Cookie-Banner

20. Oktober 2023

Cookie-Banner sind bekanntermassen lästig. Sie wurden in die Existenz gerufen primär durch die ePrivacy-Richtlinie (auch umgangsprachlich sogn. «Cookie-Richtlinie») der Europäischen Union, welche eine Cookie-Banner-Pflicht vorsieht. Betroffen sind sämtliche Websitebetreiber, private wie auch gewerbliche. Die Richtlinie geht gar soweit, dass Cookies nur mit expliziter, protokollierter Einwilligung des Websitebesuchers gesetzt werden dürfen, unabhängig davon, was das Cookie genau macht. Die Cookie-Richtlinie sieht also ein sogn. Opt-In vor. Der Websitebesucher muss also nicht speziell aktiv werden, wenn er mit der Datenbearbeitung nicht einverstanden ist.

Eine Art Pendant dazu gibt es in der Schweiz im Fernmeldegesetz (FMG). Art. 45c FMG besagt, dass der Websitebesucher die Möglichkeit der Ablehnung haben muss, wenn auf dem Gerät des Nutzers Daten via fernmeldetechnische Übertragung bearbeitet werden. Das trifft also auf Cookies zu, egal ob eigene Cookies oder sogn. Third-Party-Cookies (Cookies von externen Diensten). Das FMG sieht hier ein sogn. Opt-Out von der Datenbearbeitung vor. Der Websitebesucher muss also aktiv werden, wenn er nicht einverstanden ist.

Die DSGVO der Europäischen Union besagt dazu, dass nicht jede Datenbearbeitung einer expliziten Einwilligung unterstehen muss. Datenbearbeitungen können unter gewissen Bedingungen ganz ohne Einwilligung geschehen, wenn es z.B. darum geht einen Vertrag zu erfüllen (inkl. Vertragsverhandlung) oder wenn die Interessen des Websitebetreibers an der individuellen Datenbearbeitung höher zu Gewichten sind als die Interessen am Schutz der Privatsphäre des Websitebenutzers.

Vergleichbares wie in der DSGVO gilt im Rahmen des aktuellen schweizerischen DSG. Nicht jede Datenbearbeitung untersteht der Einwilligung des Websitebesuchers, man kann sie aber einer Einwilligung unterstellen. Es gibt aber Datenbearbeitungen die nur mit der expliziten Einwilligung des Websitebenutzers geschehen dürfen, z.B. wenn besonders schützenswerte Personendaten bearbeitet oder ein Profiling mit hohem Risiko stattfindet. Diese Bedingungen sind unserer Meinung nach relativ schnell erfüllt. Es muss aber auch gesagt werden, dass sich DSGVO und DSG dahingehend unterscheiden, dass unter der DSGVO Datenbearbeitungen per se verboten sind, ausser es greift ein spezifischer gesetzlicher Rechtfertigungsgrund. Das Schweizerische DSG geht primär davon aus, das Datenbearbeitungen erlaubt sind, sofern die Bearbeitungsgrundsätze eingehalten sind.

Weiter ist in der Schweiz das Bundesgesetz über den unlauteren Wettbewerb (UWG) zu beachten. Gerade im Bereich des Website-Marketings (Cookies, Remarketing, Nutzerverhalten etc.), wo allenfalls der Art. 3 Abs. 1 lit. o UWG zur Anwendung kommt, ist dem Websitebesucher die Möglichkeit zu geben, vorgängig in den Vorgang einzuwilligen (d.h. Opt-In). Unter gewissen Bedingungen, u.a. wenn man den Websitebesucher bereits als Kunden kennt, darf unaufgefordert Werbung gemacht werden für eigene ähnliche Produkte und Waren. Aus Sicherheits- und Einfachheitsgründen empfielt sich aber auch hier auf der Website ein Opt-In zu implementieren.

Unser Rat: Landes- und gesetzesübergreifende Vereinheitlichung des Cookie-Banners

Im Wirrwarr dieser Anforderungen plädieren wir für eine vereinheitlichen aller genannten Aspekte. Diese Vereinheitlichung hat zur Folge, dass sämtliche Datenbearbeitungen, wo eine Einwilligung nötig ist, via Cookie-Banner gesteuert werden und als default die Opt-In-Möglichkeit besteht. So kann sich der Websitebetreiber seiner Compliance sicher sein. Unser Standard-Cookie-Banner ist darauf ausgelegt, diese Pflichten gerecht zu werden. Nach wir dem Kunden die verschiedenen Datenbearbeitungen gemeldet haben, ist es die Pflicht des Kunden, lemonbrain auf die Datenverarbeitungen hinzuweisen, die er der Einwilligung unterstellen muss und somit einen Einfluss auf die Funktion des Cookie-Banners haben.

Die Funktionalität unseres Cookie-Banners deckt die Pflichten aller Rechtsordnungen ab, denn die Tendenz zeigt, dass die Schweiz auf dem Weg der Verschärfung des Datenschutzes und Konsumtenschutzes ist, selbst wenn bis dato tatsächlich etwas mehr rechtlicher Spielraum in der Schweiz besteht. Zudem sind wir vom vereinheitlichen Cookie-Banner überzeugt, da der Websitebetreiber nicht immer Wissen kann, ob für ihn jetzt doch nicht eine ausländische Rechtsordnung gilt.

Abweichungen und Swiss-Finishes setzen wird gerne auf Wunsch des Kunden um.

Ein Cookie-Banner der diesen Anforderungen entspricht sieht so aus: