Nein, das neue Datenschutzgesetz in der Schweiz bringt kein Obligatorium für Cookie-Banner. Die Schweiz übernimmt nicht die EU-Cookie-Richtlinie.
Die Behauptung geht auf ein falsches Verständnis von Art. 7 nDSG über Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zurück.
Art. 7 Abs. 3 nDSG betreffend «Privacy by Default» lautet wie folgt:
«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Aus dieser Bestimmung wird fälschlicherweise ein Obligatorium für Cookie-Banner abgeleitet. Ein grosser Wirtschaftsverband beispielsweise formuliert es in einem Merkblatt wie folgt:
«Diese Regel kommt in der Praxis insbesondere beim Akzept von sog. Cookies im Internet zur Anwendung. Wenn man die Voreinstellungen akzeptiert, dürfen nur die für den Dienst zwingend notwendigen Cookies gesetzt werden. Die betroffene Person kann jedoch in den Einstellungen der Website andere Cookies akzeptieren.»
Begriffslogik: Keine Voreinstellungen ohne Wahlmöglichkeiten
Wieso das falsch ist, erklärte David Rosenthal bereits 2020 in seinem Kurzkommentar zum neuen Datenschutzgesetz:
«Sieht ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten vor, wie Personendaten bearbeitet werden können und kann der Benutzer diese Möglichkeiten über (Datenschutz-)Einstellungen selbst anpassen, so muss die Standardeinstellung die am wenigsten weitgehende Einstellung vorsehen.»
Aber:
«Wo ein Verantwortlicher dem Benutzer keine (technische) Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung anbietet, kann es bereits begriffslogisch auch keine Voreinstellungen vornehmen und die Pflicht greift nicht.»
Und:
«Der Umstand, dass eine Datenbearbeitung auf der Basis einer Einwilligung durchgeführt wird, führt ebenso wenig zu einer Voreinstellung, wie der Fall, in welchem einer betroffenen Person ein Widerspruchsrecht eingeräumt wird, selbst wenn ein solches in einem Online-Dienst über eine technische Funktion ausgeübt werden kann (‹Opt-out›-Knopf).»
Und weiter:
«Die Pflicht schreibt einem Verantwortlichen auch nicht vor, dass er den Benutzern (beispielsweise seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anbieten muss. Wenn er dies aber tut, dann muss eine allfällige Voreinstellung so gesetzt sein, dass sie die Bearbeitung auf das «für den Verwendungszweck nötige Mindestmass» beschränkt.»
David Rosenthal: Podcast-Gespräch über Cookie-Banner
In den «Datenschutz Plaudereien» sprach ich mit David Rosenthal ausführlich über Cookie-Banner und das neue Datenschutzgesetz:
Cookies in der Schweiz: Information statt Einwilligung
Die schweizerische «Cookie-Richtlinie» findet sich weiterhin in Art. 45c FMG:
«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»
Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Es muss keine Einwilligung eingeholt werden.
Keine Einwilligung wird übrigens allein durch die Nutzung einer Website erteilt. Diese falsche Behauptung findet sich auf vielen schweizerischen Websites, zum Beispiel wie folgt formuliert:
«Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies gemäss unserer Datenschutzrichtlinien zu.»
Siehe auch:
- Cookie-Richtlinie, DSGVO und ePrivacy-Verordnung: Welche Websites benötigen ein Cookie-Banner? (Cyon)
- Webinar: Ja, wir müssen nochmals über Cookie-Banner reden! (Datenschutzpartner Academy)
- Cookie-Banner in Onlineshops (Datenschutz Plaudereien)
Das ist ein wirklich interessanter Artikel. Wäre es möglich, zusätzliche Informationen zu erhalten, zum Beispiel über Besucher aus anderen Ländern, deren Cookies ohne ausdrückliche Zustimmung gesammelt werden?
Gern!
In Bezug auf weitere Ländern ist vor allem die «EU-Cookie-Richtlinie» relevant. Zur deutschen Umsetzung habe ich den nachfolgenden Beitrag veröffentlicht:
https://steigerlegal.ch/2021/12/01/ttdsg-cookies-schweiz/
Vielen Dank für diesen super spannenden Artikel. Ich wusste nicht, dass wir in der Schweiz auf Cookie Panner verzichten dürfen. Nun haben wir aber die Situation, dass wir in der Schweiz keine Cookie Banner brauchen, beispielsweise in Deutschland aber schon. Können sie mir sagen, was nun ein .ch Blog hier machen soll? Die Domain und das Unternehmen sind in der Schweiz registriert, aber es kann ja sein, dass auch jemand aus Deutschland den Blog liest. Kann der Blog Betreiber nun auch Cookie Banner verzichten, weil er in der Schweiz registriert ist, oder muss er sich an Cookie Richtlinien von Deutschland halten, weil auch jemand aus Deutschland auf die .ch Adresse kommen kann? Wenn zweites der Fall wäre, dann müsste der Blog Betreiber ja als Konsequenz die restriktivste Cookie Policy einhalten, die es in irgend einem Land der Welt gibt, weil jeder auf der Welt auf den .ch Blog gehen kann?!
Lieber Herr Kollege
Und wie handhaben Sie das, wenn über die Webseite auch gegenüber EU-Kunden Waren oder Dienstleistungen angeboten werden (Art. 3 DSGVO)?
@Lukas Fässler:
Bei den Cookie-Bannern nach europäischem Recht stelle ich nicht auf die DSGVO, sondern auf die EU-Cookie-Richtlinie und deren nationalen Umsetzungen mit dem TTDSG und vergleichbaren Gesetzen. Die DSGVO und die ePrivacy-Richtlinie sind im Anwendungsbereich nicht deckungsgleich, aber dort, wo die DSGVO anwendbar ist, wird man tendenziell auch Cookie-Banner einsetzen müssen. Dazu kommt, dass inzwischen auch versucht wird, Einwilligungen gemäss DSGVO mit Cookie-Bannern oder eigentlich Consent-Bannern einzuholen. «Versucht», weil solche Einwilligungen nur selten rechtswirksam sein dürften …
Das heisst also, wenn man Websitebesucher hat, die aus der EU oder auch aus der ganzen Welt kommen, muss ein Consent-Banner eingesetzt werden?
Vielen Dank für die Klarstellung :)
@Yannis Kuchen:
Einfache Antwort: Ja. Aber man kann Besucher aus der Schweiz verschonen, was IP-basiert +/- möglich ist.
Vielen Dank für die einfache Antwort. :)
Besten Dank für den interessanten Artikel.
Wie ist die Handhabung bei Apps aus der Schweiz?
@Andy:
Das Gleiche gilt für Apps, wobei aber nicht die Herkunft einer App relevant ist, sondern welches Publikum eine App anspricht – so wie auch bei einer Website.
Danke für Ihre Antwort.
Anschlussfrage:
Im obigen Text bei Die schweizerische «Cookie-Richtlinie» findet sich weiterhin in Art. 45c FMG: steht «Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Es muss keine Einwilligung eingeholt werden.»
Wie löst man dies bei Apps, wenn man für interne Zwecke Daten sammelt (Analyse Nutzerverhalten)?
Ich habe schon gehört, dass man dann eine Opt-Out Möglichkeit vom App-Tracking/Analyse innerhalb der App anbieten muss.
@Andy:
Ja, bei Apps müssen die Cookie-Richtlinien sinngemäss umgesetzt werden. (Was meiner Erfahrung nach selten bis gar nicht geschieht …)
Okay spannende Antwort.
Dass es selten geschieht, liegt m..e daran, dass es bei den Apps keine so einfache wie Möglichkeit gibt wie im Web. Dort reicht es wenn man den Browser auf privat umstellt. So was gibt es bei der App nicht ….
Wie sieht das mit Cookie-Banner bei den Websites der öffentlichen Hand (Bund, Kanton, Stadtverwaltung) aus? Und wo ist das im Gesetz geregelt? Herzlichen Dank für eine Antwort.
@Anja:
Das Fernmelderecht gilt auch für öffentliche Organe. Beim Datenschutzrecht gilt für Bundesorgane das Datenschutzgesetz des Bundes, für kantonale Organe gelten die kantonalen Datenschutzgesetze. Alles in allem braucht mit Bezug auf die Schweiz niemand ein Cookie-Banner.
Guten Nachmittag Herr Steiger
Vielen Dank für den Interessanten Beitrag. Dennoch bin ich mir jetzt nicht sicher, ob ich als Unternehmen in der Schweiz, welche Käufe nur in der Schweiz anbietet, aber vielleicht auch Webseitenbesucher aus AT oder DE hat, einen Cookie Banner mit Einzeleinwilligung benötige oder nicht.
Könnten sie mir da klar sagen, ob wir einen Cookiebanner mit Auswahlmöglichkeit, nur eine Cookieinformation oder gar nichts bauen müssen?
Das wäre sehr hilfreich und ich bedanke mich im Vorraus.
Beste Grüsse.
@Andreas:
Wenn Sie nur in der Schweiz unterwegs sind, benötigen Sie voraussichtlich keine Einwilligung für Cookies. Wenn Sie auf Nummer sicher gehen möchten, verzichten für Website-Besucher aus der Schweiz auf ein Cookie-Banner, während Sie bei Website-Besuchern aus dem Ausland auf die einschlägigen Cookies verzichten. So benötigen Sie für gar niemanden ein Cookie-Banner.
Herzlichen Dank für Ihre Antwort und Erklärung. Ich habe mich ohnehin gefragt, ob es immer nur um Besucher geht oder darum wo ich meine Produkte verkaufe.
Für uns gilt es noch zu klären, ob Liechtenstein die EU-Gesetze hat oder nicht, da wir Kunden von dort haben. Sollte das nicht der Fall sein, können wir uns die Cookie-Banner sparen. Andernfalls müssten wir über Geolocation die Cookiebanner setzen, sollte jemand aus Liechtenstein auf unsere Webseite zugreifen.
Ist es korrekt, dass man dies auch schon bei Besuchern berücksichten muss? (Hinweis: Wir liefern nur in CH und LI. Alle anderen können gar nicht bestellen bei uns).
Vielen Dank für Ihre Zeit und Antwort.
Beste Grüsse, Andreas
Das Fürstentum Liechtenstein ist Mitglied im Europäischen Wirtschaftsraum (EWR). Insofern gilt dort die europäische Datenschutz-Grundverordnung (DSGVO) und sonstiges europäisches Recht.
Sehr geehrter Herr Steiger, das hört sich ja erst einmal sehr gut an, dass bei Besuchern aus dem Ausland auf Cookies verzichtet werden soll. Mir ist nur nicht klar, wie das technisch erreicht werden kann. Ist das nicht ein relativ grosser Aufwand? Dass man den User über einen Geolocation-Service identifiziert und ggf. die Cookies blockt? Oder wissen Sie zufällig etwas über einfache bestehende Möglichkeiten, die man günstig nehmen könnte?
@Dietmar:
Ja, man kann IP-basierte unterscheiden. Dafür gibt es entsprechende Datenbanken. Noch einfacher ist selbstverständlich, wenn man derart datensparsam unterwegs ist, dass man darauf verzichten kann – allenfalls auch, weil das Risiko, dass man eingeht, klein ist.
Sehr geehrter Herr Steiner,
besten Dank für den wertvollen Beitrag
Ich möchte Ihre Aufmerksamkeit auf ein wichtiges Thema lenken, das die Verwendung von Cookies und Drittanbieterdiensten auf Webseiten betrifft. Wie Sie wissen, ermöglicht ein Cookie-Banner nicht nur das Management von Cookies, sondern kontrolliert auch, welche Drittanbieterdienste – beispielsweise YouTube oder Google Analytics – auf einer Webseite geladen werden dürfen.
In Übereinstimmung mit dem revidierten Datenschutzgesetz (revDSG) ist es unerlässlich, das Einverständnis des Webseitenbesuchers einzuholen, bevor solche Dienste wie YouTube in Form eines iFrames auf einer Webseite geladen werden dürfen. Dieser Anforderung liegt die Tatsache zugrunde, dass die IP-Adresse des Nutzers – welche als personenbezogene Daten klassifiziert wird – ohne dessen Einwilligung in die USA übermittelt wird.
Angesichts der oben genannten Informationen würde ich gerne Ihre Ansichten zu diesem Thema kennenlernen. Wie bewerten Sie diese Situation und die daraus resultierenden rechtlichen Anforderungen?
Ich freue mich auf Ihre Gedanken und Einschätzungen zu diesem wichtigen Datenschutzthema.
Mit freundlichen Grüssen,
Antun Brcina
@Antun Brcina:
Das halte ich nicht für zutreffend.
Guten Tag Herr Steiger
Ich war etwas unpräszise in meiner Formulierung. Bitte entschuldigen Sie und lassen mich präzisieren.
Zuest einmal sind wir uns einig bei der folgenden Aussage:
Ja, es ist grundsätzlich erlaubt, personenbezogene Daten gemäss dem schweizerischen Datenschutzgesetz ins Ausland zu übermitteln.
Aber:
Gemäss Artikel 6 des Bundesgesetzes über den Datenschutz (DSG) darf eine Übermittlung von personenbezogenen Daten ins Ausland nur erfolgen, wenn der Schutz der betroffenen Personen gewährleistet ist. Dies bedeutet, dass das Empfängerland ein angemessenes Datenschutzniveau haben muss.
Wenn das Empfängerland kein angemessenes Datenschutzniveau bietet (Die USA haben kein angemessenes Datenschutzniveau), kann die Übermittlung dennoch erfolgen, wenn mindestens eine der folgenden Bedingungen erfüllt ist:
1. Die betroffene Person hat in die Übermittlung eingewilligt.
2. Die Übermittlung ist direkt zur Wahrung eines überwiegenden öffentlichen Interesses oder zur Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen vor Gericht erforderlich.
3. Die Übermittlung ist notwendig, um das Leben oder die körperliche Integrität der betroffenen Person zu schützen.
4. Die betroffene Person hat die Daten allgemein zugänglich gemacht und hat nicht ausdrücklich ein Schutzinteresse geltend gemacht.
5. Die Übermittlung erfolgt auf der Grundlage von Standardvertragsklauseln, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt sind.
6. Die Übermittlung erfolgt auf der Grundlage von verbindlichen unternehmensinternen Datenschutzvorschriften, die vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt sind.
Schlussfolgerung:
Mit Punkt 1 / Ein Einwilligung ist erforderlich. Zumindest ist man somit immer auf der sicheren Seite und handelt auch im Interesse des Webseitenbesuchenden.
Punkt 2-6 treffen nicht für jeden Dienst innerhalb der USA zu.
Wenn also Punkt 2-6 nicht zutreffen und kein ausreichendes Datenschutzniveau im Land vorliegt, in welches man personenbezogene Daten versenden möchte, dann muss doch der Nutzer in die Übermittlung einwilligen.
Korrekt?
Klar, man muss sich für eine Variante entscheiden – aber wer kann, wird sich nicht für die Variante mit der Einwilligung entscheiden, weshalb diese in der Schweiz äusserst selten anzutreffen ist …
Aus der Liste der Rechtfertigungsgründe für die Übermittlung von Personendaten in die USA sind für die meisten Web Sites #2, #3 und #4 irrelevant. Für kleine Web Sites / kleinere Unternehmen oder Privatpersonen ist auch #6 nicht realistisch. Ich hätte nun erwartet, dass der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Listen der genehmigten Versionen von Datenverabeitungsverträge der Anbieter von Internet Services, z.B. Google Fonts, publiziert. Zu meinem Erstaunen habe ich keine solche Liste gefunden. Gibt es keine solche Liste oder hat doch Antun Brcina recht damit, dass in den meisten praktischen Fällen nur Rechtfertigungsgrund #1, Einwilligung in Frage kommt?
Letzteres würde mich nicht überraschen. Denn die Empfehlung des EDÖB zum Thema Tracking (https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/internet_technologie/tracking.html) für Datenverarbeitungsverantwortliche besagt: «… die Nutzungsbedingungen der Tools, die Sie verwenden, … Oft bergen sie eine Erlaubnis, die Daten, die Sie erheben, für eigene Zwecke des Anbieters zu nutzen. Eine solche Datenbekanntgabe an Dritte darf nicht ohne einen Rechtfertigungsgrund, z.B. Einwilligung, erfolgen.» Er erwähnt hier explizit nur Einwilligung, aber keine genehmigten Standardsvertragsklauseln (SCC).
@Peter Schäfer:
Der EDÖB wird Auftragsverarbeitungsverträge absegnen, aber die Auftragsverarbeitung ist auch nicht das entscheidende Thema beim Daten-Export.
Ein Rechtfertigungsgrund – für Private also Einwilligung oder überwiegendes Interesse – ist nur erforderlich, wenn die Bearbeitung von Personendaten widerrechtlich persönlichkeitsverletzend ist. Das ist beim Daten-Export in die USA nicht ohne Weiteres der Fall.
Was Anbieter allenfalls von ihren Nutzern fordern, ist wiederum ein anderes Thema, nämlich ein vertragliches Thema zwischen Anbietern und Nutzern.
Sehr geehrter Herr Kollege
Besten Dank für den sehr spannenden Artikel. Gerne möchte ich mir folgendes zur Europäischen Richtlinie erlauben: Es kommt nicht auf die Betrachter an sondern auf das Angebot. Wird für den Europäischen Markt angeboten, gilt EU-Recht (wenngleich für Schweizer ohne Niederlassung äquivalenten Strafen erfolgen), gilt das Angebot der Website aber für Schweizer, so gilt nur Schweizer Recht. Dies kann z.B. sein durch Preise nur in CHF oder lokale oder regionale Angebote (Arztpraxis etc.). Damit kommt es m.E. auf das Angebot und nicht auf den Zugriff aus dem Ausland an. Drum: Für 90% der Schweizer Websites: Weg mit dem Cookie-Banner!
@Sascha D. Patak:
Vielen Dank für den Hinweis!
Ja, das stimmt alles, aber gerade deutsche Gerichte tun sich mit einer solchen Differenzierung leider noch schwer … 🤷🏻♂️
Hallo Zusammen
Dass für das Setzen von Cookies keine Einwilligung eingeholt werden muss, habe ich verstanden. Das ist auch gut so!
Wie verhält es sich aber, wenn durch den Einsatz bestimmter Cookies Daten in die USA gelangen (bspw. Google Analytics Cookie)? Datenübermittlungen in unsichere Drittstaaten dürfen nach Art. 17 lit. a DSG nur basierend auf einer Einwilligung stattfinden (sollte kein angemessenes Schutzniveau garantiert werden können). Dann bräuchte ich ja doch wieder einen Cookie-Banner, oder nicht?
Freundliche Grüsse
Felix T.
@Felix T.:
Nein, die Einwilligung der betroffenen Personen ist nicht die einzige Möglichkeit, Daten in einen unsicheren Drittstaat zu exportieren. Wenn man aber mit einer Einwilligung arbeitet, muss man diese natürlich so einholen, dass sie rechtsgültig erteilt wird. (Was schwierig bis unmöglich ist, weshalb andere Möglichkeiten zu bevorzugen sind.)
Ist also nur ein Banner nötig, ohne anzunehmen zu müssen?
@Anonymus:
Nein. Es ist grundsätzlich gar kein Cookie-Banner erforderlich.
Sehr geehrter Herr Steiger
Mit grossem Interesse habe ich die Abhandlungen in diesem Feed gelesen. Allerdings muss ich gestehen, dass ich nach der Lektüre immer noch verwirrt bin – wenn auch auf einem höheren Niveau.
Folgender Fall: Ich betreue als Webagentur viele Kunden aus dem Bereich Tourismus (Hotels, Campingplätze). Standort der Hotels und Campingplätze ist die Schweiz, die Webseiten – teils mit Buchungslösungen – richten sich an Kunden aus aller Welt. Unsere Server stehen in Deutschland. Social Media Verlinkungen und Google/Matomo sind auf den meisten Seiten konfiguriert, ein entsprechender Hinweis findet sich in der Datenschutzerklärung. Bisher haben wir mit einem Cookiebanner auf deren Verwendung hingewiesen und einen Link zur Datenschutzerklärung inkludiert. Welche Massnahmen bzw. Anpassungen müssen wir im Hinblick auf die neue DSV umsetzten. Interessanterweiser verzichtet das EDÖB ganz auf ein Banner …. Herzlichen Dank für eine kurze Stellungnahme.
@Bettina Fuchs:
Es gibt immer verschiedene Möglichkeiten, auch in Abhängigkeit von der Risikobereitschaft und dem Nutzen der Cookies.
Wir hatten das Thema schon mindestens einmal für Mitglieder in der Datenschutzpartner Academy:
https://www.datenschutzpartner.ch/2021/11/25/webinar-cookie-banner_20211125/
Auch im nächsten webinar wird es voraussichtlich teilweise um das Thema gehen:
https://www.datenschutzpartner.ch/webinar-neues-datenschutzgesetz-20230829/