07/2020 – Fachartikel Swiss Infosec AG
Cookie-Banner kennt mittlerweile jeder. Sie erscheinen beim ersten Aufruf der Webseite und informieren den Webseitenbesucher über die Nutzung von Cookies und/oder Tracking, holen dessen Zustimmung für die Verwendung von Cookies und/oder Tracking ein oder stellen ihm Wahlmöglichkeiten für die Verwaltung bereit. Brauchen Webseitenbetreiber einen solchen Cookie-Banner überhaupt? Wissen Sie als Webseitenbetreiber, wie Sie Ihr Cookie-Banner rechts- bzw. vor allem DSGVO-konform gestalten? Kennen Sie die (aktuellen) rechtlichen Grundlagen für die Erstellung eines Cookie-Banners?
Situation in der Europäischen Union
Die rechtliche Situation zu den Cookies wird in der EU bereits seit 2009 durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde.
Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird.
Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen bzw. die Datenschutz-Grundverordnung (DSGVO). Die DSGVO enthält keine explizite «Cookie-Regelung» – es gelten die allgemeinen Grundsätze. Werden personenbezogene Daten durch Cookies verarbeitet, kommen in der Regel das berechtigte Interesse oder die Einwilligung der betroffenen Person (Opt-in) als Rechtsgrundlagen in Betracht.
Spätestens seit dem «Planet49»-Urteil des Europäischen Gerichtshofs (EuGH) vom 1. Oktober 2019 (Rs. C‑673/17) besteht nun auch etwas Klarheit darüber, wie eine Einwilligung für das Setzen von «nicht unbedingt erforderlichen» Cookies einzuholen ist.
Der EuGH kam in seinem Urteil zum Schluss, dass ein voreingestelltes Ankreuzkästchen keine wirksame Einwilligung im Sinne der Cookie-Richtlinie als auch der DSGVO darstellt. Daraus folgt, dass die Einwilligung durch eine aktive, gesonderte und ausdrückliche Erklärung der Nutzer erfolgen muss. Cookies, die unbedingt erforderlich sind, bedürfen keiner Einwilligung. Es sind aber ggf. die Anforderungen der DSGVO zu beachten.
Situation in der Schweiz
In der Schweiz besteht seit 2007 in Art. 45c lit. b des Fernmeldegesetzes (FMG) eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur Cookie-Richtlinie und der DSGVO deutlich weniger restriktiv.
Eine explizite Einwilligung ist in der Regel nicht erforderlich. Eine solche ist nach neuem schweizerischem Datenschutzgesetz (nDSG) allerdings dann notwendig, wenn über Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden oder Profiling mit hohem Risiko durchgeführt wird (Art. 6 Abs. 7 nDSG).
Rein auf die Schweiz bezogen genügt also in der Regel ein entsprechender Hinweis in der Datenschutzerklärung und die Möglichkeit eines «Opt-Out».
Muss ich als Schweizer Unternehmen nun ebenfalls einen «Cookie (Consent)-Banner» implementieren?
Mit grosser Wahrscheinlichkeit, ja. Denn obwohl die DSGVO ein Regelwerk der EU ist und sie somit primär für alle EWR-Länder gilt (EU-Länder plus Liechtenstein, Norwegen und Island) gilt, ist sie aufgrund bestimmter Kriterien auch ausserhalb des EU-Territoriums für viele Schweizer Unternehmen anwendbar (sog. Verhaltensbeobachtung).
Gerne beantworten wir all Ihre spezifischen Fragen zum Cookie-Banner und zu allen weiteren datenschutzrechtlichen Fragen in Ihrem Unternehmen. Wir unterstützen Sie bei der Einhaltung des DSG und der DSGVO nach Best Practice: «Genau so viel, wie Sie brauchen und angemessen ist!»
Swiss Infosec AG; 01.07.2020, überarbeitet: 05.07.2023
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch