Opt-in, Opt-out: Rechtskonforme Cookies auf Websites in der Schweiz

← zurück zum Blog

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal

Wer Websites ausserhalb der Schweiz besucht, trifft immer häufiger auf den Hinweis, dass man mit der weiteren Nutzung der entsprechenden Websites stillschweigend in die Verwendung von Cookies einwilligt. Manche Website-Betreiber bitten sogar um eine ausdrückliche Einwilligung für die Verwendung von Cookies oder erklären zumindest, wie Cookies im Browser deaktiviert werden können.

Hintergrund ist die so genannte Cookie-Richtlinie der Europäischen Union (EU) von Ende 2009. Diese Richtlinie ist auch für Betreiber von Websites in der Schweiz relevant. Die Schweiz kennt seit Frühling 2007 eine eigene Cookie-Regelung, die im Vergleich zur EU aber wesentlich weniger restriktiv ist.

20140718_cookie-richtlinie_twitter-com_001

Ein Beispiel für die Umsetzung der Cookie-Richtlinie findet sich auf der Website von Twitter:

«Um Dir Twitter zur Verfügung zu stellen, benutzen wir und unsere Partner Cookies auf unserer und anderen Websites. Cookies helfen dabei, Inhalte von Twitter persönlich abzustimmen, Twitter Annoncen individuell anzupassen, ihre Performance zu messen und Twitter für Dich besser, schneller und sicherer zu machen. Durch die Nutzung unserer Services erklärst Du Dich mit unserer Nutzung von Cookies einverstanden.»

Opt-in: Cookie-Richtlinie der Europäischen Union

Bei der so genannten Cookie-Richtlinie handelt es sich um die europäische Richtlinie 2009/136/EG. Sie trat am 19. Dezember 2009 in Kraft und revidierte die bestehende europäische Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG). Da mit dieser Revision insbesondere die rechtlichen Voraussetzungen für die Verwendung von Cookies verschärft wurden, ist die Bezeichnung als Cookie-Richtlinie weit verbreitet.

In der EU gilt seit Inkrafttreten der Cookie-Richtlinie, dass Cookies nur noch verwendet werden dürfen, wenn die Nutzerinnen und Nutzer einer Website nach vorgängiger Aufklärung ihre Einwilligung erteilt haben (Opt-in-Prinzip, Informed Consent). Diese Regelung gilt nicht nur für Cookies, sondern für jegliche Speicherung von Informationen auf den Endgeräten von Nutzerinnen und Nutzern sowie den Zugriff auf solche Informationen. Dazu zählen beispielsweise die so genannten Flash-Cookies (Local Shared Objects, LSO) sowie Web Storage (DOM Storage).

Als Ausnahme gilt die Cookie-Richtlinie nicht für Cookies, die unbedingt erforderlich sind, beispielsweise um angemeldete Nutzerinnen und Nutzer zu identifizieren oder um einen Warenkorb zu führen. Die meisten Cookies dürften allerdings nicht unbedingt erforderlich sein, sondern werden vorwiegend im Zusammenhang mit Werbung sowie für das Sammeln von Nutzerdaten verwendet.

Umsetzung der Cookie-Richtlinie in der EU

Die Cookie-Richtlinie muss durch die EU-Mitgliedstaaten umgesetzt werden, was bis heute nicht überall geschehen ist. In Deutschland fehlt ein entsprechendes nationales Gesetz und wie die Umsetzung zu erfolgen hat, ist innerhalb der EU umstritten. So ist unklar, wie genau die Einwilligung zur Verwendung von Cookies erfolgen muss. Die Cookie-Richtlinie sieht in ihren – allerdings unverbindlichen – einleitenden Erwägungen vor, dass die Umsetzung «so benutzerfreundlich wie möglich» erfolgen soll. Nationale Umsetzungen der Cookie-Richtlinie müssen deshalb das Opt-in-Prinzip vorschreiben, sollten aber die Benutzerfreundlichkeit beim Surfen auf Websites mit Cookies nicht unverhältnismässig einschränken.

In der Praxis ist eine Umsetzung, wie sie bei Twitter anzutreffen ist, weit verbreitet: Nutzerinnen und Nutzer werden aktiv und vorgängig über die Verwendung von Cookies informiert und dabei um ihre stillschweigende Einwilligung durch die weitere Nutzung der besuchten Website gebeten. Gleichzeitig wird erklärt, wie Cookies im Browser deaktiviert werden können.

Die Einwilligung zur Cookie-Verwendung kann pauschal erfolgen und ist nicht für jedes einzelne Cookie notwendig. Hingegen genügt als Einwilligung nicht, dass der Browser auf dem verwendeten Endgerät Cookies generell zulässt, denn dabei handelt es sich um die gängige Standardeinstellung und keine Nutzer-Einwilligung. Bei minderjährigen Nutzerinnen und Nutzern muss die Einwilligung wie in den meisten anderen rechtlichen Angelegenheiten durch die gesetzlichen Vertreter erfolgen.

Relevanz der Cookie-Richtlinie für die Schweiz

Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offen stehen sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.

Für gängige Content Management Systeme (CMS) sind Plugins verfügbar. Für WordPress gibt es unter anderem «Cookie Notice» und «Cookie Law Info».

Opt-out: Cookie-Regelung in der Schweiz

Die schweizerische Cookie-Regelung ist seit dem 1. April 2007 in Kraft und findet sich in Art. 45c lit. b des Fernmeldegesetzes (FMG). Demnach ist das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Ein Verstoss gegen diese Cookie-Regelung gilt als Ordnungswidrigkeit und kann mit Busse bis zu 5000 Franken bestraft werden (Art. 53 FMG).

Website-Betreiber in der Schweiz müssen gemäss dieser Cookie-Regelung ihre Nutzerinnen und Nutzer über verwendete Cookies informieren und dabei auch den Zweck nennen. Ausserdem muss erklärt werden, wie Cookies abgelehnt, das heisst im Browser deaktiviert werden können. Im Gegensatz zur EU folgt die Schweiz damit dem Opt-out-Prinzip. Eine ausdrückliche Einwilligung ist nur notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).

Die Cookie-Regelung in der Schweiz enthält keine Formvorschriften. So genügt in der Regel ein entsprechender Hinweis in der Datenschutzerklärung, wie sie auf vielen Websites in der Fusszeile von einzelnen Seiten verlinkt ist. In Bezug auf das Deaktivieren von Cookies sind kurze Anleitungen für die gängigen Browser nutzerfreundlich, durch die schweizerische Cookie-Regelung aber nicht zwingend vorgeschrieben. Manche Websites weisen darauf hin, dass ohne Cookies allenfalls nicht mehr alle Funktionen genutzt werden können.

Knapp formuliert und als Teil der Datenschutzerklärung einer Website könnte die schweizerische Cookie-Regelung wie folgt umgesetzt werden:

«Diese Website verwendet Cookies. Cookies sind kleine Textdateien, die beim Besuch dieser Website in Ihrem Computer dauerhaft oder temporär gespeichert werden. Zweck der Cookies ist insbesondere die Analyse der Nutzung dieser Website zur statistischen Auswertung sowie für kontinuierliche Verbesserungen.

In Ihrem Browser können Sie Cookies in den Einstellungen jederzeit ganz oder teilweise deaktivieren. Bei deaktivierten Cookies stehen Ihnen allenfalls nicht mehr alle Funktionen dieser Website zur Verfügung.»

Für Dritt-Cookies von Diensten wie Google Analytics sind zusätzliche Hinweise notwendig. Viele Anbieter von solchen Diensten sehen in ihren Nutzungsbedingungen einen solchen Hinweis ausdrücklich vor.

Empfehlungen für Website-Betreiber in der Schweiz

  • Schweizerische Cookie-Regelung immer umsetzen: Betreiber von Websites in der Schweiz sollten zumindest die schweizerische Cookie-Regelung umsetzen. Die Umsetzung kann als Teil einer Datenschutzerklärung erfolgen und sollte Informationen über die Verwendung von Cookies und deren Zweck sowie eine Erklärung zu einer Opt-out-Möglichkeit umfassen. Als Opt-out-Möglichkeit ist ein Hinweis auf die entsprechenden Browser-Einstellungen am einfachsten.
  • Europäische Cookie-Richtlinie allenfalls auch umsetzen: Da die meisten schweizerischen Websites Nutzerinnen und Nutzern aus der EU offen stehen, empfiehlt es sich, allenfalls auch die Cookie-Richtlinie der EU umzusetzen. Nutzerinnen und Nutzer sollten mit einem entsprechenden Hinweis aktiv auf die Verwendung von Cookies hingewiesen sowie um ihre zumindest stillschweigende Einwilligung durch die weitere Website-Nutzung gebeten werden. Für weitere Informationen zur Cookie-Verwendung kann auf eine Datenschutzerklärung verlinkt werden.
  • Etwaige Dritt-Cookies berücksichtigen: Sofern Dritt-Cookies von Diensten wie Google Analytics verwendet werden, sind zusätzliche Hinweise notwendig.

Hinweis: Im Zweifelsfall, bei Unklarheiten und für Abklärungen im Einzelfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

12 Kommentare

  1. Nutzungsbestimmungen insbesondere, wenn diese lange sind wecken mein Lesehunger eher nicht. Ich bin geneigt diese so kurz wie möglich zu halten oder gar weg zu lassen, da mich die Welt damit nicht besser dünkt als ohne. Analytics & Like-Buttons etc. werden oft ohne entsprechenden Hinweise verbaut. Ich frage mich, ob Verstösse je geahndet werden und falls ja, ob es darüber Zahlen (für die CH) gibt?

    • @Erni:

      In den USA wurde Google im Zusammenhang mit Cookies gebüsst, in Europa wurden in Spanien bereits Bussen bekannt. Für die Schweiz sind mir keine Zahlen dazu bekannt.

  2. Was heist dies Konkret:

    •Etwaige Dritt-Cookies berücksichtigen: Sofern Dritt-Cookies von Diensten wie Google Analytics verwendet werden, sind zusätzliche Hinweise notwendig.

    Wie sähe ein solcher Hinweis aus und wie liesse sich dieser in diesen Text integrieren?

    «Diese Website verwendet Cookies. Cookies sind kleine Textdateien, die beim Besuch dieser Website in Ihrem Computer dauerhaft oder temporär gespeichert werden. Zweck der Cookies ist insbesondere die Analyse der Nutzung dieser Website zur statistischen Auswertung sowie für kontinuierliche Verbesserungen.

    In Ihrem Browser können Sie Cookies in den Einstellungen jederzeit ganz oder teilweise deaktivieren. Bei deaktivierten Cookies stehen Ihnen allenfalls nicht mehr alle Funktionen dieser Website zur Verfügung.»

    „… Website zur statistischen Auswertung “ reicht doch vollkommen aus?

    • @Dani:

      Wie solche Hinweise aussehen können, hängt von den verwendeten Diensten ab. Für Google Analytics findet man online, vor allem auch in Deutschland, viele Empfehlungen, sofern man sich nicht direkt beraten lassen möchte.

  3. Ich bin nicht dafür europäische Richtlinien bewusst umzusetzen.

    Wenn jemand eine CH-Domain besucht, dann sollte er sich auch darüber im klaren sein, dass von da an CH-Recht und nicht EU-Recht gilt.

    Andernfalls muss er auf den Besuch der CH-Sites verzichten.

    • @Thomas Hertli:

      Man kann sich selbstverständlich dagegen entscheiden, EU-Recht oder das Recht anderer Staaten, in denen die eigene Website abrufbar ist, umzusetzen. Je nach Website besteht dafür tatsächlich keine Notwendigkeit oder die Risiken sind gering. Ich empfehle aber, im Einzelfall abzuwägen, ob und falls ja, andere Rechtsordnungen als die schweizerische berücksichtigt werden sollen.

  4. Sehe ich das richtig, dass wenn ich die EU Variante umsetze, auch die Schweizer Regelung automatisch mit abdecke, da die EU Variante weiter geht?

  5. „Diese Website verwendet keine Cookies – dafür LocalStorage“ wäre doch mal eine hübsche Variante…

  6. Was ist, wenn meine Webseite in der Schweiz gehostet ist, die Domain dazu jedoch eine .de Domain ist? Inwiefern bin ich dann zu einem Vorgehen nach EU-Recht verpflichtet?

    • Hi Ansgar. Martin schreibt folgendes:

      Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offen stehen sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.

      Ich denke, dass Du mit einer .de-Domain noch klarer ein deutsches Publikum ansprichst, als das zum Beispiel mit einer .ch-Domain der Fall wäre. Insofern würde ich, als juristischer Laie, auch die Cookie-Richtlinie der EU umsetzen. Im Zweifelsfall lohnt sich die Abklärung des Falls durch einen Rechtsanwalt.

  7. Hallo, wiehert hier nicht wieder einmal der Amtsschimmel. Die meisten Cookies beinhalten ja nur technische Infos und sind somit nicht personenrelevant. Es steht in der Richtlinien nicht dass man muss. Die Idee persönliche Daten zu schützen und den Missbrauch zu vermeiden finde ich richtig. Aber die Umsetzung ist doch äusserst fragwürdig. Diese Opt-In klicke ich ja einfach weg, wer nicht? Die wahre Gefahr besteht darin, dass in Cookies Infos stehen, die durch Drittsoftware, wie Spyware, ausspioniert werden könnte. Der Rest weiss der Betreiber der Internetseite meist sowieso schon und Cookies dienen nur dem Komfort. Normalerweise ist für Spyware die Infos in den Cookies total belanglos, ausser es würden beispielsweise Passwörter und Nutzernamen gespeichert. Normale Cookies sind keine oder ein vergleichbar kleine Gefahr und durch dieses Opt-In wird nur eine grosse Ablenkung erzeugt. Dies Ziel persönliche Daten zu schützen wird nach meinen Ansicht komplett verfehlt. So nach dem Motto die Kugel hat nicht getroffen, bin ausgewichen in dem ich von der hohen Klippe gesprungen bin, natürlich ohne Fallschirm. Übrigens, ich weiss gar nicht mehr ob ich für cyon.ch ein Opt-In akzeptiert habe. Ein Cookie hat es auf jeden Fall.

Kommentar hinzufügen

Ihre E-Mailadresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog