Datenschutz & Cookie-Banner

Cookies – eine rechtliche Einordnung in der Schweiz

Cookies erleichtern das Surfen im Netz, speichern persönliche Einstellungen und ermöglichen personalisierte Werbung. Gleichzeitig werfen sie erhebliche datenschutzrechtliche Fragen auf. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in einem aktuellen Leitfaden präzisiert, welche Anforderungen Unternehmen und Betreiber von Webseiten beim Einsatz von Cookies in der Schweiz zu beachten haben. Im Fokus stehen insbesondere die Einwilligungsanforderungen, die Regeln zum Tracking sowie die Bearbeitungsgrundsätze des Datenschutzgesetzes (DSG).

Was sind Cookies?

Cookies sind kleine Textdateien, die beim Besuch einer Website auf dem Endgerät der Nutzerin oder des Nutzers gespeichert werden. Sie dienen dazu, bestimmte Informationen zu sichern, welche die Benutzerfreundlichkeit verbessern oder zielgerichtete Werbung ermöglichen.

• Notwendige Cookies: Sie sind für den Betrieb einer Website unverzichtbar (z. B. Login-Authentifizierung, Warenkorb-Funktion).
• Nicht notwendige Cookies: Dazu gehören Tracking-, Analyse- und Marketing-Cookies, die Daten für kommerzielle Zwecke verarbeiten.

Während notwendige Cookies auch ohne ausdrückliche Einwilligung zulässig sind, gelten für nicht notwendige Cookies strenge Anforderungen – insbesondere bei Profiling und Tracking.

Rechtliche Grundlagen in der Schweiz

a) Fernmeldegesetz (FMG, Art. 45c) Seit 2007 enthält das FMG eine Regelung zur Speicherung von Cookies auf Endgeräten. Sie schützt die Integrität dieser Geräte und verpflichtet Webseitenbetreiber, die Nutzer über den Einsatz von Cookies zu informieren sowie eine Widerspruchsmöglichkeit (Opt-out) anzubieten.

b) Datenschutzgesetz (DSG) Das revidierte DSG, in Kraft seit dem 1. September 2023, regelt die Bearbeitung von Personendaten unter Einsatz von Cookies und ähnlichen Technologien. Zentrale Prinzipien sind:

• Transparenz: Webseitenbetreiber müssen klar darlegen, welche Daten zu welchem Zweck gesammelt werden.
• Verhältnismässigkeit: Personendaten dürfen nur soweit bearbeitet werden, wie es für den vorgesehenen Zweck erforderlich ist. Funktionale Cookies wie Sprachauswahl, Logins oder Warenkörbe gelten in der Regel als verhältnismässig.
• Rechtfertigungspflichten: Eingriffe in die Persönlichkeit müssen entweder auf einer Einwilligung oder auf überwiegenden Interessen beruhen.

Besonders relevant ist die Abgrenzung zwischen einfachem Profiling (Opt-out möglich) und Profiling mit hohem Risiko (Opt-in erforderlich).

Zulässigkeit von Cookies

Eine gültige Einwilligung setzt gemäss Art. 6 Abs. 6 DSG voraus, dass die betroffene Person angemessen informiert wird und ihre Zustimmung freiwillig erteilt. Für besonders eingriffsintensive Datenbearbeitungen ist gemäss Art. 6 Abs. 7 DSG ein ausdrückliches Opt-in nötig.

• Funktionale Cookies können auf Basis eines Opt-out verwendet werden.
• Für personalisierte Werbung oder komplexes Profiling ist eine ausdrückliche Zustimmung notwendig.
• Bei nicht notwendigen Cookies kann unter Umständen auch eine Interessenabwägung erfolgen.

Wichtig: Das blosse Weitersurfen auf einer Website gilt nicht als gültige Einwilligung. Nutzerinnen und Nutzer müssen aktiv zustimmen – etwa durch das Anklicken einer Schaltfläche.

Profiling und Tracking – die Grenzen

• Normales Profiling: Personalisierung von Inhalten oder Werbung. Hier genügt ein Opt-out.
• Profiling mit hohem Risiko: Sobald wesentliche Persönlichkeitsaspekte analysiert oder über mehrere Webseiten hinweg Daten verknüpft werden, ist ein Opt-in zwingend.

Beispiele für hohes Risiko: Cross-Site-Tracking, die Bearbeitung sensibler Daten (Gesundheit, Finanzen) oder automatisierte Entscheidungen mit rechtlichen Folgen.

Drittdienste und gemeinsame Verantwortung

• Der Betreiber einer Website bleibt verantwortlich, da er über die Zwecke und Mittel der Datenbearbeitung entscheidet.
• Drittanbieter sind für ihre eigene Bearbeitung verantwortlich, wenn sie Daten zu eigenen Zwecken einsetzen.
• Häufig liegt eine gemeinsame Verantwortlichkeit vor, wenn der Webseitenbetreiber durch die Einbindung eines Drittdienstes erst die Datenerhebung ermöglicht.

Anforderungen an Cookie-Banner

• Klare und verständliche Information über den Zweck der Cookies.
• Gleichwertige Darstellung von „Alle akzeptieren“ und „Ablehnen“.
• Möglichkeit, einzelne Kategorien aktiv auszuwählen.
• Einfacher Widerruf der Einwilligung jederzeit möglich.

Nicht zulässig sind u. a.: voreingestellte Zustimmungen (pre-ticked boxes), irreführende Gestaltung wie überdimensionierte „Akzeptieren“-Buttons oder fehlende Ablehnungsoption.

Was Unternehmen jetzt tun müssen

1. Cookie-Inventar erstellen: Welche Cookies sind im Einsatz? Welche sind notwendig?
2. Consent-Banner anpassen: DSG-konforme Gestaltung sicherstellen.
3. Tracking-Technologien überprüfen: Risikoanalysen und ggf. Datenschutz-Folgenabschätzungen durchführen.
4. Datenschutzerklärung aktualisieren: Transparente und verständliche Information für die Nutzer bereitstellen.

Wer die Vorgaben umsetzt, reduziert nicht nur rechtliche Risiken, sondern stärkt auch das Vertrauen der Kundschaft. Datenschutz ist heute kein „Nice-to-have“ mehr, sondern ein zentraler Faktor für die digitale Wettbewerbsfähigkeit.