Nein, das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner. Die Schweiz übernimmt nicht die EU-Cookie-Richtlinie.
Die Behauptung geht auf ein falsches Verständnis von Art. 7 nDSG über Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zurück.
Art. 7 Abs. 3 nDSG betreffend «Privacy by Default» lautet wie folgt:
«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Aus dieser Bestimmung wird fälschlicherweise ein Obligatorium für Cookie-Banner abgeleitet. Ein grosser Wirtschaftsverband beispielsweise formuliert es in einem Merkblatt wie folgt:
«Diese Regel kommt in der Praxis insbesondere beim Akzept von sog. Cookies im Internet zur Anwendung. Wenn man die Voreinstellungen akzeptiert, dürfen nur die für den Dienst zwingend notwendigen Cookies gesetzt werden. Die betroffene Person kann jedoch in den Einstellungen der Website andere Cookies akzeptieren.»
Begriffslogik: Keine Voreinstellungen ohne Wahlmöglichkeiten
Wieso das falsch ist, erklärte David Rosenthal bereits 2020 in seinem Kurzkommentar zum neuen Datenschutzgesetz:
«Sieht ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten vor, wie Personendaten bearbeitet werden können und kann der Benutzer diese Möglichkeiten über (Datenschutz-)Einstellungen selbst anpassen, so muss die Standardeinstellung die am wenigsten weitgehende Einstellung vorsehen.»
Aber:
«Wo ein Verantwortlicher dem Benutzer keine (technische) Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung anbietet, kann es bereits begriffslogisch auch keine Voreinstellungen vornehmen und die Pflicht greift nicht.»
Und:
«Der Umstand, dass eine Datenbearbeitung auf der Basis einer Einwilligung durchgeführt wird, führt ebenso wenig zu einer Voreinstellung, wie der Fall, in welchem einer betroffenen Person ein Widerspruchsrecht eingeräumt wird, selbst wenn ein solches in einem Online-Dienst über eine technische Funktion ausgeübt werden kann (‹Opt-out›-Knopf).»
Und weiter:
«Die Pflicht schreibt einem Verantwortlichen auch nicht vor, dass er den Benutzern (beispielsweise seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anbieten muss. Wenn er dies aber tut, dann muss eine allfällige Voreinstellung so gesetzt sein, dass sie die Bearbeitung auf das «für den Verwendungszweck nötige Mindestmass» beschränkt.»
David Rosenthal: Podcast-Gespräch über Cookie-Banner
In den «Datenschutz Plaudereien» sprach ich mit David Rosenthal ausführlich über Cookie-Banner und das neue Datenschutzgesetz:
Cookies in der Schweiz: Information statt Einwilligung
Die schweizerische «Cookie-Richtlinie» findet sich weiterhin in Art. 45c FMG:
«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»
Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Es muss keine Einwilligung eingeholt werden.
Keine Einwilligung wird übrigens allein durch die Nutzung einer Website erteilt. Diese falsche Behauptung findet sich auf vielen schweizerischen Websites, zum Beispiel wie folgt formuliert:
«Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies gemäss unserer Datenschutzrichtlinien zu.»
Siehe auch:
- Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner? (Cyon)
- Webinar: Ja, wir müssen nochmals über Cookie-Banner reden! (Datenschutzpartner Academy)
- Cookie-Banner in Onlineshops (Datenschutz Plaudereien)
Das ist ein wirklich interessanter Artikel. Wäre es möglich, zusätzliche Informationen zu erhalten, zum Beispiel über Besucher aus anderen Ländern, deren Cookies ohne ausdrückliche Zustimmung gesammelt werden?
Gern!
In Bezug auf weitere Ländern ist vor allem die «EU-Cookie-Richtlinie» relevant. Zur deutschen Umsetzung habe ich den nachfolgenden Beitrag veröffentlicht:
https://steigerlegal.ch/2021/12/01/ttdsg-cookies-schweiz/
Lieber Herr Kollege
Und wie handhaben Sie das, wenn über die Webseite auch gegenüber EU-Kunden Waren oder Dienstleistungen angeboten werden (Art. 3 DSGVO)?
@Lukas Fässler:
Bei den Cookie-Bannern nach europäischem Recht stelle ich nicht auf die DSGVO, sondern auf die EU-Cookie-Richtlinie und deren nationalen Umsetzungen mit dem TTDSG und vergleichbaren Gesetzen. Die DSGVO und die ePrivacy-Richtlinie sind im Anwendungsbereich nicht deckungsgleich, aber dort, wo die DSGVO anwendbar ist, wird man tendenziell auch Cookie-Banner einsetzen müssen. Dazu kommt, dass inzwischen auch versucht wird, Einwilligungen gemäss DSGVO mit Cookie-Bannern oder eigentlich Consent-Bannern einzuholen. «Versucht», weil solche Einwilligungen nur selten rechtswirksam sein dürften …
Das heisst also, wenn man Websitebesucher hat, die aus der EU oder auch aus der ganzen Welt kommen, muss ein Consent-Banner eingesetzt werden?
Vielen Dank für die Klarstellung :)
@Yannis Kuchen:
Einfache Antwort: Ja. Aber man kann Besucher aus der Schweiz verschonen, was IP-basiert +/- möglich ist.
Vielen Dank für die einfache Antwort. :)