken.

 

Quellen