Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner?

← zurück zum Blog

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Es führt kein Weg daran vorbei: Wer Websites besucht, erhält immer häufiger ein Cookie-Banner angezeigt. Je nach Ausgestaltung erklären die Banner oder Pop-up-Fenster, dass Cookies verwendet werden, informieren über eine Widerspruchsmöglichkeit gegen Cookies oder bitten – mehr oder weniger ausdrücklich – um die Einwilligung zur Verwendung von Cookies.

Welche Websites benötigen ein Cookie-Banner?

Viele Cookie-Banner können mit [OK] oder [X] weggeklickt werden. Die meisten Besucherinnen und Nutzer einer Website machen von dieser Möglichkeit reflexartig Gebrauch. 55 Prozent fühlen sich – Überraschung, Überraschung! – von Cookie-Bannern gestört, wie der deutsche Branchenverband bitkom mit einer repräsentativen Umfrage herausgefunden hat.

Zuletzt vermehrten sich Cookie-Banner schlagartig mit der Geltung der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). In der EU ist die DSGVO seit dem 25. Mai 2018 anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein, Island und Norwegen seit dem 22. Juli 2018.

Übersicht

Wieso gibt es überhaupt Cookie-Banner?

Nein, die DSGVO ist erst einmal nicht schuld. Und eigentlich geht es gar nicht um alle Cookies, sondern um das Tracking von Website-Besuchern. Für solches Tracking können Cookies, aber auch andere Daten, die lokal als WebStorage im Browser der Nutzer gespeichert werden, dienen. Tracking-Cookies setzen beispielsweise Facebook Pixel, Google Analytics oder Hotjar, je nach Einstellungen auch Matomo (früher Piwik) sowie viele weitere Tracking-Dienste. Beim Besuch der Tages-Anzeiger-Website werden beispielsweise über 25 Cookies von Tracking- und Werbe-Diensten gesetzt, wie Webbkoll zeigt.

Seit 2002 gibt es in der EU die ePrivacy-Richtlinie 2002/58/EG, die den Datenschutz für elektronische Kommunikation regelt. 2009 und damit lange vor Anwendbarkeit der DSGVO wurde die Richtlinie im Sinn von Konsumenten- beziehungsweise Verbraucherschutz mit der sogenannten Cookie-Richtlinie 2009/136/EG ergänzt.

Im Volltext lautet der einschlägige Artikel 5 Absatz 3 der Cookie-Richtlinie wie folgt:

«Die Mitgliedstaaten stellen sicher, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind, nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er […] u. a. über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Dies steht einer technischen Speicherung oder dem Zugang nicht entgegen, wenn der alleinige Zweck die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist oder wenn dies unbedingt erforderlich ist, damit der Anbieter eines Dienstes der Informationsgesellschaft, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wurde, diesen Dienst zur Verfügung stellen kann.»

Artikel 5 Absatz 3, Cookie-Richtlinie 2009/136/EG

Im Klartext: Für Cookies und andere Daten, die lokal im Browser der Website-Besucher gespeichert werden, ist grundsätzlich die informierte Einwilligung der betroffenen Personen erforderlich.

Ausnahmsweise ist keine Einwilligung erforderlich, wenn es sich um Daten handelt, die ausschliesslich verwendet werden, um einen Dienst zur Verfügung zu stellen, der vom jeweiligen Nutzer ausdrücklich gewünscht wurde. Dazu zählen insbesondere Cookies, die technisch notwendig sind, damit sich registrierte Nutzer nicht ständig neu einloggen müssen oder Warenkorb-Cookies in einem Onlineshop. Cookies für Tracking- und Werbe-Dienste fallen üblicherweise nicht unter diese Ausnahme.

Die Cookie-Richtlinie hat allerdings einen gewichtigen Haken: Da es sich um eine Richtlinie handelt, müssen ihre Regelungen durch die einzelnen EU-Mitgliedstaaten in nationales Recht gegossen werden. Diese Umsetzung erfolgte in den verschiedenen EU-Mitgliedstaaten sehr unterschiedlich – oder teilweise auch gar nicht.

Was sagt die Datenschutz-Grundverordnung DSGVO?

Inzwischen ist die Datenschutz-Grundverordnung (DSGVO) seit über einem Jahr anwendbar – und muss im Gegensatz zu einer Richtlinie nicht durch die EU-Mitgliedstaaten umgesetzt werden, sondern gilt als Verordnung unmittelbar.

Die DSGVO regelt umfassend die Bearbeitung von Personendaten:

Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für die Identifizierbarkeit genügt unter anderem die Möglichkeit, dass ein Nutzer aufgrund einer Online-Kennung direkt oder indirekt identifiziert werden kann (Art. 4 Abs. 1 DSGVO).

Als mögliche Online-Kennungen gelten insbesondere Cookies und IP-Adressen. In der Folge fällt die Verwendung von Cookies und anderen Daten, die lokal im Browser der Nutzer gespeichert werden, fast immer unter die DSGVO (Erwägungsgrund 30 zur DSGVO).

Die Anwendbarkeit der DSGVO bedeutet, dass die Bearbeitung von Personendaten grundsätzlich verboten und nur ausnahmsweise erlaubt ist (Art. 6 DSGVO).

Rechtmässig ist die Verwendung von Cookies unter anderem, wenn die entsprechende Bearbeitung von Personendaten für die Vertragserfüllung mit dem betroffenen Nutzer oder zur Erfüllung einer rechtlichen Pflicht der Website-Betreiberin erforderlich ist, was für Tracking und Werbung auf einer Website als Faustregel nicht der Fall ist.

Hingegen kann in vielen Fällen damit argumentiert werden, dass Tracking im Sinn von Erfolgs- und Reichweitenmessung im überwiegenden berechtigten wirtschaftlichen Interesse einer Website-Betreiberin liegt und deshalb rechtmässig ist. Dafür müssen die Interessen von Website-Betreiberin und betroffenen Nutzern gegeneinander abwogen werden, was anspruchsvoll ist. Auch stösst dieser Rechtfertigungsgrund bei vielen Datenschutzaufsichtsbehörden auf Ablehnung.

Je milder der Eingriff in die Rechte der Nutzer durch Tracking ist, desto besser funktioniert die Argumentation mit den überwiegenden berechtigten Interessen. So kann es beispielsweise hilfreich sein, ausschliesslich eigenes Tracking zu verwenden und auf die Website-übergreifenden Dienste von Facebook, Google und anderen Dritt-Diensten zu verzichten.

Schliesslich kann die Rechtmässigkeit mit Einwilligungen gewährleistet werden:

Solche Einwilligungen – zum Beispiel mit einem Cookie-Banner – müssen ausdrücklich, freiwillig und informiert erfolgen (Art. 7 DSGVO). Ausserdem muss die Website-Betreiberin jede erteilte Einwilligung im Zweifelsfall nachweisen können.

Die Anforderungen an eine solche Einwilligung sind damit sehr hoch und werden deshalb mit einem gängigen Cookie-Banner nicht erfüllt. Die meisten Cookie-Banner scheitern bereits daran, dass die Informationsdichte ungenügend ist, denn gar allgemeine Formulierungen mit Verweis auf ein «personalisiertes Erlebnis» oder «Marketingzwecke» genügen nicht. Daneben scheitern die meisten Cookie-Banner – streng genommen – daran, dass sie lediglich informieren und gar nicht um die Einwilligung für die Verwendung von Cookies bitten. Sie weisen bestenfalls darauf hin, dass zu einem späteren Zeitpunkt ein Widerspruch möglich ist («Opt-out»).

Eine freiwillige rechtsgültige Einwilligung würde bedeuten, dass jeder Website-Besucher in die Cookie-Verwendung ausdrücklich einwilligen müsste und sie dabei auch ablehnen könnte («Hard Opt-in»). Wenn beispielsweise nur [Ja] oder [OK] zur Verfügung steht («Opt-in»), kann sich die betroffene Person gar nicht entscheiden. Auch keine Entscheidung kann erfolgen, wenn die betreffenden Cookies bereits gesetzt wurden, bevor um die Einwilligung gebeten wird.

Schon gar keine rechtsgültige Einwilligung stellt die häufig gelesene Behauptung in Cookie-Bannern dar, die Einwilligung erfolge durch die weitere Nutzung der Website («Soft Opt-in»). Es käme auch niemand auf die Idee, der Text «Mit der weiteren Nutzung dieser Website willigen Sie in eine Nutzungsgebühr von 100 Franken pro Tag ein» könne eine rechtsgültige Einwilligung darstellen.

Unabhängig davon, wie die Rechtmässigkeit von Cookies im Rahmen der DSGVO gewährleistet wird, muss über Art, Umfang und Zweck der Bearbeitung von Personendaten informiert werden (Art. 12 ff. DSGVO):

Dafür dient normalerweise die Datenschutzerklärung einer Website. Als Faustregel benötigt jede Website eine Datenschutzerklärung. Die Datenschutzerklärung sollte sowohl im Cookie-Banner als auch im Footer der einzelnen Webseite verlinkt werden («Datenschutzerklärung», «Datenschutz»). Eine Vermischung von Allgemeinen Geschäftsbedingungen (AGB) oder Impressum mit der Datenschutzerklärung ist nicht empfehlenswert.

Für die Datenschutzerklärung gibt es sogenannte Datenschutz-Generatoren von verschiedenen Anbietern. Ein solcher Anbieter ist Datenschutzpartner, an dessen Datenschutz-Generator ich mit meiner Anwaltskanzlei beteiligt bin. Aus schweizerischer Sicht ist bei Datenschutz-Generatoren wichtig zu beachten, dass sie aktuell gehalten werden und die Rechtslage in der Schweiz berücksichtigen.

Problematisch ist die Verwendung von Dritt-Diensten, um Cookie-Banner in Websites einzubinden. So werden solche Dritt-Dienste je nach Browser-Einstellungen selbst als Tracking blockiert und das Cookie-Banner wird den Nutzern, die man um ihre Einwilligung bitten möchte, gar nicht angezeigt. Gleichzeitig bekunden viele solcher Dienste selbst grosse Mühe, rechtskonforme Cookie-Banner zu gestalten oder bieten derart viele Auswahlmöglichkeiten für «Opt-in» und «Opt-out» an, dass das Cookie-Banner zu einer datenschutzrechtlichen Karikatur wird.

Was sagt die ePrivacy-Verordnung?

Eigentlich hätte die neue sogenannte ePrivacy-Verordnung in der EU die bisherige ePrivacy-Richtlinie einschliesslich Cookie-Richtlinie ersetzen und gleichzeitig mit der DSGVO in Kraft treten sollen. Die ePrivacy-Verordnung wäre, genauso wie die DSGVO, unmittelbar anwendbar gewesen und hätte den Datenschutz speziell für die elektronische Kommunikation vereinheitlicht sowie verschärft. Inzwischen steckt der Gesetzgebungsprozess in der Sackgasse, denn grosse Internet- und Medien-Unternehmen wehren sich dagegen, dass Nutzer mehr Kontrolle über das Tracking ihrer Online-Aktivitäten erhalten.

Wann und mit welchem Inhalt die ePrivacy-Verordnung in Kraft treten wird, ist aus heutiger Sicht unklar. Inzwischen ist sogar denkbar, dass die DSGVO mit ausdrücklichen Regelungen zum Schutz von Konsumenten beziehungsweise Verbrauchern vor Tracking ergänzt wird.

Insofern sollte man die Entwicklungen rund um die ePrivacy-Verordnung zwar verfolgen. Im Übrigen kann man sich aber darauf beschränken, das heute geltende Recht einzuhalten beziehungsweise umzusetzen.

Was sagt das schweizerische Recht?

In der Schweiz darf Tracking grundsätzlich ohne Einwilligung der betroffenen Nutzer erfolgen, auch mit Cookies und anderen lokal im Browser gespeicherten Daten. Es genügt, darüber zu informieren (Art. 45c lit. b FMG), insbesondere im Rahmen der Datenschutzerklärung. Die Datenschutzerklärung muss unter anderem enthalten, wie Widerspruch erhoben werden kann.

Eine Einwilligung ist nur ausnahmsweise erforderlich, nämlich bei der Bearbeitung von besonders schützenswerten Personendaten – zum Beispiel zu politischen Ansichten oder zur Gesundheit – sowie beim Zusammenstellen von Daten, die ein Persönlichkeitsprofil ergeben. Bei besonders schützenswerten Personendaten muss die Einwilligung ausdrücklich, freiwillig und informiert erfolgen (Art. 4 Abs. 5 DSG). Davon betroffen sind beispielsweise politische Organisationen und Parteien im digitalen Wahlkampf, wenn sie Tracking auf ihren Websites einsetzen.

Gleichzeitig ist als Faustregel davon auszugehen, dass sowohl die Cookie-Richtlinie als auch die DSGVO der EU für viele Websites in der Schweiz gelten. Wenn eine solche Website die Cookie-Richtlinie und die DSGVO umsetzt, hält sie das anwendbare schweizerische Recht ohne weiteres ein.

Was sagt beispielsweise Google?

Vor lauter gesetzlichen Grundlagen darf man nicht vergessen, dass für Tracking und Werbung auf Websites meistens Dritt-Dienste eingesetzt werden. Solche Dienste verlangen normalerweise ausdrücklich, dass die Cookie-Richtlinie und das sonstige anwendbare Recht der EU eingehalten werden. Das gilt auch für Dienste von Google, beispielsweise im Rahmen der «EU User Consent Policy».

Google behauptet, die Einhaltung von Hand (!) zu kontrollieren. Bislang gibt es allerdings keine Anzeichen dafür, dass Google die Einhaltung von Cookie-Richtlinie und DSGVO bei Tracking und Werbung gegenüber Website-Betreibern tatsächlich durchsetzt.

Empfehlungen: Wer benötigt welches Cookie-Banner?

Als Faustregel sollten Website-Betreiber in der Schweiz davon ausgehen, dass sie die Cookie-Richtlinie und die DSGVO in Bezug auf Besucherinnen und Besucher aus dem Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU) und Fürstentum Liechtenstein einhalten müssen. In diesem Fall ist es häufig am einfachsten, sich für die gesamte Website am europäischen Recht zu orientieren anstatt zu versuchen, zwischen Besuchern aus verschiedenen Ländern und Regionen zu unterscheiden.

  • Die einzige rechtssichere Variante ist ein Cookie-Banner mit «Hard Opt-in»: Cookies, die technisch nicht notwendig sind, werden nur nach ausdrücklicher, freiwilliger und informierter Einwilligung der betroffenen Website-Besucher gesetzt. Die Besucher können sich beim ersten Besuch der Website aktiv mit [Ja] oder [Nein] für oder gegen Tracking entscheiden. Für weitere Informationen kann auf die Datenschutzerklärung verwiesen werden. Jede Einwilligung wird dokumentiert sowie mit einem «Opt-in»-Cookie kontrolliert.

    Die «Hard Opt-in»-Variante ist datenschutzfreundlich und rechtskonform. Sie hat in der Praxis aber den Nachteil, dass jene Besucher, die das Cookie-Banner nicht reflexartig wegklicken, verloren gehen. Die meisten Website-Besucher, die transparent über die Möglichkeiten von Tracking mit Google Analytics und vergleichbaren Diensten informiert werden, verlieren die Lust an einer Nutzung der Website.

  • Eine Alternative zum «Hard Opt-in» ist ein Cookie-Banner mit «Opt-in»: Die Besucher müssen die Verwendung von Cookies mit [Ja] oder [OK] bestätigen, können sie aber nicht direkt ablehnen. Für den «Opt-out» beziehungsweise Widerspruch müssen sie sich in der verlinkten Datenschutzerklärung über die entsprechenden Möglichkeiten informieren. Man geht mit dieser Alternative ein gewisses rechtliches Risiko ein.
  • Zahlreiche Websites versuchen ihr Glück mit einem «Soft Opt-in»: Im Cookie-Banner wird behauptet, die weitere Nutzung der Website stelle eine rechtsgültige Einwilligung dar, was offensichtlich nicht der Fall ist. Aus diesem Grund ist diese – rechtlich gesehen lächerliche – Variante nicht empfehlenswert.
  • Wenn man riskieren möchte, gar nicht erst um eine Einwilligung zu bitten, kann die «Opt-out»-Variante verwendet werden: Das Cookie-Banner informiert über die Verwendung von Cookies, ohne aber eine Einwilligung zu thematisieren. Im Übrigen wird auf die verlinkte Datenschutzerklärung verwiesen, wo sich die Besucher informieren können, auch über «Opt-out»-Möglichkeiten. Diese Variante wird häufig gewählt, wenn in einem Unternehmen niemand bereit ist, das Risiko für einen vollständigen Verzicht auf Cookie-Banner zu tragen.
  • Bei der letzten – ausschliesslich informierenden – Variante ist der Schritt zu einem vollständigen Verzicht auf ein Cookie-Banner nicht mehr weit. Aber auch in diesem Fall muss aber im Rahmen der Datenschutzerklärung, die im Footer jeder einzelnen Website verlinkt ist, über die Bearbeitung von Personendaten einschliesslich der Verwendung von Cookies informiert werden.
  • Wer auf ein Cookie-Banner verzichtet, sollte nicht auf andere erforderliche Einwilligungen verzichten. Solche Einwilligungen sind beispielsweise Newsletter-Anmeldungen oder die Bildung einer Custom Audience bei Facebook mit E-Mail-Adressen oder Telefonnummern von Kunden.

    Als Alternative jenseits von Cookie-Richtlinie und DSGVO ist es immer möglich, eine Website datenschutzfreundlich zu gestalten, auch mit Blick auf Cookies und Tracking. Für die Website meiner Steiger Legal-Anwaltskanzlei beispielsweise erfolgt die Erfolgs- und Reichweitenmessung mit Matomo in der selbst gehosteten Variante. Matomo kann sehr datenschutzfreundlich konfiguriert werden, unter anderem mit dem Verzicht auf Cookies.

    Matamo steht auch als kostenpflichtiger Cloud-Dienst zur Verfügung, wenn man den Tracking-Dienst nicht selbst hosten möchte. Im Gegensatz zu anderen extern gehosteten Angeboten wie Google Analytics hat Matomo Cloud den Vorteil, dass Daten nicht Website-übergreifend erfasst werden.

    Siehe auch: Cookie-Banner und andere Irritationen im Datenschutzrecht (Steiger Legal).

    Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.

14 Kommentare

  1. Der Artikel ist super – danke! Wollte vor ein paar Monaten genau diese Thematik abklären, es war aber schlicht unmöglich, an qualifizierte Informationen zu kommen, ohne einen teuren Anwalt bezahlen zu müssen. Herzlichen Dank dafür.

  2. Danke für den gut lesbaren Text! Es ist nicht einfach so qualifizierte Informationen zu finden, wie sie hier gut zusammengestellt und auf den Punkt gebracht zu lesen sind.

  3. Besten Dank, Martin, für die Zusammenstellung. Aus meiner Sicht wäre eine Präzisierung noch wünschenswert: das DSG greift ja grundsätzlich nur bei Personendaten, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Zu den Personendaten gehört darum auch die IP.

    Offene Frage aber ist für mich, ob immer noch von Personendaten auszugehen ist, wenn man die IP anonymisiert, also zB mit der anonymizeIP von Google Analytics (oder entsprechenden Einstellungen bei Konkurrenzprodukten). Was wäre hier Deine Einschätzung?

  4. @Balthasar Glättli:

    «Aus meiner Sicht wäre eine Präzisierung noch wünschenswert: das DSG greift ja grundsätzlich nur bei Personendaten, also Daten, die sich auf eine bestimmte oder bestimmbare Person beziehen. Zu den Personendaten gehört darum auch die IP.»

    Es ist sinnvoll, bei IP-Adressen als Faustregel von Personendaten auszugehen, auch wenn es sich nicht in jedem Fall tatsächlich um Personendaten handelt (Relativer Ansatz, Identifizierung / Singularisierung).

    Das schweizerische Datenschutzgesetz (DSG) ist im Zusammenhang mit Cookie-Bannern wie erwähnt aber sowieso nur ausnahmsweise von Bedeutung:

    «Eine Einwilligung ist nur ausnahmsweise erforderlich, nämlich bei der Bearbeitung von besonders schützenswerten Personendaten – zum Beispiel zu politischen Ansichten oder zur Gesundheit – sowie beim Zusammenstellen von Daten, die ein Persönlichkeitsprofil ergeben. […]»

    (Aus dem Abschnitt «Was sagt das schweizerische Recht?». Im Normalfall genügt die Information im Rahmen der Datenschutzerklärung.)

    «Offene Frage aber ist für mich, ob immer noch von Personendaten auszugehen ist, wenn man die IP anonymisiert, also zB mit der anonymizeIP von Google Analytics (oder entsprechenden Einstellungen bei Konkurrenzprodukten). Was wäre hier Deine Einschätzung?»

    Auch mit anonymisierten IP-Adressen ist bei Google Analytics weiterhin davon auszugehen, dass Personendaten vorliegen. Die Anonymisierung von IP-Adressen – eigentlich handelt es sich bloss um eine Verkürzung – dient der Datensparsamkeit, verhindert aber nicht, dass sonstige Personendaten an Google übermittelt werden können. Auch funktioniert die Anonymisierung / Kürzung je nach Implementierung nicht von Anfang an.

  5. Danke Herr Steiger für den sehr aufschlussreichen Blog.
    Wenn ich nun alles richtig verstanden habe. Erledigt sich das Thema Banner-Cookie wenn ich nur die PHP Session-Id als Cookie verwende und sonst nichts. D.h. ich brauche nur noch in den Datenschutzbestimmungen zu erklären, dass keine Cookies gespeichert werden, ausser der PHP Session Id welche zur Funktion der Seite zwingend erforderlich ist und sich diese automatisch beim Schliessen des Browsers wieder löscht.
    Grüsse Peter Ruepp

    • @Peter:

      Sie müssen in diesem Fall eigentlich gar nicht informieren, aber es schadet sicherlich nicht.

  6. Danke für die Klarstellungen.

    Für mich bedeutet es einfach auch, dass es für eine saubere Umsetzung auch genug Zeit eingerechnet werden muss.

    • @Aaron:

      Ja, das ist richtig. Am Anfang steht immer, dass man überhaupt weiss, inwiefern Cookies gesetzt sowie Personendaten bearbeitet werden und welches Recht anwendbar ist. Dann kann man mit der Umsetzung beginnen … 😀

  7. Hallo

    Gibt es irgendwo gute Text-Templates (für DSGVO), welche man zusammen klicken kann?
    Ist ja unsinnig, wenn jeder seinen eigenen Text verfasst…

    Grüsse Tom

  8. Ich benutze den MAXA Cookie Manager Pro 6.0, um die Cookies ständig zu entfernen oder benutze für Seiten wie Facebook einen Anonymizer. Ich frage mich aber, ob das heutzutage noch genügt. Gibt es Unterschiede bei den Browsern? Diese blockieren zumindest Adware in unterschiedlichem Massew.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog