Cookie-Banner? Dann aber richtig!

Verwendest Du auf Deiner Webseite Cookies? Hast du einen Cookie-Banner auf deiner Webseite eingerichtet oder ist dieser unnötig? Brauchst Du für den Einsatz von Cookies eine Einwilligung der Besucherinnen und Besucher?

In diesem Ratgeberbeitrag geben wir Dir eine Übersicht rund um das Thema Cookies.

Was sind Cookies und wie funktionieren sie?

Durch Cookies erfasst Du kurz gesagt die Daten der Interaktionen der Benutzer Deiner Webseite. Deine Webseite behält diese Informationen aber nicht bei sich, sondern speichert Sie auf dem Gerät der Webseitenbesucherin bzw. des Besuchers.

Technisch gesehen sind Cookies kleine Textdateien, die von Deiner Webseite im Webbrowser des Computers, des Mobiltelefons oder des Tablets des Webseitenbesuchers gespeichert werden.

Besucht jemand Deine Webseite mehrmals, kann diese Person aufgrund der gespeicherten Cookies wiedererkannt werden. Der Webbrowser teilt Deiner Webseite mit: «Es bestehen bereits Cookies mit diesen und jenen Informationen!». Die Webseite kann sich durch diesen Vorgang an einen bereits erfolgten Besuch «erinnern».

Mit Cookies kannst Du auch die auf Deiner Webseite ausgeführten Aktionen, Klicks oder die Verweildauer, die Scroll-Geschwindigkeit usw. festhalten. Die daraus gewonnenen Erkenntnisse werden häufig für die Webseitenoptimierung oder Marketingkampagnen verwendet.

Was haben Cookies mit Datenschutz zu tun?

Nach dem Gesagten könntest du Dich jetzt fragen:

Ich speichere nichts bei mir - die Daten über die Nutzer werden ausschliesslich bei den Nutzern gespeichert - warum muss ich hierbei den Datenschutz beachten?

Tatsächlich erstellst Du durch den Cookie-Vorgang ein Benutzerprofil. Das Benutzerprofil wird bei der Webseitenbesucherin gespeichert. Mit dem Abrufen der Nutzerinformationen betreibst Du hingegen eine Datenbearbeitung.

Wer Daten bearbeitet, muss das Datenschutzgesetz einhalten.

Wie verwendest Du Cookies datenschutzkonform?

Du musst die Bearbeitungsgrundsätze einhalten und sicherstellen, dass Du:

• geltendes Recht beachtest;

• die Bearbeitung der Daten sowie den Zweck der Datenbearbeitung transparent kommunizierst; und;

• nicht mehr Daten als nötig bearbeitest, um Deinen kommunizierten Zweck zu erreichen.

Nicht jedes Cookie ist gleich. Um beurteilen zu können ob, Du die Bearbeitungsgrundsätze beachtest musst Du zuerst wissen, was Dein Cookie genau macht.

Welche Cookies benutzt Du auf Deiner Webseite?

Es gibt drei Arten von Cookies:

• Session-Cookies

• permanente Cookies

• Tracking-Cookies (oftmals Third-Party Cookies)

Die meistverwendeten Cookies sind sogenannte Session-Cookies. Einer Besucherin wird während des Webseitenbesuchs eine Nummer zugeteilt (sogenannte Session-ID). Session-IDs werden äusserst vielfältig eingesetzt und dienen in der Regel dem technischen Funktionieren der Webseite. Nach dem Webseitenbesuch werden die Session-IDs automatisch wieder gelöscht.

Ein Beispiel: Mit der Session-ID können sogenannte Gast-Warenkörbe betrieben werden. Solange die Session-ID besteht, kann der Benutzer wiedererkannt werden. Eine Webseite erinnert sich damit z.B. an die Artikel die sich im Webshop-Warenkorb eines neuen Kunden befinden. Ein neuer Kunde muss damit kein Benutzerprofil anlegen, um eine Auswahl an Produkten für den späteren Kauf zu «speichern».

Permanente Cookies bleiben auf dem Gerät eines Besuchers gespeichert, bis sie gelöscht werden. Solche Cookies ermöglichen es, den Besucher beim nächsten Besuch wiederzuerkennen. Einstellungen (beispielsweise Spracheinstellungen, Ortsangaben usw.) können so gespeichert werden. Beim erneutem Aufruf Deiner Webseite müssen die Informationen dann nicht erneut eingegeben werden. Solche Erstanbietercookies werden von Deiner Seite erstellt und nur von dieser auch wieder gelesen.

Tracking-Cookies sind ebenfalls permanente Cookies, werden aber von Dritten (sogenannten Ad-Servern) via Deine Webseite auf das Gerät einer Besucherin platziert. Drittanbietercookies können auch von anderen Webseiten gelesen werden. Jede weitere Webseite, die das Tracking-Cookie erkennt, wird den vorangegangenen Besuch auf Deiner Webseite registrieren können.

Die Tracking-Cookies (bspw. Google Analytics, Google Ads und Facebook Pixel) ermöglichen gezieltes Marketing oder Webseitenoptimierung.

Beispiel:

• Du verkaufst auf Deiner Webseite Hundefutter und verwendest Google Ads.

• Deine Webseite platziert ein Cookie von Google Ads auf dem Rechner des Besuchers.

• Besucht diese Person nun eine Seite im Werbe-Netzwerk von Google (davon gibt es viele!), erkennt diese das Google-Ads Cookie mit Referenz auf Deine Hundefutter-Webseite.

• Da Du Google dafür bezahlst, in ihrem Werbe-Netzwerk Werbung zu machen, wird dieser Person nun ein Banner für Dein Hundefutter, inklusive Link auf Deine Webseite, angezeigt.

Welche Cookies Du auf Deiner Webseite konkret einsetzt, kannst Du ganz einfach überprüfen. Dazu stehen diverse Online-Tools zur Verfügung. So beispielsweise www.cookiemetrix.com oder https://webbkoll.dataskydd.net/de/.

Wie kommunizierst Du die verwendeten Cookies und deren Zweck richtig?

Welche Cookies Du verwendest, für welchen Zweck Du sie einsetzt und vor allem, wie sich diese blockieren lassen, musst Du in Deiner Datenschutzerklärung aufzeigen.

Ein Beispiel:

Diese Website nutzt Google Analytics. Google Analytics verwendet Cookies, die auf Ihrem Gerät gespeichert werden und eine Analyse der Webseite durch Sie ermöglichen.

Die durch die Verwendung der Cookies gesammelten Daten über die Benutzung unserer Internetseite umfassen: Das verwendete Betriebssystem; die zuvor besuchte Webseite (Referrer-URL); die IP-Adresse; die Uhrzeit der Serveranfrage und der Browser Typ.

Die Informationen werden an Google (USA) übertragen und auf einem Server gespeichert. Google verwendet die übertragenen Informationen in unserem Auftrag um die Nutzung der Webseite auszuwerten und um weitere mit der Webseite-Nutzung verbundene Dienstleistungen zu erbringen.

Sie haben die Wahl ob Sie Cookies zulassen oder ob Sie diese ablehnen. Sie können das Tracking verhindern, indem Sie Ihre Browsereinstellungen anpassen. Eine Anleitung wie Sie Cookies aktivieren oder deaktivieren finden Sie auf der Supportseite Ihrs Browsers; Anleitungen zu den gängigsten Browsern finden Sie hier:

• Für Google Chrome

• Für Safari von Apple

• Für Edge von Microsoft

• Für Firefox von Mozilla 

• Für Opera von Opera Ltd.

Wann benötigst Du für Cookies die Einwilligung eines Webseitenbesuchers?

Gemäss Fernmeldegesetz ist das Verwenden von Cookies schon dann erlaubt, wenn die Besucherin darauf hingewiesen wurde, dass sie die Datenbearbeitung ablehnen kann (sog. Opt-out, vgl. dazu unseren Ratgeberbeitrag).

Rein auf die Schweiz bezogen reicht in der Regel ein Hinweis auf die Möglichkeit des Opt-Out in Deiner Datenschutzerklärung oder in Deinem Cookie-Banner aus.

Eine explizite Einwilligung kann ausnahmsweise dann ratsam sein, wenn Du das Cookie zum Tracking von besonders schützenswerten Daten oder zur Erstellung von umfassenden Persönlichkeitsprofilen verwendest. Du musst hier genau prüfen, ob Du die Bearbeitungsgrundsätze (Transparenz, Zweckbindung, Verhältnismässigkeit, etc.) einhältst. Ist dies nicht der Fall und kannst Du die Bearbeitung nicht mit Deinen berechtigten Interessen rechtfertigen, weil das Datenschutzinteresse der Besucher höher zu gewichten ist, musst Du eine Einwilligung einholen. Dies bevor das Cookie beginnt, Daten aufzuzeichnen.

Was ist, wenn Du Deine Webseite auch auf Personen ausgerichtet hast, die sich in der EU bzw. dem EWR-Raum aufhalten?

Wenn Du mit Deiner Webseite unter den Anwendungsbereich der DSGVO fällst, muss die Frage der Einwilligung anders beantwortet werden.

Die DSGVO findet z.B. dann Anwendung, wenn mittels Tracking-Cookies das Verhalten von Personen in der EU beobachtet wird. Obwohl die DSGVO ein Regelwerk der Europäischen Union darstellt, ist sie im Ergebnis für einen Grossteil der schweizerischen Webseiten anwendbar.

Gemäss der Cookie-Richtlinie (die von den einzelnen EU Staaten unterschiedlich umgesetzt wurde) ist für die Verwendung von Cookies grundsätzlich die informierte Einwilligung der betroffenen Person erforderlich.

Nur ausnahmsweise müssen die betroffenen Personen in der EU nicht einwilligen. Dies ist dann der Fall, wenn ein Dienst zur Verfügung gestellt wird, der vom Nutzer ausdrücklich gewünscht wird (bei technisch notwendigen Cookies oder um einen Warenkorb technisch gewährleisten zu können).

Die rechtssichere Variante ist, einen Cookie-Banner mit Opt-In zu implementieren:

Für technisch nicht notwendige Cookies können sich die Nutzer beim ersten Besuch der Webseite aktiv mit JA oder NEIN für oder gegen ein Tracking entscheiden. Für die weitergehenden Informationen kann auf die Datenschutzerklärung verwiesen werden.

Handlungsempfehlung

Nach dem Gesagten gilt:

• Prüfe immer, welche Cookies Du implementierst und ob sie wirklich notwendig sind, um Deine Ziele zu erreichen (Webseitengestaltung, Usability, Marketing, Optimierung etc.). Auch in der Schweiz gilt, dass die Datenbearbeitung auf das Nötige zu beschränken ist.
  
  In der Schweiz reicht in der Regel ein einfacher Cookie-Hinweis, wie bspw.: «Wir verwenden Cookies. In unserer Datenschutzerklärung [verlinken] erklären wir Dir, wie Du Cookies blockieren kannst.»

• Implementiere die Cookie-Banner Vorgaben des europäischen Rechts, wenn sich die Webseite auch an Besucherinnen ausserhalb der Schweiz richtet. Nimmst Du ein Tracking vor, musst Du beim ersten Besuch die Besucher dazu auffordern, sich aktiv (JA oder NEIN) für oder gegen ein Tracking-Cookie zu entscheiden.

• Benötigst Du für das Cookie eine Einwilligung, darf die Datenerfassung über das Cookie erst nach erfolgter Zustimmung der Besucher erfolgen.