Cookies: Überblick über die geltende schweizerische/europäische Rechtslage

News­let­ter Sign up
Back to overview

Die­sen Arti­kel als PDF lesen.

Coo­kies haben die Gerich­te und natio­na­len Daten­schutz­be­hör­den in der jüngs­ten Ver­gan­gen­heit des Öfte­ren beschäf­tigt. Am 12. August 2020 schloss die fran­zö­si­sche Daten­schutz­be­hör­de Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés („CNIL“) eine Unter­su­chung gegen Goog­le ab. Der Euro­päi­sche Gerichts­hof („EuGH“) hat­te sich bereits im 2019 und der Bun­des­ge­richts­hof („BGH“) im Jahr 2020 mit der Coo­kie-The­ma­tik zu beschäf­ti­gen. Vor­aus­sicht­lich im 2022 tritt das revi­dier­te Schwei­zer Daten­schutz­ge­setz („rDSG“) in Kraft. Die­ser Blog-Bei­trag fasst die wesent­lichs­ten Rege­lun­gen zu den Coo­kies zusam­men und gibt einen Über­blick über die gel­ten­de Rechtslage.

1. Ein­lei­tung und Überblick

„Coo­kies“ sind klei­ne Text­da­tei­en, die beim Besuch einer Web­sei­te auf einem End­ge­rät (Com­pu­ter, Tablet, Mobile­pho­ne) dau­er­haft oder tem­po­rär gespei­chert wer­den. Sie ermög­li­chen eine Ana­ly­se des Nut­zer­ver­hal­tens der Web­sei­ten­be­su­cher und ermög­li­chen ana­ly­ti­sche Aus­wer­tun­gen sowie Opti­mie­run­gen des Online-Kanals.

Es gibt ver­ein­facht dar­ge­stellt zwei Arten von Coo­kies: sol­che, die per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten und ande­re, wel­che kei­nen Per­so­nen­be­zug auf­wei­sen. Unter­steht ein Schwei­zer Unter­neh­men der Euro­päi­schen Daten­schutz­grund­ver­ord­nung („DSGVO“), so ist in bei­den Fäl­len die Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on („ePri­va­cy-Richt­li­nie“, RL 2002/58/EG vom 12. Juli 2002) zu beach­ten. Auch in Bezug auf die Funk­tio­nen unter­schei­den sich Coo­kies: wäh­rend man­che den Nut­zern die Bedie­nung einer Web­sei­te erleich­tern (z.B. Ses­si­on Coo­kies) sind ande­re dazu da, um pseud­ony­mi­sier­te Infor­ma­tio­nen über das Nut­zer­ver­hal­ten zu erlan­gen. Letz­te­re kön­nen z.B. dazu die­nen, Wer­be­an­zei­gen per­so­na­li­siert zu schalten.

In der Schweiz ent­hal­ten das gel­ten­de Daten­schutz­ge­setz vom 19. Juni 1992 („DSG“) sowie das Fern­mel­de­ge­setz vom 30. April 1997 („FMG“) Vor­ga­ben zur Aus­ge­stal­tung von Coo­kies. Gestützt auf das DSG ist eine trans­pa­ren­te Infor­ma­ti­on der betrof­fe­nen Per­so­nen über die Beschaf­fung von Per­so­nen­da­ten und den Zweck der Ver­ar­bei­tung und der Daten­ana­ly­se nötig. Das FMG hält in Art. 45c lit. b fest, dass das „Bear­bei­ten von Daten auf frem­den Gerä­ten durch fern­mel­de­tech­ni­sche Über­tra­gung (…) nur erlaubt ist, (…) wenn die Benut­ze­rin­nen und Benut­zer über die Bear­bei­tung und ihren Zweck infor­miert sowie dar­auf hin­ge­wie­sen wer­den, dass sie die Bear­bei­tung ableh­nen kön­nen.“ Die­ser Wort­laut setzt kei­ne expli­zi­te Ein­wil­li­gung der Nut­zer beim Ein­satz von Coo­kies vor­aus. Nebst der Anga­be der Ver­ar­bei­tung sowie der Zweck­an­ga­be ist aber auch ein Hin­weis auf das Ableh­nungs­recht erfor­der­lich. Dem­nach genügt nach Schwei­zer Recht grund­sätz­lich also ein Hin­weis in der Daten­schutz­er­klä­rung der Web­sei­te, dass Coo­kies ein­ge­setzt wer­den, zu wel­chem Zweck und, dass die betrof­fe­ne Per­son den Ein­satz ableh­nen darf. Ein Coo­kie-Ban­ner ist gestützt auf das schwei­ze­ri­sche Recht nicht nötig, kann aller­dings sinn­voll erschei­nen: Gemäss schwei­ze­ri­scher Rechts­la­ge muss näm­lich bereits vor der ers­ten Daten­ver­ar­bei­tung (und damit dem ent­spre­chen­den Ein­satz von Coo­kies) infor­miert wer­den. Aus Prak­ti­ka­bi­li­täts­grün­den emp­fiehlt sich ein Ban­ner, der auf die Daten­schutz­er­klä­rung ver­weist, wel­che die Coo­kie-The­ma­tik und ein Hin­weis ent­hält, wie die (tech­nisch nicht not­wen­di­gen) Coo­kies deak­ti­viert wer­den kön­nen. Wer­den aller­dings beson­ders schüt­zens­wer­te Per­so­nen­da­ten oder Per­sön­lich­keits­pro­fi­le durch den Webseitenbetreiber/Verantwortlichen ver­ar­bei­tet, wird gestützt auf das gel­ten­de DSG (Art. 4 Ziff. 5) für die Ver­wen­dung von Coo­kies eine expli­zi­te Ein­wil­li­gung der betrof­fe­nen Per­son benötigt.

Auch im revi­dier­ten Daten­schutz­ge­setz („rDSG“), wel­ches im Jahr 2022 in Kraft tre­ten wird, ist kei­ne Pflicht zur Imple­men­tie­rung eines Coo­kie-Ban­ners vor­ge­se­hen. Nach wie vor muss aller­dings aktiv über die Ver­ar­bei­tung von Coo­kies infor­miert wer­den. Neu dazu kom­men Pflich­ten zum „Pri­va­cy by Design“ (Daten­schutz durch Tech­nik­ge­stal­tung) sowie „Pri­va­cy by Default“ (Daten­schutz durch daten­schutz­freund­li­che Voreinstellungen).

Seit dem 25. Mai 2018 ist die DSGVO in Kraft. Gestützt dar­auf ist die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten nicht per se erlaubt, son­dern es braucht jeweils eine Ein­wil­li­gung oder ein über­wie­gen­des Inter­es­se (Ver­bot mit Erlaub­nis­vor­be­halt) des Daten­ver­ar­bei­ters, damit eine Daten­ver­ar­bei­tung zuläs­sig ist. Die Anfor­de­run­gen an die Ein­wil­li­gung gibt dabei jeweils das natio­na­le Recht vor. Gemäss DSGVO muss den Nut­zern die Mög­lich­keit gege­ben wer­den, die Ein­wil­li­gung zu ver­wei­gern (Opt-out). Die Daten­schutz­richt­li­nie für elek­tro­ni­sche Kom­mu­ni­ka­ti­on („ePri­va­cy-Richt­li­nie“, RL 2002/58/EG vom 12. Juli 2002) prä­zi­siert das Set­zen von Coo­kies sowie Bestim­mun­gen zu ande­ren Tracking-Tech­no­lo­gien. Unabhängig davon, ob ein Unter­neh­men per­so­nen­be­zo­ge­ne Daten im EU-Raum ver­ar­bei­tet oder nicht, hat die­ses bei der Ver­wen­dung von Coo­kies auf deren Web­sei­te (auch) die ePri­va­cy-Richt­li­nie zu beach­ten. Wer­den durch ein der DSGVO unter­ste­hen­des Schwei­zer Unter­neh­men also per­so­nen­be­zo­ge­ne Daten ver­ar­bei­tet, sind zudem auch die euro­päi­schen Vor­ga­ben betref­fend die Coo­kie-Regu­lie­rung (DSGVO, ePri­va­cy-Richt­li­nie) vom Unter­neh­men ernst zu neh­men. Zusam­men­fas­send gilt für Unter­neh­men, wel­che der DSGVO unter­ste­hen, fol­gen­des: i) es hat eine vor­gän­gi­ge Infor­ma­ti­on der Nut­zer über den Ein­satz von Coo­kies statt­zu­fin­den, ii) es ist eine infor­mier­te Ein­wil­li­gung ein­zu­ho­len, iii) in Bezug auf die Anfor­de­run­gen der Ein­wil­li­gun­gen ist das jeweils natio­na­le (Datenschutz-)Recht zu berücksichtigen.

2. Aktu­el­le Rechtsprechung

Am 12. August 2020 schloss die fran­zö­si­sche Daten­schutz­be­hör­de Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés („CNIL“) eine Unter­su­chung gegen Goog­le ab. Im Rah­men die­ser wur­den ver­schie­de­ne Punk­te im Zusam­men­hang mit dem Ein­satz von Coo­kies auf der Web­sei­te www.google.fr bean­stan­det. Bemän­gelt wur­de u.a., dass beim Besuch der google.fr-Webseite meh­re­re Coo­kies auto­ma­tisch auf dem End­ge­rät des Nut­zers gespei­chert wer­den, ohne, dass dazu eine (akti­ve) Hand­lung der Nut­zer nötig gewe­sen wäre. Die Über­prü­fung resul­tier­te in einer Bus­se zulas­ten von Goog­le in der Höhe von rund 100 Mil­lio­nen Euro. Die Unter­su­chung der CNIL ergab, dass beim Besuch der google.fr-Webseite sie­ben Coo­kies auto­ma­tisch auf dem End­ge­rät gesetzt wur­den. Vier davon waren Wer­be-Coo­kies (und ent­spre­chend kei­ne tech­nisch not­wen­di­gen Coo­kies), wel­che gemäss natio­na­lem (fran­zö­si­schem) Daten­schutz­ge­setz die vor­he­ri­ge Zustim­mung der Web­sei­ten-Nut­zern erfor­dert hät­ten. Eine sol­che Zustim­mung wur­de durch Goog­le nicht ein­ge­holt. Die CNIL stell­te wei­ter fest, dass Goog­le der Pflicht zur Zweck­an­ga­be im Rah­men der Ver­wen­dung von Coo­kies nur unge­nü­gend nach­kam. Wei­ter war auch der Opt-out-Mecha­nis­mus von Goog­le teil­wei­se nicht funk­ti­ons­fä­hig, was dazu führ­te, dass, wenn ein Nut­zer die Anzei­gen-Per­so­na­li­sie­rung in der Goog­le-Suche via Opt-out deak­ti­vier­te, einer der Wer­be-Coo­kie immer noch auf dem Gerät des Nut­zers gespei­chert wur­de. Somit ver­ar­bei­te­te Goog­le auch wei­ter­hin Daten über die Web­sei­ten-Nut­zer, obwohl kei­ne Ein­wil­li­gung der betrof­fe­nen Per­so­nen mehr vor­lag. Bei der Fest­set­zung der Höhe der Geld­bus­se wur­den die Schwe­re der Ver­stös­se in Bezug auf die natio­na­len (fran­zö­si­schen) Daten­schutz­vor­ga­ben, die Anzahl der durch davon betrof­fe­nen Nut­zern (47 Mil­lio­nen, d.h. ca. 70% der fran­zö­si­schen Bevöl­ke­rung) und die finan­zi­el­len Vor­tei­le, wel­che sich indi­rekt aus den durch die Wer­be-Coo­kies erho­be­nen Daten erziel­ten Wer­be­ein­nah­men erga­ben, berücksichtigt. 

Bereits im Jahr 2019 hat­te der Euro­päi­sche Gerichts­hof („EugH“) mit Sitz in Luxem­burg zum The­ma Coo­kies ent­schie­den (Urteil v. 1.10.2019, Az. C-673/17). Er hat­te Fra­gen zum Schutz der Pri­vat­sphä­re im digi­ta­len Raum zu beur­tei­len und woll­te im Daten­schutz­recht Klar­heit schaf­fen. Es wur­de u.a. fest­ge­hal­ten, dass eine Ein­wil­li­gung zum Ein­satz von Coo­kies durch ein vor­ein­ge­stell­tes Ankreuz­käst­chen, wel­ches der Nut­zer zur Ver­wei­ge­rung sei­ner Ein­wil­li­gung abwäh­len muss, nicht als wirk­sam erteil­te Ein­wil­li­gung im Sin­ne des EU-Daten­schutz­rechts gel­te. Wei­ter müs­sen Web­sei­ten gegen­über den Nut­zern u.a. Anga­ben zur Funk­ti­ons­dau­er der Coo­kies ent­hal­ten sowie über den Zugriff all­fäl­li­ger Drit­te auf die Coo­kies informieren.

Arti­kel 5 Absatz 3 der ePri­va­cy-Richt­li­nie, sieht vor, dass eine Benut­zung elek­tro­ni­scher Kom­mu­ni­ka­ti­ons­net­ze für die Spei­che­rung von Infor­ma­tio­nen resp. den Zugriff auf Infor­ma­tio­nen, die im End­ge­rät eines Teil­neh­mers oder Nut­zers gespei­chert wer­den, nur gestat­tet ist, wenn der Nut­zer kla­re und umfas­sen­de Infor­ma­tio­nen zum Zweck der Ver­ar­bei­tung erhält und auf das Recht hin­ge­wie­sen wird, die Ver­ar­bei­tung zu ver­wei­gern. Der EuGH bestä­tig­te in sei­nem Urteil, dass die­ser Arti­kel unabhängig davon gilt, ob mit dem gesetz­ten Coo­kie per­so­nen­be­zo­ge­ne Daten erho­ben wer­den oder nicht.

In Fort­set­zung des Rechts­streits ent­schied der deut­sche Bun­des­ge­richts­hof („BGH“) am 28. Mai 2020 (Urteil I ZR 7/16 – Coo­kie Ein­wil­li­gung II) u.a., dass der­je­ni­ge, wel­cher Coo­kies auf Inter­net­sei­ten ein­set­zen will, in jedem Fall die akti­ve Zustim­mung des Nut­zers benö­tigt. Ein vor­ein­ge­stell­ter Haken im Feld zur Coo­kie-Ein­wil­li­gung sei unzu­läs­sig, weil er die Nut­zer unan­ge­mes­sen benach­tei­li­ge. Auch ein „wegkli­cken“ des Coo­kie-Ban­ners wird dem­nach gemäss EU-Recht­spre­chung als unzu­läs­sig erachtet.

3. Fazit

Set­zen Schwei­zer Unter­neh­men auf ihrer Web­sei­te Coo­kies ein, haben die­se im Mini­mum zwin­gend die Vor­ga­ben des DSG (resp. ab Inkraft­tre­ten im 2022 die­je­ni­gen des rDSG) sowie Art. 45c lit. b FMG zu beach­ten. Zum heu­ti­gen Stand ist es nach Schwei­zer Rechts­la­ge grund­sätz­lich aus­rei­chend, wenn über den Ein­satz von Coo­kies pau­schal in der Daten­schutz­er­klä­rung auf­ge­klärt wird (Aus­nah­me: bei beson­ders schüt­zens­wer­te Per­so­nen­da­ten, Per­sön­lich­keits­pro­fi­le). Auch mit dem revi­dier­ten Daten­schutz­ge­setz, wel­ches im 2022 in Kraft tre­ten wird, wur­den die Rege­lun­gen zu den Coo­kies der EU, wel­che dort insb. in der ePri­va­cy-Richt­li­nie ent­hal­ten sind, nicht ins Schwei­ze­ri­sche Recht über­nom­men. Aber Vor­sicht: Vor­ge­nann­tes gilt nicht, wenn das Schwei­zer Unter­neh­men, wel­ches die Web­sei­te betreibt, auch der DSGVO untersteht!

Weist das Unter­neh­men rele­van­ten EU-Aus­land­be­zug auf (z.B. wird das Ver­hal­ten von Web­sei­ten­nut­zern aus der EU beob­ach­tet oder rich­ten sich die Produkte/Dienstleistungen an EU-Per­so­nen etc.) und wird folg­lich eine Unter­stel­lung unter die DSGVO bejaht, müs­sen im Zusam­men­hang mit Coo­kies nebst den schwei­ze­ri­schen Vor­ga­ben (DSG/rDSG und FMG) auch die Vor­ga­ben der DSGVO und der ePri­va­cy-Richt­li­nie ein­ge­hal­ten wer­den. Die all­fäl­li­ge kon­kre­ti­sie­ren­de Recht­spre­chung des EuGH etc. sowie all­fäl­li­ge Ent­schei­de von natio­na­len aus­län­di­schen Daten­schutz­be­hör­den sind im Auge zu behal­ten. Es muss aktiv auf den Ein­satz von Coo­kies hin­ge­wie­sen und zumin­dest die Ein­wil­li­gung für die Ver­wen­dung der Coo­kies von den Web­sei­ten­nut­zer ein­ge­holt wer­den. Das „Nud­ging“, d.h. die Gestal­tung von Coo­kie-Ban­ner ist dabei von nicht zu unter­schät­zen­der Relevanz.

Aus­län­di­sche Urtei­le und Ent­schei­de haben gros­se Aus­wir­kun­gen auch auf Schwei­zer Unter­neh­men u.a. als Web­sei­ten-Betrei­ber, Anbie­ter von Tracking-Diens­ten und/oder die Wer­be­wirt­schaft. Unter­neh­men, die eine Web­sei­te betrei­ben, haben dar­auf zu ach­ten, dass die Web­sei­te stets sämt­li­chen ein­schlä­gi­gen natio­na­len und inter­na­tio­na­len Daten­schutz­vor­ga­ben ent­spricht. Bei Nicht­ein­hal­tung von ein­schlä­gi­gen Daten­schutz­vor­ga­ben ris­kiert das Unter­neh­men u.U. Buss­gel­der in erheb­li­cher Höhe.

Hue­ber­li Lawy­ers AG ist spe­zia­li­siert auf gesell­schafts­recht­li­che Fra­ge­stel­lun­gen. Wir bera­ten Sie ger­ne im Daten­schutz­recht und freu­en uns über Ihre Kontaktaufnahme.

Mit unse­rer Exper­ti­se für Coo­kies in der Schweiz hel­fen wir Ihnen ger­ne weiter.

Haben Sie Fragen zur Rechtslage von Cookies in der Schweiz? 

Dann kon­tak­tie­ren Sie uns. Wir bera­ten Sie ger­ne zu allen Fra­gen rund um die­ses Thema. 

    Wenn Sie uns per Kon­takt­for­mu­lar Anfra­gen zukom­men las­sen, wer­den Ihre Anga­ben aus dem Anfra­ge­for­mu­lar inklu­si­ve der von Ihnen dort ange­ge­be­nen Kon­takt­da­ten zwecks Bear­bei­tung der Anfra­ge und für den Fall von Anschluss­fra­gen bei uns gespeichert. 

    Wei­te­re Infor­ma­tio­nen zur Bear­bei­tung Ihrer per­so­nen­be­zo­ge­nen Daten und zu unserer
    Kon­takt­adres­se fin­den Sie in unse­rer Daten­schutz­er­kä­rung.

    Newsletter Sign up
    Back to overview