Mittlerweile tauchen auf fast jeder Website sofort Banner auf und fordern uns auf, Cookies zu akzeptieren oder abzulehnen. Oder sie informieren uns lediglich darüber, dass Cookies genutzt werden, ehe wir uns auf der Website austoben dürfen.
Muss ich auf meiner Website einen Cookie-Banner haben?
Für die Schweiz lässt sich diese Frage mit einem Blick ins Fernmeldegesetz (FMG) beantworten. Dieses besagt in Art. 45c FMG, dass «das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung nur erlaubt [ist], wenn die Nutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können».
Insofern ist die Nutzung von Cookies und anderen Technologien in der Schweiz grundsätzlich einwilligungsfrei erlaubt, solange der Nutzer nicht von seinem Ablehnungsrecht Gebrauch macht oder die entsprechende Website auf Methoden setzt, bei denen keine Personendaten gesammelt werden. Es genügt nach Schweizer Recht bereits, die Informationen über die Bearbeitung und das Ablehnungsrecht zur Verfügung zu stellen. Eine Einwilligung mit einem Cookie-Banner ist nicht nötig.
Gemäss Schweizer Recht ist ein Cookie-Banner für Schweizer Websites nicht nötig.
Es ist aber auch denkbar, dass nicht einmal über die Bearbeitung und deren Zweck informiert bzw. auf das Ablehnungsrecht hingewiesen werden muss. Denn die im Fernmeldegesetz genannte Pflicht besteht nur, wenn folgende Voraussetzungen erfüllt sind:
- Es findet eine vom Datenbearbeiter (Website-Betreiber) gesteuerte Bearbeitung von Personendaten statt. Nicht erfasst wird also das Bearbeiten anonymer Daten, wenn bspw. Cookies zur Speicherung der Benutzereinstellungen eingesetzt werden, bei denen keinerlei Personenbezug hergestellt werden kann.
- Der Datenbearbeiter nutzt für die Datenbearbeitung ein Gerät, das nicht ihm zuzurechnen ist – z. B., wenn er ein Cookie auf dem Gerät des Website-Besuchers speichert.
- Das Gerät wird von der Person benutzt, über die Personendaten bearbeitet werden.
- Die Datenbearbeitung muss darauf abzielen, dem Datenbearbeiter (oder einem Dritten) Zugang zu Personendaten des Nutzers zu verschaffen.
- Die Datenbearbeitung hat durch feldmeldetechnische Übertragung zu erfolgen und die Bearbeitung bzw. Übermittlung darf nicht auf Initiative des Nutzers hin erfolgen.
Auf folgenden Punkt sei an dieser Stelle noch hingewiesen: Der Art. 45c FMG ist technologieneutral. Das heisst, die Vorgaben sind nicht nur bei der Nutzung von Cookies einzuhalten, sondern gelten unabhängig davon, ob Cookies oder andere vergleichbare Technologien genutzt werden. Entscheidend ist, ob die oben genannten Voraussetzungen erfüllt sind oder nicht.
Was ändert das neue Schweizer Datenschutzgesetz?
Kurz gesagt: Es ändert sich in Bezug auf Cookie-Banner nichts. Ein solcher ist auch unter dem neuen Schweizer Recht nicht notwendig.
Das am 1. September 2023 in Kraft tretende revidierte Datenschutzgesetz (DSG) sieht in Art. 7 Abs. 3 neu eine Bestimmung vor, wonach der Verantwortliche (Website-Betreiber) mittels Voreinstellungen die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass zu beschränken hat – es sei denn, die betroffene Person bestimmt etwas anderes. Diese Bestimmung wird mancherorts als eine Pflicht für einen Cookie-Banner interpretiert. Nach Ansicht der Rechtsexperten der Kanzlei VISCHER ist diese Interpretation allerdings nicht richtig: Der Verantwortliche kann zwar dem User mehrere Cookie- und Datenschutz-Optionen zur Verfügung zu stellen. Doch wenn er solche Wahlmöglichkeiten anbietet und die Cookies Personendaten enthalten, dann – und zwar nur dann – muss aufgrund der neuen Bestimmung die Voreinstellung die am wenigsten weitgehende Einstellung umfassen. Bietet die Website aber keine Wahlmöglichkeit an, so sind logischerweise auch keine Voreinstellungen nötig.
Das neue Gesetz ändert also in diesem Bereich nichts: Es gibt für Websites, die auf Besucherinnen und Besucher in der Schweiz ausgerichtet sind, ab September 2023 keine Pflicht für Cookie-Banner. Darüber hinaus ist es auch zulässig, dass ein Kästchen auf einem Einwilligungsbanner schon vorangekreuzt ist.
Bei der Bearbeitung von Personendaten (bspw. mittels Cookies oder anderen Technologien) gelten neben dem Fernmeldegesetz auch die Bestimmungen des DSG. Die Prüfung der Rechtmässigkeit von Datenbearbeitungen sowie die Notwendigkeit einer Einwilligung kann insbesondere bei Bekanntgaben von Daten an Dritte oder ins Ausland sowie bei besonders weitgehendem Tracking notwendig sein.
Mehr erfahren:
In einem früheren Beitrag im Hostpoint Blog hat die Kanzlei VISCHER beschrieben, was es unter dem neuen Datenschutzgesetz zu beachten gibt. Lesen Sie den Beitrag «Das neue Datenschutzgesetz kommt 2023. Was gilt es dabei zu beachten?».
Was muss ich als Website-Betreiber nun tun?
Ein Cookie-Banner ist somit grundsätzlich nicht nötig – und zwar weder für das Einholen einer Einwilligung noch um über die Nutzung von Cookies zu informieren.
Werden Cookies oder andere Technologien genutzt, ist in der auf der Website abrufbaren Datenschutzerklärung auf die Bearbeitung und den Zweck der Bearbeitung hinzuweisen. Zudem muss die Datenschutzerklärung einen Hinweis enthalten, dass die Website-Besucher die Bearbeitung durch Änderung der eigenen Browsereinstellungen ablehnen können.
Es kann auch eine benutzerfreundlichere Methode zum Widerspruch in die Seite integriert werden, solange keine Einstellungsmöglichkeiten angeboten werden. Ansonsten müssten diese beim Besuch der Website die am wenigsten weitgehende Einstellung umfassen.
Mehr erfahren:
In einem früheren Beitrag im Hostpoint Blog hat die Kanzlei VISCHER wichtige und hilfreiche Tipps für das Verfassen einer Datenschutzerklärung für die eigene Website zusammengestellt. Lesen Sie den Beitrag «Wie Sie eine gute Datenschutzerklärung für Ihre Website verfassen».
Europäisches Recht
Aber aufgepasst! Obwohl es gemäss Schweizer Recht für Websites in der Schweiz keine rechtliche Notwendigkeit für Cookie-Banner gibt, hat die Sache trotzdem einen – nicht unwesentlichen – Haken:
Schweizer Unternehmen und Websitebetreiber können aufgrund des europäischen Rechts verpflichtet sein, einen Cookie-Banner einzusetzen und eine Einwilligung einzuholen. Ist eine Website auf den EU-Raum ausgerichtet, kann die sogenannte ePrivacy-Richtlinie – genauer gesagt die nationalen Gesetze zur Umsetzung der Richtlinie – gelten. Die ePrivacy-Richtlinie besagt, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits auf dem Endgerät eines Nutzers gespeichert sind, nur nach klarer und informierter Einwilligung erlaubt sind, ausser es handelt sich um technisch notwendige Daten, um den gewünschten Dienst überhaupt zur Verfügung zu stellen. Nach EU-Recht braucht es für die Beschaffung und Bearbeitung von Informationen im Unterschied zur Schweizer Gesetzgebung eine vorgängige Einwilligung, die bspw. mithilfe eines Cookie-Banners eingeholt werden kann.
Wie das Schweizer Fernmeldegesetz ist auch die ePrivacy-Richtlinie technologieneutral und kommt zur Anwendung, unabhängig davon, ob Cookies gespeichert werden oder durch andere Technologien (z. B. sog. «Fingerprinting») auf Informationen im Endgerät zugegriffen werden. Es kommt also jeweils auf die genaue Ausgestaltung der Technologie an, nicht aber auf die Bezeichnung der Technologie. Ist von einer «Cookieless»-Methode die Rede, darf deswegen nicht automatisch der Schluss gezogen werden, dass keine Einwilligung erforderlich sei. Nach der ePrivacy-Richtlinie ist entscheidend, ob Informationen im Endgerät gespeichert werden oder auf gespeicherte Informationen zugegriffen wird. Im letzteren Fall ist nach verbreiteter (aber nicht unumstrittener) Ansicht weiter zu unterscheiden, ob nur Informationen bearbeitet werden, die der Browser ohnehin dem Server sendet (sogenannte «Header-Informationen») oder ob aktiv auf weitere Informationen zugegriffen wird. Für die Bearbeitung von lediglich mitgesendeten Informationen ist gemäss der ePrivacy-Richtlinie in der Regel keine Einwilligung nötig.
Wenn über Websites Produkte im EWR-Raum angeboten werden, gilt gemäss der ePrivacy-Richtlinie und der DSGVO unter Umständen eine Pflicht für Cookie-Banner.
Jetzt wird es spannend: Bietet ein Schweizer Unternehmen (z. B. über die Website) Waren oder Dienstleistungen im Europäischen Wirtschaftsraum (EWR) an oder beobachtet das Verhalten von Personen im EWR, so kann es sein, dass neben der ePrivacy-Richtlinie ebenfalls die Vorgaben der Europäischen Datenschutz-Grundverordnung (DSGVO) zu berücksichtigen sind. Die DSGVO gilt nicht nur in der EU, sondern im gesamten EWR (damit z. B. auch in Liechtenstein). Sie ist nur anwendbar, wenn ein Personenbezug hergestellt werden kann. Nach Ansicht vieler EWR-Datenschutzbehörden besteht dieser allerdings bereits, wenn einzelne Benutzer mit der Zuordnung von Kennnummern individualisiert werden können. Wenn Technologien eingesetzt werden, um die Benutzer über mehrere Besuche hinweg zu beobachten und anschliessend zur Profilerstellung für Marketingzwecke zu verwenden, ist nach Ansicht vieler EWR-Datenschützer eine Einwilligung als Grundlage erforderlich – selbst, wenn der Besucher nicht identifiziert werden kann.
Ein Websitebetreiber ist daher gut beraten, immer zuerst zu prüfen, ob die ePrivacy-Richtlinie respektive die DSGVO überhaupt anwendbar sind. Ist dies der Fall, so ist bei der Nutzung von Cookies grundsätzlich eine Einwilligung mittels Cookie-Banner nötig. Bei einer «Cookieless»-Methode wäre die genaue Ausgestaltung näher zu prüfen. Sollen mögliche Risiken minimiert werden, kann es der Einfachheit halber deshalb sinnvoll sein, eine Einwilligung einzuholen. In der EU wird zudem aktuell an der ePrivacy-Verordnung weitergearbeitet. Demnach werden Websitebetreiber in Zukunft wahrscheinlich weitere Neuerungen umsetzen müssen.
Hinweis zu den Autoren:
Dieser Beitrag wurde von den Rechtsexperten Lucian Hunger (Rechtsanwalt) und Alisa Winter (Junior Associate) der Kanzlei VISCHER verfasst und dem Hostpoint Blog als Gastbeitrag zur Verfügung gestellt.
