Cookie-Banner in der Schweiz: Wer braucht sie wirklich?
Martin Steiger
Kategorie:in
Internet & Recht
Veröffentlicht am 21. Aug. 2024
Aktualisiert am 10. Sept. 2024
Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG
In einer aktuellen Umfrage nervten sich 73 Prozent der Befragten über Cookie-Banner auf schweizerischen Websites.
Dabei gilt: Viele Websites müssten ihre Besucher:innen aus der Schweiz gar nicht mit einem Cookie-Banner belästigen.
Deshalb die Frage: Welche schweizerischen Websites benötigen wirklich ein Cookie-Banner?
Inhalt dieses Beitrags:
Wieso gibt es überhaupt Cookie-Banner?
«Cookie-Banner» ist der Oberbegriff für Pop-up-Fenster, mit denen Website-Besucher:innen aufgefordert werden, über die Verwendung von Cookies zu entscheiden. Die Website-Besucher:innen sollen informiert in die Verwendung von Cookies einwilligen können.
Cookies sind längst keine «kleinen Textdateien» mehr, wie es in vielen Datenschutzerklärungen fälschlicherweise zu lesen ist. «Cookies» sind der Oberbegriff für Daten, die Websites auf den Geräten ihrer Besucher:innen speichern oder für bereits vorhandene Daten auf den Geräten, die von Websites ausgelesen werden. Viele Cookies werden verwendet, um Nutzer:innen zu tracken und mit personalisierter Werbung zu bespielen.
Die Infrastruktur für das Speichern und Auslegen dieser Daten stellen die Browser der Nutzer:innen zur Verfügung. Man fasst die verschiedenen Möglichkeiten auch unter dem Begriff «Web Storage» zusammen. Zum Teil spricht man von «Cookies und ähnlichen Technologien». Nutzer:innen können Cookies bei Interesse in ihrem Browser anschauen und löschen.
Cookie-Banner sind eine Erfindung der Europäischen Union: Seit 2002 (!) gibt es in der EU die ePrivacy-Richtlinie 2002/58/EG. Die Richtlinie regelt den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation.
In der breiten Öffentlichkeit ist die ePrivacy-Richtlinie vor allem aufgrund der allgegenwärtigen Cookie-Banner sichtbar. Ende 2009 wurde die ePrivacy-Richtlinie durch die sogenannte Cookie-Richtlinie 2009/136/EG entsprechend ergänzt.
Im Volltext lautet der einschlägige Artikel 5 Absatz 3 der geltenden ePrivacy-Richtlinie wie folgt:
«Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäß der Richtlinie 95/46/EG u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.»
Im Klartext: Für Cookies und andere Daten, die lokal im Browser der Website-Besucher:innen gespeichert werden sollen, ist grundsätzlich vorgängig die informierte Einwilligung dieser Besucher:innen erforderlich. Das Gleiche gilt für das Auslesen bereits vorhandener Daten. Es spielt keine Rolle, ob die Cookies direkt von der besuchten Website («First-Party Cookies») oder von Dritt-Diensten («Third-Party Cookies») stammen.
Ausnahmsweise ist keine Einwilligung erforderlich, wenn Daten betroffen sind, die unbedingt erforderlich sind, um einen von einer Nutzerin oder einem Nutzer ausdrücklich gewünschten Dienst zur Verfügung zu stellen.
«Dienst» kann man im heutigen Verständnis als «Funktion» verstehen. So können Cookies beispielsweise verwendet werden, damit registrierte Nutzer:innen angemeldet bleiben. Weitere Möglichkeiten sind das Hinzufügen von Produkten zum Warenkorb in einem Onlineshop oder das Speichern der Sprachauswahl bei einer mehrsprachigen Website. Als «unbedingt erforderlich» gelten schliesslich die sogenannten «Session Cookies», die nach Beendigung einer Browser-Sitzung («Session») automatisch gelöscht werden.
Die «technische Erforderlichkeit» aus Sicht der Website-Betreiber:innen spielt keine Rolle. So fallen Cookies im Zusammenhang mit Tracking und Werbung normalerweise nicht unter diese Ausnahme. Die Ausnahme ist in der Praxis deshalb von geringer Bedeutung.
Die Cookie-Richtlinie ist, wie der Name sagt, eine Richtlinie. Eine solche Richtlinie muss von den EU-Mitgliedstaaten in ihrem nationalen Recht umgesetzt werden. Die Cookie-Richtlinie ist nicht direkt anwendbar.
Der Europäische Datenschutzausschuss (EDSA), das Gremium der europäischen Datenschutz-Aufsichtsbehörden, versucht, mit seinen Guidelines 2/2023 zur technischen Umsetzung der Cookie-Richtlinie eine einheitliche Umsetzung zu erreichen. Wie die Cookie-Richtlinie in den einzelnen EU-Mitgliedstaaten tatsächlich umgesetzt wird, hat die Datenschutz-Organisation noyb in ihrem «Consent Banner Report» verglichen.
Welche Rolle spielt die europäische Datenschutz-Grundverordnung (DSGVO)?
Viele Cookie-Banner tauchten kurz nach der Geltung der europäischen Datenschutz-Grundverordnung (DSGVO) auf, also ab dem 25. Mai 2018. Die DSGVO führte keine (neuen) Cookie-Banner ein, weckte aber das Bewusstsein für die Existenz der längst bestehenden Cookie-Richtlinie als Teil der ePrivacy-Richtlinie.
Die DSGVO ist als Verordnung in allen EU-Mitgliedstaaten direkt anwendbar und regelt umfassend die Verarbeitung personenbezogener Daten.
Als personenbezogene Daten gelten gemäss Art. 4 Ziff. 1 DSGVO «alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen».
Eine natürliche Person, also ein Mensch wie du und ich, gilt sofort als identifizierbar: «[Als] identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung […], identifiziert werden kann».
Als «Kennung» kommen gemäss dem einschlägigen Erwägungsgrund 30 der DSGVO ausdrücklich auch Cookies in Frage:
«Natürlichen Personen werden unter Umständen Online-Kennungen wie IP-Adressen und Cookie-Kennungen, die sein Gerät oder Software-Anwendungen und -Tools oder Protokolle liefern, oder sonstige Kennungen wie Funkfrequenzkennzeichnungen zugeordnet. Dies kann Spuren hinterlassen, die insbesondere in Kombination mit eindeutigen Kennungen und anderen beim Server eingehenden Informationen dazu benutzt werden können, um Profile der natürlichen Personen zu erstellen und sie zu identifizieren.»
Wenn personenbezogene Daten verarbeitet werden, gilt bei betroffenen Personen die DSGVO – auch für die Verarbeitung personenbezogener Daten in Form von Cookies.
Im Zweifelsfall müssen Website-Betreiber:innen davon ausgehen, personenbezogene Daten zu verarbeiten. Wenn Website-Besucher:innen aus dem Europäischen Wirtschaftsraum (EWR) betroffen sind, gilt die DSGVO auch für Verantwortliche in der Schweiz.
Die DSGVO verbietet grundsätzlich die Verarbeitung personenbezogener Daten. Die Verarbeitung ist nur ausnahmsweise erlaubt, wobei es verschiedene Ausnahmen gibt.
Eine dieser Ausnahmen, die in Art. 6 Abs. 1 DSGVO zu finden sind, ist die Einwilligung der betroffenen Personen, bei Cookies also die Einwilligung der Website-Besucher:innen.
Mit Cookie-Bannern kann die Einwilligung in die Verarbeitung personenbezogener Daten eingeholt werden, auch unabhängig von Cookies.
Die Hürden für eine rechtsgültige Einwilligung sind allerdings hoch. Die Einwilligung muss ausdrücklich, freiwillig und informiert erfolgen (Art. 7 DSGVO). Diese Hürden gelten auch für Einwilligungen gemäss der europäischen Cookie-Richtlinie.
Website-Betreiber:innen müssen erteilte Einwilligungen im Streitfall nachweisen können. Betroffene Personen müssen erteilte Einwilligungen widerrufen können.
Ob für den Widerruf oder Widerspruch die Browser-Funktionen für Cookies genügen oder ein Consent-Management mittels Plugin oder gar Plattform erforderlich ist, wird kontrovers diskutiert. Die meisten Website-Betreiber:innen können sich – nüchtern betrachtet – den Aufwand für eine Consent-Management-Plattform (CMP) sparen.
Viele Websites scheitern an den hohen Hürden für eine rechtsgültige Einwilligung. So genügt es nicht, die Verwendung von Cookies mit einem «OK» abnicken zu lassen und lediglich auf eine Widerspruchsmöglichkeit («Opt-out») hinzuweisen.
Es genügt auch nicht, nur die Möglichkeit der Einwilligung («Opt-in») anzubieten, nicht aber eine gleichwertige Möglichkeit für die Ablehnung von Cookies. Schon gar nicht genügt es, zu behaupten, durch die Nutzung einer Website werde die Einwilligung in die Verwendung von Cookies erteilt («Soft Opt-in»).
Irreführende Cookie-Banner («Dark Patterns») oder vorausgewählte Checkboxen scheitern ebenfalls an den Hürden für rechtsgültige Einwilligungen.
Erforderlich für eine rechtsgültige Einwilligung ist ein «Hard Opt-in». Die Möglichkeiten für Einwilligung und Ablehnung müssen gleichwertig zur Verfügung stehen.
Ferner müssen sich betroffene Personen über die Cookies informieren können, was am einfachsten durch einen Verweis auf die allgemeine Datenschutzerklärung im Cookie-Banner geschieht. Eine allgemeine Datenschutzerklärung sollte bei einer Website ohnehin schon immer vorhanden sein.
Das beste Cookie-Banner ist nutzlos, wenn Cookies ungefragt auf den Geräten der Website-Besucher:innen gespeichert werden. Solche «Fake-Cookie-Banner» sind häufig, wie mir Jörg ter Beek und Arthur Ott, die Betreiber von dsgvo-beschwerde.de, in einem aufschlussreichen Podcast-Gespräch für die «Datenschutz-Plaudereien» erklärten.
Mit Diensten wie dsgvo-beschwerde.de oder webbkoll.dataskydd.net können Nutzer:innen prüfen, ob Cookies auch ohne ihre Einwilligung auf ihren Geräten gespeichert werden.
Was gilt für Cookie-Banner in Deutschland?
Deutschland hatte die europäische Cookie-Richtlinie lange nicht oder nur ungenügend umgesetzt. Während Jahren wurde gestritten, ob die Cookie-Richtlinie mit dem damaligen Telemediengesetz (TMG) umgesetzt worden sei.
Dieser Streit endete mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG) im Jahr 2021, das seit Mai 2024 den noch längeren Namen Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) trägt.
Die europäische Cookie-Richtlinie wurde in § 25 TDDDG über den «Schutz der Privatsphäre bei Endeinrichtungen» umgesetzt. Aus schweizerischer Sicht gelten die Vorgaben des TDDDG für alle Website-Besucher:innen aus Deutschland.
Die deutsche Umsetzung ist eng an die europäische Cookie-Richtlinie angelehnt. § 25 TDDDG hält dabei ausdrücklich fest, dass die Information und die Einwilligung gemäss DSGVO erfolgen müssen.
Die deutsche Datenschutzkonferenz (DSK), die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder in Deutschland, hat eine Orientierungshilfe im Zusammenhang mit Cookie-Bannern veröffentlicht.
Was gilt für Cookie-Banner in Österreich?
Österreich hat die europäische Cookie-Richtlinie mit dem Telekommunikationsgesetz 2021 (TKG 2021) umgesetzt. Einschlägig ist § 165 Abs. 3 TKG 2021.
Die Umsetzung ist allgemeiner gehalten als in Deutschland, entspricht aber im Wesentlichen auch der europäischen Cookie-Richtlinie. Betreiber:innen von Websites in der Schweiz müssen die Vorgaben des TKG 2021 für alle Website-Besucher:innen aus Österreich einhalten.
Die österreichische Datenschutzbehörde (DSB) hat eine FAQ über Cookies und Datenschutz veröffentlicht.
Was gilt für Cookie-Banner im Fürstentum Liechtenstein?
Das Fürstentum Liechtenstein ist Mitglied im Europäischen Wirtschaftsraum (EWR). In der Folge übernimmt Liechtenstein – jeweils mit etwas Verzögerung – viel europäisches Recht, unter anderem auch die DSGVO.
Die europäische Cookie-Richtlinie 2009/136/EG wurde bislang nicht von den EWR-Mitgliedstaaten übernommen. Die Cookie-Richtlinie gilt deshalb nicht im Fürstentum Liechtenstein (und auch nicht in Island und Norwegen).
Die DSGVO wurde hingegen übernommen. In der Folge muss auch gegenüber Website-Besucher:innen aus Liechtenstein über Cookies informiert werden, sofern in diesem Rahmen eine Verarbeitung personenbezogener Daten erfolgt. Die Information kann zum Beispiel als Teil der allgemeinen Datenschutzerklärung erfolgen. Dafür ist aber kein Cookie-Banner erforderlich, sondern die Verlinkung als «Datenschutzerklärung» oder vergleichbar im Footer jeder einzelnen Webseite einer Website genügt.
Ein Cookie-Banner wäre nur erforderlich, wenn für die Verarbeitung personenbezogener Daten die Einwilligung der betroffenen Personen eingeholt werden soll. Eine solche Einwilligung ist aber nur eine mögliche Ausnahme gemäss Art. 6 Abs. 1 DSGVO für die Bearbeitung personenbezogener Daten und sollte aufgrund der hohen Hürden vermieden werden. Eine andere mögliche Ausnahme, die bei Websites häufig greift, ist ein überwiegendes berechtigtes Interesse auf Seiten der Website-Betreiber:innen.
Die Datenschutzstelle Fürstentum Liechtenstein hat hilfreiche Informationen über Cookies veröffentlicht: «Informationen zum Umgang mit Cookies in Liechtenstein» und Thema «Cookies».
Was gilt für Cookie-Banner in der Schweiz?
Die europäische Cookie-Richtlinie hat in der Schweiz keine Geltung, denn die Schweiz ist nicht Mitglied des EWR oder gar der EU. Die Schweiz hat die europäische Cookie-Richtlinie auch nicht mit dem neuen Datenschutzgesetz (DSG) übernommen, das seit dem 1. September 2023 gilt.
In der Schweiz findet sich die «Cookie-Richtlinie» seit dem 1. April 2007 im Fernmeldegesetz (FMG). Die Regelung gemäss Art. 45c lit. b FMG über «Daten auf fremden Geräten» lautet wie folgt:
«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»
Das schweizerische Recht sieht für die Verwendung von Cookies grundsätzlich keine Einwilligung vor. Die Website-Besucher:innen müssen lediglich über die Verwendung von Cookies und ihren Zweck informiert werden. Ferner muss den Website-Besucher:innen erklärt werden, dass sie die Verwendung von Cookies ablehnen können.
Die Information erfolgt am einfachsten als Teil der allgemeinen Datenschutzerklärung, die ohnehin bei einer Website schon vorhanden sein muss. Ein Consent-Management, allenfalls sogar mit einer Plattform, ist – rechtlich gesehen – grundsätzlich nicht erforderlich. Die Ablehnung kann über die Browser-Funktionen für Cookies erfolgen.
Das Erfordernis einer Einwilligung wurde auch mit dem neuen DSG nicht eingeführt, auch wenn das zum Teil fälschlicherweise mit Verweis auf Art. 7 Abs. 3 DSG behauptet wird:
«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Diese Bestimmung greift nur, wenn Einstellungen – also ein Cookie-Banner – freiwillig angeboten werden. Dafür gibt es aber keine Pflicht, wie der bekannte Datenschutz-Experte David Rosenthal überzeugend ausgeführt hat – übrigens auch in einem Podcast-Gespräch für die «Datenschutz-Plaudereien».
Die Einwilligung ist im schweizerischen Datenschutzrecht ohnehin die grosse Ausnahme. Sie dient im Wesentlichen als Rechtfertigungsgrund, wenn Personendaten in Verletzung von datenschutzrechtlichen Grundsätzen bearbeitet werden.
In der Schweiz gilt – auch im Datenschutzrecht – der Grundsatz «Erlaubt ist, was nicht verboten ist». Die Schweiz kam nicht auf die absurde Idee, die Bearbeitung von Personendaten im Informationszeitalter grundsätzlich zu verbieten und nur ausnahmsweise zu erlauben.
Darüber hinaus kann eine Datenschutzverletzung, eine widerrechtlich persönlichkeitsverletzende Bearbeitung von Personendaten, insbesondere durch die Einwilligung der betroffenen Personen geheilt werden (Art. 30 u. 31 DSG).
Was gilt für Google-Dienste auf Websites?
Google verlangt von Website-Betreiber:innen, die bestimmte Google-Dienste einsetzen, schon seit einiger Zeit, die informierte Einwilligung von europäischen Nutzer:innen in die Bearbeitung ihrer Daten einzuholen.
Die Vorgaben von Google finden sich in der EU User Consent Policy, auf Deutsch Richtlinie zur Einwilligung der Nutzer in der EU. Es handelt sich um eine vertragliche Vereinbarung zwischen Google und Website-Betreiber:innen.
Seit dem 31. Juli 2024 gilt die EU User Consent Policy von Google auch für die Schweiz, allerdings mit wichtigen Ausnahmen. Wieso Google die Richtlinie auf die Schweiz ausgedehnt hat, ist nicht bekannt. Es gibt keine ersichtlichen rechtlichen Gründe.
Die EU User Consent Policy bedeutet jedenfalls nicht, dass alle Website-Betreiber:innen in der Schweiz, die Google-Dienste verwenden, ihre schweizerischen Nutzer:innen mit einem Cookie-Banner nerven müssen.
Im Wesentlichen greift die EU User Consent Policy in Bezug auf die Schweiz in zwei Fällen:
- Google verlangt im Zusammenhang mit personalisierter Werbung, die sich an Nutzer:innen in der Schweiz richtet, das Einholen der informierten Einwilligung der betroffenen Nutzer:innen. Google muss ausdrücklich nicht mittels «Consent Mode» oder dergleichen über erteilte Einwilligungen informiert werden. Ohne personalisierte Werbung oder allein für Cookies ist keine Einwilligung erforderlich.
- Google verlangt von Publisher:innen, die auf ihren Websites Werbeflächen für Nutzer:innen in der Schweiz zur Verfügung stellen, das Verwenden einer von Google zertifizierten Consent-Management-Plattform (CMP). Das ist normalerweise ohnehin schon der Fall. Für solche Werbeflächen gibt es Google AdSense, Google Ad Manager und Google AdMob. Keine Einwilligung ist erforderlich für «Limited Ads».
Google behauptet, die Einhaltung der EU User Consent Policy zu kontrollieren. Die vielen Websites, welche die Richtlinie von Google offensichtlich nicht einhalten, zeigen allerdings, dass es mit Kontrollen nicht weit her ist.
Immer wieder ist bei Websites zu beobachten, dass mittels «Consent Mode» eine Einwilligung an Google gemeldet wird, obwohl von den Nutzer:innen gar keine Einwilligungen eingeholt werden. Sollte sich Google bei den betreffenden Website-Betreiber:innen nach einem Audit bzw. einer Kontrolle beschweren, könnten sie immer noch ein Cookie-Banner verwenden.
Vergleichbare Vorgaben gibt es, normalerweise im Zusammenhang mit digitalen Werbeflächen, auch von Microsoft und anderen Tech-Unternehmen.
Leitfaden zum Umgang mit Cookie-Bannern für Schweizer Websites
- Website-Betreiber:innen in der Schweiz müssen als Faustregel davon ausgehen, dass sie die europäische Cookie-Richtlinie und die DSGVO für Nutzer:innen aus der Europäischen Union (EU) einhalten müssen.
Wenn Cookies direkt oder indirekt verwendet werden, müssen Website-Besucher:innen aus der EU gemäss dieser Rechtslage mit einem Cookie-Banner belästigt werden.
Bei Besucher:innen aus dem Fürstentum Liechtenstein und erst recht aus der Schweiz kann – rechtlich gesehen – fast immer auf ein Cookie-Banner verzichtet werden.
Unabhängig von Pflichten gemäss europäischem Recht müssen Website-Betreiber:innen allfällige vertragliche Pflichten beachten. Das bekannteste Beispiel ist die erwähnte EU User Consent Policy von Google.
- In jedem Fall gibt es viel Spielraum bei der Umsetzung. Das zeigen allein schon die vielen Cookie-Banner, die nicht funktionieren oder offensichtlich nicht den rechtlichen Vorgaben entsprechen.
Aus schweizerischer Sicht kann es sinnvoll sein, zwischen Website-Besucher:innen aus verschiedenen Ländern zu differenzieren. Wer gemäss IP-Adresse aus der Schweiz oder allenfalls auch aus dem Fürstentum Liechtenstein stammt, sieht kein Cookie-Banner. Alle anderen Besucher:innen, insbesondere aus der EU, erhalten ein Cookie-Banner vorgesetzt. Viele Lösungen für Cookie-Banner, auch Plugins, können aufgrund der Herkunft der Website-Besucher:innen differenzieren.
- Wie man allfällige Cookie-Banner umsetzt, ist eine Frage der eigenen Risikobereitschaft. Wer auf ein Cookie-Banner verzichtet, nervt keine Nutzer:innen, was gerade im E-Commerce eine wichtige Überlegung ist.
Ohne Cookie-Banner stehen Website-Betreiber:innen allenfalls besser da als mit einem «Fake-Cookie-Banner». Gleichzeitig ist es häufig schwierig zu erklären, wieso man auf ein Cookie-Banner verzichtet, selbst wenn tatsächlich kein Cookie-Banner erforderlich ist.
Das Risiko für Sanktionen und Verfahren durch europäische Aufsichtsbehörden und für Abmahnungen durch deutsche Datenschutz-Aktivist:innen ist klein. Eine Abmahnung oder eine Busse wäre unangenehm, für viele Verantwortliche in der Schweiz aber nicht das Ende der Welt.
- Website-Betreiber:innen, die auf Nummer sicher gehen möchten, verzichten auf Cookies und stellen ihre Websites nicht als Werbefläche für Google und andere zur Verfügung.
Die Erfolgs- und Reichweitenmessung auf Websites ist in vielen Fällen ohne Cookies möglich. Die freie Analytics-Software Matomo beispielsweise kann datenschutzfreundlich konfiguriert werden. Wer Matomo nicht selbst einrichten möchte, kann auf einen Anbieter wie Friendly Analytics in der Schweiz zurückgreifen. Eine andere schweizerische Anbieterin für Tracking ohne Cookies ist Fusedeck von Capture Media.
Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.
*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes profitierst du sogar von 10 % Rabatt im ersten Jahr.
Titelbild: No Revisions/Unsplash
Beteilige dich an der Diskussion
20 Kommentare
@Rolf Wilhelm:
Leider scheinen die europäischen Datenschutz-Aufsichtsbehörden nicht in der Lage, konsequent gegen irreführende Cookie-Banner vorzugehen.
https://noyb.eu/ ist in diesem Bereich unterwegs, aber deren Engagement hat auch Grenzen.
Letztlich geht es ohnehin nicht um Einwilligungen, denn diese funktionieren nicht bzw. bürden den Nutzer:innen eine Verantwortung auf, die diese gar nicht wahrnehmen können.
Das bedeutet, dass ich als Betreiber einer CH-Website für die CH Users gemäss DSG kein Cookie-Banner schalten müsste. Wenn ich jedoch GA4/Google Analytics/Google Ads verwende, gemäss vertraglichem Obligatorium mit Google doch ein Cookie-Banner vorliegen muss auch für die Schweizer Nutzer?
@Dajana T.
«Wenn ich jedoch GA4/Google Analytics/Google Ads verwende, gemäss vertraglichem Obligatorium mit Google doch ein Cookie-Banner vorliegen muss auch für die Schweizer Nutzer?»
Nein. Im Beitrag ist meine ausführliche FAQ zu diesem Thema verlinkt:
https://steigerlegal.ch/2024/07/02/google-eu-user-consent-policy-schweiz-faq-fragen-antworten/
Es gibt auch eine Podcast-Episode:
https://podcast.datenschutzpartner.ch/245-google-eu-user-consent-policy-schweiz
Ihr erwähnt, dass für Webseiten-Besuchende aus dem Fürstentum Liechtenstein dieselben Regeln gelten, wie für Schweizer Besuchende. Ich wurde in einem CAS zu Datenschutz dahingehend informiert, dass im FL die DSGVO angewendet wird und die Personen von dort entsprechend gleich allen Leuten aus der EU gleichzusetzen sind –> Sprich es braucht eben doch einen Cookie-Banner. Liege ich falsch?
@Angela Husi:
Für die Schweiz und das Fürstentum Liechtenstein gelten nicht nicht die gleichen Regeln.
Wie Du richtig schreibst, gilt im Fürstentum Liechtenstein die europäische Datenschutz-Grundverordnung (DSGVO).
Das Fürstentum Liechtenstein hat aber die europäische Cookie-Richtlinie nicht übernommen, was direkte Auswirkungen auf die Rechtslage im Zusammenhang mit Cookies hat.
Die DSGVO muss bei der Verarbeitung personenbezogener Daten eingehalten werden, mit und ohne Cookies. Hingegen ist die Cookie-Richtlinie nicht anwendbar.
In Text liest sich das Ganze unter anderem wie folgt:
«Das Fürstentum Liechtenstein ist Mitglied im Europäischen Wirtschaftsraum (EWR). In der Folge übernimmt Liechtenstein […] viel europäisches Recht, unter anderem auch die DSGVO.
Die europäische Cookie-Richtlinie 2009/136/EG wurde bislang nicht von den EWR-Mitgliedstaaten übernommen. Die Cookie-Richtlinie gilt deshalb nicht im Fürstentum Liechtenstein […].»
Ich empfehle, auch einen Blick auf die Informationen der Datenschutzstelle Fürstentum Liechtenstein, die im Text verlinkt sind, zu werfen.
Hallo, wiehert hier nicht wieder einmal der Amtsschimmel. Die meisten Cookies beinhalten ja nur technische Infos und sind somit nicht personenrelevant. Es steht in der Richtlinien nicht dass man muss. Die Idee persönliche Daten zu schützen und den Missbrauch zu vermeiden finde ich richtig. Aber die Umsetzung ist doch äusserst fragwürdig. Diese Opt-In klicke ich ja einfach weg, wer nicht? Die wahre Gefahr besteht darin, dass in Cookies Infos stehen, die durch Drittsoftware, wie Spyware, ausspioniert werden könnte. Der Rest weiss der Betreiber der Internetseite meist sowieso schon und Cookies dienen nur dem Komfort. Normalerweise ist für Spyware die Infos in den Cookies total belanglos, ausser es würden beispielsweise Passwörter und Nutzernamen gespeichert. Normale Cookies sind keine oder ein vergleichbar kleine Gefahr und durch dieses Opt-In wird nur eine grosse Ablenkung erzeugt. Dies Ziel persönliche Daten zu schützen wird nach meinen Ansicht komplett verfehlt. So nach dem Motto die Kugel hat nicht getroffen, bin ausgewichen in dem ich von der hohen Klippe gesprungen bin, natürlich ohne Fallschirm. Übrigens, ich weiss gar nicht mehr ob ich für cyon.ch ein Opt-In akzeptiert habe. Ein Cookie hat es auf jeden Fall.
@Alex Ferro:
«Die meisten Cookies beinhalten ja nur technische Infos und sind somit nicht personenrelevant.»
Damals wie heute gilt: Die europäische Cookie-Richtlinie gilt unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Was ist, wenn meine Webseite in der Schweiz gehostet ist, die Domain dazu jedoch eine .de Domain ist? Inwiefern bin ich dann zu einem Vorgehen nach EU-Recht verpflichtet?
Hi Ansgar. Martin schreibt folgendes:
Als EU-Recht ist die Cookie-Richtlinie für Website-Betreiber in der Schweiz nicht direkt anwendbar. Da die meisten schweizerischen Websites aber Nutzerinnen und Nutzern aus der EU offen stehen sowie Cookies verwenden, empfiehlt es sich auch für Website-Betreiber in der Schweiz, die Cookie-Richtlinie der EU umzusetzen.
Ich denke, dass Du mit einer .de-Domain noch klarer ein deutsches Publikum ansprichst, als das zum Beispiel mit einer .ch-Domain der Fall wäre. Insofern würde ich, als juristischer Laie, auch die Cookie-Richtlinie der EU umsetzen. Im Zweifelsfall lohnt sich die Abklärung des Falls durch einen Rechtsanwalt.
«Diese Website verwendet keine Cookies – dafür LocalStorage» wäre doch mal eine hübsche Variante…
@Marco De Luca:
Ich bin ja schon froh, wenn nicht mehr von «kleinen Textdateien» die Rede ist … 😅
Sehe ich das richtig, dass wenn ich die EU Variante umsetze, auch die Schweizer Regelung automatisch mit abdecke, da die EU Variante weiter geht?
@Thomas:
Das hängt von der Umsetzung ab … aber in aller Kürze würde ich Deine Frage mit «ja» beantworten.
Ich bin nicht dafür europäische Richtlinien bewusst umzusetzen.
Wenn jemand eine CH-Domain besucht, dann sollte er sich auch darüber im klaren sein, dass von da an CH-Recht und nicht EU-Recht gilt.
Andernfalls muss er auf den Besuch der CH-Sites verzichten.
@Thomas Hertli:
Man kann sich selbstverständlich dagegen entscheiden, EU-Recht oder das Recht anderer Staaten, in denen die eigene Website abrufbar ist, umzusetzen. Je nach Website besteht dafür tatsächlich keine Notwendigkeit oder die Risiken sind gering. Ich empfehle aber, im Einzelfall abzuwägen, ob und falls ja, andere Rechtsordnungen als die schweizerische berücksichtigt werden sollen.
Was heist dies Konkret:
•Etwaige Dritt-Cookies berücksichtigen: Sofern Dritt-Cookies von Diensten wie Google Analytics verwendet werden, sind zusätzliche Hinweise notwendig.
Wie sähe ein solcher Hinweis aus und wie liesse sich dieser in diesen Text integrieren?
«Diese Website verwendet Cookies. Cookies sind kleine Textdateien, die beim Besuch dieser Website in Ihrem Computer dauerhaft oder temporär gespeichert werden. Zweck der Cookies ist insbesondere die Analyse der Nutzung dieser Website zur statistischen Auswertung sowie für kontinuierliche Verbesserungen.
In Ihrem Browser können Sie Cookies in den Einstellungen jederzeit ganz oder teilweise deaktivieren. Bei deaktivierten Cookies stehen Ihnen allenfalls nicht mehr alle Funktionen dieser Website zur Verfügung.»
«… Website zur statistischen Auswertung » reicht doch vollkommen aus?
@Dani:
Wie solche Hinweise aussehen können, hängt von den verwendeten Diensten ab. Für Google Analytics findet man online, vor allem auch in Deutschland, viele Empfehlungen, sofern man sich nicht direkt beraten lassen möchte.
Nutzungsbestimmungen insbesondere, wenn diese lange sind wecken mein Lesehunger eher nicht. Ich bin geneigt diese so kurz wie möglich zu halten oder gar weg zu lassen, da mich die Welt damit nicht besser dünkt als ohne. Analytics & Like-Buttons etc. werden oft ohne entsprechenden Hinweise verbaut. Ich frage mich, ob Verstösse je geahndet werden und falls ja, ob es darüber Zahlen (für die CH) gibt?
@Erni:
In den USA wurde Google im Zusammenhang mit Cookies gebüsst, in Europa wurden in Spanien bereits Bussen bekannt. Für die Schweiz sind mir keine Zahlen dazu bekannt.
Mich regen auf sehr vielen grossen Websites die Cookie Banner mit Dark Pattern auf. Die Möglichkeit, die Zwecke anzuzeigen, das Setzen bestimmter Cookies zu untersagen oder gar nur die technisch notwendigen Cookies zu setzen wird meist mit grauen Schaltflächen verschleiert (und erweckt beim Nutzer den Eindruck von «diese Einstellung ist hier nicht verfügbar») und offensichtlich ist nur die Schaltfläche für «Ja, gibt mir alle».
Es wäre wirklich schön, die wenn teilweise schon bei Nichtigkeiten aktiven deutschen Datenschützer hier mal gegen vorgehen könnten. Für uns als kleine Anwender lohnt sich das ja nicht wirklich. Gibt es da wirklich gar keine Bestrebungen?