Cookies und ähnliche Technologien: Ein Leitfaden für Webseitenbetreiber Der Einsatz von Cookies und ähnlichen Technologien auf Webseiten ist durch strengere Datenschutzvorgaben geregelt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat einen Leitfaden veröffentlicht, der die Anforderungen an die Verwendung dieser Technologien erläutert.
Der Einsatz von Cookies und ähnlichen Technologien auf Webseiten ist durch strengere Datenschutzvorgaben geregelt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat einen Leitfaden veröffentlicht, der die Anforderungen an die Verwendung dieser Technologien erläutert.
Am 22. Januar 2025 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) einen umfassenden und relativ weitgehenden Leitfaden zur Datenbearbeitung mittels Cookies und ähnlichen Technologien veröffentlicht, welcher die datenschutzrechtlichen Anforderungen für deren Einsatz beschreibt, jedoch weniger weit geht als die EU-Cookie-Richtlinie.
Das sind «Cookies und ähnliche Technologien»
Der EDÖB definiert Cookies als kleine Textdateien, die von Webseitenbetreibern und von ihnen autorisierten Dritten auf den Endgeräten der Webseitenbesucher gespeichert werden, um Benutzerdaten für bestimmte Funktionen weiterzuverarbeiten. Unter «ähnlichen Technologien» wird die Erfassung und Auswertung des Surfverhaltens zusammengefasst, die ohne Cookies und direkt über den Server erfolgt (z.B. Browser-Fingerprinting, ID-Graph, User-ID, Pixel). Darunter fällt auch die Datenbearbeitung durch die Einbindung von Diensten sozialer Plattformen wie Like- und Share-Buttons.
Datenschutzrechtliche Vorgaben für den Einsatz von Cookies
Der Leitfaden stützt sich im Wesentlichen auf das Datenschutzgesetz (DSG) und verweist zusätzlich auf Art. 45c des Fernmeldegesetzes (FMG), welcher kumulativ zum allgemeinen Datenschutzrecht gilt und Webseitenbetreiber verpflichtet, die Besucher über den Einsatz von Cookies zu informieren und auf die Möglichkeit der Ablehnung (Opt-out) hinzuweisen. Der Leitfaden ist – wie auch das DSG – auf Personendaten zugeschnitten und beschränkt.
Anwendung allgemeiner Bearbeitungsgrundsätze
Der Leitfaden betont, dass die in Art. 6 DSG aufgeführten Grundsätze auch beim Einsatz von Cookies einzuhalten sind: So obliegt Webseitenbetreibern nach dem Grundsatz von Treu und Glauben und der Transparenz gem. Art. 19 DSG die Pflicht, Besucher aktiv und angemessen über den Einsatz von Cookies zu informieren, was in der Praxis meist über die Datenschutzerklärung erfolgt.
Weiter wird im Leitfaden festgehalten, dass nach dem Grundsatz der Verhältnismässigkeit nur diejenigen Daten bearbeitet werden sollen, die für den Bearbeitungszweck geeignet und erforderlich sind und Zweck und Mittel in einem angemessenen Verhältnis stehen müssen.
- Der EDÖB stuft dabei technisch notwendige Cookies, d.h. Cookies, die sich auf wesentliche Funktionen der Webseite beschränken, als grundsätzlich verhältnismässig ein.
- Dagegen betrachtet er Cookies, die über das für den sicheren technischen Betrieb einer Applikation Notwendige hinausgehen, als grundsätzlich unverhältnismässig und potenziell persönlichkeitsverletzend. Folglich muss deren Einsatz gem. Art. 31 DSG entweder durch Einwilligung oder überwiegende Interessen gerechtfertigt werden können und verlangt erhöhte Kennzeichnungs- und Hervorhebungspflichten, um die Ausübung des Widerspruchsrechts technisch zu erleichtern.
Handlungsempfehlungen
- Überprüfung und (soweit angezeigt) Kategorisierung der eingesetzten Cookies, insb. im Hinblick auf deren Rechtsgrundlage.
- Überprüfung und (soweit notwendig) Anpassung der Datenschutzerklärung, insb. hinsichtlich Cookie- Informationen.
- Falls ein Cookie-Banner oder CMP tatsächlich erforderlich ist: Auswahl, Implementierung oder Anpassung eines geeigneten Tools.
Zulässigkeit (technisch) nicht notwendiger Cookies
Im Rahmen einer Interessenabwägung müssen im Einzelfall private Interessen des Webseitenbetreibers gegen die Interessen der betroffenen Person abgewogen werden, wobei sich Verantwortliche fragen müssen: Welchen Nutzen bringt er den Betroffenen? Ist die Verletzung den Betroffenen zumutbar, sodass die privaten Interessen überwiegen? Welche Risiken bringt er den Betroffenen? Wie schwer wiegt die sich daraus ergebende Verletzung?
Ein mögliches überwiegendes privates Interesse kommt insbesondere beim Einsatz von Cookies im E-Commerce-Bereich infrage, da diese des Öfteren in einem unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages (vgl. Art. 31 Abs. 2 lit. e DSG) eingesetzt werden dürften. Ebenfalls denkbar ist ein überwiegendes Interesse beim Einsatz von Cookies für Forschung und Statistik (vgl. Art. 31 Abs. 2 lit. e DSG), bspw. für die Analyse von Besucherströmen.
Qualifizierte Einsätze von Cookies
Kann der Einsatz nicht notwendiger Cookies nicht durch überwiegende private Interessen gerechtfertigt werden – wie dies nach dem Leitfaden in der Regel beim Einsatz unerwarteter oder mit hoher Eingriffsintensität verbundener Cookies der Fall ist –, benötigt der Webseitenbetreiber eine (informierte) Einwilligung der Betroffenen.
- Mit hoher Eingriffsintensität in die Persönlichkeit und Grundrechte verbundene Cookies: Mit einer hohen Eingriffsintensität verbunden ist die Verwendung nicht notwendiger Cookies, wenn sie im Kontext von besonders schützenswerten Personendaten i.S.v. Art. 5 lit. c DSG erfolgt oder wenn ihre Verwendung in ein Profiling mit hohem Risiko gem. Art. 5 lit. g DSG mündet. Der rechtmässige Einsatz von Cookies setzt in diesen Fällen eine ausdrückliche Einwilligung des Betroffenen (Opt-in) voraus und stellt erhöhte Kennzeichnungs- und Hervorhebungspflichten an Webseitenbetreiber (insb. auch hinsichtlich der Widerrufsmöglichkeit).
- Unerwarteter Cookie-Einsatz: Gemäss Leitfaden ist der Einsatz von Cookies dann unerwartet oder ungewöhnlich, wenn durch die Cookies Zwecke bedient werden, die in einem offensichtlichen Kontrast zu den Zwecken der Hauptbearbeitung stehen und daher den Erwartungen der Webseitenbesucher widerspricht. In solchen Fällen müssen Webseitenbetreiber erhöhte Kennzeichnungs- und Hervorhebungspflichten erfüllen, sodass Besucher die Opt-out Möglichkeit leicht erkennen und ausüben können.
Anforderungen an die Kennzeichnung und Hervorhebung bei nicht notwendigen Cookies
Aus dem Grundsatz von Treu und Glauben leitet der EDÖB die Pflicht des Webseitenbetreibers ab, Besucher «an prominenter Stelle, gesondert und mit besonderer Deutlichkeit» auf die hohe Eingriffsintensität oder Ungewöhnlichkeit eines qualifizierten Cookie-Einsatzes hinzuweisen.
Bei Bearbeitungen mit hoher Eingriffsintensität sei zudem angezeigt, beim ersten Besuch der Webseite einen automatischen Hinweis (Pop-up-Fenster) erscheinen zu lassen oder mit auffälliger Schriftgrösse oder Schriftart in unübersehbarer Weise auf deren Einsatz aufmerksam zu machen.
Anforderungen an die Ausgestaltung des Widerspruchsrechts
Bei qualifizierten Cookie-Einsätzen müssen Webseitenbetreiber mit der Ungewöhnlichkeit entsprechendem Grad an Auffälligkeit auf die Widerspruchsmöglichkeit aufmerksam machen.
Der erforderliche Grad der Auffälligkeit ist gemäss Leitfaden erreicht, wenn Besucher beim erstmaligen Besuch der Webseite durch einen besonders hervorgehobenen Hinweis unübersehbar darauf aufmerksam gemacht werden, dass ein qualifizierter Cookie-Einsatz erfolgt und sie diesem mit wenigen Klicks widersprechen können.
Anforderungen an die Einwilligung bei hoher Eingriffsintensität
Ein Cookie-Einsatz mit hoher Eingriffsintensität erfordert gemäss Leitfaden eine ausdrückliche, informierte, bestimmte und freiwillige Einwilligung der betroffenen Person, sodass ihr beim erstmaligen Besuch der Webseite ein aktives Verhalten abzuverlangen ist (bspw. Anklicken einer Schaltfläche oder Setzen eines Zeichens), bevor sie das Webangebot nutzen kann.
Zudem muss bei jedem Besuch an prominenter Stelle darauf hingewiesen werden, dass die Einwilligung zum Cookie-Einsatz jederzeit widerrufen werden kann, und die Betroffenen müssen mit einer einfachen Navigation zur entsprechenden Schaltfläche geführt werden.
Werden verschiedene Arten und Funktionalitäten von Cookies kombiniert, muss den Webseitenbesuchern zudem die Möglichkeit eingeräumt werden, einzelne Cookies gezielt an- oder abzuwählen. Ein Dialogfeld, das lediglich die Optionen bietet, entweder alle Cookies zu akzeptieren oder abzulehnen und in der Folge auf das Anzeigen des Inhalts der Webseite verzichtet wird, könne nicht als gültige Einwilligung gewertet werden.
Das bedeutet es für Webseitenbetreibende
Bei konsequenter Umsetzung des Leitfadens kommen Webseitenbetreiber in vielen Fällen wohl kaum mehr um ein Cookiebanner oder eine Consent Management Platform (CMP) herum, da bereits bei technisch nicht notwendigen Cookies jeweils an «prominenter Stelle» auf ein Widerspruchsrecht hinzuweisen wäre. Ein Verweis in der Datenschutzerklärung dürfte diese Anforderung kaum je erfüllen.
Anders als man es bei anderen Aufsichtsbehörden kennt, sind die Leitfaden des EDÖB jedoch grundsätzlich nicht direkt verbindlich. Es handelt sich eher um eine (subjektive und nicht zwingend richtige oder vollständige) Auffassung des Datenschutzgesetzes aus Sicht des EDÖB, welche der Öffentlichkeit insbesondere als Auslegungs- und Orientierungshilfe dienen soll. Dies zeigt sich beispielsweise auch in diesem Fall, wo die Auffassung des EDÖB an vielen Stellen über die gesetzlichen Anforderungen hinausgeht.
Aufgrund der Rolle des EDÖB als Aufsichtsbehörde ist der Leitfaden jedoch zumindest zu berücksichtigen und abweichende Auffassungen sollten rechtlich sauber hergeleitet werden.
Claudia Keller (Partner) und Matthias Langenegger (Associate), Wenger Vieli AG
Wenger Vieli ist Ihr verlässliches Gegenüber in Rechts- und Steuerfragen. Wir sind nicht nur fachlich exzellent, erfahren und verantwortungsbewusst, wir sind auch neugierig! Statt Grenzen sehen wir Möglichkeiten, entwickeln Lösungen und eröffnen Perspektiven. Dies tun wir mit Freude. In der Schweiz, Europa und der restlichen Welt.
