Brauchen Schweizer Unternehmen einen Cookie Consent Banner?

Genau diese Frage habe ich auf LinkedIn gestellt. 36 Personen aus meinem Netzwerk haben an der Umfrage teilgenommen, mit folgendem Resultat:

Und braucht es jetzt diese Cookie Consent Banner in der Schweiz oder nicht? Wenn ihr Unternehmen Tracking Cookies wie z.B. die von Google Analytics verwendet dann; Ja, meiner Meinung nach schon. Spätestens ab September 2023.

ACHTUNG LEGAL DISCLAIMER: Mein Blog Artikel stellt weder eine rechtliche Beratung, eine rechtlich korrekte Interpretation des revidierten Datenschutzgesetzes noch eine Empfehlung dar. Es handelt sich lediglich um die persönliche Meinung des Verfassers.

Jetzt schön dranbleiben, ich möchte euch aufzeigen, wie ich zu meiner Meinung gekommen bin:

Wieso braucht es einen Cookie Consent Banner?

In der EU gilt bereits seit dem 25. Mai 2018 die Datenschutzgrundverordnung (DSGVO) und das ePrivacy Gesetz. O.K DSGVO & ePrivacy, von beiden habe ich gehört – aber was ist das?

In aller Kürze und ohne Anspruch auf Vollständigkeit – aber Moment: Vollständigkeit, ist das im Recht überhaupt möglich? Bieten Gesetzesartikel nicht Raum für Interpretation? Und etwas wie Rechtssicherheit ist ein Szenario, welches sich Unternehmen wünschen, aber faktisch nicht existiert. Es handelt sich immer um eine Risikobewertung.

Also nochmals in aller Kürze und ohne Anspruch auf Vollständigkeit:

  • ePrivacy: Regelt Zugriff und Speicherung von Informationen auf dem Endgerät des Nutzers (Browser)
  • DSGVO – Regelt die Verarbeitung von personenbezogenen Daten

Sprich: was darf im Browser gespeichert werden (ePrivacy) und was wird mit den personenbezogenen Daten gemacht (DSGVO).

Personenbezogene Daten dürfen in der EU nur basierend auf Einwilligung (oder eng. consent) verarbeitet werden. Im Browser können Cookies, Textdateien zur Wiedererkennung von Nutzern, gespeichert werden. Die Frage die sich nun stellt:

Stellen Cookies personenbezogene Daten dar?

Ganz grundsätzlich: 

Personenbezogene Daten sind Daten, welche eine natürliche Person identifizieren oder identifizierbar machen.

Quelle

Das revidierte Datenschutzgesetz, welches im September 2023 in Kraft tritt, bezweckt ausschliesslich den Schutz der Persönlichkeit von natürlichen Personen und gleicht sich somit der DSGVO an.

Was sind personenbezogene Daten?

Die Europäische Kommission fasst das so zusammen:

Personenbezogene Daten, die anonymisiert, verschlüsselt oder pseudonymisiert wurden, aber zur erneuten Identifizierung einer Person genutzt werden können, bleiben personenbezogene Daten und fallen in den Anwendungsbereich der Datenschutzgrundverordnung. Gemässs Europäischer Kommission sind folgendes personenbezogene Daten:

  • Name und Vorname
  • eine Privatanschrift
  • eine E-Mail-Adresse wie [email protected];
  • eine Ausweisnummer
  • Standortdaten (z. B. die Standortfunktion bei Mobiltelefonen)
  • eine IP-Adresse
  • eine Cookie-Kennung
  • die Werbekennung Ihres Telefons
  • Daten, die in einem Krankenhaus oder bei einem Arzt vorliegen, die zur eindeutigen Identifizierung einer natürlichen Person führen könnten.

In einem Cookie sind normalerweise keine personenbezogenen Daten wie z.B. die E-Mail-Adresse oder der Name gespeichert, aber jedes Cookie enthält eine Cookie ID.

Mit der Cookie ID kann der Nutzer wiedererkannt werden. Das reicht, um den Personenbezug via Pseudonym herzustellen. Die Cookie ID steht für den Nutzer XY, das heisst nicht, dass du oder ich wissen, wer diese Person ist. Dennoch besteht die Möglichkeit, dass jemand anhand dieser Cookie ID eine Verknüpfung machen kann, um welche natürliche Person es sich handeln könnte, die hinter dieser Cookie ID steht.

Das gilt vielleicht für die EU so, aber stimmt das auch für die Schweiz?

Meiner Meinung nach schon. Das revidierte Datenschutzgesetz welches im September 2023 in Kraft tritt ist eine Angleichung an die DSGVO. Zudem sind im revidierten DSG neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert.

Gerade Privacy by Default würde aus meiner Sicht bedeuten, dass ich selbst entscheiden kann, welche Cookies in meinem Browser gesetzt werden. Bevor ich diese Frage in der Form eines Cookie Consent Banner beantwortet habe, sollten keine Cookies gesetzt werden (ausgenommen sind notwendige Cookies).

Fazit

Wenn also Tracking Cookies personenbezogene Daten sein können und «Privacy by Default» ab September 2023 Pflicht ist, dann ist meiner Meinung nach auch ein Cookie Consent Banner Pflicht.

Wir haben bereits diverse Cookie Consent Banner implementiert und mehrere Lösungen verglichen. Möchtest du mehr über unsere bevorzugte Lösung wissen?