Welche Websites benötigen ein Cookie-Banner?

Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Steiger Legal AG

Es führt kein Weg daran vorbei: Wer Websites besucht, erhält immer häufiger ein Cookie-Banner angezeigt. Je nach Ausgestaltung erklären die Banner oder Pop-up-Fenster, dass Cookies verwendet werden, informieren über eine Widerspruchsmöglichkeit gegen Cookies oder bitten – mehr oder weniger ausdrücklich – um die Einwilligung zur Verwendung von Cookies.

Viele Cookie-Banner können mit [OK] oder [X] weggeklickt werden. Die meisten Besucherinnen und Nutzer einer Website machen von dieser Möglichkeit reflexartig Gebrauch. 55 Prozent fühlen sich – Überraschung, Überraschung! – von Cookie-Bannern gestört, wie der deutsche Branchenverband bitkom mit einer repräsentativen Umfrage herausgefunden hat.

Zuletzt vermehrten sich Cookie-Banner schlagartig mit der Geltung der neuen Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU). In der EU ist die DSGVO seit dem 25. Mai 2018 anwendbar, im Europäischen Wirtschaftsraum (EWR) einschliesslich Fürstentum Liechtenstein, Island und Norwegen seit dem 22. Juli 2018.

Übersicht

• Wieso gibt es überhaupt Cookie-Banner?
• Was sagt die Datenschutz-Grundverordnung DSGVO?
• Was sagt die ePrivacy-Verordnung?
• Was sagt das schweizerische Recht?
• Was sagt beispielsweise Google?
• Empfehlungen: Wer benötigt welches Cookie-Banner?

Wieso gibt es überhaupt Cookie-Banner?

Nein, die DSGVO ist erst einmal nicht schuld. Und eigentlich geht es gar nicht um alle Cookies, sondern um das Tracking von Website-Besuchern. Für solches Tracking können Cookies, aber auch andere Daten, die lokal als WebStorage im Browser der Nutzer gespeichert werden, dienen. Tracking-Cookies setzen beispielsweise Facebook Pixel, Google Analytics oder Hotjar, je nach Einstellungen auch Matomo (früher Piwik) sowie viele weitere Tracking-Dienste. Beim Besuch der Tages-Anzeiger-Website werden beispielsweise über 25 Cookies von Tracking- und Werbe-Diensten gesetzt, wie Webbkoll zeigt.

Seit 2002 gibt es in der EU die ePrivacy-Richtlinie 2002/58/EG, die den Datenschutz für elektronische Kommunikation regelt. 2009 und damit lange vor Anwendbarkeit der DSGVO wurde die Richtlinie im Sinn von Konsumenten- beziehungsweise Verbraucherschutz mit der sogenannten Cookie-Richtlinie 2009/136/EG ergänzt.

Im Volltext lautet der einschlägige Artikel 5 Absatz 3 der Cookie-Richtlinie wie folgt:

Im Klartext: Für Cookies und andere Daten, die lokal im Browser der Website-Besucher gespeichert werden, ist grundsätzlich die informierte Einwilligung der betroffenen Personen erforderlich.

Ausnahmsweise ist keine Einwilligung erforderlich, wenn es sich um Daten handelt, die ausschliesslich verwendet werden, um einen Dienst zur Verfügung zu stellen, der vom jeweiligen Nutzer ausdrücklich gewünscht wurde. Dazu zählen insbesondere Cookies, die technisch notwendig sind, damit sich registrierte Nutzer nicht ständig neu einloggen müssen oder Warenkorb-Cookies in einem Onlineshop. Cookies für Tracking- und Werbe-Dienste fallen üblicherweise nicht unter diese Ausnahme.

Die Cookie-Richtlinie hat allerdings einen gewichtigen Haken: Da es sich um eine Richtlinie handelt, müssen ihre Regelungen durch die einzelnen EU-Mitgliedstaaten in nationales Recht gegossen werden. Diese Umsetzung erfolgte in den verschiedenen EU-Mitgliedstaaten sehr unterschiedlich – oder teilweise auch gar nicht.

Was sagt die Datenschutz-Grundverordnung DSGVO?

Inzwischen ist die Datenschutz-Grundverordnung (DSGVO) seit über einem Jahr anwendbar – und muss im Gegensatz zu einer Richtlinie nicht durch die EU-Mitgliedstaaten umgesetzt werden, sondern gilt als Verordnung unmittelbar.

Die DSGVO regelt umfassend die Bearbeitung von Personendaten:

Als personenbezogene Daten gelten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Für die Identifizierbarkeit genügt unter anderem die Möglichkeit, dass ein Nutzer aufgrund einer Online-Kennung direkt oder indirekt identifiziert werden kann (Art. 4 Abs. 1 DSGVO).

Als mögliche Online-Kennungen gelten insbesondere Cookies und IP-Adressen. In der Folge fällt die Verwendung von Cookies und anderen Daten, die lokal im Browser der Nutzer gespeichert werden, fast immer unter die DSGVO (Erwägungsgrund 30 zur DSGVO).

Die Anwendbarkeit der DSGVO bedeutet, dass die Bearbeitung von Personendaten grundsätzlich verboten und nur ausnahmsweise erlaubt ist (Art. 6 DSGVO).

Rechtmässig ist die Verwendung von Cookies unter anderem, wenn die entsprechende Bearbeitung von Personendaten für die Vertragserfüllung mit dem betroffenen Nutzer oder zur Erfüllung einer rechtlichen Pflicht der Website-Betreiberin erforderlich ist, was für Tracking und Werbung auf einer Website als Faustregel nicht der Fall ist.

Hingegen kann in vielen Fällen damit argumentiert werden, dass Tracking im Sinn von Erfolgs- und Reichweitenmessung im überwiegenden berechtigten wirtschaftlichen Interesse einer Website-Betreiberin liegt und deshalb rechtmässig ist. Dafür müssen die Interessen von Website-Betreiberin und betroffenen Nutzern gegeneinander abwogen werden, was anspruchsvoll ist. Auch stösst dieser Rechtfertigungsgrund bei vielen Datenschutzaufsichtsbehörden auf Ablehnung.

Je milder der Eingriff in die Rechte der Nutzer durch Tracking ist, desto besser funktioniert die Argumentation mit den überwiegenden berechtigten Interessen. So kann es beispielsweise hilfreich sein, ausschliesslich eigenes Tracking zu verwenden und auf die Website-übergreifenden Dienste von Facebook, Google und anderen Dritt-Diensten zu verzichten.

Schliesslich kann die Rechtmässigkeit mit Einwilligungen gewährleistet werden:

Solche Einwilligungen – zum Beispiel mit einem Cookie-Banner – müssen ausdrücklich, freiwillig und informiert erfolgen (Art. 7 DSGVO). Ausserdem muss die Website-Betreiberin jede erteilte Einwilligung im Zweifelsfall nachweisen können.

Die Anforderungen an eine solche Einwilligung sind damit sehr hoch und werden deshalb mit einem gängigen Cookie-Banner nicht erfüllt. Die meisten Cookie-Banner scheitern bereits daran, dass die Informationsdichte ungenügend ist, denn gar allgemeine Formulierungen mit Verweis auf ein «personalisiertes Erlebnis» oder «Marketingzwecke» genügen nicht. Daneben scheitern die meisten Cookie-Banner – streng genommen – daran, dass sie lediglich informieren und gar nicht um die Einwilligung für die Verwendung von Cookies bitten. Sie weisen bestenfalls darauf hin, dass zu einem späteren Zeitpunkt ein Widerspruch möglich ist («Opt-out»).

Eine freiwillige rechtsgültige Einwilligung würde bedeuten, dass jeder Website-Besucher in die Cookie-Verwendung ausdrücklich einwilligen müsste und sie dabei auch ablehnen könnte («Hard Opt-in»). Wenn beispielsweise nur [Ja] oder [OK] zur Verfügung steht («Opt-in»), kann sich die betroffene Person gar nicht entscheiden. Auch keine Entscheidung kann erfolgen, wenn die betreffenden Cookies bereits gesetzt wurden, bevor um die Einwilligung gebeten wird.

Schon gar keine rechtsgültige Einwilligung stellt die häufig gelesene Behauptung in Cookie-Bannern dar, die Einwilligung erfolge durch die weitere Nutzung der Website («Soft Opt-in»). Es käme auch niemand auf die Idee, der Text «Mit der weiteren Nutzung dieser Website willigen Sie in eine Nutzungsgebühr von 100 Franken pro Tag ein» könne eine rechtsgültige Einwilligung darstellen.

Unabhängig davon, wie die Rechtmässigkeit von Cookies im Rahmen der DSGVO gewährleistet wird, muss über Art, Umfang und Zweck der Bearbeitung von Personendaten informiert werden (Art. 12 ff. DSGVO):

Dafür dient normalerweise die Datenschutzerklärung einer Website. Als Faustregel benötigt jede Website eine Datenschutzerklärung. Die Datenschutzerklärung sollte sowohl im Cookie-Banner als auch im Footer der einzelnen Webseite verlinkt werden («Datenschutzerklärung», «Datenschutz»). Eine Vermischung von Allgemeinen Geschäftsbedingungen (AGB) oder Impressum mit der Datenschutzerklärung ist nicht empfehlenswert.

Für die Datenschutzerklärung gibt es sogenannte Datenschutz-Generatoren von verschiedenen Anbietern. Ein solcher Anbieter ist Datenschutzpartner, an dessen Datenschutz-Generator ich mit meiner Anwaltskanzlei beteiligt bin. Aus schweizerischer Sicht ist bei Datenschutz-Generatoren wichtig zu beachten, dass sie aktuell gehalten werden und die Rechtslage in der Schweiz berücksichtigen.

Problematisch ist die Verwendung von Dritt-Diensten, um Cookie-Banner in Websites einzubinden. So werden solche Dritt-Dienste je nach Browser-Einstellungen selbst als Tracking blockiert und das Cookie-Banner wird den Nutzern, die man um ihre Einwilligung bitten möchte, gar nicht angezeigt. Gleichzeitig bekunden viele solcher Dienste selbst grosse Mühe, rechtskonforme Cookie-Banner zu gestalten oder bieten derart viele Auswahlmöglichkeiten für «Opt-in» und «Opt-out» an, dass das Cookie-Banner zu einer datenschutzrechtlichen Karikatur wird.

Was sagt die ePrivacy-Verordnung?

Eigentlich hätte die neue sogenannte ePrivacy-Verordnung in der EU die bisherige ePrivacy-Richtlinie einschliesslich Cookie-Richtlinie ersetzen und gleichzeitig mit der DSGVO in Kraft treten sollen. Die ePrivacy-Verordnung wäre, genauso wie die DSGVO, unmittelbar anwendbar gewesen und hätte den Datenschutz speziell für die elektronische Kommunikation vereinheitlicht sowie verschärft. Inzwischen steckt der Gesetzgebungsprozess in der Sackgasse, denn grosse Internet- und Medien-Unternehmen wehren sich dagegen, dass Nutzer mehr Kontrolle über das Tracking ihrer Online-Aktivitäten erhalten.

Wann und mit welchem Inhalt die ePrivacy-Verordnung in Kraft treten wird, ist aus heutiger Sicht unklar. Inzwischen ist sogar denkbar, dass die DSGVO mit ausdrücklichen Regelungen zum Schutz von Konsumenten beziehungsweise Verbrauchern vor Tracking ergänzt wird.

Insofern sollte man die Entwicklungen rund um die ePrivacy-Verordnung zwar verfolgen. Im Übrigen kann man sich aber darauf beschränken, das heute geltende Recht einzuhalten beziehungsweise umzusetzen.

Was sagt das schweizerische Recht?

In der Schweiz darf Tracking grundsätzlich ohne Einwilligung der betroffenen Nutzer erfolgen, auch mit Cookies und anderen lokal im Browser gespeicherten Daten. Es genügt, darüber zu informieren (Art. 45c lit. b FMG), insbesondere im Rahmen der Datenschutzerklärung. Die Datenschutzerklärung muss unter anderem enthalten, wie Widerspruch erhoben werden kann.

Eine Einwilligung ist nur ausnahmsweise erforderlich, nämlich bei der Bearbeitung von besonders schützenswerten Personendaten – zum Beispiel zu politischen Ansichten oder zur Gesundheit – sowie beim Zusammenstellen von Daten, die ein Persönlichkeitsprofil ergeben. Bei besonders schützenswerten Personendaten muss die Einwilligung ausdrücklich, freiwillig und informiert erfolgen (Art. 4 Abs. 5 DSG). Davon betroffen sind beispielsweise politische Organisationen und Parteien im digitalen Wahlkampf, wenn sie Tracking auf ihren Websites einsetzen.

Gleichzeitig ist als Faustregel davon auszugehen, dass sowohl die Cookie-Richtlinie als auch die DSGVO der EU für viele Websites in der Schweiz gelten. Wenn eine solche Website die Cookie-Richtlinie und die DSGVO umsetzt, hält sie das anwendbare schweizerische Recht ohne weiteres ein.

Was sagt beispielsweise Google?

Vor lauter gesetzlichen Grundlagen darf man nicht vergessen, dass für Tracking und Werbung auf Websites meistens Dritt-Dienste eingesetzt werden. Solche Dienste verlangen normalerweise ausdrücklich, dass die Cookie-Richtlinie und das sonstige anwendbare Recht der EU eingehalten werden. Das gilt auch für Dienste von Google, beispielsweise im Rahmen der «EU User Consent Policy».

Google behauptet, die Einhaltung von Hand (!) zu kontrollieren. Bislang gibt es allerdings keine Anzeichen dafür, dass Google die Einhaltung von Cookie-Richtlinie und DSGVO bei Tracking und Werbung gegenüber Website-Betreibern tatsächlich durchsetzt.

Empfehlungen: Wer benötigt welches Cookie-Banner?

Als Faustregel sollten Website-Betreiber in der Schweiz davon ausgehen, dass sie die Cookie-Richtlinie und die DSGVO in Bezug auf Besucherinnen und Besucher aus dem Europäischen Wirtschaftsraum (EWR) einschliesslich Europäischer Union (EU) und Fürstentum Liechtenstein einhalten müssen. In diesem Fall ist es häufig am einfachsten, sich für die gesamte Website am europäischen Recht zu orientieren anstatt zu versuchen, zwischen Besuchern aus verschiedenen Ländern und Regionen zu unterscheiden.

• Die einzige rechtssichere Variante ist ein Cookie-Banner mit «Hard Opt-in»: Cookies, die technisch nicht notwendig sind, werden nur nach ausdrücklicher, freiwilliger und informierter Einwilligung der betroffenen Website-Besucher gesetzt. Die Besucher können sich beim ersten Besuch der Website aktiv mit [Ja] oder [Nein] für oder gegen Tracking entscheiden. Für weitere Informationen kann auf die Datenschutzerklärung verwiesen werden. Jede Einwilligung wird dokumentiert sowie mit einem «Opt-in»-Cookie kontrolliert.
  Die «Hard Opt-in»-Variante ist datenschutzfreundlich und rechtskonform. Sie hat in der Praxis aber den Nachteil, dass jene Besucher, die das Cookie-Banner nicht reflexartig wegklicken, verloren gehen. Die meisten Website-Besucher, die transparent über die Möglichkeiten von Tracking mit Google Analytics und vergleichbaren Diensten informiert werden, verlieren die Lust an einer Nutzung der Website.
• Eine Alternative zum «Hard Opt-in» ist ein Cookie-Banner mit «Opt-in»: Die Besucher müssen die Verwendung von Cookies mit [Ja] oder [OK] bestätigen, können sie aber nicht direkt ablehnen. Für den «Opt-out» beziehungsweise Widerspruch müssen sie sich in der verlinkten Datenschutzerklärung über die entsprechenden Möglichkeiten informieren. Man geht mit dieser Alternative ein gewisses rechtliches Risiko ein.
• Zahlreiche Websites versuchen ihr Glück mit einem «Soft Opt-in»: Im Cookie-Banner wird behauptet, die weitere Nutzung der Website stelle eine rechtsgültige Einwilligung dar, was offensichtlich nicht der Fall ist. Aus diesem Grund ist diese – rechtlich gesehen lächerliche – Variante nicht empfehlenswert.
• Wenn man riskieren möchte, gar nicht erst um eine Einwilligung zu bitten, kann die «Opt-out»-Variante verwendet werden: Das Cookie-Banner informiert über die Verwendung von Cookies, ohne aber eine Einwilligung zu thematisieren. Im Übrigen wird auf die verlinkte Datenschutzerklärung verwiesen, wo sich die Besucher informieren können, auch über «Opt-out»-Möglichkeiten. Diese Variante wird häufig gewählt, wenn in einem Unternehmen niemand bereit ist, das Risiko für einen vollständigen Verzicht auf Cookie-Banner zu tragen.
• Bei der letzten – ausschliesslich informierenden – Variante ist der Schritt zu einem vollständigen Verzicht auf ein Cookie-Banner nicht mehr weit. Aber auch in diesem Fall muss aber im Rahmen der Datenschutzerklärung, die im Footer jeder einzelnen Website verlinkt ist, über die Bearbeitung von Personendaten einschliesslich der Verwendung von Cookies informiert werden.

Wer auf ein Cookie-Banner verzichtet, sollte nicht auf andere erforderliche Einwilligungen verzichten. Solche Einwilligungen sind beispielsweise Newsletter-Anmeldungen oder die Bildung einer Custom Audience bei Facebook mit E-Mail-Adressen oder Telefonnummern von Kunden.

Als Alternative jenseits von Cookie-Richtlinie und DSGVO ist es immer möglich, eine Website datenschutzfreundlich zu gestalten, auch mit Blick auf Cookies und Tracking. Für die Website meiner Steiger Legal-Anwaltskanzlei beispielsweise erfolgt die Erfolgs- und Reichweitenmessung mit Matomo in der selbst gehosteten Variante. Matomo kann sehr datenschutzfreundlich konfiguriert werden, unter anderem mit dem Verzicht auf Cookies.

Matamo steht auch als kostenpflichtiger Cloud-Dienst zur Verfügung, wenn man den Tracking-Dienst nicht selbst hosten möchte. Im Gegensatz zu anderen extern gehosteten Angeboten wie Google Analytics hat Matomo Cloud den Vorteil, dass Daten nicht Website-übergreifend erfasst werden.

Siehe auch: Cookie-Banner und andere Irritationen im Datenschutzrecht (Steiger Legal).

Hinweis: Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.