BRAUCHEN SCHWEIZER WEBSEITEN EINEN COOKIE-BANNER?

Aktualisierung: der Eidgenössiche Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 7. Oktober 2025 den Leitfaden in aktualisierter Fassung veröffentlicht. Dieser Blogbeitrag wurde deshalb entsprechend aktualisiert.

Lange wurde eine Stellungnahme des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zur Frage erwartet, ob Schweizer Webseiten einen Consent-Banner, auch Cookie-Banner genannt, benötigen. Der EDÖB hat Anfang Jahr einen Leitfaden veröffentlicht, den er im Herbst 2025 aktualisiert hat.

Vorab: ob eine Schweizer Webseite einen Cookie-Banner benötigt, hängt weiterhin vom Einzelfall ab, wird jedoch nach den neuen Vorgaben anhand einer klaren Prüfung beurteilt: Personenbezug, technische Notwendigkeit und Risiko der Datenbearbeitung.

Der vom EDÖB veröffentlichte Leitfaden betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien umfasst 22 Seiten. Er gibt Aufschluss zu vielen Fragen, wenn auch nicht zu allen.

Nachfolgend werden die wichtigsten Aspekte für die Umsetzung in der Praxis zusammengefasst.

ARTEN DER COOKIES UND DIE FRAGE DES PERSONENBEZUGS

Vorab geht der Leitfaden auf die verschiedenen Arten von Cookies ein, hält aber auch fest, dass nicht alle Tracking-Technologien unter Cookies subsumiert werden, weshalb von Cookies und weiteren «ähnlichen Technologien» gesprochen werden sollte (z.B. für Fingerprinting oder Pixel). Gleichzeitig wird festgehalten, dass nicht alle Cookies in jedem Fall einen Personenbezug aufweisen. Fehlt ein Personenbezug in einem konkreten Einzelfall, so gelangen die Datenschutz-Vorschriften nicht zur Anwendung. Entsprechend stellt sich die Frage nach einem Cookie-Banner auch nicht.

Der EDÖB empfiehlt im Zweifelsfall von einem Personenbezug auszugehen, sofern ein Personenbezug nicht mit hinreichender Bestimmtheit verneint werden kann. Dies gilt insbesondere bei der Erhebung von Standortdaten, da solche Bearbeitungen regelmässig zu Bewegungsprofilen und damit zu einer hohen Wahrscheinlichkeit der Identifizierbarkeit führen.

ALLGEMEINE AUSFÜHRUNGEN

Der Leitfaden führt verschiedenste Aspekte des Datenschutzes im Zusammenhang mit Cookies und ähnlichen Technologien aus und ruft mögliche Datenschutz-Pflichten in Erinnerung, z.B. eine Datenschutz-Folgenabschätzung bei potenziell hoher Eingriffsintensität mit einem hohen Risiko für die betroffenen Personen.

OPT-OUT UND/ODER OPT-IN

Werden Cookies oder ähnliche Technologien eingesetzt, die technisch nicht notwendig sind, so ist im Einzelfall zu prüfen, welche Zwecke mit der Datenbearbeitung erfüllt werden, welche Kategorien von Daten erfasst werden, wie lange die Speicherdauer ist, und welche Erwartungen ein konkretes Zielpublikum an eine Datenbearbeitung in der jeweiligen Situation hat. Für alle nicht notwendigen Cookies ist aufgrund des Fernmeldegesetztes (Art. 45c) zwingend ein Widerspruchsrecht (Opt-out) vorzusehen.

Ein Widerspruchsrecht gegen den Einsatz von nicht notwendigen Cookies muss beim erstmaligen sowie bei weiteren Besuchen der Webseite an prominenter Stelle angezeigt werden mit dem Ziel, dass die Informationen nicht nur leicht erkannt werden, sondern mit wenigen Klicks angewählt und ausgeübt werden können. Zudem muss ein auffälliger Hinweis beim erstmaligen Aufruf einer Webseite gemacht werden (der EDÖB spricht hier von einem «Pop-up-Fenster»). Werden Cookies und ähnliche Technologien eingesetzt, für die keine Einwilligung notwendig ist (siehe hier nachfolgende Ausführungen), so müsste ein Cookie-Banner nicht zwingend als Consent Banner (mit entsprechenden Consent Management) ausgestaltet werden.

Je nach Einzelfall ist für eine konkrete Datenbearbeitung mittels Cookie oder ähnlichen Technologien eine Einwilligung notwendig. Eine solche Einwilligung setzt voraus, dass eine betroffene Person beim erstmaligen Besuch einer Webseite  durch eine aktive Handlung ein entsprechendes Zeichen der Zustimmung veranlassen muss, d.h. durch aktives Anklicken oder Setzen eines Schiebers. Zudem muss der betroffenen Person auf der Webseite an prominenter Stelle angezeigt werden, dass sie ihre Einwilligung jederzeit zurückziehen kann. Eine ausdrückliche Einwilligung ist insbesondere dann erforderlich, wenn der Einsatz von Cookies in ein Profiling mit hohem Risiko mündet, etwa beim Tracking über mehrere Webseiten hinweg durch eingebettete Drittanbieter.

ZUR EINWILLIGUNG IM SPEZIELLEN

Damit eine Einwilligung rechtsgültig ist, muss sie informiert, bestimmt und freiwillig sein. Sowohl generalklauselartige Einwilligungserklärungen (z.B. «für Marketingzwecke») wie auch sog. Dark Patterns oder Nudging-Methoden können zur Ungültigkeit einer Einwilligung führen.

Werden unterschiedliche Arten und Funktionalitäten von Cookies oder ähnlichen Technologien kombiniert, so muss es für jede Datenbearbeitung mit unterschiedlichem Zweck die Möglichkeit für eine Zustimmung resp. einen Widerspruch geben. Werden eingebettete Drittdienste eingesetzt, muss die Einwilligungserklärung darauf hinweisen, dass diese Dritten Personendaten zu eigenen Zwecken bearbeiten können.

Bei sogenannten Cookie-Paywalls («Consent or Pay») ist die Freiwilligkeit einer Einwilligung nur gewährleistet, wenn der verlangte Preis verhältnismässig ist und keine unzumutbare Benachteiligung erfolgt.

UMSETZUNGSHINWEISE

Schliesslich weist der Leitfaden auf Aspekte hin, die wir bereits unter der Anwendbarkeit der DSGVO kennen:

Bei den zur Verfügung zu stellenden Informationen einer Datenbearbeitung zeigt sich eine mehrstufige Information (sog. «layered approach») als angebracht, d.h. dass alle wesentlichen Informationen in zusammengefasster Form auf einen Blick verfügbar sein sollten, während die detaillierten Informationen mittels Aufruf einer weiteren Ebene ersichtlich sind.

Der Cookie-Banner muss funktionieren. D.h. dass sichergestellt werden muss, dass für Datenbearbeitungen, für die eine Einwilligung notwendig ist, solche erst «aktiv» werden, wenn eine Person ihre Einwilligung erteilt hat.

Eine Opt-out-Handlung darf nicht komplizierter sein als die Auswahl einer Opt-in-Handlung.

Werden mit einem Cookie-Banner Handlungen mit unterschiedlichen Konstellationen abgebildet, muss eine betroffene Person erkennen, welche Felder obligatorisch und welche optional anzuklicken sind.  

Der Leitfaden enthält einen Anhang mit einer Einordnungshilfe, wann für Cookies oder ähnliche Technologien Opt-out sowie ein Opt-in notwendig ist:

BEDEUTUNG DES LEITFADENS

Bei Leitfäden des EDÖB handelt es sich um die Meinung der Datenschutzbehörde. Grundsätzlich sind diese nicht rechtsverbindlich. Sie zeigen aber auf, wie der EDÖB die Umsetzung des Datenschutzgesetzes sieht.

LAST BUT NOT LEAST: DIE ANWENDBARKEIT DER DSGVO

Muss ein Unternehmen die Datenschutz-Grundverordnung der EU (DSGVO) einhalten, so gelten strengere Anforderungen in Bezug auf einen Cookie-Banner.

MEHR ERFAHREN:

-       Leitfaden des EDÖB betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien

HABEN SIE FRAGEN ZU IHREM COOKIE-BANNER?

Kontaktieren Sie uns jederzeit gerne.  

Ihre Ansprechperson:

Caroline Danner

Rechtsanwältin & Inhaberin ONLAW

#CookieBanner #ConsentBanner #Webseiten #Datenschutz

Foto by Priscilla du Preez on Unsplash.