Das Dokument behandelt die Notwendigkeit von Cookie-Bannern im Kontext des Datenschutzes, insbesondere in der Schweiz und der EU. Es wird erläutert, welche gesetzlichen Anforderungen an die Verwendung von Cookies bestehen, einschließlich der Notwendigkeit von Einwilligungen und transparenter Information über die Datenverarbeitung. Zudem werden Beispiele für konforme Cookie-Banner sowie technische Schritte zur Implementierung solcher Banner vorgestellt.

1. Brauche ich jetzt wirklich einen Cookie Banner?
In Zusammenarbeit zwischen Meyerlustenberger Lachenal AG und Amazee Metrics AG
Evelyn Thar, Lukas Bühlmann, Michael Reinle
25. Februar 2021

2. 2
Agenda
1. Wieso sind Cookies ein dateschutzrechtliches Problem?
2. Was gibt das Schweizer Datenschutzgesetz vor?
3. Cookie-Banner-Beispiele für die Schweiz
4. Was gilt gemäss Europäischer Datenschutzgrundverordnung?
5. Cookie-Banner-Beispiele gemäss DSGVO
6. Wie funktioniert ein Cookie Banner?

3. Wieso sind Cookies ein
datenschutzrechtliches Problem?

4. 4
Bearbeitung von Personendaten durch Cookies
«Auch wenn [durch Cookies] lediglich die IP-Adresse eines Nutzers bearbeitet
wird, ist dies datenschutzrechtlich relevant, da die IP-Adresse grundsätzlich
als Personendatum zu qualifizieren ist.» (EDÖB)
 Aber: Umstritten, ob IP-Adresse immer als Personendatum zu qualifizieren
 ID Vergabe durch Cookies – zumindest Singularisierung des Users
 Erstellung von Profilen mittels Cookies – Erstellung eines
Persönlichkeitsprofils bzw. neu Profiling?

5. Was gibt das Schweizer
Datenschutzgesetz vor?

6. 6
Bisherige Rechtslage
Datenschutzgesetz
 Transparente Information über die
Beschaffung von Personendaten, über den
Zweck der Bearbeitung und die
Datenanalyse
 In Datenschutzerklärung möglich – Link
auf Datenschutzerklärung in Cookie Banner
 Keine Einwilligung notwendig – Ausnahme
gemäss EDÖB bei besonders
schützenswerten Personendaten und
Persönlichkeitsprofilen – selten der Fall bei
üblichen Cookies
Fernmeldegesetz
 Art. 45c FMG
 Über die Bearbeitung mittels Cookies und
ihren Zweck ist zu informieren
 Hinweis auf Ablehnungsrecht
 Information in Datenschutzerklärung
möglich – Link auf Datenschutzerklärung in
Cookie Banner

7. 7
Neues Schweizer Datenschutzgesetz ab 2022
Datenschutzgesetz
 Keine Einwilligung für Cookies – allenfalls
eine Einwilligung für die nachfolgende
Bearbeitung der gesammelten Daten
 Umfassende Informationspflicht über
Datenbearbeitungen (Art. 19 DSG) – Link
auf Datenschutzerklärung in Cookie
Banner
 Privacy by Design und Default (Neu: Art. 7
DSG)
 Pflicht, granulare Auswahl zu ermöglichen
(Funktions-, Analyse-, Marketing-Cookies)
 Als Voreinstellung lediglich technisch
notwendige Cookies automatisch gesetzt
Fernmeldegesetz
 Weiterhin von Art. 45c FMG geregelt:
 Über die Bearbeitung mittels Cookies und
ihren Zweck ist zu informieren
 Auf Ablehnungsrecht muss hingewiesen
werden

8. 8
Weitere datenschutzrechtliche
Themen bei Cookies – Schweiz
 Nudging: Beeinflussung der
Cookie-Auswahl
 z.B. Hervorhebung des «Alle
Cookies akzeptieren» Buttons
 Keine Rechtsprechung in der
Schweiz – aber ein allgemeines
Irreführungsverbot

9. Cookie Banner – Beispiele gemäss Schweizer DSG

10. 10
Korrekter Cookie Banner gemäss aktuellem Schweizer DSG

11. 11
Rein informativer Text, keine Nutzer-Zustimmung
Informativer Text ohne implizite Zustimmung.
Verweis auf Daten-
schutzerklärung
Button “Schliessen” ohne
Nutzer-Zustimmung

12. 12
Beispiel mit überflüssiger impliziter Zustimmung
Unzulässige implizite Zustimmung.
Nicht notwendige Nutzer-
Zustimmung

13. 13
Cookie Banner nach neuem Schweizer DSG
Möglichkeit, Cookie-Kategorie
(Funktions-, Leistungs- und
Marketing-Cookies) auszuwählen.
Verweis auf Datenschutzerklärung
Button “Schliessen” ohne
Nutzer-Zustimmung
Cookie-Einstellungen

14. 14
Beispiel mit irreführendem Text

15. 15
Checkliste für Cookie Banner gemäss neuem Schweizer DSG
Nur Information
Keine Zustimmung notwendig
“OK-” oder “Schliessen-Buttons”
Möglichkeit zur Cookie-Auswahl geben
Keine implizite Zustimmung generieren
Keine Zustimmung mit zu vielen und irreführenden
Informationen

16. Was gilt gemäss Europäischer
Datenschutzgrundverordnung?

17. 17
Datenschutzrechtliche Themen
bei Cookies – EU
 Vorgängige Information der
Nutzer*Innen über Einsatz von
Cookies und Einholung einer
informierten Einwilligung
 Bisher uneinheitliche Umsetzung –
Harmonisierung durch E-Privacy
Verordnung
 Einzelne Länder haben sehr hohe
Anforderungen an Einwilligungen
(z.B. Spanien mit mehreren
Sanktionsentscheiden)

18. 18
Datenschutzrechtliche Themen
bei Cookies –EU
 Wichtige Anforderungen
 Setzung / Aktivierung von
einwilligungsbedürftigen Cookies erst nach
erfolgter Einwilligung – technische
Umsetzung wichtig
 Konkrete Beschreibung der
Verarbeitungszwecke in Cookie oder Data
Privacy Policy – «Verbesserung des
Surferlebnisses», «Optimale Gestaltung der
Website» ist ungenügend
 Eindeutig bestätigende Handlung – keine
irreführenden Buttons oder eine irreführende
technische Umsetzung
 Unzulässig ist unnötig kompliziertes Ablehnen
 Grenzen des Nudging: LG Rostock vom
15.09.2020 – grün hinterlegter,
hervorgehobener Button «Cookies zulassen»,
grau hinterlegt «nur notwendige Cookies
zulassen»

19. Cookie Banner – Beispiele nach DSGVO

20. 20
Möglichkeit, Cookies zu akzeptieren oder abzulehnen

21. 21
Möglichkeit, Cookies zu akzeptieren oder auszuwählen

22. 22
Auswahl auf Basis der
Cookie/Tool-Kategorien
Einteilung der Tools aufgrund
von vier Kategorien:
- Unbedingt erforderliche
Cookies
- Funktions-Cookies
- Leistungs-Cookies
(Performance Cookies)
- Targeting Cookies
(Marketing-Cookies)

23. 23
Version mit weiterem Informations-Schritt

24. 24
Auflisten der einzelnen Cookies mit Gültigkeitsdauer

25. 25
Beispiel mit zu vielen und irreführenden Informationen

26. 26
Zustimmung zu jedem einzelnen Tool

27. 27
Beispiel mit zu wenig Informationen

28. 28
Beispiel mit fehlender expliziter Nutzer-Zustimmung

29. 29
Checkliste DSGVO
Einteilung der Cookies/Tools in Kategorien
Zustimmung pro Kategorie oder generell
Mindestens ein Button für “Cookie-Einstellungen” genauso
prominent anbieten wie “Alle Cookies akzeptieren”
Kein Nudging/Fischen nach Nutzer-Zustimmung

30. Wie funktioniert der Cookie Banner?

31. 31
Technisches Aufsetzen des Cookie Banners
1. Cookie Scan
2. Cookie-Identifizierung und -Kategorisierung
3. Styling und Design des Cookie Banners
4. Definition des Consent Models
5. Cookie Blocking

32. 1. Cookie Scan
 Aufspüren aller aktuell gesetzten
Cookies auf der Webseite
 Erstellen einer vollständigen
Cookie-Liste
32

33. 33
2. Cookie-Identifizierung und -Kategorisierung
 Automatisierte Identifizierung und Kategorisierung der Cookies
aufgrund von Cookie-Listen.
 Manuelle Kategorisierung der Cookies falls notwendig.
 Einteilung der Cookies in Tools und Kategorien (Beispiel:
myoutube.com, youtube.com, www.youtube.com -> YouTube).
 Pro Tool können mehrere Cookie-Kategorien auftreten (Beispiel:
Google Analytics, issuu.com, Slideshare usw.)
 Bereinigung der Cookies und Prüfung, was zwingend gebraucht wird.

34. 3. Styling und Design des
Cookie Banners
 Anpassen des Cookie Banners an
das Design der Webseite.
 Anpassen und Aufsetzen der
notwendigen Übersetzungen.
34

35. 35
4. Definition des Consent Models
 Soll das Consent Model für die Schweiz oder den EU-Raum gelten?
 Das Consent Model kann abhängig von der IP-Adresse ausgespielt werden.
 Sollen die Nutzer zwingend mit dem Cookie Banner interagieren?
 Welche Cookies sind standardmässig ein- und ausgeschaltet?
 Welche Cookies werden bei welcher Kategorien-Auswahl zugelassen?

36. 5. Cookie Blocking
 Automatisiertes Ausblenden der
Cookies gemäss Consent Model
im Browser auf Client-Seite.
36

37. 37
Auswahl Cookie Banner Tool
 Nicht das Cookie Banner Tool ist datenschutzkonform.
 Wichtig ist, dass das Cookie Banner Tool korrekt und datenschutzkonform
aufgesetzt wird.
 Dazu braucht es rechtliches und technisches Wissen sowie Online
Marketing Know-how.

38. Vielen Dank für Ihre Aufmerksamkeit
Lukas Bühlmann, LL.M.
Head Digital, Data Privacy & E-Commerce
Partner, Zürich
T +41 44 396 91 17
lukas.buehlmann@mll-legal.com
www.mll-legal.com | www.mll-news.com
Dr. Evelyn Thar
CEO Amazee Metrics AG
T +41 44 271 13 12
evelyn.thar@amazeemetrics.com
www.amazeemetrics.com
Dr. Michael Reinle, LL.M.
Partner, Zürich
T +41 44 396 92 33
lukas.buehlmann@mll-legal.com
www.mll-legal.com | www.mll-news.com
25.02.2021