Neues Datenschutzgesetz: Keine Cookie-Banner in der Schweiz

Foto: Cookies (Guetzli bzw. Kekse) mit lachenden Gesichtern

Nein, das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner. Die Schweiz übernimmt nicht die EU-Cookie-Richtlinie.

Die Behauptung geht auf ein falsches Verständnis von Art. 7 nDSG über Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zurück.

Art. 7 Abs. 3 nDSG betreffend «Privacy by Default» lautet wie folgt:

«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»

Aus dieser Bestimmung wird fälschlicherweise ein Obligatorium für Cookie-Banner abgeleitet. Ein grosser Wirtschaftsverband beispielsweise formuliert es in einem Merkblatt wie folgt:

«Diese Regel kommt in der Praxis insbesondere beim Akzept von sog. Cookies im Internet zur Anwendung. Wenn man die Voreinstellungen akzeptiert, dürfen nur die für den Dienst zwingend notwendigen Cookies gesetzt werden. Die betroffene Person kann jedoch in den Einstellungen der Website andere Cookies akzeptieren.»

Begriffslogik: Keine Voreinstellungen ohne Wahl­möglichkeiten

Wieso das falsch ist, erklärte David Rosenthal bereits 2020 in seinem Kurzkommentar zum neuen Datenschutzgesetz:

«Sieht ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten vor, wie Personendaten bearbeitet werden können und kann der Benutzer diese Möglichkeiten über (Datenschutz-)Einstellungen selbst anpassen, so muss die Standardeinstellung die am wenigsten weitgehende Einstellung vorsehen.»

Aber:

«Wo ein Verantwortlicher dem Benutzer keine (technische) Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung anbietet, kann es bereits begriffslogisch auch keine Voreinstellungen vornehmen und die Pflicht greift nicht.»

Und:

«Der Umstand, dass eine Datenbearbeitung auf der Basis einer Einwilligung durchgeführt wird, führt ebenso wenig zu einer Voreinstellung, wie der Fall, in welchem einer betroffenen Person ein Widerspruchsrecht eingeräumt wird, selbst wenn ein solches in einem Online-Dienst über eine technische Funktion ausgeübt werden kann (‹Opt-out›-Knopf).»

Und weiter:

«Die Pflicht schreibt einem Verantwortlichen auch nicht vor, dass er den Benutzern (beispielsweise seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anbieten muss. Wenn er dies aber tut, dann muss eine allfällige Voreinstellung so gesetzt sein, dass sie die Bearbeitung auf das «für den Verwendungszweck nötige Mindestmass» beschränkt.»

David Rosenthal: Podcast-Gespräch über Cookie-Banner

In den «Datenschutz Plaudereien» sprach ich mit David Rosenthal ausführlich über Cookie-Banner und das neue Datenschutzgesetz:

Die schweizerische «Cookie-Richtlinie» findet sich weiterhin in Art. 45c FMG:

«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»

Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Es muss keine Einwilligung eingeholt werden.

Keine Einwilligung wird übrigens allein durch die Nutzung einer Website erteilt. Diese falsche Behauptung findet sich auf vielen schweizerischen Websites, zum Beispiel wie folgt formuliert:

«Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies gemäss unserer Datenschutzrichtlinien zu.»

Siehe auch:

Bild: Pixabay / stevepb, Public Domain-ähnlich.

7 comments

  1. Das ist ein wirklich interessanter Artikel. Wäre es möglich, zusätzliche Informationen zu erhalten, zum Beispiel über Besucher aus anderen Ländern, deren Cookies ohne ausdrückliche Zustimmung gesammelt werden?

  2. Lieber Herr Kollege

    Und wie handhaben Sie das, wenn über die Webseite auch gegenüber EU-Kunden Waren oder Dienstleistungen angeboten werden (Art. 3 DSGVO)?

    1. @Lukas Fässler:

      Bei den Cookie-Bannern nach europäischem Recht stelle ich nicht auf die DSGVO, sondern auf die EU-Cookie-Richtlinie und deren nationalen Umsetzungen mit dem TTDSG und vergleichbaren Gesetzen. Die DSGVO und die ePrivacy-Richtlinie sind im Anwendungsbereich nicht deckungsgleich, aber dort, wo die DSGVO anwendbar ist, wird man tendenziell auch Cookie-Banner einsetzen müssen. Dazu kommt, dass inzwischen auch versucht wird, Einwilligungen gemäss DSGVO mit Cookie-Bannern oder eigentlich Consent-Bannern einzuholen. «Versucht», weil solche Einwilligungen nur selten rechtswirksam sein dürften …

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Fields marked with * are required.