Seit längerer Zeit wurde eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zur Frage erwartet, ob Schweizer Webseiten einen Consent-Banner, auch Cookie-Banner genannt, benötigen. Nun hat der EDÖB einen Leitfaden veröffentlicht.
Vorab: ob eine Schweizer Webseite einen Cookie-Banner genötigt, kann nicht pauschal mit ja oder nein beantwortet werden. Vielmehr muss der konkrete Einzelfall beurteilt werden.
Der vom EDÖB veröffentlichte Leitfaden betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien umfasst 21 Seiten. Er gibt Aufschluss zu vielen Fragen, wenn auch nicht zu allen.
Nachfolgend werden die wichtigsten Aspekte für die Umsetzung in der Praxis zusammengefasst.
ARTEN DER COOKIES UND DIE FRAGE DES PERSONENBEZUGS
Vorab geht der Leitfaden auf die verschiedenen Arten von Cookies ein, hält aber auch fest, dass nicht alle Tracking-Technologien unter Cookies subsumiert werden, weshalb von Cookies und weiteren «ähnlichen Technologien» gesprochen werden sollte (z.B. für Fingerprinting oder Pixel). Gleichzeitig wird festgehalten, dass nicht alle Cookies in jedem Fall einen Personenbezug aufweisen. Fehlt ein Personenbezug in einem konkreten Einzelfall, so gelangen die Datenschutz-Vorschriften nicht zur Anwendung. Entsprechend stellt sich die Frage nach einem Cookie-Banner auch nicht.
Der EDÖB empfiehlt im Zweifelsfall von einem Personenbezug auszugehen, sofern ein Personenbezug nicht mit hinreichender Bestimmtheit verneint werden kann.
ALLGEMEINE AUSFÜHRUNGEN
Der Leitfaden führt verschiedenste Aspekte des Datenschutzes im Zusammenhang mit Cookies und ähnlichen Technologien aus und ruft mögliche Datenschutz-Pflichten in Erinnerung, z.B. eine Datenschutz-Folgenabschätzung bei potenziell hoher Eingriffsintensität mit einem hohen Risiko für die betroffenen Personen.
OPT-OUT UND/ODER OPT-IN
Werden Cookies oder ähnliche Technologien eingesetzt sind, die technisch nicht notwendig sind, so ist im Einzelfall zu prüfen, welche Zwecke mit der Datenbearbeitung erfüllt werden, welche Kategorien von Daten erfasst werden, wie lange die Speicherdauer ist, und welche Erwartungen ein konkretes Zielpublikum an eine Datenbearbeitung in der jeweiligen Situation hat. Je nach dem ist die Bearbeitung grundsätzlich zulässig, es besteht jedoch eine Widerspruchsmöglichkeit (Opt-out).
Ein Widerspruchsrecht gegen den Einsatz von nicht notwendigen Cookies muss auf einer Webseite an prominenter Stelle angezeigt werden mit dem Ziel, dass die Informationen nicht nur leicht erkannt werden, sondern mit wenigen Klicks angewählt und ausgeübt werden können. Zudem muss ein auffälliger Hinweis beim erstmaligen Aufruf einer Webseite gemacht werden (der EDÖB spricht hier von einem «Pop-up-Fenster»). Werden Cookies und ähnliche Technologien eingesetzt, für die keine Einwilligung notwendig ist (siehe hier nachfolgende Ausführungen), so müsste ein Cookie-Banner nicht zwingend als Consent Banner (mit entsprechenden Consent Management) ausgestaltet werden.
Je nach Einzelfall ist für eine konkrete Datenbearbeitung mittels Cookie oder ähnlichen Technologien eine Einwilligung notwendig. Eine solche Einwilligung setzt voraus, dass eine betroffene Person beim erstmaligen Besuch einer Webseite durch eine aktive Handlung ein entsprechendes Zeichen der Zustimmung veranlassen muss, d.h. durch aktives Anklicken oder Setzen eines Schiebers. Zudem muss der betroffenen Person auf der Webseite an prominenter Stelle angezeigt werden, dass sie ihre Einwilligung jederzeit zurückziehen kann.
ZUR EINWILLIGUNG IM SPEZIELLEN
Damit eine Einwilligung rechtsgültig ist, muss sie informiert, bestimmt und freiwillig sein. Sowohl generalklauselartige Einwilligungserklärungen (z.B. «für Marketingzwecke») wie auch sog. Dark Patterns oder Nudging-Methoden können zur Ungültigkeit einer Einwilligung führen.
Werden unterschiedliche Arten und Funktionalitäten von Cookies oder ähnlichen Technologien kombiniert, so ist für jede Datenbearbeitung mit unterschiedlichem Zweck die Möglichkeit für eine Zustimmung resp. einen Widerspruch zu geben.
UMSETZUNGSHINWEISE
Schliesslich weist der Leitfaden auf Aspekte hin, die wir bereits unter der Anwendbarkeit der DSGVO kennen:
Bei den zur Verfügung zu stellenden Informationen einer Datenbearbeitung zeigt sich eine mehrstufige Information (sog. «layered approach») als angebracht, d.h. dass alle wesentlichen Informationen in zusammengefasster Form auf einen Blick verfügbar sein sollten, während die detaillierten Informationen mittels Aufruf einer weiteren Ebene ersichtlich sind.
Der Cookie-Banner muss funktionieren. D.h. dass sichergestellt werden muss, dass für Datenbearbeitungen, für die eine Einwilligung notwendig ist, solche erst «aktiv» werden, wenn eine Person ihre Einwilligung erteilt hat.
Eine Opt-out-Handlung darf nicht komplizierter sein als die Auswahl einer Opt-in-Handlung.
Werden mit einem Cookie-Banner Handlungen mit unterschiedlichen Konstellationen abgebildet, muss eine betroffene Person erkennen, welche Felder obligatorisch und welche optional anzuklicken sind.
Der Leitfaden enthält einen Anhang mit einer Einordnungshilfe, wann für Cookies oder ähnliche Technologien Opt-out sowie ein Opt-in notwendig ist:
BEDEUTUNG DES LEITFADENS
Bei Leitfäden des EDÖB handelt es sich um die Meinung der Datenschutzbehörde. Grundsätzlich sind diese nicht rechtsverbindlich. Sie zeigen aber auf, wie der EDÖB die Umsetzung des Datenschutzgesetzes sieht.
LAST BUT NOT LEAST: DIE ANWENDBARKEIT DER DSGVO
Muss ein Unternehmen die Datenschutz-Grundverordnung der EU (DSGVO) einhalten, so gelten strengere Anforderungen in Bezug auf einen Cookie-Banner.
MEHR ERFAHREN:
HABEN SIE FRAGEN ZU IHREM COOKIE-BANNER?
Kontaktieren Sie uns jederzeit gerne.
Ihre Ansprechperson:
Caroline Danner
Rechtsanwältin & Inhaberin ONLAW
Foto by Priscilla du Preez on Unsplash.
Comments