Neuer EDÖB-Leitfaden zu Cookies

Feb. 9, 2025

Das Bild zeigt eine Nahaufnahme einer Computertastatur, auf der ein einzelner Schokoladenkeks liegt. Die Tastatur gehört zu einem modernen Laptop mit flachem Design und schwarzen Tasten mit weißen Buchstaben. Die Beschriftung ist im klassischen QWERTZ-Layout gehalten, was darauf hindeutet, dass es sich um eine deutsche Tastatur handelt. Besonders gut zu erkennen sind die Tasten „A“, „Z“, „Q“ und die „cmd“-Taste, die typisch für Apple-MacBooks ist. Der Keks selbst ist ein goldbrauner, leicht unregelmäßig geformter Schokoladenkeks mit dunklen Schokoladenstückchen, die in den Teig eingebettet sind. Er hat eine raue, krümelige Oberfläche mit kleinen Rissen, die auf eine knusprige Konsistenz hindeuten. Einige der Schokoladenstückchen sind leicht geschmolzen, was darauf schließen lässt, dass der Keks frisch gebacken oder leicht warm sein könnte. Das Bild spielt mit dem Kontrast zwischen der digitalen Welt (repräsentiert durch die moderne Tastatur) und der physischen Welt (symbolisiert durch den handgemachten,

Am 3. Februar 2025 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) den neuen EDÖB-Leitfaden zu Cookies und Tracking-Technologien veröffentlicht. Dieser Leitfaden, auch wenn nicht verbindlich, zeigt klar, wie der EDÖB die Umsetzung des Datenschutzgesetzes (DSG) in der digitalen Praxis interpretiert. Für Webseitenbetreiber bedeutet dies vor allem eines: mehr Verantwortung und wohl auch noch mehr Cookie-Banner.

 

Einstufung von Cookies und rechtliche Grundlagen

 

Hinsichtlich der Verwendung von Cookies in Apps und Webseiten gilt es zu beachten, dass das Fernmeldegesetz (FMG; SR 780.10) bezüglich deren Speicherung auf Endgeräten wie Smartphones oder Personal Computern in Art. 45c eine Spezialregelung enthält, die schon seit dem 1. April 2007 in Kraft ist. Diese Norm des speziellen Datenschutzrechts des Bundes ist kumulativ zum allgemeinen Datenschutzrecht im DSG einzuhalten.

Für den Einsatz nicht notwendiger Cookies ist durch Art. 45c FMG zwingend vorgeschrieben, dass der Verantwortliche den Betroffenen in jedem Fall die Möglichkeit einräumen muss, die Verwendung solcher Cookies abzulehnen (Widerspruchsrecht). Webseitenbetreiber sind gemäss Art. 45c FMG verpflichtet, die Seitenbesuchenden über den Einsatz von entsprechenden Technologien zu informieren und dabei die jeweiligen Zwecke zu nennen. Ausserdem muss darauf hingewiesen werden, dass und wie die betroffenen Personen die entsprechende Bearbeitung ablehnen können. Weiter muss der Verantwortliche das Widerspruchsrecht auf der Webseite an prominenter Stelle anzeigen, sodass die Möglichkeit eines Opt-outs sowohl beim ersten als auch bei nachfolgenden Besuchen leicht erkannt und mit wenigen Klicks angewählt und ausgeübt werden kann.

Wie und in welcher Form die betroffenen Personen informiert werden sollen, lässt die Bestimmung offen und muss nach Massgabe des DSG konkretisiert werden.

 

Der EDÖB unterscheidet zwischen folgenden Cookies:

 

1. Technisch notwendige Cookies

Diese sind für den Betrieb der Website unverzichtbar.
Beispiele:

  • Warenkorb-Cookies in Online-Shops
  • Login-Authentifizierung
  • Sprachauswahl
  • Schutz vor Brute-Force-Angriffen

Rechtliche Folgen: „Es gilt lediglich eine Informationspflicht, eine Einwilligung ist nicht erforderlich.¨

 

2. Funktionale Cookies („Comfort Cookies“)

Diese sind nicht zwingend notwendig, verbessern aber die Nutzererfahrung (z. B. Speicherung von Nutzereinstellungen).
Rechtliche Folgen:

  • Art. 45c FMG verlangt, dass Nutzer der Speicherung solcher Cookies widersprechen können (Opt-out).
  • DSG: Falls die Speicherung nicht durch ein überwiegendes Interesse gedeckt ist, ist eine Einwilligung notwendig.
  • Unklarheit: Cookie-Banner sind unter Umständen erforderlich, jedoch nicht immer explizit vorgeschrieben.

 

3. Werbe- oder Tracking-Cookies

Diese analysieren das Nutzerverhalten und dienen z. B. der Anzeige personalisierter Werbung oder der Erstellung von Nutzerprofilen.
Rechtliche Folgen:

  • Hier ist eine ausdrückliche Einwilligung (Opt-in) erforderlich.
  • Cookie-Banner sind notwendig, müssen ein aktives Anklicken oder Setzen eines Häkchens verlangen.
  • Die Einwilligung muss jederzeit widerrufbar sein. Hier wird in der Praxis davon ausgegangen, dass ein Cookie-Banner erforderlich ist.

 

4. Weitere Themen des Leitfadens waren:

Informationspflicht
Die Bearbeitung von Personendaten durch Cookies unterliegt gemäss Art. 19 f. DSG einer Informationspflicht. Dies bedeutet, dass Webseitenbetreiber aktiv und transparent darüber informieren müssen, welche Daten erfasst werden und zu welchem Zweck.

 

Wie muss informiert werden?

  • Die Informationen müssen so aufbereitet sein, dass eine betroffene Person eine bewusste Entscheidung treffen kann.
  • Die Informationspflicht kann z. B. durch Datenschutzerklärungen, Nutzungsbedingungen oder Piktogramme erfüllt werden.
  • Ein sogenannter „Layered Approach“ ist erforderlich: Zunächst werden die wichtigsten Informationen angezeigt, dann folgen detaillierte Angaben.
  • Die Informationen müssen leicht auffindbar, leserfreundlich und klar strukturiert sein.

 

Gemeinsame Verantwortlichkeit bei Social Plugins

Eine der wichtigsten Aussagen des Leitfadens betrifft die gemeinsame Verantwortlichkeit von Webseitenbetreibern und Drittanbietern, beispielsweise beim Einsatz von Social Plugins.

Gemäss der Rechtsprechung des EuGH (Fashion-ID-Entscheid) haftet ein Webseitenbetreiber mit, wenn er durch die Einbindung eines Social Plugins die Erhebung von Nutzerdaten ermöglicht. Der EDÖB folgt dieser Linie und verlangt, dass sich Webseitenbetreiber über die Datenbearbeitung ihrer eingebundenen Drittanbieter informieren und sicherstellen, dass alle datenschutzrechtlichen Anforderungen eingehalten werden. Wichtig zu wissen: Die gemeinsame Verantwortlichkeit beschränkt sich nur auf die Datenerhebung, nicht aber auf die weitere Bearbeitung durch den Drittanbieter.

 

5. Fazit

Dieser EDÖB-Leitfaden zu Cookies und Tracking verschärft die Anforderungen für Webseitenbetreiber. Für Webseitenbetreiber bedeutet dies vor allem eine erhöhte Informationspflicht, mehr Transparenz gegenüber Nutzern und in vielen Fällen die Notwendigkeit, Cookie-Banner zu implementieren. Wer Social Plugins oder Werbe-Tracking verwendet, sollte dringend überprüfen, ob er die Anforderungen des DSG erfüllt und die Einwilligung der Nutzer korrekt einholt.

 

Sehr gerne unterstützen wir Sie bei Fragen rund um den Datenschutz und die Datensicherheit. Wir freuen uns auf Ihre Kontaktaufnahme.

Ihr Kontakt

Portrait Dr. iur. Michèle Balthasar
Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.