Cookies und DSGVO und revDSG – Was muss ich wissen?

In der Schweiz gelten für die Verwendung von Cookies auf Webseiten seit dem Inkrafttreten des neuen Datenschutzgesetzes (revDSG) im September 2023 sowie der Datenschutz-Grundverordnung (DSGVO) in der Europäischen Union bestimmte Vorschriften, die Transparenz und Einwilligung sicherstellen sollen. Dabei spielt es eine Rolle, welche Arten von Cookies eingesetzt werden und wie die Webseite diese handhabt.

Einteilung von Cookies gemäss ihrer Funktion

Cookies sind kleine Textdateien, die auf dem Endgerät eines Nutzers gespeichert werden, um Informationen zu speichern und das Nutzererlebnis zu verbessern. Grundsätzlich gibt es verschiedene Arten von Cookies:

1. Technisch notwendige Cookies: Diese Cookies sind essenziell, damit eine Webseite ordnungsgemäß funktioniert, und speichern beispielsweise Login-Informationen oder Warenkorbinhalte.
2. Präferenz- oder Funktions-Cookies: Diese Cookies speichern Informationen über die Vorlieben des Nutzers, z. B. Spracheinstellungen oder bevorzugte Anzeigeoptionen.
3. Statistik- oder Analyse-Cookies: Diese Cookies werden verwendet, um das Verhalten von Nutzern auf der Webseite zu analysieren und die Benutzererfahrung zu verbessern.
4. Marketing- oder Tracking-Cookies: Diese Cookies verfolgen das Nutzerverhalten über mehrere Webseiten hinweg, um personalisierte Werbung bereitzustellen.

Einteilung von Cookies gemäss ihrer Herkunft

• First-Party-Cookies: Diese Cookies stammen direkt von der besuchten Webseite und werden von dieser gesetzt. Sie speichern oft Informationen wie Anmeldedaten oder Benutzerpräferenzen und sind meist für die Funktionalität der Webseite erforderlich. Beispiele sind Cookies für die Speicherung von Spracheinstellungen oder Warenkorbinhalten. First-Party-Cookies sind grundsätzlich weniger datenschutzrelevant, solange sie keine personenbezogenen Daten zu Tracking-Zwecken erfassen. Oft genügt eine Information in der Datenschutzerklärung, und eine Einwilligung ist für technisch notwendige First-Party-Cookies nicht erforderlich.
• Third-Party-Cookies: Diese Cookies stammen nicht von der besuchten Webseite selbst, sondern von Drittanbietern, die auf der Webseite eingebunden sind, z. B. durch Anzeigen- oder Analyseanbieter. Sie werden häufig für Marketing- oder Tracking-Zwecke verwendet, um das Verhalten des Nutzers über mehrere Webseiten hinweg zu verfolgen. Da Third-Party-Cookies potenziell personenbezogene Daten zu Profiling- und Werbezwecken sammeln können, sind sie besonders datenschutzsensibel und erfordern unter revDSG und DSGVO eine ausdrückliche Einwilligung der Nutzer.

Einwilligungspflicht und Informationspflicht nach revDSG und DSGVO

Gemäß den Anforderungen des neuen Schweizer Datenschutzgesetzes (revDSG) und der europäischen DSGVO gelten für die verschiedenen Cookie-Typen folgende Regelungen:

• Technisch notwendige First-Party-Cookies: Diese Cookies bedürfen keiner ausdrücklichen Einwilligung, da sie für die Funktionalität der Webseite unverzichtbar sind. Ihre Verwendung muss jedoch in der Datenschutzerklärung klar beschrieben werden.
• Präferenz- oder Funktions-Cookies (First-Party): Diese erfordern in der Regel keine explizite Einwilligung, sollten jedoch in der Datenschutzerklärung genannt und eine Opt-Out-Möglichkeit angeboten werden.
• Analyse-Cookies (First-Party und Third-Party): Für Analyse-Cookies ist eine Einwilligung notwendig, wenn sie nicht anonymisiert sind. Webseitenbetreiber müssen ein Cookie-Banner verwenden, um eine explizite Zustimmung für diese Art von Cookies zu erhalten.
• Marketing- und Tracking-Cookies (häufig Third-Party): Da diese Cookies personenbezogene Daten sammeln und Nutzerverhalten für gezielte Werbung analysieren, ist eine ausdrückliche Einwilligung erforderlich. Ein Cookie-Banner mit einem klaren Opt-In-Prozess ist dafür zwingend vorgeschrieben, und die Details zu diesen Cookies müssen ausführlich in der Datenschutzerklärung beschrieben sein.

Anforderungen an die Webseite

Um die Anforderungen des revDSG und der DSGVO zu erfüllen, sollte eine Webseite, die Cookies nutzt, folgende Maßnahmen implementieren:

1. Cookie-Banner: Ein gut gestalteter Cookie-Banner ist notwendig, der dem Nutzer eine Auswahl bietet und ihn informiert, welche Cookies eingesetzt werden. Insbesondere für Third-Party-Cookies und alle nicht-essentiellen Cookies muss die Einwilligung durch den Nutzer aktiv erfolgen.
2. Datenschutzbestimmungen: Die Datenschutzerklärung sollte alle verwendeten Cookies, sowohl First-Party- als auch Third-Party-Cookies, auflisten und über deren Zweck, Dauer und Herkunft informieren.

Durch die korrekte Handhabung von Cookies nach den Bestimmungen des revDSG und der DSGVO wird der Schutz der Privatsphäre der Nutzer sichergestellt und die Konformität mit den geltenden Datenschutzgesetzen gewahrt.