Cookie Verordnung Schweiz – was ist jetzt zu tun?

Cookie Consent Banner in der Schweiz? Wir geben euch die Antwort.

Photo: Canva

Cookie Consent. Das ist das Buzzerword, das Webseitenbetreiber in der EU seit Monaten beschäftigt. Was auf den ersten Blick nach einer vernehmlichen Teaparty klingt, ist Produkt europäischen Cookie Richtlinie, die vorschreibt, dass Cookies, die nicht unbedingt erforderlich sind, nur noch nach vorgängigem Opt-in des Users genutzt werden dürfen. Ihr wisst schon, diese mehr oder minder kleinen (und sind wir ehrlich: lästigen) Cookie-Banner, die beim Öffnen einer Webseite aufploppen.

Aufmerksame Leser werden jetzt schon zu Recht darauf hinweisen, dass die Schweiz kein EU-Mitgliedsstaat ist. Richtig, aber sind wir Schweizer nun fein raus und können uns das lästige Cookie-Prozedere sparen? So leicht ist es nicht. Wir präsentieren: Die Cookie Verordnung der Schweiz des Fernmeldegesetzes (FMG). Aber, und hier kommt die gute Nachricht; die Schweizer Variante ist im Vergleich zum europäischen Cookie Consent der DSGVO weniger restriktiv. So ganz kommen aber selbst Schweizer nicht um die DSGVO und ihr Anhängsel, die ePrivacy Richtlinie herum, schliesslich produzieren auch Schweizer Webseiten ordentlich EU-Traffic.

Wir zeigen euch, wie ihr die Schweizer Cookie Verordnung richtig umsetzt und auch auf europäischer Ebene alles richtig macht. Ausserdem klären wir die Frage, ob wir Schweizer einen Cookie Consent Banner brauchen, oder nicht. Immer nach dem Motto: So viel wie nötig, so wenig wie möglich.

ITP, AdBlocker & DSGVO: Wenn Tracking kein Spass macht

War Tracking im Jahr 2010 ein Traum? Jeder Schritt eines Users auf der eigenen (oder fremden) Webseite konnte bis ins Detail getracked werden, um perfekte Audiences aufzubauen. Das ist 2020 ganz klar anders. Da hätten wir die technischen Herausforderungen wie ITP 2.3, AdBlocker und Cookie Blocker sowie rechtliche Herausforderungen, die auf die schönen Namen DSGVO, ePrivacy und Privacy Shield hören.

Wusstet ihr schon, dass ITP 2.3 als Anti-Tracking-Lösung im Webkit des Safari Browsers und den iOS Devices rund 78,8% des Onlinetraffics torpediert? Bei Firefox und Edge sieht es ganz ähnlich aus. Und kein Grund zum Aufatmen bei Chrome-Usern: Google tüftelt eifrig an ähnlichen Schutzmaßnahmen. 3rd Party Cookies, die das Surfverhalten von Usern über mehrere Webseiten tracken, um ein vollständiges Userprofil zu schreiben, fallen völlig unter dem Schirm dieser Schutzmaßnahmen. Aber, und hier kommt endlich mal eine gute Nachricht: Native 1rd Party Cookies sind bisher nicht durch ITP betroffen.

Dort wo ITP bisher nicht greift, kommt die nächste technische Herausforderung AdBlocker ins Spiel. Im Nachbarland Deutschland wird rund ein Viertel der Onlinewerbung durch eifrige AdBlocker blockiert, die teilweise sogar auf Analytics Cookies gehen.

Summa summarum: Tracking macht längst nicht mehr so viel Spass wie 2010 und teilweise auch mit gutem Grund, damit mit sensiblen Personendaten im Netz kein Schindluder getrieben wird. Mit diesen technischen Gimmicks im Hinterkopf zeigen wir euch nun, was ihr aus rechtlicher Hinsicht beachten müsst, damit ihr in der Schweiz und EU noch Cookies einsetzen dürft.

Die rechtliche Situation in der Schweiz

Was tut man als erstes, wenn man eine rechtliche Frage hat? Genau, man schlägt den Gesetzestext auf. Wir machen das hiermit für euch. Die Schweiz hat seit 2007 seine ganz eigene Cookie Verordnung, die für alle Marketer gilt, die Cookies einsetzen. Und ohne euch jetzt Angst machen zu wollen, ein Verstoss gegen diese Schweizer Cookie-Verordnung gilt als Ordnungswidrigkeit und kann nach Art. 53 FMG mit Busse bis zu 5000 Franken bestraft werden. Also, jetzt ganz genau aufpassen:

Geregelt ist sie in Art. 45c lit. b des Fernmeldegesetzes (kurz: FMG). Sie sagt aus das, dass «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung (…) nur erlaubt ist, (…) wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»

Das heißt für euch erstmal aufatmen! Denn damit ist in der Regel keine explizite Einwilligung erforderlich. Rein auf die Schweiz bezogen genügt also in der Regel ein Hinweis in eurer Datenschutzerklärung. Ausserdem muss erklärt werden, wie Cookies im Browser deaktiviert werden können. Im Gegensatz zur EU folgt die Schweiz also dem Opt-out-Prinzip.

Wo eine Regel, da auch eine Ausnahme, nämlich: Eine solche explizite Einwilligung ist aber laut Art. 4 Ziff. 5 Schweizer Datenschutzgesetz (kurz DSG) dann notwendig wenn mit den eingesetzten Cookies besonders schützenswerte Personendaten oder gar Persönlichkeitsprofile bearbeitet werden.

Die Schweizer Cookie Verordnung kennt übrigens keine Formvorschriften. Hier findet ihr ein Beispiel, wie ihr eure Besucher über den Einsatz von Cookies auf eurer Webseite aufklären könnt:

«Diese Website verwendet Cookies. Cookies sind kleine Textdateien, die beim Besuch einer Website auf einem Computer dauerhaft oder auch temporär gespeichert werden. Ihr Zweck ist die Analyse der Nutzung dieser Website zur statistischen Auswertung sowie für kontinuierliche Verbesserungen der Webseite. In Ihrem Browser können Sie Cookies in den Einstellungen jederzeit ganz oder teilweise deaktivieren. Aber bitte beachten Sie, dass bei deaktivierten Cookies möglicherweise nicht mehr alle Funktionen dieser Website zur Verfügung stehen.»

Die rechtliche Situation in der EU: DSGVO & ePrivacy

Die DSGVO in Verbindung spricht da schon eine ganz andere Sprache. Seit dem 25.05.2018 ist die Verarbeitung von personenbezogenen Daten verboten. Sie ist nur dann erlaubt, wenn eine klare, umfassende und einfache Einwilligung oder ein überwiegendes Interesse besteht (das so genannte Verbaut mit Erlaubnisvorbehalt). Dies bedeutet, dass nur technisch notwendige und aus Usersicht sinnvolle Cookies wie Session Cookies oder Warenkorb Cookies ohne Einwilligung des Users gespeichert werden dürften. Alles andere – ja, auch Analytics und AdWords Cookies sowie Facebook Pixel sind in diesem Sinne nicht technisch notwendig und bedürfen daher eines Opt-Ins. Aber das ist noch nicht alles: Zusätzlich muss die Möglichkeit gegeben werden, die Einwilligung zu verweigern (Opt-out).

Ergänzt und präzisiert wird das Setzen von Cookies und andere Tracking-Technologien zukünftig durch die ePrivacy Richtlinie, in der sich die EU weiterhin auf gemeinsame Grundsätze einigen werden.

Für gängige Content Management Systeme (CMS) sind Plugins verfügbar. Für WordPress gibt es unter anderem «Cookie Notice» und «Cookie Law Info».

Unsere Datenschutz Empfehlungen für euch in der Schweiz

  1. Muss: Schweizerische Cookie Verordnung immer umsetzen. An 45c lit. b FMG kommt ihr nicht vorbei. Keine Chance! Also, im besten Fall geht ihr direkt jetzt an eure Datenschutzerklärung und klärt eure User dort über den Einsatz von Cookies auf eine Opt-out Möglichkeit auf. Hier reicht wie gesagt der Hinweis auf die entsprechenden Browsereinstellungen. 5000 Franken haben oder nicht haben?
  2. Empfehlung: Die Europäische Cookie Richtlinie gemäss DSGVO solltet ihr im besten Fall auch umsetzen, also auch einen Cookie-Consent-Banner einsetzen, da die meisten Schweizerischen Websites auch EU Traffic generieren. Zu diesem Zweck solltet ihr, vor allem wenn ihr mit Analytics arbeitet und das Verhalten der EU-User beobachtet (Stichwort: Verhaltensbeobachtung) mit einem entsprechenden Hinweis aktiv auf die Verwendung von Cookies hinweisen und zumindest um die stillschweigende Einwilligung für die weitere Website-Nutzung beten, also hier nach dem Opt-in-Verfahren arbeiten.
Übersicht zu Tracking-Schutzmassnahmen und deren Auswirkungen auf die Schweiz. Michel Lazecki, Keynote-Speaker am SOM-Expert-Day.

Unsere Praxistipps für smarte Cookie Lösungen bei CH & EU Traffic

Um eure Schweizer User nicht unnötig zu stören, könnt ihr zwei unterschiedliche Tracking-Environments anlegen, jeweils für EU und NON-EU. Bei der Audience Generierung über EU-Traffic legt ihr einen Cookie-Consent-Banner an, bei eurem inländischen Traffic reicht ein klassischer Cookie-Info-Banner. Das ist euch zu kompliziert? Dann überlegt doch einmal genau nach, ob ihr euren EU Traffic nicht auf einen cookieless Traffic umstellen könnt. Keine Cookies, kein Banner, keine Kopfschmerzen.

Beispiel für einen DSGVO-konformen Cookie-Consent-Banner inkl. Opt in (Accept) und Opt-out (Reject). Quelle: Europäischer Datenschutzausschuss.

 

 

 

4 Kommentare

Kommentarfunktion ist geschlossen.