Cookies sind für bestimmte Funktionen von Websites notwendig, ermöglichen die Analyse von Websitebesuchern und erlauben gezielte Marketingmaßnahmen. Doch längst nicht jedes Cookie darf einfach so gesetzt werden – insbesondere dann nicht, wenn sich ein Onlineangebot aus der Schweiz auch an Menschen in der EU richtet.
Herausforderungen beim Cookie-Einsatz
Die Nutzung von Cookies und die Bearbeitung von Personendaten unterliegen sowohl in der Schweiz als auch in der Europäischen Union gewissen datenschutzrechtlichen Bestimmungen. Während die EU mit der Datenschutz-Grundverordnung (DSGVO) und der ePrivacy-Richtlinie strikte Anforderungen an Einwilligung und Transparenz stellt, zeigt sich das Schweizer Datenschutzgesetz (DSG) und das Schweizer Fernmeldegesetz (FMG) in einigen Bereichen weniger restriktiv.
Dennoch ergeben sich für Schweizer Unternehmen, die international tätig sind oder Dienste wie Google Analytics nutzen, besondere Herausforderungen, da sie sowohl nationale als auch internationale Vorgaben einhalten müssen.
Was genau sind Cookies?
Ein Cookie ist ein kleiner Datensatz, der beim Besuch einer Internetseite erstellt und auf dem System des Nutzers der Internetseite zwischengespeichert wird. Wird der Server dieser Website erneut vom Nutzer der Website aufgerufen, sendet der Browser des Nutzers der Website das zuvor empfangene Cookie wieder zurück an den Server. Der Server kann die durch dieses Verfahren erhaltenen Informationen auswerten.
Durch Cookies kann insbesondere das Navigieren auf einer Internetseite erleichtert werden. Man unterscheidet hierbei primär zwischen technisch notwendigen und technisch nicht notwendigen Cookies. Cookies können zudem entweder temporär (Session-Cookies) oder dauerhaft (persistente Cookies) sein und werden in der Regel automatisch gelöscht, wenn der Nutzer seine Browsereinstellungen ändert oder Cookies manuell entfernt.
Anwendbarkeit von DSG und FMG
Das FMG ist neben dem DSG anwendbar. Während das DSG primär die Bearbeitung von Personendaten schützt, soll das FMG die Datenschutzvorschriften für den Fernmeldeverkehr aus der DSGVO ergänzen und präzisieren. Werden bei dem Einsatz von Fernmeldediensten also keine Personendaten bearbeitet, kommen lediglich die Vorgaben des FMG zur Anwendung.
Bei der Verwendung von Cookies, die das Nachverfolgen des Nutzerverhaltens ermöglichen, werden in der Regel Personendaten (in Form von IP-Adressen etc.) bearbeitet, wodurch sowohl das FMG als auch das DSG Anwendung finden. Der Anwendungsbereich des FMG ist dabei nicht wie das DSG auf Personendaten begrenzt, sondern erfasst sämtliche im Wege der Nutzung von Fernmeldediensten erhobenen Informationen.
Rechtliche Anforderungen an den Einsatz von Cookies in der Schweiz
Sowohl das DSG als auch das FMG stellen für den Einsatz von Cookies einige Regeln auf:
Informationspflichten und Ablehnungsoption
Bei der Bearbeitung von Personendaten legen die Schweizer Gesetze genauso viel Wert auf Transparenz wie die DSGVO. Gemäss Art. 45c FMG müssen Unternehmen Besucher ihrer Website klar und verständlich über insbesondere den Einsatz von Cookies und deren Zwecke informieren. Zudem muss darauf hingewiesen werden, dass Benutzer die Bearbeitung auch ablehnen können, z.B. in den Browser-Einstellungen.
Eine ausdrückliche Einwilligung der Betroffenen zur Nutzung nicht notwendiger Cookies ist jedoch grundsätzlich nicht erforderlich.
In der Regel empfiehlt es sich, die Informationen zu eingesetzten Cookies durch einen einfachen Infobanner den Betroffenen bereitzustellen, welcher beim ersten Besuch der Website angezeigt wird. In diesem Banner sollten die Nutzer darüber informiert werden,
- welche Cookies gesetzt werden,
- zu welchem Zweck dies erfolgt und
- dass die Bearbeitung der Daten abgelehnt werden kann.
Um dieser gesetzlichen Pflicht nachzukommen, empfiehlt sich ein Cookie-Banner, welches einen Link zu der Datenschutzerklärung auf der Website mit den erforderlichen Informationen enthält.
Opt-in bei der Bearbeitung sensibler Daten und Profiling mit hohem Risiko
Seit Anwendbarkeit des neuen DSG gelten in bestimmten Fällen strengere Anforderungen an die Bearbeitung von Personendaten. Insbesondere bei der Bearbeitung besonders schützenswerter Daten und beim Profiling mit hohem Risiko gelten erhöhte Massstäbe:
Die Kategorien der besonders schützenswerten Personendaten sind in Art. 5 lit. c DSG abschliessend geregelt. Sie umfassen sensible Daten, für die erhöhte Sicherheitsanforderungen gelten. Dazu zählen beispielsweise Gesundheitsdaten, politische Ansichten oder die Religionszugehörigkeit.
Mit der Revision des DSG wurde auch der Begriff des Profiling gesetzlich verankert. Das DSG differenziert hierbei zwischen dem „normalen“ Profiling (Art. 5 lit. f DSG) und dem „Profiling mit hohem Risiko“ (Art. 5 lit. g DSG). Diese Unterscheidung ist eine Besonderheit des Schweizer Datenschutzrechts und findet sich nicht in der europäischen DSGVO. Profiling mit hohem Risiko ist
„Profiling, dass ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt“.
Ein Profiling mit hohem Risiko könnte beispielsweise im Kontext eines Buchhandels angenommen werden, wenn das Leseverhalten mit weiteren Transaktionsdaten, wie dem Einkaufsverhalten im Lebensmittelsektor oder Informationen aus Fitness-Tracking-Apps, kombiniert wird, um Rückschlüsse auf den Gesundheitszustand zu ziehen und gezielte Werbung zu schalten. Ebenso könnte ein Profiling mit hohem Risiko vorliegen, wenn Informationen über das Kaufverhalten in verschiedenen Branchen, wie etwa Bekleidung und Elektronik, mit Geolokalisierungsdaten und Profilen in sozialen Medien verknüpft werden, um so das Einkommen und den sozialen Status einer Person zu schätzen und gezielt Luxusprodukte oder exklusiven Service anzubieten.
Die Bearbeitung in diesen Fällen erfordert gemäss Art. 6 Satz 6 und 7 DSG eine explizite Einwilligung im Rahmen eines Opt-in-Verfahrens. Nutzer müssen aktiv zustimmen, bevor entsprechende Cookies gesetzt oder Daten bearbeitet werden. Eine vorausgewählte Option, die lediglich eine Ablehnung (Opt-out) ermöglicht, ist hier unzulässig. Die Einwilligung muss freiwillig, informiert und aktiv erfolgen und jederzeit widerrufbar sein.
Für Cookies, die mit sensiblen Daten oder Profiling mit hohem Risiko verbunden sind, reicht ein einfacher Hinweisbanner also nicht aus. Stattdessen ist ein umfassender Zustimmungsmechanismus erforderlich, der durch ein klar gestaltetes Consent-Management-System umgesetzt wird. Dieses muss den Nutzern transparente und gleichberechtigte Wahlmöglichkeiten bieten, um den rechtlichen Anforderungen gerecht zu werden (siehe weiter unten).
Besondere Anforderungen beim Einsatz von Google-Produkten in der Schweiz
Ein weiteres Thema, das für viele Schweizer Websitebetreiber von Bedeutung ist, sind die neuen Pflichten im Zusammenhang mit Services von Google.
Regeln der EU User Consent Policy von Google
Seit dem 31. Juli 2024 ist die EU User Consent Policy von Google auch im Hinblick auf Endnutzer, die sich in der Schweiz aufhalten, verbindlich. Dies hat Auswirkungen auf alle Unternehmen, die bestimmte Werbe- und Analyseprodukte von Google, etwa Google Analytics oder Google Ads, auf ihrer Webseite einsetzen, aber auch Einbindungen von Google Maps oder Youtube-Videos.
Zusätzliche Einwilligungspflicht für Cookies
Nutzer von Google-Diensten sind verpflichtet, eine rechtskonforme Einwilligung der Endnutzer einzuholen,
- sofern dies für die Verwendung von Cookies rechtlich vorgeschrieben ist
- oder Personendaten zum Zweck der personalisierten Werbung erhoben, weitergegeben oder genutzt werden.
Während der erste Fall für die Schweiz keine Rolle spielt (und nur für Bearbeitungen innerhalb der EU relevant ist), ergeben sich im zweiten Fall zusätzliche Verpflichtungen gegenüber Schweizer Websitebesuchern.
Während das DSG (wie oben erläutert) eine ausdrückliche Einwilligung nur für das Profiling mit hohem Risiko fordert, verlangt Google diese bereits bei „normalen“ Profiling im Rahmen personalisierter Werbung. Werden Nutzerdaten für personalisierte Werbung bearbeitet, ist daher vor dem Setzen eines Cookies die aktive Zustimmung des Nutzers einzuholen.
Eine Umgehung dieser Einwilligungspflicht ist für Publisher (Websitebetreiber, die Google Werbeflächen zur Verfügung stellen) nur bei der Nutzung von „Limited Ads“ möglich. Hierbei erfolgt die Ausspielung von Werbung ohne Personalisierung oder Bezug zu Personendaten. In diesem Fall ist weiterhin keine Einholung der Einwilligung notwendig.
Anforderungen an die Consent-Management-Plattform
Eine wesentliche Einschränkung der Google-Richtlinie betrifft Publisher im Zusammenhang mit der Verwendung einer Consent-Management-Plattform (CMP). Hierbei schreibt Google grundsätzlich vor, dass eine zertifizierte CMP eingesetzt werden soll, deren Konformität durch ein „Verified Consent Signal“ überprüft wird.
Schweizer Unternehmen können an dieser Stelle allerdings aufatmen. Die Pflicht, einer zertifizierten CMP einzusetzen wird explizit für die Schweiz aufgehoben. Stattdessen steht es Schweizer Unternehmen frei, eine CMP ihrer Wahl zu nutzen. Die Übermittlung eines verifizierten Einwilligungssignals wird in diesem Fall von Google nicht verlangt.
Rechtliche Anforderungen an den Cookie-Einsatz in der EU
Unternehmen, die ihre Produkte und Dienstleistungen auch Nutzern in der EU anbieten, sind verpflichtet, die strengen Anforderungen der DSGVO und der ePrivacy-Richtlinie zu erfüllen.
Tipp: Lesen Sie unseren Ratgeber, wann die DSGVO auch für Schweizer Unternehmen gilt.
Dies betrifft insbesondere den Einsatz eines DSGVO-konformen Cookie-Consent-Banners, das eine aktive Zustimmung (Opt-in) der Nutzer erfordert, bevor technisch nicht notwendige Cookies gesetzt werden dürfen. Die Zustimmung muss freiwillig erteilt werden, ohne bereits angehaktes Kästchen oder automatische Annahme durch Weiterscrollen. Nutzer müssen eine echte Wahl haben und die Möglichkeit, ihre Entscheidung jederzeit zu widerrufen.
Im Hinblick auf die Informationspflichten bestehen zwischen der Schweiz und der EU weitgehend identische Anforderungen. Auch die DSGVO verpflichtet Websitebetreiber gemäss den Art. 13 und 14 DSGVO dazu, die Nutzer unter anderem über die Zwecke der Datenbearbeitung, die Empfänger der Daten sowie die Speicherdauer zu informieren. Diese Informationspflichten zielen darauf ab, Transparenz im Umgang mit Personendaten zu gewährleisten.
Tipp: Nutzen Sie unsere Vorlage für eine Datenschutzerklärung für Ihre Website, um den Informationspflichten nachzukommen.
Für Unternehmen, die sowohl in der Schweiz als auch in der EU tätig sind, ist es essenziell, sowohl die Vorgaben des schweizerischen DSG als auch der europäischen ePrivacy-Richtlinie zu beachten. Um beiden Regelwerken gerecht zu werden, empfiehlt es sich, im Zweifel die Einwilligung der Betroffenen vor dem Einsatz nicht notwendiger Cookies einzuholen. Eine alternative Lösung ist die Implementierung eines dynamischen Cookie-Banners, das den Standort der Nutzer erkennt und die Auswahlmöglichkeiten entsprechend anpasst (Opt-in oder Opt-out). Auf diese Weise können die jeweiligen Datenschutzanforderungen zuverlässig eingehalten werden.
Besondere Anforderungen beim Einsatz von Google-Produkten in der EU
Für Unternehmen, die Google-Produkte wie Google Analytics, Google Ads oder die YouTube-API nutzen, ergibt sich aus den allgemeinen rechtlichen Vorgaben der DSGVO und der ePrivacy-Richtlinie die Verpflichtung, vor dem Einsatz nicht notwendiger Cookies die ausdrückliche Zustimmung der Nutzer einzuholen. Dabei zeigt sich ein wesentlicher Unterschied im Umgang mit Websitebesuchern aus der Schweiz im Vergleich zu Besuchern aus der EU.
Während Google für Schweizer Endnutzer die Regelung vorsieht, dass eine ausdrückliche Einwilligung nur dann erforderlich ist, wenn personalisierte Werbung geschaltet wird, ist für EU-Besucher eine solche Differenzierung nicht von Bedeutung. Unabhängig davon, ob personalisierte Werbung vorliegt oder nicht, bleibt für EU-Websitebesucher der Grundsatz massgeblich, dass in jedem Fall eine ausdrückliche Zustimmung für den Einsatz nicht notwendiger Cookies eingeholt werden muss.
Anforderungen an Cookie-Consent-Banner
Unabhängig davon, ob sich die betroffenen Personen in der Schweiz oder der EU aufhalten, müssen die folgenden Aspekte im Falle eines Einwilligungserfordernisses beim Einsatz eines Cookie-Consent-Banners beachtet werden:
Keine einwilligungsbedürftigen Cookies vor Zustimmung
Cookies, die eine Einwilligung erfordern, dürfen erst dann gesetzt werden, wenn der Nutzer ausdrücklich zugestimmt hat. Viele Websites verstossen hier gegen die Vorgaben, da zwar ein rechtlich korrekter Bannertext verwendet wird, die technische Umsetzung jedoch fehlerhaft ist.
Keine automatische Einwilligung
Eine Einwilligung kann nicht durch blosses Scrollen, die Navigation auf der Website oder das Ignorieren der Einwilligungsaufforderung als gegeben angenommen werden.
Information über Widerrufsrecht
Nutzer müssen vor der Erteilung ihrer Einwilligung darüber aufgeklärt werden, dass sie diese jederzeit widerrufen können. Der Widerruf muss ebenso einfach gestaltet sein wie die ursprüngliche Zustimmung.
Kein Nudging
Während es unter der DSGVO bereits mehrere Gerichtsurteile zum Verbot von Nudging gibt – also dem Versuch, Nutzer durch Hervorhebung einer Variante unterbewusst zu beeinflussen –, gilt dieses Verbot in der Schweiz nur mittelbar. Zwar gibt es aktuell noch keine konkreten Urteile zu Nudging im Zusammenhang mit Cookies in der Schweiz, allerdings findet sich das Verbot im allgemeinen Irreführungsverbot wieder.
Das Ablehnen von Cookies muss also in jedem Fall ebenso einfach und deutlich sein wie die Einwilligung zum Setzen technisch nicht notwendiger Cookies. Ein Nudging ist nicht zulässig. Beide Möglichkeiten sollten gleich gestaltete Buttons sein.
Transparente Auflistung der Cookies
Alle Cookies, die der Zustimmung bedürfen, müssen entweder im Banner selbst oder spätestens in der Datenschutzerklärung oder einer Cookie-Richtlinie, die in der Datenschutzerklärung verlinkt ist, aufgeführt sein. Zusätzlich ist über die damit verbundene Datenbearbeitung zu informieren.
Nachweis der Einwilligung
Der Nachweis der erteilten Einwilligung erfolgt durch ein technisch notwendiges Cookie, das ebenfalls gesetzt wird. Nutzer müssen auch über dieses technisch erforderliche Cookie informiert werden.
Fazit
Die Anforderungen an den Umgang mit Cookies und Personendaten erfordern sowohl in der Schweiz als auch in der EU eine sorgfältige Umsetzung, die Transparenz und Einwilligung der Nutzer sicherstellt. Schweizer Unternehmen müssen dabei einerseits die moderateren Regelungen des DSG einhalten, andererseits jedoch für den EU-Markt auch die strengen Vorgaben der DSGVO berücksichtigen.
Eine sorgfältige technische und organisatorische Umsetzung ist unerlässlich, um Verstösse zu vermeiden und das Vertrauen der Nutzer zu stärken.