EDÖB aktualisiert Leitfaden zu Cookies und ähnlichen Technologien

Rechtsanwalt Martin Steiger
Bild: Verbrannte und rauchende Kekse auf einem Backblech (KI-generiert)

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat seinen umstrittenen Leitfaden zu Cookies und ähnlichen Technologien aktualisiert.

Gemäss dem einleitenden Hinweis im aktualisierten Leitfaden wurde der ursprüngliche Leitfaden in Version 1.0 vom 22. Januar 2025 durch den Leitfaden in Version 1.1 vom 6. Oktober 2025 wie folgt aktualisiert:

«Ergänzung Fussnote 5, Ergänzung eines Satzes im Absatz 3 in Ziff. 3.1.2, Ergänzung im letzten Satz von Ziff. 3.2.2, Präzisierende Ergänzungen und Anpassungen in Ziff. 3.5.2, Präzisierende Ergänzungen in Ziff. 3.6, Ergänzung in Ziffer 3.8.1, Ergänzung eines Verweises im letztem [sic!] Satz des ersten Absatzes in Ziff. 3.9, Präzisierende Ergänzungen in Ziff. 3.10.1, Ergänzungen und Präzisierung in Ziff. 3.11.1, Präzisierung erster Satz in Ziff. 3.11.3 betr. eingebettete Dritte, Ergänzung eines zweiten Absatzes in Ziff. 3.12.3, Präzisierung in Ziff. 3.12.4. betreffend Gratisdienstleistungen und Cookie Paywalls.»

Die Aufzählung ist – soweit ersichtlich – nicht vollständig.

Wie genau wurde der Leitfaden in der Sache aktua­lisiert?

Screenshot: Vergleich der Leitfäden des EDÖB betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien in den Versionen 1.0 und 1.1 (Auszug)

Ein Vergleich der veröffentlichten PDF-Dateien mit Adobe Acrobat, beschränkt auf den Text, zeigt rund 300 Anpassungen.

Ein KI-basierter Vergleich mit Gemini ergab folgende Zusammenfassung:

«Die Version 1.1 des Leitfadens vom 6. Oktober 2025 enthält gezielte Klarstellungen, die darauf abzielen, die datenschutzrechtlichen Anforderungen, insbesondere im Hinblick auf die Einhaltung des Grundsatzes von Treu und Glauben und der Freiwilligkeit der Einwilligung, weiter zu schärfen:

  • Fussnote 5 wurde ergänzt, um darauf hinzuweisen, dass vorsätzliche oder fahrlässige Verletzungen der Spezialbestimmung in Art. 45c FMG gemäss Art. 53 FMG mit einer Busse bis zu CHF 5’000 geahndet werden. 
  • Ziff. 3.1.2 (Personenbezug durch Einsatz von Cookies): Der dritte Absatz wurde um einen Satz ergänzt, der klarstellt, dass in der Praxis von einer hohen Wahrscheinlichkeit einer Identifizierung von Personen auszugehen ist, wenn die Erhebung von Standortdaten zu Bewegungsprofilen führt. Wenn diese Profile Orte regelmässigen Verweilens (wie Geschäftslokalitäten oder Wohnungen) erkennbar machen, können Rückschlüsse auf reale Identitäten bestimmter Personen gezogen werden.  
  • Ziff. 3.2.2 (Datenbeschaffung durch Dritte): Im letzten Satz des Abschnitts wurde ergänzt, dass der Webseitenbetreiber nicht nur alle Informationspflichten erfüllen, sondern auch gegebenenfalls hinreichend bestimmte Einwilligungen einholen muss.  
  • Ziff. 3.5.2 (Grundsatz der Verhältnismässigkeit): Hier wurden präzisierende Ergänzungen und Anpassungen vorgenommen. Insbesondere wurde der Begriff der ‹technischen Notwendigkeit› klarer in einen funktionalen und einen sicherheitstechnischen Aspekt unterteilt. Zudem wurde in einer Fussnote ein Beispiel ergänzt: Bei Applikationen von Verkehrsbetrieben zur Abrechnung von Passagierbeförderungen ist die Erfassung von Positionsdaten für die Ticket-Auslösung zwar gebräuchlich, gilt aber als nicht erforderlich und nicht zumutbar, da der Zweck des Ticketverkaufs auch ohne Positionsdaten erreichbar ist. Eine solche Datenbearbeitung ist daher mittels Einwilligung zu rechtfertigen.  
  • Ziff. 3.6 (Zulässigkeit nicht notwendiger Cookies): In diesem Abschnitt wurden präzisierende Ergänzungen vorgenommen. Eine Fussnote wurde ergänzt, um zu definieren, dass unter ‹nicht notwendigen Cookies› alle Cookies gemeint sind, welche die Kriterien für ‹technisch notwendig› gemäss Ziff. 3.5.2 nicht erfüllen.  
  • Ziff. 3.8.1 (Cookie-Einsatz im unmittelbaren Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages): Hier wurde eine Ergänzung vorgenommen, die die Beispiele für vertragsunterstützende, aber nicht zwingend notwendige Cookies erweitert. Dazu gehören Cookies, die Produkte basierend auf bereits ausgewählten Artikeln im Warenkorb als Vorschlag präsentieren oder an die Präferenzen der Nutzer bei einem späteren Besuch erinnern, sowie Kommoditäten wie die Angabe der Entfernung zur nächsten Filiale oder die Voraussage der Lieferzeit für Hauslieferungen gestützt auf Standortdaten.  
  • Ziff. 3.9 (Gewährung des Widerspruchsrechts und datenschutzrechtliche Voreinstellungen): Der letzte Satz des ersten Absatzes wurde um einen Verweis ergänzt. Dieser verweist auf die Ausführungen zur Umsetzung der Rechtzeitigkeit mittels entsprechender Schaltflächen im Consent-Banner (Ziff. 3.13.2).  
  • Ziff. 3.10.1 (Mit hoher Eingriffsintensität in die Persönlichkeit und Grundrechte verbundener Cookie-Einsatz): In diesem Abschnitt wurden präzisierende Ergänzungen vorgenommen. Es wird nun klargestellt, dass das Profiling mit hohem Risiko auch erreicht werden kann, wenn die erhobenen Daten alleine oder in Kombination mit anderen Daten und Datenquellen zu präzisen Bewegungsprofilen führen, die Rückschlüsse über wesentliche Aspekte der Persönlichkeit der Nutzer erlauben. Die Praxis zeige, dass dieses Resultat auch durch Kombination von ungenauen Standortdaten erreicht werden kann.  
  • Ziff. 3.11.1 (Gebräuchlichkeit von Werbecookies im kommerziellen Bearbeitungskontext): Hier wurden Ergänzungen und Präzisierungen vorgenommen. Es wird präzisiert, dass es sich anders verhält, wenn der Verantwortliche Dritten gegen Entgelt Zugang zu personenbezogenen Informationen mittels Third Party Cookies oder ähnlichen Technologien verschafft. Dies kann, sofern diese Dritten in einer Mehrzahl von Webseiten eingebettet sind, zu einem Profiling mit hohem Risiko führen.  
  • Ziff. 3.11.3 (Werbetracking mittels Profiling mit hohem Risiko): Der erste Satz wurde in Bezug auf eingebettete Dritte präzisiert. Der Satz lautet nun, dass Webseitenbetreibende bzw. Dritte, die auf der Webseite eingebettet sind, mit Cookies das Verhalten und die Interessen der Besuchenden erfassen, um Dritten die Schaltung personalisierter Werbung zu ermöglichen.  
  • Ziff. 3.12.3 (Bestimmte Einwilligung): Dieser Abschnitt wurde um die Ergänzung eines zweiten Absatzes erweitert. Dieser besagt, dass, wenn die Einwilligungserklärung mehrere verschiedene Datenbearbeitungen und Zwecke kombiniert, den Nutzenden unmissverständlich zu erklären ist, dass sie die Möglichkeit haben, den betreffenden Datenbearbeitungen einzeln zuzustimmen oder sie abzulehnen. Zudem muss die Einwilligungserklärung eindeutig sein, wenn der Webseitenbetreiber die Einwilligung für die Bearbeitung durch eingebettete Dritte einholt.  
  • Ziff. 3.12.4 (Freiwillige Einwilligung): Es erfolgte eine Präzisierung betreffend Gratisdienstleistungen und Cookie Paywalls. Neu wird im zweiten Absatz klar auf die Problematik von sogenannten ‹Cookie-Paywalls› (Pur-Abo-Modelle) eingegangen. Hierbei hängt die Freiwilligkeit davon ab, ob der finanzielle Beitrag erstens verhältnismässig ist und zweitens nicht zu einer Aushöhlung des grundrechtlichen Charakters des Anspruchs auf Datenschutz führt. »

Siehe auch:

Nachtrag: EDÖB veröffentlicht Mitteilung zum aktuali­sierten Leitfaden

Der EDÖB hat eine Mitteilung zum aktualisierten Leitfaden nachgereicht. In der Mitteilung kündigt der EDÖB an, eine «Sensibilisierungskampagne durchführen und sodann die nötigen aufsichtsrechtlichen Schritte nach Massgabe des Leitfadens in die Wege leiten» zu wollen.

Im Volltext lautet die Mitteilung wie folgt (mit Hervorhebungen):

«Der EDÖB publiziert eine aktualisierte Fassung seines Cookie-Leitfadens vom 22. Januar 2025, die punktuelle Präzisierungen und Ergänzungen enthält, welche zur besseren Verständlichkeit des Texts und Klärung von Fragestellungen der Praxis beitragen sollen.

Der aktualisierte Leitfaden stimmt inhaltlich mit der ersten Fassung vom 22. Januar 2025 überein, welche durch die neue Version punktuell präzisiert und ergänzt wird. Die Aktualisierung soll zur besseren Verständlichkeit des Texts und Klärung von Fragestellungen beitragen, die seitens der Praxis an den Beauftragten herangetragen worden sind.

Insbesondere fand es der EDÖB nützlich zu verdeutlichen, warum der Einsatz von Cookies zum Zwecke der Zustellung von personalisierter Werbung unter Umständen die Einwilligung der betroffenen Personen erfordert. So, wenn der Webseitenbetreiber mittels Einbindung von Third-Party-Cookies oder ähnlicher Technologien Dritten Zugang zu personenbezogenen Informationen der Besuchenden gegen Entgelt verschafft und diese Dritten in mehrere Webseiten eingebettet sind. Da Letztere somit in die Lage versetzt werden, ein Profiling mit hohem Risiko durchzuführen, stellt dies einen besonders intensiven Eingriff in die Persönlichkeit der betroffenen Personen dar.

Auch brachte der EDÖB Ergänzungen zum Thema der Erhebung von Standortdaten vor – einer Datenbearbeitung, die sehr verbreitet ist und besondere Risiken mit sich bringt: Sie begünstigt einerseits die Bestimmbarkeit der realen Identität eines Onlinenutzers (zum Beispiel indem rekonstruiert werden kann, wo sich ein Gerät während der Nacht bzw. Schlafenszeit befindet, oder an welchen Adressen es sich an Werktagen regelmässig befindet). Andererseits eröffnen Standortdaten die Möglichkeit, Rückschlüsse über wesentliche Aspekte der Persönlichkeit der Nutzer zu ziehen. Ein Profiling, das sich auf Standortdaten stützt, stellt somit oft ein Profiling mit hohem Risiko dar.

Weiter thematisiert die aktualisierte Fassung des Leitfadens den Einsatz von sog. Cookie-Paywalls. Sie legt dar, ob und unter welchen Umständen eine Einwilligung rechtsgültig erteilt werden kann, wenn die betroffene Person vor die Wahl gestellt wird, ihre Einwilligung zu erteilen oder ein bezahltes Abonnement abzuschliessen.

Der Cookie-Leitfaden beruht auf dem Datenschutzgesetz des Bundes (DSG SR 235.1), der Datenschutzverordnung (DSV SR 235.11), spezialgesetzlichen Datenschutzbestimmungen des Bundesrechts sowie der bundesgerichtlichen Rechtsprechung, einschlägigen Lehrmeinungen und der bisherigen Aufsichtspraxis des EDÖB. Das Dokument richtet sich an ein Fachpublikum.

In einem nächsten Schritt wird der EDÖB eine auch an ein breiteres Publikum gerichtete Sensibilisierungskampagne durchführen und sodann die nötigen aufsichtsrechtlichen Schritte nach Massgabe des Leitfadens in die Wege leiten.»

Nachtrag II: Einschätzung von Anwaltskollege David Vasella

Anwaltskollege David Vasella sieht in der Aktualisierung ein «ungewöhnliches Vorgehen des EDÖB, aber ein willkommenes».

Für Anwaltskollege Vasella steht der folgende Punkt im Vordergrund:

«Die alte Fassung der Leitlinien hielt pauschal fest, nicht notwendige Cookies seien generell unverhältnis­mässig. Die aktuelle Fassung […] sagt zwar immer noch, nicht notwendige Cookies verstiessen gegen den Grundsatz der Verhältnismässigkeit.

Dabei wird nun aber auf die vorangehende Definition der notwendigen Cookies verwiesen. Dort halten die Leitlinien nun zu recht fest, dass es der Verantwortliche ist, der den Bearbeitungszweck setzt, und dass sich die Verhältnismässigkeit an diesem Zweck misst […].

Mit anderen Worten fingieren die Leitlinien nicht mehr, nicht notwendige Cookies seien persönlichkeitsverletzend.»

Bilder: Google / Gemini.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.