Cookies: Überblick über die geltende schweizerische/europäische Rechtslage
Diesen Artikel als PDF lesen.
Cookies haben die Gerichte und nationalen Datenschutzbehörden in der jüngsten Vergangenheit des Öfteren beschäftigt. Am 12. August 2020 schloss die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés („CNIL“) eine Untersuchung gegen Google ab. Der Europäische Gerichtshof („EuGH“) hatte sich bereits im 2019 und der Bundesgerichtshof („BGH“) im Jahr 2020 mit der Cookie-Thematik zu beschäftigen. Voraussichtlich im 2022 tritt das revidierte Schweizer Datenschutzgesetz („rDSG“) in Kraft. Dieser Blog-Beitrag fasst die wesentlichsten Regelungen zu den Cookies zusammen und gibt einen Überblick über die geltende Rechtslage.
1. Einleitung und Überblick
„Cookies“ sind kleine Textdateien, die beim Besuch einer Webseite auf einem Endgerät (Computer, Tablet, Mobilephone) dauerhaft oder temporär gespeichert werden. Sie ermöglichen eine Analyse des Nutzerverhaltens der Webseitenbesucher und ermöglichen analytische Auswertungen sowie Optimierungen des Online-Kanals.
Es gibt vereinfacht dargestellt zwei Arten von Cookies: solche, die personenbezogene Daten verarbeiten und andere, welche keinen Personenbezug aufweisen. Untersteht ein Schweizer Unternehmen der Europäischen Datenschutzgrundverordnung („DSGVO“), so ist in beiden Fällen die Datenschutzrichtlinie für elektronische Kommunikation („ePrivacy-Richtlinie“, RL 2002/58/EG vom 12. Juli 2002) zu beachten. Auch in Bezug auf die Funktionen unterscheiden sich Cookies: während manche den Nutzern die Bedienung einer Webseite erleichtern (z.B. Session Cookies) sind andere dazu da, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen. Letztere können z.B. dazu dienen, Werbeanzeigen personalisiert zu schalten.
In der Schweiz enthalten das geltende Datenschutzgesetz vom 19. Juni 1992 („DSG“) sowie das Fernmeldegesetz vom 30. April 1997 („FMG“) Vorgaben zur Ausgestaltung von Cookies. Gestützt auf das DSG ist eine transparente Information der betroffenen Personen über die Beschaffung von Personendaten und den Zweck der Verarbeitung und der Datenanalyse nötig. Das FMG hält in Art. 45c lit. b fest, dass das „Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung (…) nur erlaubt ist, (…) wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.“ Dieser Wortlaut setzt keine explizite Einwilligung der Nutzer beim Einsatz von Cookies voraus. Nebst der Angabe der Verarbeitung sowie der Zweckangabe ist aber auch ein Hinweis auf das Ablehnungsrecht erforderlich. Demnach genügt nach Schweizer Recht grundsätzlich also ein Hinweis in der Datenschutzerklärung der Webseite, dass Cookies eingesetzt werden, zu welchem Zweck und, dass die betroffene Person den Einsatz ablehnen darf. Ein Cookie-Banner ist gestützt auf das schweizerische Recht nicht nötig, kann allerdings sinnvoll erscheinen: Gemäss schweizerischer Rechtslage muss nämlich bereits vor der ersten Datenverarbeitung (und damit dem entsprechenden Einsatz von Cookies) informiert werden. Aus Praktikabilitätsgründen empfiehlt sich ein Banner, der auf die Datenschutzerklärung verweist, welche die Cookie-Thematik und ein Hinweis enthält, wie die (technisch nicht notwendigen) Cookies deaktiviert werden können. Werden allerdings besonders schützenswerte Personendaten oder Persönlichkeitsprofile durch den Webseitenbetreiber/Verantwortlichen verarbeitet, wird gestützt auf das geltende DSG (Art. 4 Ziff. 5) für die Verwendung von Cookies eine explizite Einwilligung der betroffenen Person benötigt.
Auch im revidierten Datenschutzgesetz („rDSG“), welches im Jahr 2022 in Kraft treten wird, ist keine Pflicht zur Implementierung eines Cookie-Banners vorgesehen. Nach wie vor muss allerdings aktiv über die Verarbeitung von Cookies informiert werden. Neu dazu kommen Pflichten zum „Privacy by Design“ (Datenschutz durch Technikgestaltung) sowie „Privacy by Default“ (Datenschutz durch datenschutzfreundliche Voreinstellungen).
Seit dem 25. Mai 2018 ist die DSGVO in Kraft. Gestützt darauf ist die Verarbeitung von personenbezogenen Daten nicht per se erlaubt, sondern es braucht jeweils eine Einwilligung oder ein überwiegendes Interesse (Verbot mit Erlaubnisvorbehalt) des Datenverarbeiters, damit eine Datenverarbeitung zulässig ist. Die Anforderungen an die Einwilligung gibt dabei jeweils das nationale Recht vor. Gemäss DSGVO muss den Nutzern die Möglichkeit gegeben werden, die Einwilligung zu verweigern (Opt-out). Die Datenschutzrichtlinie für elektronische Kommunikation („ePrivacy-Richtlinie“, RL 2002/58/EG vom 12. Juli 2002) präzisiert das Setzen von Cookies sowie Bestimmungen zu anderen Tracking-Technologien. Unabhängig davon, ob ein Unternehmen personenbezogene Daten im EU-Raum verarbeitet oder nicht, hat dieses bei der Verwendung von Cookies auf deren Webseite (auch) die ePrivacy-Richtlinie zu beachten. Werden durch ein der DSGVO unterstehendes Schweizer Unternehmen also personenbezogene Daten verarbeitet, sind zudem auch die europäischen Vorgaben betreffend die Cookie-Regulierung (DSGVO, ePrivacy-Richtlinie) vom Unternehmen ernst zu nehmen. Zusammenfassend gilt für Unternehmen, welche der DSGVO unterstehen, folgendes: i) es hat eine vorgängige Information der Nutzer über den Einsatz von Cookies stattzufinden, ii) es ist eine informierte Einwilligung einzuholen, iii) in Bezug auf die Anforderungen der Einwilligungen ist das jeweils nationale (Datenschutz-)Recht zu berücksichtigen.
2. Aktuelle Rechtsprechung
Am 12. August 2020 schloss die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés („CNIL“) eine Untersuchung gegen Google ab. Im Rahmen dieser wurden verschiedene Punkte im Zusammenhang mit dem Einsatz von Cookies auf der Webseite www.google.fr beanstandet. Bemängelt wurde u.a., dass beim Besuch der google.fr-Webseite mehrere Cookies automatisch auf dem Endgerät des Nutzers gespeichert werden, ohne, dass dazu eine (aktive) Handlung der Nutzer nötig gewesen wäre. Die Überprüfung resultierte in einer Busse zulasten von Google in der Höhe von rund 100 Millionen Euro. Die Untersuchung der CNIL ergab, dass beim Besuch der google.fr-Webseite sieben Cookies automatisch auf dem Endgerät gesetzt wurden. Vier davon waren Werbe-Cookies (und entsprechend keine technisch notwendigen Cookies), welche gemäss nationalem (französischem) Datenschutzgesetz die vorherige Zustimmung der Webseiten-Nutzern erfordert hätten. Eine solche Zustimmung wurde durch Google nicht eingeholt. Die CNIL stellte weiter fest, dass Google der Pflicht zur Zweckangabe im Rahmen der Verwendung von Cookies nur ungenügend nachkam. Weiter war auch der Opt-out-Mechanismus von Google teilweise nicht funktionsfähig, was dazu führte, dass, wenn ein Nutzer die Anzeigen-Personalisierung in der Google-Suche via Opt-out deaktivierte, einer der Werbe-Cookie immer noch auf dem Gerät des Nutzers gespeichert wurde. Somit verarbeitete Google auch weiterhin Daten über die Webseiten-Nutzer, obwohl keine Einwilligung der betroffenen Personen mehr vorlag. Bei der Festsetzung der Höhe der Geldbusse wurden die Schwere der Verstösse in Bezug auf die nationalen (französischen) Datenschutzvorgaben, die Anzahl der durch davon betroffenen Nutzern (47 Millionen, d.h. ca. 70% der französischen Bevölkerung) und die finanziellen Vorteile, welche sich indirekt aus den durch die Werbe-Cookies erhobenen Daten erzielten Werbeeinnahmen ergaben, berücksichtigt.
Bereits im Jahr 2019 hatte der Europäische Gerichtshof („EugH“) mit Sitz in Luxemburg zum Thema Cookies entschieden (Urteil v. 1.10.2019, Az. C-673/17). Er hatte Fragen zum Schutz der Privatsphäre im digitalen Raum zu beurteilen und wollte im Datenschutzrecht Klarheit schaffen. Es wurde u.a. festgehalten, dass eine Einwilligung zum Einsatz von Cookies durch ein voreingestelltes Ankreuzkästchen, welches der Nutzer zur Verweigerung seiner Einwilligung abwählen muss, nicht als wirksam erteilte Einwilligung im Sinne des EU-Datenschutzrechts gelte. Weiter müssen Webseiten gegenüber den Nutzern u.a. Angaben zur Funktionsdauer der Cookies enthalten sowie über den Zugriff allfälliger Dritte auf die Cookies informieren.
Artikel 5 Absatz 3 der ePrivacy-Richtlinie, sieht vor, dass eine Benutzung elektronischer Kommunikationsnetze für die Speicherung von Informationen resp. den Zugriff auf Informationen, die im Endgerät eines Teilnehmers oder Nutzers gespeichert werden, nur gestattet ist, wenn der Nutzer klare und umfassende Informationen zum Zweck der Verarbeitung erhält und auf das Recht hingewiesen wird, die Verarbeitung zu verweigern. Der EuGH bestätigte in seinem Urteil, dass dieser Artikel unabhängig davon gilt, ob mit dem gesetzten Cookie personenbezogene Daten erhoben werden oder nicht.
In Fortsetzung des Rechtsstreits entschied der deutsche Bundesgerichtshof („BGH“) am 28. Mai 2020 (Urteil I ZR 7/16 – Cookie Einwilligung II) u.a., dass derjenige, welcher Cookies auf Internetseiten einsetzen will, in jedem Fall die aktive Zustimmung des Nutzers benötigt. Ein voreingestellter Haken im Feld zur Cookie-Einwilligung sei unzulässig, weil er die Nutzer unangemessen benachteilige. Auch ein „wegklicken“ des Cookie-Banners wird demnach gemäss EU-Rechtsprechung als unzulässig erachtet.
3. Fazit
Setzen Schweizer Unternehmen auf ihrer Webseite Cookies ein, haben diese im Minimum zwingend die Vorgaben des DSG (resp. ab Inkrafttreten im 2022 diejenigen des rDSG) sowie Art. 45c lit. b FMG zu beachten. Zum heutigen Stand ist es nach Schweizer Rechtslage grundsätzlich ausreichend, wenn über den Einsatz von Cookies pauschal in der Datenschutzerklärung aufgeklärt wird (Ausnahme: bei besonders schützenswerte Personendaten, Persönlichkeitsprofile). Auch mit dem revidierten Datenschutzgesetz, welches im 2022 in Kraft treten wird, wurden die Regelungen zu den Cookies der EU, welche dort insb. in der ePrivacy-Richtlinie enthalten sind, nicht ins Schweizerische Recht übernommen. Aber Vorsicht: Vorgenanntes gilt nicht, wenn das Schweizer Unternehmen, welches die Webseite betreibt, auch der DSGVO untersteht!
Weist das Unternehmen relevanten EU-Auslandbezug auf (z.B. wird das Verhalten von Webseitennutzern aus der EU beobachtet oder richten sich die Produkte/Dienstleistungen an EU-Personen etc.) und wird folglich eine Unterstellung unter die DSGVO bejaht, müssen im Zusammenhang mit Cookies nebst den schweizerischen Vorgaben (DSG/rDSG und FMG) auch die Vorgaben der DSGVO und der ePrivacy-Richtlinie eingehalten werden. Die allfällige konkretisierende Rechtsprechung des EuGH etc. sowie allfällige Entscheide von nationalen ausländischen Datenschutzbehörden sind im Auge zu behalten. Es muss aktiv auf den Einsatz von Cookies hingewiesen und zumindest die Einwilligung für die Verwendung der Cookies von den Webseitennutzer eingeholt werden. Das „Nudging“, d.h. die Gestaltung von Cookie-Banner ist dabei von nicht zu unterschätzender Relevanz.
Ausländische Urteile und Entscheide haben grosse Auswirkungen auch auf Schweizer Unternehmen u.a. als Webseiten-Betreiber, Anbieter von Tracking-Diensten und/oder die Werbewirtschaft. Unternehmen, die eine Webseite betreiben, haben darauf zu achten, dass die Webseite stets sämtlichen einschlägigen nationalen und internationalen Datenschutzvorgaben entspricht. Bei Nichteinhaltung von einschlägigen Datenschutzvorgaben riskiert das Unternehmen u.U. Bussgelder in erheblicher Höhe.
Hueberli Lawyers AG ist spezialisiert auf gesellschaftsrechtliche Fragestellungen. Wir beraten Sie gerne im Datenschutzrecht und freuen uns über Ihre Kontaktaufnahme.
Mit unserer Expertise für Cookies in der Schweiz helfen wir Ihnen gerne weiter.
Haben Sie Fragen zur Rechtslage von Cookies in der Schweiz?
Dann kontaktieren Sie uns. Wir beraten Sie gerne zu allen Fragen rund um dieses Thema.