Nicht jedes Cookie braucht einen Banner

Feb. 4, 2026

Kaum eine Website kommt heute ohne Cookie-Banner aus. Und doch lohnt sich ein genauer Blick: Viele Banner sind weniger Rechtsnotwendigkeit als Reflex. Man „macht es halt so“, weil es alle so machen – oder weil das Consent-Management-Tool es so ausliefert. Das führt zu zwei typischen Problemen: Erstens nervt es die Nutzer (Consent Fatigue). Zweitens entsteht eine trügerische Sicherheit („Wir haben ja einen Banner, also passt es“).

Gerade jetzt ist Bewegung drin. In der EU wird politisch diskutiert, ob Cookie-Entscheide künftig stärker über Browser- oder Systempräferenzen abgebildet werden können, um die dauernden Abfragen zu reduzieren. Das läuft im Kontext der „Digital Omnibus“-Debatte, die auf Vereinfachung und bessere Abstimmung digitaler Regulierung zielt. In der Schweiz ist die Ausgangslage ohnehin eine andere: Es gibt kein generelles Cookie-Banner-Obligatorium. Der aktualisierte Leitfaden des EDÖB (Oktober 2025) bestätigt und präzisiert den risikobasierten Ansatz.

EU-Logik: Opt-in als Standard – aber zunehmend unter Druck

Vereinfacht gesagt gilt in der EU: Nicht technisch notwendige Cookies (z. B. viele Analytics- und Marketing-Cookies) dürfen grundsätzlich erst gesetzt werden, wenn eine wirksame Einwilligung nach ausreichender Information vorliegt. Diese Logik folgt aus dem Zusammenspiel von DSGVO und ePrivacy-Regeln und ist im Markt seit Jahren als „Consent first“ operationalisiert.

Praktisch heisst das: Ohne saubere Einwilligung keine nicht-essentiellen Cookies. Gleichzeitig wächst der politische Druck, weil Einwilligungen zur Klick-Routine verkommen. Genau deshalb wird diskutiert, ob ein Teil dieser Entscheidungen künftig zentral (Browser/System) und längerfristig hinterlegt werden kann – damit weniger „Banner-Pflichtgefühl“ und mehr echte Steuerung entsteht.

Schweiz-Logik: Keine Banner-Pflicht – sondern Zweck, Verhältnismässigkeit, Risiko

Der Schweizer Ansatz ist nüchterner. Der EDÖB hält ausdrücklich fest: Weder das DSG noch Art. 45c FMG verlangen die Einwilligung als zwingende Voraussetzung für die Rechtmässigkeit nicht notwendiger Cookies. Einwilligung ist ein möglicher Rechtfertigungsgrund – aber nicht automatisch der einzige oder immer erforderliche. https://www.edoeb.admin.ch/de/cookie-leitfaden-aktualisiert 

Entscheidend ist vielmehr, was Du mit welchen Mitteln bezweckst, welche Eingriffstiefe entsteht und ob ein (wirksamer) Widerspruch realistisch möglich ist. Der Leitfaden arbeitet das sehr deutlich heraus: Je intensiver das Tracking und je stärker die Profilbildung (insbesondere bei Profiling mit hohem Risiko), desto eher kippt die Interessenabwägung – und desto eher wird eine Einwilligung (Opt-in) erforderlich.

Gleichzeitig gilt: Information bleibt Pflicht. Und bei „verhältnismässigen, aber nicht notwendigen“ Cookies muss ein wirksames Opt-out/Widerspruchsrecht sauber umgesetzt sein – nicht nur irgendwo in der Datenschutzerklärung vergraben, sondern auffindbar und mit wenigen Schritten ausübbar, auch beim zweiten Besuch.

Was bedeutet das konkret für Unternehmen?

  1. Bevor Du über Banner-Designs diskutierst, musst Du wissen, was tatsächlich auf der Website passiert: Welche Cookies/Tracker laufen, von wem (First/Third Party), mit welchen Laufzeiten, zu welchen Zwecken? Ohne saubere Cookie-Landkarte ist jede „Compliance“ eine Annahme.
  2. „Notwendig“ (z. B. Login, Warenkorb) ist das eine. „Nice to have“ (Standard-Analytics) das andere. Und „intensiv“ (Cross-Site-Tracking, personalisierte Werbung, Datenzugang für Dritte gegen Entgelt) ist nochmals eine andere Liga. Der EDÖB beschreibt gerade bei personalisierter Werbung und eingebetteten Dritten die Situationen, in denen Profiling-Risiken stark ansteigen.
  3. Der häufigste Fehler ist nicht fehlende Information – sondern ein Widerspruch, der in der Praxis ins Leere läuft: versteckt, kompliziert, beim nächsten Besuch „vergessen“ oder nur für einen Teil der Tracker wirksam. Der Leitfaden betont ausdrücklich, dass Widerruf/Widerspruch nicht durch Hürden („administrative Schikanen“) entwertet werden darf und sinngemäss dieselben Fairness-Anforderungen gelten.
  4. Ein Banner ist kein Compliance-Siegel. Wer sich auf Tool-Versprechen oder Standardkonfigurationen verlässt, verlagert das Risiko nicht – er behält es. Verantwortlich bleibt das Unternehmen: für die korrekte Einordnung, für die Rechtsgrundlage, für die technische Umsetzung, für die Nachweisbarkeit im Streitfall. Das ist auch die Kernaussage meiner Kolumne: Nicht jedes Cookie braucht einen Banner.

Ein Praxisbild, das ich oft sehe

Ein Unternehmen setzt „vorsorglich“ einen EU-ähnlichen Banner auf die Schweizer Website. Gleichzeitig laufen Third-Party-Skripte bereits beim ersten Seitenaufruf, weil sie im Tag Manager „immer an“ sind. Ergebnis: Der Banner beruhigt zwar das Gewissen, ändert aber am Datenfluss wenig. Genau hier lohnt der risikobasierte Umbau: erst technische Kontrolle (was feuert wann), dann rechtliche Qualifikation (welche Zwecke, welche Eingriffstiefe), dann erst das richtige Frontend (Banner ja/nein, Opt-out wo nötig, Opt-in wo erforderlich).

Am Ende ist die Frage nicht „Brauche ich einen Banner?“, sondern: „Kann ich meine Cookie-Landschaft nachvollziehbar steuern – so, dass Information und Selbstbestimmung real sind?

Kontaktieren Sie uns für eine umfassende Datenschutzanalyse:

Datenschutz und Datensicherheit – Balthasar Legal

Unverbindlich anfragen

Ihre Kontakte

Portrait Dr. iur. Michèle Balthasar
Patrick Baumgartner Rechtsanwalt und Partner bei Balthasar Legal
Portrait Patrick Baumgartner
Silvia Mathys

lic. iur. Senior Beraterin

lic. iur. Silvia Mathys hat 2004 ihr rechtswissenschaftliches Studium an der Universität Basel abgeschlossen und war seither in verschiedenen Unternehmen, unter anderem in der Finanzbranche, der Industrie sowie im Technologiebereich, tätig. Sie spezialisierte sich auf die rechtliche Begleitung und Umsetzung im Bereich Datenschutz und Compliance. Neben ihrer Tätigkeit bei internationalen Konzernen bringt sie langjährige Erfahrung in der Beratung, Schulung und Implementierung datenschutzrechtlicher Vorgaben (inkl. DSGVO) mit. Zu ihren Stärken gehören ihre fundierte Fachkompetenz, ihre praxisorientierte Arbeitsweise sowie ihre breite Erfahrung im internationalen Umfeld.

Bruno Schnarwiler

Konsulent Informationssicherheit

Bruno Schnarwiler ist ein Experte in Wirtschaftsinformatik mit über 30 Jahren Erfahrung als Auditor, Projektmanager, Berater und Führungskraft. Mit Abschlüssen als Eidg. Dipl. Wirtschaftsinformatiker, CISA und ISO 27001 Lead Auditor verfügt er über Fachkenntnisse in Informationssicherheit, Krisen- und Risikomanagement sowie digitalen Archivierungslösungen. Er hatte Schlüsselrollen wie Leiter IT-Revision und Risikomanagement in einer Bank, Leiter Softwareentwicklung und Berater für Sicherheit. Diese Tätigkeiten gaben ihm umfassende Einblicke in Branchen und Prozesse. Er trägt zur Implementierung sicherer IT-Umgebungen, Optimierung interner Kontrollsysteme und Entwicklung nachhaltiger Lösungen bei, die moderne Anforderungen erfüllen.
Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alex Wild

Student

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sebastian Andres

Student, Content Manager

Sebastian Andres begann 2019 sein Studium der Rechtswissenschaften an der Universität Zürich, wo er voraussichtlich 2026 den Masterabschluss erlangen wird. Erste praktische Erfahrungen sammelte er bei der Digt AG, wo er in der Vertragsgestaltung tätig war und daneben auch Aufgaben im Bereich Content Management übernahm. Bei der ADMG AG, bei der er seit 2024 arbeitet, erwarb er anschliessend vertiefte Kenntnisse in Zivil-, Verwaltungs-, Handels- und Wirtschaftsrecht. Seit 2025 ist er zudem bei der Balthasar Legal AG als Content Manager tätig.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.