Am 3. Februar 2025 veröffentlichte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) neue Richtlinien zur Verwendung von Cookies in der Schweiz. Diese ist zwar rechtlich nicht bindend, gibt aber einen Einblick in die von der Behörde angestrebte Richtung und die Zukunft der Cookie-Einwilligungspraxis des Landes.
Die Schweizer Cookie-Vorschriften werden hauptsächlich durch zwei Gesetze geregelt:
Diese Gesetze bilden die Grundlage für die Haltung der Behörde zu Cookies und deren Implementierung auf Websites.
Der EDÖB stellte klar, dass die Einwilligung zwar eine Rechtsgrundlage für die Verarbeitung von Cookies darstellt, Unternehmen sich in bestimmten Situationen aber auch auf vorrangige private Interessen berufen können. Dieser Ansatz unterscheidet sich von den strengen Einwilligungspflichten der DSGVO.
Die Leitlinie unterscheidet Cookies nach ihrer Notwendigkeit:
Die Behörde stellte klar, dass die Einwilligung zwar eine Rechtsgrundlage für die Verarbeitung von Cookies darstellt, Unternehmen sich in bestimmten Situationen aber auch auf vorrangige private Interessen berufen können. Dies ist ein wesentlicher Unterschied zur strengen Einwilligungspflicht der DSGVO und könnte sich auf die Umsetzung von CMPs in der Schweiz auswirken.
Das Wichtigste zum Mitnehmen: CMPs können Szenarien berücksichtigen, in denen sich Unternehmen bei bestimmten Cookie-Kategorien, insbesondere bei funktionalen Cookies und grundlegenden Analysen, eher auf private Interessen als auf eine Einwilligung stützen – das ist jedoch abhängig vom jeweiligen Kontext.
In der Leitlinie wird darauf hingewiesen, dass die vorherige Blockierung von Cookies in manchen Fällen nicht notwendig ist, insbesondere bei Cookies, die als erforderlich erachtet werden, wie z. B. funktionale oder grundlegende Analyse-Cookies. Dadurch könnten Unternehmen, die in der Schweiz tätig sind, mehr Spielraum bei der Umsetzung erhalten.
Das Wichtigste zum Mitnehmen: Unternehmen müssen die Art der von ihnen verwendeten Cookies bewerten und entscheiden, ob eine vorherige Blockierung erforderlich ist. Dabei sollten Sie bedenken, dass die Leitlinie einen flexibleren Ansatz als die EU-Standards verfolgt.
In der Leitlinie wird eindeutig dargelegt, dass Unternehmen ihren Nutzern eine einfache Möglichkeit bieten müssen, ihre Einwilligung zu widerrufen oder abzulehnen. Nach Schweizer Recht gilt das Opt-out-Prinzip, d. h. das Opt-out-Recht wird durch ein vorheriges Akzeptieren nicht aufgehoben. Dies unterscheidet die Schweizer Vorschriften von denen der EU und gewährleistet die kontinuierliche Einhaltung der Datenschutzanforderungen.
Das Wichtigste zum Mitnehmen: Stellen Sie sicher, dass Ihr CMP einen intuitiven, leicht zugänglichen Mechanismus bietet, mit dem Nutzer jederzeit ihre Einwilligung zurückziehen, Cookies ablehnen oder ihre Cookie-Präferenzen ändern können.
Die Schweizer Behörde folgt beim Verbot von Dark Patterns der EU-Richtlinie. Dark Patterns sind manipulative Designs, die Nutzer dazu verleiten, in die Datenverarbeitung einzuwilligen. CMPs müssen transparent und einfach gestaltet sein und verwirrende oder zwanghafte Taktiken vermeiden.
Das Wichtigste zum Mitnehmen: Vermeiden Sie bei der Gestaltung Ihres CMP missverständliche Formulierungen oder Designs, die Nutzer dazu zwingen könnten, Cookies zu akzeptieren.
In der Leitlinie wird nicht näher auf die Einzelheiten der Gestaltung von CMP-Benutzeroberflächen eingegangen; es wird jedoch betont, dass jede Lösung mit den genannten Grundsätzen übereinstimmen muss. Unternehmen haben einen gewissen Spielraum bei der Umsetzung von CMPs, müssen aber sicherstellen, dass die allgemeinen Grundsätze der Transparenz, Einfachheit und Nutzerkontrolle eingehalten werden.
Die Leitlinie der Schweizer Datenschutzbehörde bietet zwar mehr Freiraum bei der Umsetzung von CMPs; dabei ist jedoch nicht zu vergessen, dass die Leitlinien nicht verbindlich sind. Mit Veröffentlichung der Leitlinien ist jetzt der richtige Zeitpunkt für Unternehmen, die Einführung einer CMP in Betracht zu ziehen.
Unternehmen bleiben weiterhin unabhängig in Bezug auf die Verwaltung von Cookie-Einwilligungen und müssen sich über Änderungen von Vorschriften informieren, um die Einhaltung der Vorschriften zu gewährleisten und das Vertrauen Ihrer Nutzer aufrechtzuerhalten.
