Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

← zurück zum Blog

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal

Heute gilt für rechtskonforme Cookies auf Websites: «Opt-in» in der Europäischen Union (EU), «Opt-out» in der Schweiz.

Ab dem 25. Mai 2018 ist in der EU die neue Datenschutz-Grundverordnung (EU-DSGVO) anwendbar. Mit der DSGVO wird das Datenschutzrecht in der EU vollständig erneuert. Damit soll der Datenschutz innerhalb der EU gestärkt und vereinheitlicht werden.

Websites in der Schweiz: Rechtskonforme Cookies im Einklang mit der neuen EU-Datenschutz-Grundverordnung

Die DSGVO hat auch Auswirkungen auf die Verwendung von Cookies auf Websites in der Schweiz. Wer die DSGVO nicht einhält, kann mit empfindlichen Geldbussen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes bestraft werden.

Die DSGVO führt das sogenannte Marktortprinzip ein: Die DSGVO gilt nicht nur in der EU, sondern weltweit für jede Verarbeitung personenbezogener Daten von Personen in der EU, denen man Dienstleistungen oder Waren anbietet oder deren Verhalten man beobachtet.

In der Folge sind fast alle schweizerischen Websites von der DSGVO betroffen, weil sie ihre Nutzerinnen und Nutzer mittels Webtracking beobachten. So dürfte das Tracking mit Google Analytics weitverbreitet sein und es gibt kaum einen Webserver ohne Auswertung von Logdateien mit IP-Adressen.

Cookies in der Datenschutz-Grundverordnung

Die DSGVO enthält keine besonderen Bestimmungen für Cookies. Aber fast alle Cookies fallen ohne weiteres unter die Definition für «personenbezogene Daten» der DSGVO:

«[…] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen […] identifiziert werden kann [.]»

Für Cookies gilt deshalb – wie für jede Datenverarbeitung gemäss DSGVO – ein Verbot mit Erlaubnisvorbehalt:

Cookies sind nicht rechtmässig, es sei denn, es wird eine der entsprechenden Ausnahmebedingungen der DSGVO erfüllt.

Eine mögliche Bedingung ist die Einwilligung der betroffenen Personen («Opt-in»). In der Praxis ist eine solche Einwilligung aber häufig weder erwünscht noch praktikabel. Ausserdem sind die Anforderungen an Einwilligungen gemäss DSGVO sehr hoch.

Als weitere Bedingung kommt das «berechtigte Interesse» der Website-Betreiberin in Frage. Die DSGVO formuliert diese Bedingung wie folgt:

«Die Verarbeitung ist nur rechtmäßig, wenn die Verarbeitung […] zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich [ist], sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.»

Prüfung der Rechtmässigkeit mit drei Fragen im Einzelfall

Website-Betreiberinnen müssen deshalb für jede Cookie-Verwendung folgende Abwägung beziehungsweise Prüfung im Einzelfall durchführen:

  1. Gibt es ein berechtiges Interesse an der Cookie-Verwendung?
  2. Ist die Cookie-Verwendung erforderlich um das berechtigte Interesse zu wahren?
  3. Überwiegen die Interessen der Website-Anbieter die Interessen der betroffenen Personen am Schutz ihrer Daten?

Sofern alle Fragen bejaht werden, ist die Cookie-Verwendung grundsätzlich rechtmässig. Die Abwägung ist aber nur möglich, wenn vorgängig bestimmt wurde, für welchen Zweck die Cookies bestimmt sind.

Die Anforderungen an das berechtigte Interesse sind nicht hoch. In Frage kommen alle ideellen, rechtlichen oder wirtschaftlichen Interessen. Auch Direktwerbung gilt ausdrücklich als berechtigtes Interesse.

Bei der Erforderlichkeit ist zu prüfen, ob die datenschutzrechtlichen Grundsätze eingehalten werden. Dazu zählt unter anderem, dass personenbezogene Daten nur für eindeutige, festgelegte und legitime Zwecke erhoben werden dürfen. Ausserdem gilt der Grundsatz der Datenminimierung beziehungsweise Datensparsamkeit, das heisst die Datenverarbeitung muss auf das notwendige Mass für den jeweiligen Zweck beschränkt werden.

Bei der Abwägung dürfen insbesondere die «vernünftigen Erwartungen der betroffenen Person» berücksichtigt werden. Welche Interessen überwiegen, hängt im Einzelfall unter anderem davon ab, welche Daten von welchen Personen verarbeitet werden, welchen Zweck die Datenverarbeitung verfolgt, welche Grundrechte betroffen sind und mit welchen Massnahmen die Datensicherheit gewährleistet wird.

«Klassische» Cookies, die der Nutzerfreundlichkeit dienen, dürften in den meisten Fällen rechtmässig sein. Beispiele dafür sind individuelle Einstellungen, die Erkennung von Nutzerinnen und Nutzer ohne erneute Passworteingabe oder Warenkörbe bei Onlineshops. Tracking-Cookies hingegen erfordern eine vertiefte Prüfung. Mit Blick auf die Datensparsamkeit ist die Verwendung von pseudonymen Merkmalen wie beispielsweise Nutzer-IDs empfehlenswert.

Für die Rechtmässigkeit ist es ausserdem erforderlich, die Nutzerinnen und Nutzer auf ihr Widerspruchsrecht hinzuweisen («Opt-out»):

Betroffene Person müssen wissen, dass sie jederzeit der Verarbeitung ihrer personenbezogenen Daten widersprechen können. Ausserdem gibt es einen Rechtsanspruch auf Auskunft, Berichtigung und Löschung. Genannt werden müssen auch Name und Kontaktdaten jener Person, die jeweils für den Datenschutz verantwortlich ist. Dafür ist – wie heute schon – eine Datenschutzerklärung für jede Website notwendig. Hingegen kann man meines Erachtens auf ein Cookie-Banner verzichten.

Änderungen an dieser Rechtslage können sich durch die neue ePrivacy-Verordnung der EU ergeben. Der aktuelle Entwurf sieht unter anderem eine besondere Cookie-Regelung mit «Opt-in» vor, ist aber umstritten. Die ePrivacy-Verordnung soll gleichzeitig mit der EU-DSGVO in Kraft treten, wird aber erst in diesem Herbst im Europäischen Parlament behandelt.

Ausserdem wird das Datenschutzrecht in der Schweiz überarbeitet. Ein erster Vorentwurf von Ende Dezember 2016 war umstritten. Inzwischen hat der Bundesrat die Botschaft und den Entwurf für das revidierte Datenschutzgesetz (DSG) vorgelegt. Die Revision bezweckt insbesondere, mit dem EU-Datenschutzrecht kompatibel zu bleiben.

Empfehlungen für Website-Betreiberinnen in der Schweiz

  • Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) im Zweifelsfall bis spätestens am 25. Mai 2018 umsetzen, es sei denn, man ist davon eindeutig nicht betroffen oder entscheidet sich bewusst gegen eine pünktliche Umsetzung.
  • Die Umsetzung der EU-DSGVO betrifft auch Cookies. In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.
  • Bei Cookies von Dritten («Third-Party Cookies»), beispielsweise im Rahmen von Google Analytics, ist besondere Vorsicht geboten, zumal die Datenverarbeitung in den USA trotz «Privacy Shield» umstritten bleibt.

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine Fachperson wie beispielsweise einen Rechtsanwalt.

17 Kommentare

  1. Spannender Artikel, der mich allerdings etwas ratlos hinterlässt. Wir werden wohl allen Kunden raten müssen, sich mit einem Rechtsanwalt in Verbindung zu setzen… Da haben die Juristen in Brüssel ja gute Arbeit geleistet…
    Die Bemühungen für Datenschutz sind ja grundsätzlich nicht falsch. Wenn die Homepage-Betreiber transparent aufzeigen, welche Daten sie speichern und was sie damit machen, finde ich das gut. Dass jetzt aber jede Webseite sagt, dass sie Cookies speichert, ist absolut lächerlich. Die meisten Cookies sind nämlich völlig harmlos oder schlicht technisch notwendig. Oder anders gesagt, wie speichert Google Analytics wohl ein Opt-out eines Internet-Benutzers?! Ausserdem gibt es noch viele anderen Gefahren: Bald müssen wohl nicht verschlüsselte Website auf die damit verbundenen Gefahren hinweisen… Schöne neue Internetwelt…

  2. Ist zwar ein guter Beitrag und bringt etwas Transparenz ist aber etwas am Ziel vorbei. Den Hauptabschnitt mit „Was muss ich konkret machen“ wurde weggelassen.

    Das

    Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) im Zweifelsfall bis spätestens am 25. Mai 2018 umsetzen, es sei denn, man ist davon eindeutig nicht betroffen oder entscheidet sich bewusst gegen eine pünktliche Umsetzung.

    ist zwar gut gemeint, aber ich weiss leider immernoch nicht was ich umsetzen muss damit meine Webseite EU-DSGVO konform ist.

    Eine simple Erklärung für Fälle wie „Ich habe eine private Webseite und verwende Goolge Analytics & ein Kontaktforumlar“ wäre sehr hilfreich an dieser Stelle.

    • @Silas:

      Erster Schritt, wie im Beitrag erwähnt:

      «In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.»

      Da sich die Zwecke erheblich unterscheiden können, sind «simple Erklärungen» nicht ohne weiteres zu bewerkstelligen. So gibt es allein bei Google Analytics nicht nur verschiedene Zwecke, sondern auch verschiedene Varianten der Verwendung (zum Beispiel mit vollständigen oder gekürzten E-Mail-Adressen oder, als weiteres Beispiel, in Verknüpfung mit Google Adwords). Auch bei Kontaktformularen kann der Kontakt völlig unterschiedlich sein, häufig möchte man damit beispielsweise auch noch Newsletter-Abonnenten gewinnen.

      • Dann anders gefragt:

        Was muss eine normale Website tun, die das Standard Script von Google Analytics integriert und ein Kontaktformular mit Name, Email, Betreff und Text anbietet, das inkl. IP in einer Datenbank gespeichert wird?

        Das würde vermutlich schon sehr vielen einfachen Website-Betreibern helfen.
        Ich weiss, Anwälte wollen meist erst in der individuellen Beratung konkret werden, aber das können oder wollen sich schlicht viele nicht leisten.

  3. Ein weiterer Schritt und gutes Beispiel für die Überregulierungswut der EU. Ich hoffe sehr die EU geht den Bach ab und man begriefft endlich dass die EU eine reine Fehlkonstruktion ist. Wieso muss die Schweiz das EU Recht übernehmen? Wir sind ja schliesslich eigenständig!!!

  4. Sehr verwirrender Artikel. Nicht-Juristen werden das kaum verstehen. Entwickler/Projektleiter bruachen eine genaue Schritt für Schritt Anleitung, oder sie treten ungewollt in ein Fettnäpfchen. Hoffe da kommen noch genauere Infos.
    Laut Google ist das übermitteln persönlicher Daten (e-mail, security numbers etc.) an Analytics sowieso verboten und würde in der Sperrung des Accounts enden. Was ich gefunden habe ist die Möglichkeiten, IP Adresse nicht an Analytics zu übermitteln. Da man diese „aus datenschutzgründen“ aber im Analytics selber sowieso nicht sehen kann, ist es nicht möglich zu überprüfen, ob die Adressen tatsächlich nicht an Google gesendet werden:
    https://developers.google.com/analytics/devguides/collection/analyticsjs/ip-anonymization

    Und der Betreiber der Website ist der dumme. Dann wohl künftig lieber ohne Google Analytics und Alternativen suchen.

    • @Stef:

      Zürcher Anwaltskollegen haben gerade eine detaillierte Schritt-für-Schritt-Anleitung veröffentlicht:

      https://www.linkedin.com/feed/update/urn:li:activity:6323151588848390144

      Ich fürchte allerdings, dass Sie damit auch nicht glücklich werden, denn an viel eigener Fleissarbeit führt voraussichtlich kein Weg vorbei und der umfassende Ansatz der erwähnten Anwaltskollegen ist für viele kleine Unternehmen vermutlich gar nicht zu bewältigen. Cookies sind ja nur ein kleiner Teil der Herausforderungen, die mit dem neuen europäischen und schweizerischen Datenschutzrecht bewältigt werden müssen.

  5. Einen wunderschönen guten Morgen Martin
    Ich glaub ich muss mal einen Individuellen Termin mit dir ausmachen :D
    Die ganze rechtliche Seite wird immer komplexer und da ich doch die eine oder andere Seite in diesem Web hab muss/sollte ich mich da schon etwas absichern.
    Wie/wo erreiche ich dich am besten?

    Lieben Gruss Martin

  6. Spannender Artikel, leider schwer behaftet.

    Da brummen uns die EU Bürokraten einen völlig Sinnlosen Mist auf, der die Arbeit im Netz erschwert und das Ergebnis wiedermal auf Kosten der Nutzer verschlechtert. Das alles fälschlicherweise im Namen des Datenschutzes.

    Erschreckend ist hier der Fokus auf den Begriff „Cookie“. Ein Cookie ist ein minimales, veraltetes und hoch eingeschränktes Mittel zur Nutzeridentifizierung. Wie steht es denn mit Local Storage? Oder IndexedDb? Beide sind viel potenter und werden von jedem modernen Browser unterstützt. Wie steht es denn mit Browser Fingerprinting, das geht mit jedem System und hinterlässt beim User keine Spuren. Nicht zuletzt, wie steht es damit, wenn man Serverseitig einfach die Daten des Useragents abfängt und still verwertet, auch hier kriegt der User nichts mit.

    Während Datenschutz ein wichtiges Thema ist, scheint die EU nur darauf ab zu zielen, ihre Kassen aufzubessern indem sie kleinen Webseitenbetreiber Bussen aufzubrummen, wegen gebraucht von „Cookies“.

    • @Dave:

      Was für herkömmliche Cookies gilt, trifft auch für die von Ihnen erwähnten Beispiele zu. Die EU-DSGVO kennt wie erwähnt keine «Cookies», sondern definiert erst einmal, was unter «personenbezogenen Daten» zu verstehen und was für deren Schutz vorgesehen ist.

      Nutzerinnen und Nutzer mögen nicht bemerken, dass ihre Daten bearbeitet werden, aber die Datenschutzbehörden können in Zukunft insbesondere die entsprechende Dokumentation überprüfen. Gleichzeitig ist klar, dass kein Datenschutzrecht vollständig verhindern kann, dass der Datenschutz bisweilen immer noch verletzt wird. Mit dem neuen Datenschutzrecht in der EU und in der Schweiz wird aber versucht zu bewirken, dass es nicht mehr bequemer ist, den Datenschutz zu ignorieren anstatt sich um den Schutz von Personendaten zu bemühen.

      Cookies und die meisten anderen Beispiele, die Sie erwähnen, sind per se übrigens kein datenschutzrechtliches Problem. Für einen Warenkorb darf man sie wie erwähnt durchaus verwenden. Das Problem ist Tracking, wobei Facebook und andere Anbieter, insbesondere in den USA, mit ihrem Verhalten geradezu ein verschärftes Datenschutzrecht provoziert haben. Wer eine Website betreibt, muss sich in Zukunft verstärkt überlegen, ob es sich lohnt, die entsprechenden Dienste nutzen, sofern ihre Nutzung überhaupt noch rechtmässig möglich ist.

      Piwik wirbt übrigens bereits damit, im Rahmen der EU-DSGVO Vorteile gegenüber Google Analytics und anderen Drittdiensten zu bieten:

      https://piwik.pro/blog/how-will-gdpr-affect-your-web-analytics-tracking/

  7. … und nun bin ich armer Tor genau so schlau als zuvor!
    Wie alle anderen Kommentierenden lässt mich das Ganze „Zeugs“ etwas ratlos zurück.
    Hoffe schon sehr, dass von Seiten Cyon noch etwas konkretere Artikel folgen werden. Etwas Zeit haben wir ja noch.

    • @Susanne:

      Cyon wird Ihnen die Fleissarbeit mit Blick auf die EU-DSGVO leider nicht abnehmen können. Mit dem ersten notwendigen Schritt sollten Sie so bald wie möglich beginnen:

      «In jedem Fall muss bestimmt werden, welche Daten man zu welchen Zwecken verarbeiten möchte, da die EU-DSGVO ansonsten gar nicht rechtskonform umgesetzt werden kann.»

      Weitere Hinweise finden Sie in meinen bisherigen Kommentar-Antworten.

  8. Mit Verlaub: Natürlich kann man anhand von einfachen Beispielen zeigen, «welche Daten man zu welchen Zwecken verarbeiten» tut. Einfachstes Beispiel: Ich bekomme einen Anfrage-Header und schicke daraufhin das gewünschte HTML-File mit Antwort-Header. Ein paar Angaben landen in meinem Log-File. Diesen technisch beschriebenen Vorgang könnte der juristisch Geschulte übersetzten. Was sind juristisch gesehen die relevanten Daten und was der Zweck. Das Beispiel kann man jetzt Schritt um Schritt erweitern: Ein Formular hinzufügen, eine Kommentarfunktion, eine Kommentarfunktion nur für registrierte User, User-Einstellungen anbieten, ein File von einem andern Host einbinden etc. Und immer fragen: Was sind juristisch gesehen die Daten und was der Zweck. Und dann mal typische Installationen viel verwendete Systeme wie WordPress anschauen. Was passiert hier, auch mit Blick auf «versteckte» Prozesse (dieser Blog hier will beispielsweise Canvas-Daten extrahieren).

    • @Stefan:

      «Einfachstes Beispiel: Ich bekomme einen Anfrage-Header und schicke daraufhin das gewünschte HTML-File mit Antwort-Header. Ein paar Angaben landen in meinem Log-File. Diesen technisch beschriebenen Vorgang könnte der juristisch Geschulte übersetzten. Was sind juristisch gesehen die relevanten Daten und was der Zweck.»

      Datenschutzrechtlich gesehen sind personenbezogene Daten relevant. Aber welche personenbezogenen Daten / Personendaten verarbeiten Sie zu welchen Zwecken?

      Vorliegend geht es eigentlich um Cookies, aber ich beziehe mich gerne auf Ihr Beispiel:

      Welche Angaben «landen» in den Logdateien? (Unter anderem vermutlich vollständige IP-Adressen, die grundsätzlich als personenbezogene Daten qualifiziert werden müssen.)

      Wie verarbeiten Sie diese Daten, zum Beispiel für welche Dauer werden diese Daten wo und wie gespeichert? Und für welche Zwecke verarbeiten Sie diese Daten?

      Dürfen Sie die Daten nach heutigen und künftigem Recht verarbeiten? Ist eine Einwilligung notwendig oder genügt ein Hinweis in der Datenschutzerklärung? Wie muss die Datenschutzerklärung formuliert werden?

      Wer ist auf Ihrer Seite für den Datenschutz verantwortlich? Wer führt bei Ihnen das Verzeichnis der Verarbeitungstätigkeiten? Benötigen Sie einen Vertreter in der EU? Wie gewährleisten Sie die Rechte der betroffenen Personen?

      Die Informationsdichte in Bezug auf die DSVGO wird in den nächsten Wochen und Monaten selbstverständlich wachsen. Ein gutes Beispiel sind die Informationen von MailChimp:

      https://kb.mailchimp.com/binaries/content/assets/mailchimpkb/us/en/pdfs/mailchimp_gdpr_sept2017.pdf

      Das Beispiel zeigt aber auch, dass Ihnen niemand die Aufgabe abnehmen kann zu bestimmen, welche Daten man zu welchen Zwecken verarbeiten möchte, denn das wissen 1) nur Sie und 2) können nur Sie die betroffenen Personen informieren:

      «You should carefully design each of these forms to make sure that language in the body and/or footer is clear, specific, and covers all possible reasons for using the information being solicited. Be very specific about the intended use of the information you are collecting.»

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog