Das neue DSG und der Cookie-Banner-Wirrwarr: Was gilt denn nun eigentlich?

Das neue DSG und der Cookie-Banner-Wirrwarr: Was gilt denn nun eigentlich?

Cookie-Banner: Ein alltägliches Phänomen, das die Meinungen spaltet und die Gemüter erhitzt. Doch eines steht fest: Cookie-Banner sind allgegenwärtig. Rechtsanwalt Lucian Hunger und Junior Associate Alisa Winter von der Kanzlei VISCHER haben sich vor dem Hintergrund des neuen Schweizer Datenschutzgesetzes für diesen Gastbeitrag im Hostpoint Blog dem Thema Cookie-Banner gewidmet.

Lucian Hunger Lucian Hunger · Attorney at Law, VISCHER

Mittlerweile tauchen auf fast jeder Website sofort Banner auf und fordern uns auf, Cookies zu akzeptieren oder abzulehnen. Oder sie informieren uns lediglich darüber, dass Cookies genutzt werden, ehe wir uns auf der Website austoben dürfen.

Für die Schweiz lässt sich diese Frage mit einem Blick ins Fernmeldegesetz (FMG) beantworten. Dieses besagt in Art. 45c FMG, dass «das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung nur erlaubt [ist], wenn die Nutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können».

Insofern ist die Nutzung von Cookies und anderen Technologien in der Schweiz grundsätzlich einwilligungsfrei erlaubt, solange der Nutzer nicht von seinem Ablehnungsrecht Gebrauch macht oder die entsprechende Website auf Methoden setzt, bei denen keine Personendaten gesammelt werden. Es genügt nach Schweizer Recht bereits, die Informationen über die Bearbeitung und das Ablehnungsrecht zur Verfügung zu stellen.

Update für Google-Produkte in der Schweiz

Update für Google-Produkte in der Schweiz:

Per 31. Juli 2024 weitet Google ihre EU User Consent Policy auch auf die Schweiz aus. Diese Richtlinien müssen Betreiber von Websites, die ein Schweizer Publikum ansprechen und die Google-Produkte wie Google Analytics oder Google Ads nutzen, nun ebenfalls einhalten. Andernfalls kann es sein, dass diese Google-Produkte unter Umständen nicht oder nur eingeschränkt verwendet werden können.

Die Google-Policy verlangt in folgenden Fällen eine Einwilligung der Website-Besucher:

  • Einwilligung für Cookies und lokale Datenspeicherung: In der Schweiz ist eine Einwilligung für die Nutzung von Cookies und anderer lokal auf dem Gerät gespeicherter Daten grundsätzlich nicht erforderlich, da sie gesetzlich nicht vorgeschrieben ist (vgl. diesen Blog-Beitrag).
  • Einwilligung für die Nutzung von Personendaten für personalisierte Werbung: Wenn personalisierte Werbung (z. B. über Google Ads) genutzt wird, muss laut der Google-Policy eine Einwilligung des Nutzers eingeholt werden. Ob eine Einwilligung nötig ist, hängt vom genauen Einsatz der Produkte ab. Die Richtlinie sagt auch, dass es nicht notwendig ist, eine Bestätigung der Einwilligung an Google zu senden.
  • Einwilligung für Publisher-Produkte: Für die Nutzung von Publisher-Produkten (wie Google AdSense, Ad Manager oder AdMob) ist eine Einwilligung erforderlich, die über den Einwilligungsmodus (Consent Mode) oder das IAB Transparency & Consent Framework (TCF) an Google gesendet werden muss.

Weitere Informationen von Google finden Sie hier.

Es ist aber auch denkbar, dass nicht einmal über die Bearbeitung und deren Zweck informiert bzw. auf das Ablehnungsrecht hingewiesen werden muss. Denn die im Fernmeldegesetz genannte Pflicht besteht nur, wenn folgende Voraussetzungen erfüllt sind:

Auf folgenden Punkt sei an dieser Stelle noch hingewiesen: Der Art. 45c FMG ist technologieneutral. Das heisst, die Vorgaben sind nicht nur bei der Nutzung von Cookies einzuhalten, sondern gelten unabhängig davon, ob Cookies oder andere vergleichbare Technologien genutzt werden. Entscheidend ist, ob die oben genannten Voraussetzungen erfüllt sind oder nicht.

Was ändert das neue Schweizer Datenschutz­gesetz?

Kurz gesagt: Es ändert sich in Bezug auf Cookie-Banner nichts. Ein solcher ist auch unter dem neuen Schweizer Recht nicht notwendig.

Das am 1. September 2023 in Kraft tretende revidierte Datenschutzgesetz (DSG) sieht in Art. 7 Abs. 3 neu eine Bestimmung vor, wonach der Verantwortliche (Website-Betreiber) mittels Voreinstellungen die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass zu beschränken hat – es sei denn, die betroffene Person bestimmt etwas anderes. Diese Bestimmung wird mancherorts als eine Pflicht für einen Cookie-Banner interpretiert. Nach Ansicht der Rechtsexperten der Kanzlei VISCHER ist diese Interpretation allerdings nicht richtig: Der Verantwortliche kann zwar dem User mehrere Cookie- und Datenschutz-Optionen zur Verfügung zu stellen. Doch wenn er solche Wahlmöglichkeiten anbietet und die Cookies Personendaten enthalten, dann – und zwar nur dann – muss aufgrund der neuen Bestimmung die Voreinstellung die am wenigsten weitgehende Einstellung umfassen. Bietet die Website aber keine Wahlmöglichkeit an, so sind logischerweise auch keine Voreinstellungen nötig.

Das neue Gesetz ändert also in diesem Bereich nichts: Es gibt für Websites, die auf Besucherinnen und Besucher in der Schweiz ausgerichtet sind, ab September 2023 keine Pflicht für Cookie-Banner. Darüber hinaus ist es auch zulässig, dass ein Kästchen auf einem Einwilligungsbanner schon vorangekreuzt ist.

Bei der Bearbeitung von Personendaten (bspw. mittels Cookies oder anderen Technologien) gelten neben dem Fernmeldegesetz auch die Bestimmungen des DSG. Die Prüfung der Rechtmässigkeit von Datenbearbeitungen sowie die Notwendigkeit einer Einwilligung kann insbesondere bei Bekanntgaben von Daten an Dritte oder ins Ausland sowie bei besonders weitgehendem Tracking notwendig sein.

Mehr erfahren:
In einem früheren Beitrag im Hostpoint Blog hat die Kanzlei VISCHER beschrieben, was es unter dem neuen Datenschutz­gesetz zu beachten gibt. Lesen Sie den Beitrag «Das neue Datenschutzgesetz kommt 2023. Was gilt es dabei zu beachten?».

Was muss ich als Website-Betreiber nun tun?

Ein Cookie-Banner ist somit grundsätzlich nicht nötig – und zwar weder für das Einholen einer Einwilligung noch um über die Nutzung von Cookies zu informieren.

Werden Cookies oder andere Technologien genutzt, ist in der auf der Website abrufbaren Datenschutzerklärung auf die Bearbeitung und den Zweck der Bearbeitung hinzuweisen. Zudem muss die Datenschutzerklärung einen Hinweis enthalten, dass die Website-Besucher die Bearbeitung durch Änderung der eigenen Browsereinstellungen ablehnen können.

Es kann auch eine benutzerfreundlichere Methode zum Widerspruch in die Seite integriert werden, solange keine Einstellungsmöglichkeiten angeboten werden. Ansonsten müssten diese beim Besuch der Website die am wenigsten weitgehende Einstellung umfassen.

Mehr erfahren:
In einem früheren Beitrag im Hostpoint Blog hat die Kanzlei VISCHER wichtige und hilfreiche Tipps für das Verfassen einer Datenschutzerklärung für die eigene Website zusammengestellt. Lesen Sie den Beitrag «Wie Sie eine gute Datenschutzerklärung für Ihre Website verfassen».

Europäisches Recht

Aber aufgepasst! Obwohl es gemäss Schweizer Recht für Websites in der Schweiz keine rechtliche Notwendigkeit für Cookie-Banner gibt, hat die Sache trotzdem einen – nicht unwesentlichen – Haken:

Schweizer Unternehmen und Websitebetreiber können aufgrund des europäischen Rechts verpflichtet sein, einen Cookie-Banner einzusetzen und eine Einwilligung einzuholen. Ist eine Website auf den EU-Raum ausgerichtet, kann die sogenannte ePrivacy-Richtlinie – genauer gesagt die nationalen Gesetze zur Umsetzung der Richtlinie – gelten. Die ePrivacy-Richtlinie besagt, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits auf dem Endgerät eines Nutzers gespeichert sind, nur nach klarer und informierter Einwilligung erlaubt sind, ausser es handelt sich um technisch notwendige Daten, um den gewünschten Dienst überhaupt zur Verfügung zu stellen. Nach EU-Recht braucht es für die Beschaffung und Bearbeitung von Informationen im Unterschied zur Schweizer Gesetzgebung eine vorgängige Einwilligung, die bspw. mithilfe eines Cookie-Banners eingeholt werden kann.

Wie das Schweizer Fernmeldegesetz ist auch die ePrivacy-Richtlinie technologieneutral und kommt zur Anwendung, unabhängig davon, ob Cookies gespeichert werden oder durch andere Technologien (z. B. sog. «Fingerprinting») auf Informationen im Endgerät zugegriffen werden. Es kommt also jeweils auf die genaue Ausgestaltung der Technologie an, nicht aber auf die Bezeichnung der Technologie. Ist von einer «Cookieless»-Methode die Rede, darf deswegen nicht automatisch der Schluss gezogen werden, dass keine Einwilligung erforderlich sei. Nach der ePrivacy-Richtlinie ist entscheidend, ob Informationen im Endgerät gespeichert werden oder auf gespeicherte Informationen zugegriffen wird. Im letzteren Fall ist nach verbreiteter (aber nicht unumstrittener) Ansicht weiter zu unterscheiden, ob nur Informationen bearbeitet werden, die der Browser ohnehin dem Server sendet (sogenannte «Header-Informationen») oder ob aktiv auf weitere Informationen zugegriffen wird. Für die Bearbeitung von lediglich mitgesendeten Informationen ist gemäss der ePrivacy-Richtlinie in der Regel keine Einwilligung nötig.

Wenn über Websites Produkte im EWR-Raum angeboten werden, gilt gemäss der ePrivacy-Richtlinie und der DSGVO unter Umständen eine Pflicht für Cookie-Banner.

Jetzt wird es spannend: Bietet ein Schweizer Unternehmen (z. B. über die Website) Waren oder Dienstleistungen im Europäischen Wirtschaftsraum (EWR) an oder beobachtet das Verhalten von Personen im EWR, so kann es sein, dass neben der ePrivacy-Richtlinie ebenfalls die Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen sind. Die DSGVO gilt nicht nur in der EU, sondern im gesamten EWR (damit z. B. auch in Liechtenstein). Sie ist nur anwendbar, wenn ein Personenbezug hergestellt werden kann. Nach Ansicht vieler EWR-Datenschutzbehörden besteht dieser allerdings bereits, wenn einzelne Benutzer mit der Zuordnung von Kennnummern individualisiert werden können. Wenn Technologien eingesetzt werden, um die Benutzer über mehrere Besuche hinweg zu beobachten und anschliessend zur Profilerstellung für Marketingzwecke zu verwenden, ist nach Ansicht vieler EWR-Datenschützer eine Einwilligung als Grundlage erforderlich – selbst, wenn der Besucher nicht identifiziert werden kann.

Ein Websitebetreiber ist daher gut beraten, immer zuerst zu prüfen, ob die ePrivacy-Richtlinie respektive die DSGVO überhaupt anwendbar sind. Ist dies der Fall, so ist bei der Nutzung von Cookies grundsätzlich eine Einwilligung mittels Cookie-Banner nötig. Bei einer «Cookieless»-Methode wäre die genaue Ausgestaltung näher zu prüfen. Sollen mögliche Risiken minimiert werden, kann es der Einfachheit halber deshalb sinnvoll sein, eine Einwilligung einzuholen. In der EU wird zudem aktuell an der ePrivacy-Verordnung weitergearbeitet. Demnach werden Websitebetreiber in Zukunft wahrscheinlich weitere Neuerungen umsetzen müssen.

Hinweis zu den Autoren:
Dieser Beitrag wurde von den Rechtsexperten Lucian Hunger (Rechtsanwalt) und Alisa Winter (Junior Associate) der Kanzlei VISCHER verfasst und dem Hostpoint Blog als Gastbeitrag zur Verfügung gestellt.

Visualisierung eines E-Mail-Postfachs in einem Laptop-Screen mit Cloud Office-Icon. Visualisierung eines E-Mail-Postfachs in einem Laptop-Screen mit Cloud Office-Icon.

Ihre E-Mail-Adresse mit eigener Domain

Entdecken Sie die neuen E-Mail-Angebote mit Cloud Office von Hostpoint. Ihre Wunschdomain für Ihre E-Mail-Adressen, grosszügiger E-Mail- und Drive-Speicher, verschiedene Office-Tools und vieles mehr.

Cookie Cookie

Wir verwenden Cookies 🍪

Die digitalen Auftritte von Hostpoint (Website, Control Panel, Support Center etc.) verwenden Cookies. Diese werden dazu verwendet, um Daten über Besucherinteraktionen zu sammeln. Wenn Sie auf «Akzeptieren» klicken, stimmen Sie der Verwendung dieser Cookies für Werbezwecke, Website-Analyse und Support zu. Gewisse essenzielle Cookies sind jedoch für eine ordnungsgemässe Funktion dieser Seiten unerlässlich und können deshalb nicht deaktiviert werden. Auch ohne Ihre Zustimmung können gewisse Daten in anonymisierter Form für statistische Zwecke und zur Verbesserung unserer Websites verwendet werden. Bitte beachten Sie unsere Datenschutzerklärung.

Ablehnen
Akzeptieren