• Home
  • Datenschutz
  • EDÖB: Leit­li­ni­en zu Coo­kies und ähn­li­chen Technologien

EDÖB: Leit­li­ni­en zu Coo­kies und ähn­li­chen Technologien

Der EDÖB hat auf sei­ner Web­site vor Kur­zem den auf den 22. Janu­ar 2025 datier­ten Leit­fa­den des EDÖB betref­fend Daten­be­ar­bei­tun­gen mit­tels Coo­kies und ähn­li­chen Tech­no­lo­gien publi­ziert. Eine Mit­tei­lung dazu steht der­zeit noch aus.

Der Leit­fa­den war lan­ge erwar­tet wor­den, die Aus­ar­bei­tung war auch auf­grund der Viel­falt der für ein Track­ing zum Ein­satz kom­men­den Tech­no­lo­gien nicht ein­fach. Inhalt­lich sind die Leit­li­ni­en teils nicht über­ra­schend, teils aber sehr.

Der EDÖB ver­langt im Wesent­li­chen Folgendes:

Anfor­de­rung Gel­tung Umset­zung
Infor­ma­ti­on Alle per­so­nen­be­zo­ge­nen Coo­kies; erhöh­te Anfor­de­run­gen bei heik­len Bearbeitungen Daten­schutz­er­klä­rung mit Link im Footer
Wider­spruchs­recht Alle nicht not­wen­di­gen Coo­kies, wenn kei­ne Ein­wil­li­gung not­wen­dig ist Wider­spruchs­recht, tech­nisch jeder­zeit aus­üb­bar (Banner/Consent Management)
Ein­wil­li­gung Nicht not­wen­di­ge Coo­kies, die qua­li­fi­ziert uner­war­tet sind Opt-In, ggf. Bestä­ti­gung einer vor­an­ge­kreuz­ten Check­box; lau­fen­de Wider­rufs­mög­lich­keit (Banner/Consent Management)
Aus­drück­li­che Einwilligung Coo­kies, die beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­ten oder ein Pro­fil­ing mit hohem Risi­ko (Bun­des­or­ga­ne: jedes Pro­fil­ing) durchführen Akti­ves Opt-In (kei­ne vor­an­ge­kreuz­te Check­box); lau­fen­de Wider­rufs­mög­lich­keit (Banner/Consent Management)

Der Leit­fa­den ist dadurch weni­ger streng als die Hal­tung in Euro­pa, die wei­ter­ge­hen­de Ein­wil­li­gun­gen ver­langt, liest sich aber wie die grösst­mög­li­che, mit dem DSG mit etwas “juri­sti­scher Fan­ta­sie” (um den EDÖB zu zitie­ren) noch ver­ein­ba­re Annä­he­rung an Euro­päi­sches Coo­kie-Recht und vor allem auch die DSGVO. Ver­bind­lich ist der Leit­fa­den nicht, zeigt aber den Anspruch des EDÖB, die eige­ne Auf­fas­sung eines kor­rek­ten Daten­schut­zes durch­zu­set­zen. In der Pra­xis wird der Leit­fa­den wohl nur zu einem Zuneh­men der Coo­kie-Ban­ner füh­ren, die ohne­hin schon (zu) weit ver­brei­tet sind.

Rele­van­te Rechtsgrundlagen

Der Leit­fa­den basiert auf dem DSG, ver­weist jedoch auch auf Art. 45c FMG, die ein­zi­ge aus­drück­li­che schwei­ze­ri­sche Rege­lung zu Cookies.

Art. 45c FMG ver­langt für Coo­kies, d.h. für die Bear­bei­tung von Daten auf frem­den Gerä­ten, nur einen Hin­weis auf die­se Bear­bei­tung und ihren Zweck und dass die Nut­zer die­se Bear­bei­tung “ableh­nen kön­nen”. In der Pra­xis wird dies so ver­stan­den, dass ein rela­tiv all­ge­mei­ner Hin­weis genügt, dass man auf eine Ableh­nungs­mög­lich­keit hin­zu­wei­sen hat (bspw. durch Hin­weis auf die Ein­stel­lung­mög­lich­kei­ten im Brow­ser) und dass eine Ein­wil­li­gung nicht erfor­der­lich ist.

Auf­grund die­ser rela­tiv libe­ra­len Rege­lung fragt sich, ob Art. 45c FMG eine lex spe­cia­lis dar­stellt, die das DSG ver­drängt. Der EDÖB ver­neint dies:

Art. 45c FMG stellt m.a.W. eine spe­zi­al­ge­setz­li­che, öffent­lich-recht­li­che Norm für anson­sten unbe­merk­te «tele­kom­mu­ni­ka­ti­ve» Vor­gän­ge dar, die als Norm des spe­zi­el­len Daten­schutz­rechts des Bun­des kumu­la­tiv zum all­ge­mei­nen Daten­schutz­recht im DSG ein­zu­hal­ten ist.

Falsch ist das kaum. Zum einen bleibt das DSG bei spe­zi­al­ge­setz­li­chen Nor­men ergän­zend anwend­bar, und zum ande­ren ist Art. 45c FMG wohl kei­ne Daten­schutz­norm (auch wenn dies nicht ein­deu­tig ist).

Gegen­stand

Der Leit­fa­den gilt tech­no­lo­gie­neu­tral für Coo­kies und ande­re Track­ing-Tech­no­lo­gien (z. B. Fin­ger­prin­ting, Pixel). Obwohl nicht expli­zit erwähnt, dürf­te er auch für Apps gel­ten. Direk­te Hin­wei­se zu Pro­gram­ma­tic Adver­ti­sing ent­hält er nicht.

Wei­chen­stel­lung I: Begriff der Personendaten

Der Leit­fa­den kann nur auf Per­so­nen­da­ten Anwen­dung fin­den. In der Ver­gan­gen­heit war der EDÖB hier aus­ge­spro­chen streng – der Sache nach hat er eine Sin­gu­la­ri­sie­rung öfter als Iden­ti­fi­zie­rung genü­gen las­sen (so bspw. bei der Sach­ver­halts­ab­klä­rung i.S. Ricardo/TX Group wie auch bei Digi­tec Gala­xus).

Davon rückt er nun ab, und das hat weit über den Leit­fa­den hin­aus­rei­chen­de Bedeu­tung. Aller­dings: Es sei in der Leh­re offen, ob eine Sin­gu­la­ri­sie­rung genü­gen kön­ne. Für die­se Aus­sa­ge zitiert der Leit­fa­den drei Mei­nun­gen: Jene von David Rosen­thal, wonach eine Sin­gu­la­ri­sie­rung nicht genügt; jene von Phil­ipp Glass, der eine Sin­gu­la­ri­sie­rung soweit ersicht­lich nur als Indiz des Per­so­nen­be­zugs anwen­den will – und jene der öster­rei­chi­schen Datenschutzbehörde.

Er geht viel­mehr vom Logi­step-Urteil aus, nach wie vor eines der Leit­ur­tei­le zu die­ser Fra­ge (neben dem Urteil des HGer ZH, HG190107‑O, vom 4. Mai 2021). Eine Iden­ti­fi­zie­rung setzt dem­nach vor­aus, dass eine Iden­ti­fi­ka­ti­on mög­lich ist, dass eine Stel­le mit Zugriff auf die Daten die Iden­ti­fi­ka­ti­on ohne zu gro­ssen Auf­wand bewerk­stel­li­gen hat und dass sie ein Inter­es­se hat, die­sen Auf­wand auf sich zu nehmen.

Dem schliesst sich der EDÖB an. Ein Coo­kie bzw. die damit ver­bun­de­nen Anga­ben sei­en “spä­te­stens dann” per­so­nen­be­zo­gen, wenn der Betrei­ber der Web­site oder ein ein­ge­bun­de­ner Drit­ter Daten auf­grund eines Log­ins oder “ver­gleich­ba­rer Online-Ken­nun­gen” mit einer bestimm­ten Per­son in Ver­bin­dung brin­gen kann. Dem ist sicher nicht zu wider­spre­chen. Inter­es­sant sind aber fol­gen­de Punkte:

  • Der Leit­fa­den liest sich so, als sei­en UID oder Ad-IDs, also mit einem Mobil­ge­rät ver­bun­de­ne Kenn-Num­mern, stets per­so­nen­be­zo­gen (“ein Per­so­nen­be­zug kann einer­seits vor­lie­gen, wenn die bear­bei­te­te Infor­ma­ti­on selbst ein iden­ti­fi­zie­ren­des Merk­mal besitzt (z.B. die ein­deu­ti­ge Benut­zer­er­ken­nung UID für Android- oder Ad-ID für Apple-Gerä­te)”). Das trifft nicht zu, weil die Fra­ge nicht die ist, ob Apple oder Goog­le mit die­ser Num­mer etwas anfan­gen kann, son­dern der Betrei­ber der Website.
  • Der EDÖB ver­weist auf eine abzu­leh­nen­de Mei­nung des BGer in Logi­step: Wenn A Daten an B bekannt­gibt, die nur für B Per­so­nen­be­zug haben, sei das DSG sowohl auf A als auch auf B anwend­bar. Das hat das BGer in Logi­step zwar gesagt (ver­mut­lich, weil nur der Absen­der in der Schweiz war), aber es ist falsch, weil es dem rela­ti­ven Ansatz wider­spricht. Wenn der Betrei­ber einer Web­site einem Dritt­an­bie­ter Daten bekannt­gibt, die nur für letz­te­ren per­so­nen­be­zo­gen sind, fällt der Betrei­ber nicht unter das DSG.

Wei­chen­stel­lung II: Verantwortlichkeit

Grund­sätz­lich wird der Betrei­ber der Web­site der daten­schutz­recht­li­che Ver­ant­wort­li­che sein (was im Grup­pen­kon­text Fra­gen auf­wer­fen kann; dazu äussert sich der Leit­fa­den nicht).

Der EuGH hat aber im Fashion-ID-Ent­scheid eine gemein­sa­me Ver­ant­wort­lich­keit erkannt, wenn der Betrei­ber einem Drit­ten bspw. über ein Social Plug­in die Mög­lich­keit gibt, Daten der Besu­cher der Web­site zu erfas­sen (für die­sen Beschaf­fungs­vor­gang, nicht die fol­gen­de Bear­bei­tung). Die­se Recht­spre­chung über­nimmt der EDÖB. Er zitiert den EuGH sogar, aller­dings ohne die Fra­ge zu stel­len, ob die­se Recht­spre­chung über­haupt über­nom­men wer­den kann und soll:

Der Web­sei­ten­in­ha­ber wie­der­um ermög­licht die Daten­be­schaf­fung des Drit­ten erst mit der Ein­bin­dung des Dritt­dien­stes auf sei­ner Web­sei­te (Mit­tel), auch wenn er auf die nach­ge­la­ger­te Daten­be­ar­bei­tung kei­nen oder nur gerin­gen Ein­fluss hat. Dar­aus folgt, dass für den Pro­zess der Daten­be­schaf­fung des Drit­ten (als Bear­bei­tung im Sin­ne von Art. 5 lit. d DSG) mit­tels der Web­sei­te von einer gemein­sa­men oder geteil­ten Ver­ant­wort­lich­keit aus­zu­ge­hen ist.

Dass man bei der Fra­ge der gemein­sa­men Ver­ant­wort­lich­keit vor­schnell auf die DSGVO zurück­greift, ist eines. Das ande­re ist aber die Fra­ge, wel­che Kon­se­quen­zen sich dar­aus erge­ben. Anders als Art. 26 DSGVO ver­langt das DSG kei­nen Ver­trag zwi­schen den gemein­sa­men Ver­ant­wort­li­chen. Aber:

Da der Web­sei­ten­be­trei­ber die Kon­trol­le dar­über hat, wel­che Dritt­dien­ste ein­ge­baut wer­den, kann er nicht davon aus­ge­hen, dass sei­ne Ver­ant­wor­tung dort auf­hört, wo die Nut­zungs­be­din­gun­gen der Drit­ten gel­ten.

Das wider­spricht der Abgren­zung des Bereichs der gemein­sa­men Ver­ant­wor­tung, die auf den Vor­gang der Dritt­be­schaf­fung bzw. die Bekannt­ga­be an den Drit­ten beschränkt ist und die fol­gen­den Bear­bei­tung gera­de nicht umfasst. Aber:

[Der Betrei­ber] trägt die Ver­ant­wor­tung, die Inter­net­sei­te daten­schutz­kon­form zu gestal­ten. Er muss sich folg­lich über die Daten­be­ar­bei­tung der ein­ge­bun­de­nen Dritt­dien­ste in Kennt­nis set­zen und sicher­stel­len, dass die Anfor­de­run­gen des Geset­zes ein­ge­hal­ten wer­den. Nament­lich hat der Web­sei­ten­be­trei­ber sicher zu stel­len, dass gegen­über den betrof­fe­nen Web­sei­ten­be­su­chern sämt­li­che Infor­ma­ti­ons­pflich­ten erfüllt werden.

Der Betrei­ber soll also offen­bar für “die Inter­net­sei­te” eine Gesamt­ver­ant­wor­tung tra­gen und des­halb vom (i.d.R. ja aus­län­di­schen) Drit­ten ver­lan­gen müs­sen, auch das DSG ein­zu­hal­ten. Dafür fehlt jede Grund­la­ge, ganz beson­ders ausser­halb des engen Bereichs einer etwa­igen gemein­sa­men Verantwortung.

Wei­chen­stel­lung III: Verhältnismässigkeit

Der Leit­fa­den ent­hält im Wesent­li­chen eine daten­schutz­recht­li­che Prü­fung, d.h. folgt dem übli­chen Prüf­sche­ma Infor­ma­ti­on – Bear­bei­tungs­grund­sät­ze – Rechtfertigung.

Bei der Ver­hält­nis­mä­ssig­keit hält der EDÖB an sei­ner schon häu­fig ver­tre­te­nen Mei­nung fest, die Ver­hält­nis­mä­ssig­keit mes­se sich nicht etwa am vom Ver­ant­wort­li­chen frei gewähl­ten Zweck, son­dern am einem abstrak­ten und des­halb vom EDÖB bestimm­ten Zweck. Über­schrei­tet eine Bear­bei­tung den ent­spre­chen­den Rah­men, stuft sie der EDÖB als unver­hält­nis­mä­ssig ein.

Ent­spre­chend sei der Ein­satz nur not­wen­di­ger Coo­kies ver­hält­nis­mä­ssig. Dazu zählt der EDÖB bei­spiel­haft fol­gen­de Zwecke:

  • Waren­korb-Coo­kie
  • Zwi­schen­spei­che­rung von Anga­ben in einem Onlineformular
  • Log­in
  • Sprach­aus­wahl
  • Coo­kie-Opt-in und Cookie-Opt-out
  • Lasten­ver­tei­lung (“Load Balancing”)
  • Ver­hin­de­rung von Brute-Force-Angriffen
  • Captchas
  • Ver­hin­de­rung der Über­la­stung von Webseiten

Der Ein­satz aller ande­ren, also nicht in die­sem Sin­ne not­wen­di­gen Coo­kies, sei unverhältnismässig.

Das ist falsch, und zwar nicht, weil die­se Mei­nung unbe­quem ist – was sie ist –, son­dern weil sie dem Wesen des Daten­schutz­rechts wider­spricht. Das Daten­schutz­recht und damit der EDÖB bestim­men kei­ne Zwecke. Das BVGer hat dies deut­lich fest­ge­hal­ten (im Hels­a­na-Urteil, E. 5.4.3):

Zudem äussert sich, syste­ma­tisch betrach­tet, das Daten­schutz­ge­setz grund­sätz­lich nicht dazu, zu wel­chen Zwecken Per­so­nen­da­ten bear­bei­tet wer­den dür­fen und zu wel­chen nicht.

Der EDÖB masst sich mit die­ser Hal­tung wirt­schafts­po­li­zei­li­che Befug­nis­se an. Dog­ma­tisch lie­sse sich die­se Auf­fas­sung nur dadurch ret­ten, dass man die Ver­hält­nis­mä­ssig­keit im enge­ren Sin­ne prüft, also die Zumut­bar­keit (wobei man sich fra­gen müss­te, ob die­se im Pri­vat­be­reich gilt). Der Ein­satz nicht im Sin­ne des EDÖB not­wen­di­ger Coo­kies müss­te also schlicht unzu­mut­bar sein, damit er als unver­hält­nis­mä­ssig gel­ten könn­te. Dazu fin­det sich im Leit­fa­den aber nichts.

Rich­ti­ger­wei­se steht es dem Ver­ant­wort­li­chen frei, die Zwecke einer Web­site selbst zu bestim­men. Ver­lan­gen die­se Zwecke den Ein­satz wei­te­rer Coo­kies, ist dies zuläs­sig und ver­hält­nis­mä­ssig. Will man sol­che Coo­kies nicht, müss­te man sie spe­zi­al­ge­setz­lich verbieten.

Inter­es­sant ist auch der wei­te­re Hin­weis, der Betrei­ber müsse

durch ent­spre­chen­de Schalt­flä­chen mit geeig­ne­ten Vor­ein­stel­lun­gen nach Mass­ga­be von Art. 7 Abs. 3 DSG sicher­stel­len, dass der Coo­kie-Ein­satz auf das für den Ver­wen­dungs­zweck nöti­ge Min­dest­mass beschränkt wird.

Das trifft so nicht zu. “Pri­va­cy by Default” ver­langt nie, dass Schalt­flä­chen bereit­ge­stellt wer­den. Nur falls der Ver­ant­wort­li­che Bear­bei­tun­gen als optio­na­le Vari­an­ten aus­ge­stal­tet und dem Betrof­fe­nen zudem eine Mög­lich­keit gibt, aus die­sen Vari­an­ten zu wäh­len, muss er die spar­sa­me Vor­ein­stel­lung wäh­len (und auch nur dann, wenn es effek­tiv um eine Aus­wahl und nicht bloss die Aus­übung des ohne­hin bestehen­den Wider­spruchs­rechts geht; denn letz­te­res besteht immer – Pri­va­cy by Design auf Wider­spruchs­fäl­le anzu­wen­den, hie­sse in der Sache letzt­lich, für alle nicht zwin­gen­den Bear­bei­tun­gen eine Ein­wil­li­gung zu verlangen).

Fol­ge: Rechtfertigungsbedarf

Weil der EDÖB den Ein­satz nicht in sei­nem Sin­ne not­wen­di­ger Coo­kies als unver­hält­nis­mä­ssig ein­stuft, ist die­ser recht­fer­ti­gungs­be­dürf­tig (Art. 30 DSG). Weil das Gesetz als Recht­fer­ti­gungs­grund in den aller­mei­sten Fäl­len aus­schei­den dürf­te, kom­men das über­wie­gen­de Inter­es­se und eine Ein­wil­li­gung in Fra­ge (Art. 31 Abs. 1 DSG).

Vari­an­te 1: Grund­satz – über­wie­gen­de Interessen

Ob der genann­te Ein­satz durch über­wie­gen­de Inter­es­sen gerecht­fer­tigt ist, ist eine Fra­ge der Ein­zel­fall­prü­fung. Der Leit­fa­den muss die­se Prü­fung aber sche­ma­ti­scher angehen:

Wider­spruchs­recht (Out-Out)

Zunächst sei immer ein Wider­rufs­recht zu gewäh­ren. Das folgt für den EDÖB nicht nur dar­aus, dass anson­sten kein über­wie­gen­des Inter­es­se gel­ten kön­ne – der Leit­fa­den ist klar die­ser Mei­nung –, son­dern auch aus Art. 45c FMG. Die­ses Wider­spruchs­recht muss offen­bar tech­nisch erleich­tert wer­den.

Dazu fol­gen­de Anmerkungen:

  • Anders als die DSGVO kennt das DSG kein Erleich­te­rungs­ge­bot bei Betrof­fe­nen­rech­ten ein­schliess­lich des Wider­spruchs­rechts. Eine recht­li­che Grund­la­ge für die all­ge­mei­ne For­de­rung einer tech­ni­schen Erleich­te­rung exi­stiert nicht.
  • Wenn die Inter­es­sen an einer Daten­be­ar­bei­tung nur unter die­ser Vor­aus­set­zung über­wie­gen könn­ten, hät­te es der Gesetz­ge­ber in Art. 31 Abs. 2 DSG schrei­ben kön­nen und müssen.
  • Das Wider­spruchs­recht ist ein gesetz­li­ches Recht (Art. 30 Abs. 1 lit. b DSG). Das Gesetz gilt aber als bekannt, wie Art. 20 Abs. 1 lit. b DSG beweist. Betrof­fe­ne ken­nen das Wider­spruchs­recht also.
  • Art. 45c FMG schreibt kei­ne tech­ni­sche Ope­ra­tio­na­li­sie­rung des Wider­spruchs­rechts vor.
  • Es gibt bereits ein tech­ni­sches Wider­spruchs­recht: Die Brow­ser­ein­stel­lun­gen. Sie sind aller­dings nicht umfas­send; gegen ein Fin­ger­prin­ting bspw. kön­nen Brow­ser­ein­stel­lun­gen wenig aus­rich­ten (ausser die Aus­füh­rung von Skrip­ten zu blockie­ren, die das Fin­ger­prin­ting bewir­ken, und Hilfs­mass­nah­men wie das Löschen von Coo­kies, das Ver­wen­den eines VPN usw.).

Der EDÖB könn­te eine tech­ni­sche Umset­zung des Wider­spruchs­rechts des­halb eigent­lich nur auf Basis von Treu und Glau­ben und dann nur im Ein­zel­fall verlangen.

Fäl­le des über­wie­gen­den Interesses

Wann die Inter­es­sen am Coo­kie-Ein­satz über­wie­gen, ist wie erwähnt eine Fra­ge des Ein­zel­falls. Art. 31 Abs. 2 DSG sieht aber Fäl­le vor, die ein sol­ches Über­wie­gen indi­zie­ren. Der EDÖB geht hier auf zwei Fäl­le ein:

  • Ver­bin­dung mit einem Ver­trag: Ein Bei­spiel ist der etwas kryp­ti­sche Fall, dass ein Coo­kie eines Online­shops “Kom­mo­di­tä­ten wie z.B. auf Adress­da­ten beru­hen­de Haus­lie­fe­run­gen bedient” (?).
  • Sta­ti­stik: Hier wie­der­holt der EDÖB die Vor­aus­set­zun­gen von Art. 31 Abs. 2 lit. e DSG (früh­zei­ti­ge Anony­mi­sie­rung, kei­ne Bekannt­ga­be beson­ders schüt­zens­wer­ter Per­so­nen­da­ten, kei­ne Ver­öf­fent­li­chung von Per­so­nen­da­ten). Bei­spie­le sind Sta­ti­sti­ken über die Nut­zung der Website.

Vari­an­te 2: Ein­wil­li­gung (Aus­nah­me in drei Konstellationen)

Erfor­der­nis

In drei Kon­stel­la­tio­nen kön­nen die Inter­es­sen am Ein­satz der nicht not­wen­di­gen Coo­kies aus Sicht des EDÖB grund­sätz­lich nicht über­wie­gen, auch nicht mit dem Widerspruchsrecht:

  • Uner­war­te­te Coo­kies: Wenn der Zweck des Coo­kies in einem “offen­sicht­li­chen Kon­trast zu den Zwecken der per­so­nen­be­zo­ge­nen Haupt­be­ar­bei­tung” ste­he. Beispiele: 
    • der Ein­satz von “Coo­kies für eine Ver­knüp­fung und Ver­mark­tung von Adress- und Tele­fon­da­ten” (?) “bei der Web­sei­ten-gestütz­ten Ver­mitt­lung kari­ta­tiv oder freund­schaft­lich moti­vier­ter Dien­ste oder bei gewis­sen Online-Spielen”;
    • Coo­kies mit kom­mer­zi­el­len Zwecken auf Web­sei­ten mit sen­si­blen Inhal­ten poli­ti­scher, gewerk­schaft­li­cher oder reli­giö­ser Natur. Wes­halb ein Opt-Out-Recht auf der Web­site bspw. der Grü­nen nicht reicht, bleibt aller­dings offen, eben­so die Fra­ge, ob Spen­den­sam­meln durch eine NGO einen kom­mer­zi­el­len Zweck darstellt.
  • Hohe Ein­griffs­in­ten­si­tät: Wenn über das Coo­kie beson­ders schüt­zens­wer­te Per­so­nen­da­ten bear­bei­tet oder ein Pro­fil­ing mit hohem Risi­ko durch­ge­führt und/oder ent­spre­chen­de Daten wei­ter­ge­ge­ben wer­den. (Dies gel­te auch dann, wenn sol­che Ein­sät­ze “auf­grund einer all­ge­mei­nen Ver­kehrs­auf­fas­sung erwar­tet werden“).

Anfor­de­run­gen an eine wirk­sa­me Cookie-Einwilligung

Dem Leit­fa­den las­sen sich die fol­gen­den Vor­aus­set­zun­gen einer wirk­sa­men Ein­wil­li­gung entnehmen:

  • Aus­drück­lich­keit:
    • Ver­langt ist die­se nur bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten, beim Pro­fil­ing mit hohem Risi­ko und – bei Bun­des­or­ga­nen (auch Kran­ken­kas­sen oder Pen­si­ons­kas­sen in den Obli­ga­to­ri­en) – bei jedem Pro­fil­ing mit Coo­kies. Dazu genügt bspw. das Ankreu­zen einer ein­deu­ti­gen Checkbox.
    • Wenn kei­ne Aus­drück­lich­keit erfor­der­lich ist, darf die Check­box auch vor­an­ge­kreuzt sein (muss dann aber wohl bestä­tigt wer­den, sonst fehlt eine akti­ve Hand­lung – bspw. durch ein Weg­klicken des ent­spre­chen­den Banners).
  • Infor­ma­ti­on:
    • Zu infor­mie­ren sei dar­über, wel­che Bear­bei­tun­gen zu wel­chen Zwecken erfol­gen soll, unter Umstän­den aber auch über die Risi­ken für die Betrof­fe­nen, wenn sie ein­wil­li­gen (bei erhöh­ten Risi­ken). Dazu ent­hält der Leit­fa­den kei­ne Konkretisierungen.
    • Wenn Kin­der zu den Adres­sa­ten der Web­site gehö­ren, müs­se die Ein­wil­li­gungs­er­klä­rung zudem in leich­ter und (für sie) unmiss­ver­ständ­li­cher Spra­che ver­fasst sein.
  • Bestimmt­heit:
    • Der Gegen­stand der Ein­wil­li­gung müs­se aus­rei­chend klar sein. Nicht klar genug sei etwa “Mar­ke­ting­zwecke”.
    • Wes­halb der Betrof­fe­ne damit zu wenig anfan­gen kann, erschliesst sich aller­dings nicht. Ohne­hin: Wer einen sol­chen Aus­druck nicht ver­steht, wird erst recht nicht ein­wil­li­gen, wes­halb eine brei­te For­mu­lie­rung nicht der Ein­wil­li­gung scha­det, son­dern höch­stens der Einwilligungsrate.
  • Frei­wil­lig­keit: An die­ser feh­le es in zwei Fällen: 
    • beim Ein­satz von “Dark Pat­terns”, aber auch schon bei einem “Nud­ging”. Letz­te­res geht zu weit – wer einen grü­nen OK-But­ton und einen grau­en “Ableh­nen”- But­ton sieht, ärgert sich zu Recht, aber unfrei­wil­lig wird die Ein­wil­li­gung dadurch kaum (wenn schon, könn­te das Anklicken dann über­haupt nicht mehr als Ein­wil­li­gungs­er­klä­rung gewer­tet wer­den, aber ein sol­cher Schluss dürf­te der Rea­li­tät widersprechen).
    • Kopp­lung: Eben­falls unfrei­wil­lig sei eine Ein­wil­li­gung, wenn sie eine Bedin­gung für den Zugang zur Web­site bzw. zur dadurch ver­mit­tel­ten Lei­stung sei, sofern der Ver­zicht unzu­mut­bar ist. Das sei bspw. der Fall bei einem “markt­herr­schen­den Online­händ­ler”, einem “online Job­por­tal” oder einem “sozia­len Netz­werk”. Die Ver­wen­dung sol­cher Web­sites muss also auch ohne Coo­kies mög­lich sein, die eine Ein­wil­li­gung erfor­dern, also wenn sie uner­war­tet sind, beson­ders schüt­zens­wer­te Per­so­nen­da­ten ver­wen­den oder zu einem Pro­fil­ing mit hohem Risi­ko füh­ren (alle ande­ren nicht not­wen­di­gen Coo­kies kön­nen mit über­wie­gen­den Inter­es­sen gerecht­fer­tigt wer­den, wes­halb sich die Fra­ge nicht stellt).
  • Wider­ruf­lich­keit: Die Ein­wil­li­gung ist von Geset­zes wegen wider­ruf­lich. Den­noch müs­se der Betrei­ber eine “ein­fa­che Mög­lich­keit anbie­ten”, um das Wider­rufs­recht aus­zu­üben. Auch dies ist letzt­lich ein Import aus der DSGVO.

Per­so­na­li­sier­te Werbung

Die­sem The­ma wid­met der Leit­fa­den ein eige­nes Kapi­tel (Ziff. 3.11). In der Sache läuft es aber auf das­sel­be wie die all­ge­mei­ne­ren Hin­wei­se hinaus:

  • Nor­ma­les Pro­fil­ing: Hier müs­se min­de­stens das Wider­spruchs­recht gewährt wer­den, was heisst, dass hier mit einem über­wie­gen­den Inter­es­se gear­bei­tet wer­den kann (Aus­nah­me: Bundesorgane).
  • Pro­fil­ing mit hohem Risi­ko: Hier ist eine aus­drück­li­che Ein­wil­li­gung erfor­der­lich. Ein Pro­fil­ing mit hohem Risi­ko liegt vor, wenn ein Pro­fil­ing zu einem Per­sön­lich­keits­pro­fil führt. Indi­zi­en dafür sind für den EDÖB eine Teil­nah­me von Aak­teu­ren in unter­schied­li­chen Sek­to­ren, eine Berück­sich­ti­gung von Per­so­nen­da­ten über einen län­ge­ren Zeit­raum und der Ein­be­zug öffent­li­cher Daten und Daten von Drittanbietern.

Infor­ma­ti­ons­pflich­ten

Der Leit­fa­den äussert sich an ver­schie­de­nen Stel­len zu Informationspflichten:

  • Erste Stu­fe Daten­schutz­er­klä­rung:
    • Zunächst ist bei Coo­kies – auch bei not­wen­di­gen, aber nur soweit dadurch Per­so­nen­da­ten bear­bei­tet wer­den – nach Art. 19 f. DSG zu infor­mie­ren. Die­se Infor­ma­ti­on muss “ange­mes­sen” bereit­ge­stellt wer­den. Es genü­ge daher nicht, die­se Infor­ma­ti­on auf einer belie­bi­gen Rubrik auf der Web­site anzu­brin­gen. Der EDÖB ver­langt in der Sache nach wohl einen leicht zu fin­den­den Link bspw. im Foo­ter, was ja auch der Pra­xis entspricht.
    • Die Daten­schutz­er­klä­rung müs­se immer dem Laye­red Approach genü­gen, also zuerst die wich­tig­sten Infor­ma­tio­nen bereit­stel­len und dann bei Inter­es­se wei­ter­füh­ren­de Anga­ben. Für eine abso­lu­te For­de­rung nach einem sol­chen Vor­ge­hen fehlt wie­der­um jede Grund­la­ge (abge­se­hen davon, dass dafür schon ein Inhalts­ver­zeich­nis genü­gen könnte).
    • Und wem dient die Infor­ma­ti­on? Hier ist der Leit­fa­den nicht nachvollziehbar:

      Eine Daten­schutz­er­klä­rung, die nach die­sem Ansatz ver­fasst wird, erlaubt bei­spiels­wei­se den betrof­fe­nen Per­so­nen alle wesent­li­chen Infor­ma­tio­nen in zusam­men­ge­fass­ter Form auf einen Blick zu erhal­ten, sowie Fach­per­so­nen, Inve­sti­ga­ti­ons­jour­na­li­sten und Auf­sichts­be­hör­den mit wei­ter­ge­hen­dem Infor­ma­ti­ons­be­dürf­nis­sen, mit­tels Auf­ru­fes einer wei­te­ren Ebe­ne, recht­lich und infor­ma­ti­ons­tech­no­lo­gisch detail­lier­te Infor­ma­tio­nen zu erhalten”.

      Offen­bar wer­den Daten­schutz­er­klä­run­gen nicht nur für betrof­fe­ne Per­so­nen ver­fasst, son­dern auch für den EDÖB und gleich auch für Adri­en­ne Fich­ter und ande­re Investigativjournalisten.

  • Zwei­te Stu­fe Coo­kie-Ban­ner:
    • Ein Coo­kie-Ban­ner und genau­er eine Con­sent Manage­ment Plat­form (CMP) ver­langt der Leit­fa­den nur, aber immer bei nicht not­wen­di­gen Coo­kies, denn hier müs­se der Ver­ant­wort­li­che “das Wider­spruchs­recht gegen den Ein­satz nicht not­wen­di­ger Coo­kies auf der Web­sei­te an pro­mi­nen­ter Stel­le anzei­gen” (ob bei jedem Besuch, lässt der Leit­fa­den offen). Zudem müs­se der “Grad an Auf­fäl­lig­keit” der “Unge­wöhn­lich­keit des frag­li­chen Coo­kie-Ein­sat­zes” entsprechen.
    • Soweit eine Ein­wil­li­gung erfor­der­lich ist (s. oben), müs­se zudem auch das Wider­rufs­recht deut­lich sein, und es müs­se dann auch “mit beson­de­rer Deut­lich­keit” und “an pro­mi­nen­ter Stel­le” hin­ge­wie­sen wer­den, und hier bei jedem Besuch.
    • Coo­kies dür­fen beim Beginn des Besuchs gesetzt wer­den, ausser natür­lich, wenn sie sich auf eine Ein­wil­li­gung stützen.
    • Wenn der Ver­ant­wort­li­che für bestimm­te Coo­kies mit einem Wider­spruchs­recht (Opt-Out) und für ande­re mit einer Ein­wil­li­gung (Opt-In) arbei­tet, muss der Betrof­fe­ne klar erken­nen kön­nen, was für wel­che Coo­kies gilt.