In der Schweiz gibt es seit 25.09.2020 das neue Datenschutzgesetzt (DSG). Es bringt viele Neuerungen mit sich. Hier ein kurzer Auszug was für Webseiten wichtig wird.
Muss eine Webseite einen Consent-Layer/Cookie-Banner besitzen?
Cookies werden im Schweizer Recht in Art. 45c lit. b des Schweizer Fernmeldegesetzes (FMG) geregelt. Gemäss dieser Regelung müssen Website-Betreiber in der Schweiz die Website-Nutzer über die Verwendung von Cookies und deren Zweck informieren und die Website-Nutzer darauf hinweisen, dass sie diese Bearbeitung ablehnen können. Art. 45c lit. b FMG sieht keine besonderen Formvorschriften für die Informationspflicht vor, weshalb gemäss Lehrmeinung die Informationspflicht durch die Anbringung eines Hinweises betreffend Cookies z.B. in der Datenschutzerklärung i.d.R. erfüllt werden kann.
Ungeachtet dieser Rechtslage ist aus den folgenden Gründen die Verwendung eines Consent-Layers/Cookie-Banners durch Website-Betreiber in der Schweiz dennoch zu empfehlen:
- Die Schweizer Datenschutzbehörde, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), stellt sich auf den Standpunkt, dass zumindest bei der Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen u.a. mittels Cookies die betroffenen Website-Nutzer beim Besuch der Website vorab ausdrücklich gefragt werden müssen, ob sie mit dieser Bearbeitung einverstanden sind. Diese Meinung des EDÖB ist zwar rechtlich nicht verbindlich; die Verwendung eines Consent-Banners/Cookie Banners könnte dennoch allfällige rechtliche Risiken minimieren.
- Schweizer Websites, die nicht nur an Nutzer in der Schweiz, sondern auch in der EU gerichtet sind und die insb. Personen in der EU Waren oder Dienstleistungen anbieten, müssen die (strengeren) EU-Standards zur Verwendung von Cookies ohnehin beachten.
Welche Mindest-Informationen müssen genannt werden?
Wie oben ausgeführt, ist nach Schweizer Recht ein Cookie-Layer zwar nicht notwendig, aber dennoch ratsam. Dabei ist davon auszugehen, dass im Cookie-Layer/Consent-Banner selbst ein kurzer Hinweis auf die Nutzung von Cookies und ein Verweis auf weitere Informationen in einer Datenschutzerklärung genügen dürfte.
In der Datenschutzerklärung wäre sodann entsprechend den Anforderungen von Art. 45c lit. b FMG die Website-Nutzer (i) über die Verwendung von Cookies und deren Zweck zu informieren und (ii) darauf hinzuweisen, dass sie die fragliche Bearbeitung ablehnen können.
Wie die Pflicht zum Hinweis auf die Ablehnungsmöglichkeiten erfüllt werden kann, hängt von der Art und dem Umfeld der fraglichen Datenbearbeitung ab. Im häufigsten Fall der Bearbeitung durch Cookies auf einer Website genügt es, die Nutzer auf der Website darauf hinzuweisen, dass sie die Bearbeitung von Cookies durch ihren Web-Browser durch eine entsprechende Konfiguration des Programms anpassen können, die in genereller Weise kurz zu beschreiben ist. Dies gilt auch für die zur Datenbearbeitung eingesetzte Technik; die Benutzer sollen in groben Zügen wissen können, worum es geht. Soweit für eine Benutzung eines Angebots oder eines Teils eines Angebots die Nutzung von Cookies zwingend ist (weil das Angebot sonst nicht mehr richtig funktioniert), dürfte es genügen, die Benutzer darüber zu informieren und sie darauf hinzuweisen, dass sie die Website nur (mit der vollen Funktionalität) benutzen können, wenn sie Cookies zulässt. Ihre Ablehnungsmöglichkeit besteht diesfalls darin, die Website überhaupt nicht mehr oder mit eingeschränkter Funktionalität zu benutzen.
Besteht die Notwendigkeit zu einem Opt-In, Opt-Out oder ist es eine reine Informationspflicht?
Art. 45c lit. b FMG sieht zwar grundsätzlich eine Opt-Out-Lösung vor. Aus denselben Gründen wie in der Antwort zur ersten Frage oben ist allerdings die Verwendung einer Opt-In-Lösung wie eines Cookie-Banners dennoch zu empfehlen.
