Der EDÖB hat auf seiner Website vor Kurzem den auf den 22. Januar 2025 datierten Leitfaden des EDÖB betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien publiziert. Eine Mitteilung dazu steht derzeit noch aus.
Der Leitfaden war lange erwartet worden, die Ausarbeitung war auch aufgrund der Vielfalt der für ein Tracking zum Einsatz kommenden Technologien nicht einfach. Inhaltlich sind die Leitlinien teils nicht überraschend, teils aber sehr.
Der EDÖB verlangt im Wesentlichen Folgendes:
Anforderung | Geltung | Umsetzung |
---|---|---|
Information | Alle personenbezogenen Cookies; erhöhte Anforderungen bei heiklen Bearbeitungen | Datenschutzerklärung mit Link im Footer |
Widerspruchsrecht | Alle nicht notwendigen Cookies, wenn keine Einwilligung notwendig ist | Widerspruchsrecht, technisch jederzeit ausübbar (Banner/Consent Management) |
Einwilligung | Nicht notwendige Cookies, die qualifiziert unerwartet sind | Opt-In, ggf. Bestätigung einer vorangekreuzten Checkbox; laufende Widerrufsmöglichkeit (Banner/Consent Management) |
Ausdrückliche Einwilligung | Cookies, die besonders schützenswerte Personendaten bearbeiten oder ein Profiling mit hohem Risiko (Bundesorgane: jedes Profiling) durchführen | Aktives Opt-In (keine vorangekreuzte Checkbox); laufende Widerrufsmöglichkeit (Banner/Consent Management) |
Der Leitfaden ist dadurch weniger streng als die Haltung in Europa, die weitergehende Einwilligungen verlangt, liest sich aber wie die grösstmögliche, mit dem DSG mit etwas “juristischer Fantasie” (um den EDÖB zu zitieren) noch vereinbare Annäherung an Europäisches Cookie-Recht und vor allem auch die DSGVO. Verbindlich ist der Leitfaden nicht, zeigt aber den Anspruch des EDÖB, die eigene Auffassung eines korrekten Datenschutzes durchzusetzen. In der Praxis wird der Leitfaden wohl nur zu einem Zunehmen der Cookie-Banner führen, die ohnehin schon (zu) weit verbreitet sind.
Relevante Rechtsgrundlagen
Der Leitfaden basiert auf dem DSG, verweist jedoch auch auf Art. 45c FMG, die einzige ausdrückliche schweizerische Regelung zu Cookies.
Art. 45c FMG verlangt für Cookies, d.h. für die Bearbeitung von Daten auf fremden Geräten, nur einen Hinweis auf diese Bearbeitung und ihren Zweck und dass die Nutzer diese Bearbeitung “ablehnen können”. In der Praxis wird dies so verstanden, dass ein relativ allgemeiner Hinweis genügt, dass man auf eine Ablehnungsmöglichkeit hinzuweisen hat (bspw. durch Hinweis auf die Einstellungmöglichkeiten im Browser) und dass eine Einwilligung nicht erforderlich ist.
Aufgrund dieser relativ liberalen Regelung fragt sich, ob Art. 45c FMG eine lex specialis darstellt, die das DSG verdrängt. Der EDÖB verneint dies:
Art. 45c FMG stellt m.a.W. eine spezialgesetzliche, öffentlich-rechtliche Norm für ansonsten unbemerkte «telekommunikative» Vorgänge dar, die als Norm des speziellen Datenschutzrechts des Bundes kumulativ zum allgemeinen Datenschutzrecht im DSG einzuhalten ist.
Falsch ist das kaum. Zum einen bleibt das DSG bei spezialgesetzlichen Normen ergänzend anwendbar, und zum anderen ist Art. 45c FMG wohl keine Datenschutznorm (auch wenn dies nicht eindeutig ist).
Gegenstand
Der Leitfaden gilt technologieneutral für Cookies und andere Tracking-Technologien (z. B. Fingerprinting, Pixel). Obwohl nicht explizit erwähnt, dürfte er auch für Apps gelten. Direkte Hinweise zu Programmatic Advertising enthält er nicht.
Weichenstellung I: Begriff der Personendaten
Der Leitfaden kann nur auf Personendaten Anwendung finden. In der Vergangenheit war der EDÖB hier ausgesprochen streng – der Sache nach hat er eine Singularisierung öfter als Identifizierung genügen lassen (so bspw. bei der Sachverhaltsabklärung i.S. Ricardo/TX Group wie auch bei Digitec Galaxus).
Davon rückt er nun ab, und das hat weit über den Leitfaden hinausreichende Bedeutung. Allerdings: Es sei in der Lehre offen, ob eine Singularisierung genügen könne. Für diese Aussage zitiert der Leitfaden drei Meinungen: Jene von David Rosenthal, wonach eine Singularisierung nicht genügt; jene von Philipp Glass, der eine Singularisierung soweit ersichtlich nur als Indiz des Personenbezugs anwenden will – und jene der österreichischen Datenschutzbehörde.
Er geht vielmehr vom Logistep-Urteil aus, nach wie vor eines der Leiturteile zu dieser Frage (neben dem Urteil des HGer ZH, HG190107‑O, vom 4. Mai 2021). Eine Identifizierung setzt demnach voraus, dass eine Identifikation möglich ist, dass eine Stelle mit Zugriff auf die Daten die Identifikation ohne zu grossen Aufwand bewerkstelligen hat und dass sie ein Interesse hat, diesen Aufwand auf sich zu nehmen.
Dem schliesst sich der EDÖB an. Ein Cookie bzw. die damit verbundenen Angaben seien “spätestens dann” personenbezogen, wenn der Betreiber der Website oder ein eingebundener Dritter Daten aufgrund eines Logins oder “vergleichbarer Online-Kennungen” mit einer bestimmten Person in Verbindung bringen kann. Dem ist sicher nicht zu widersprechen. Interessant sind aber folgende Punkte:
- Der Leitfaden liest sich so, als seien UID oder Ad-IDs, also mit einem Mobilgerät verbundene Kenn-Nummern, stets personenbezogen (“ein Personenbezug kann einerseits vorliegen, wenn die bearbeitete Information selbst ein identifizierendes Merkmal besitzt (z.B. die eindeutige Benutzererkennung UID für Android- oder Ad-ID für Apple-Geräte)”). Das trifft nicht zu, weil die Frage nicht die ist, ob Apple oder Google mit dieser Nummer etwas anfangen kann, sondern der Betreiber der Website.
- Der EDÖB verweist auf eine abzulehnende Meinung des BGer in Logistep: Wenn A Daten an B bekanntgibt, die nur für B Personenbezug haben, sei das DSG sowohl auf A als auch auf B anwendbar. Das hat das BGer in Logistep zwar gesagt (vermutlich, weil nur der Absender in der Schweiz war), aber es ist falsch, weil es dem relativen Ansatz widerspricht. Wenn der Betreiber einer Website einem Drittanbieter Daten bekanntgibt, die nur für letzteren personenbezogen sind, fällt der Betreiber nicht unter das DSG.
Weichenstellung II: Verantwortlichkeit
Grundsätzlich wird der Betreiber der Website der datenschutzrechtliche Verantwortliche sein (was im Gruppenkontext Fragen aufwerfen kann; dazu äussert sich der Leitfaden nicht).
Der EuGH hat aber im Fashion-ID-Entscheid eine gemeinsame Verantwortlichkeit erkannt, wenn der Betreiber einem Dritten bspw. über ein Social Plugin die Möglichkeit gibt, Daten der Besucher der Website zu erfassen (für diesen Beschaffungsvorgang, nicht die folgende Bearbeitung). Diese Rechtsprechung übernimmt der EDÖB. Er zitiert den EuGH sogar, allerdings ohne die Frage zu stellen, ob diese Rechtsprechung überhaupt übernommen werden kann und soll:
Der Webseiteninhaber wiederum ermöglicht die Datenbeschaffung des Dritten erst mit der Einbindung des Drittdienstes auf seiner Webseite (Mittel), auch wenn er auf die nachgelagerte Datenbearbeitung keinen oder nur geringen Einfluss hat. Daraus folgt, dass für den Prozess der Datenbeschaffung des Dritten (als Bearbeitung im Sinne von Art. 5 lit. d DSG) mittels der Webseite von einer gemeinsamen oder geteilten Verantwortlichkeit auszugehen ist.
Dass man bei der Frage der gemeinsamen Verantwortlichkeit vorschnell auf die DSGVO zurückgreift, ist eines. Das andere ist aber die Frage, welche Konsequenzen sich daraus ergeben. Anders als Art. 26 DSGVO verlangt das DSG keinen Vertrag zwischen den gemeinsamen Verantwortlichen. Aber:
Da der Webseitenbetreiber die Kontrolle darüber hat, welche Drittdienste eingebaut werden, kann er nicht davon ausgehen, dass seine Verantwortung dort aufhört, wo die Nutzungsbedingungen der Dritten gelten.
Das widerspricht der Abgrenzung des Bereichs der gemeinsamen Verantwortung, die auf den Vorgang der Drittbeschaffung bzw. die Bekanntgabe an den Dritten beschränkt ist und die folgenden Bearbeitung gerade nicht umfasst. Aber:
[Der Betreiber] trägt die Verantwortung, die Internetseite datenschutzkonform zu gestalten. Er muss sich folglich über die Datenbearbeitung der eingebundenen Drittdienste in Kenntnis setzen und sicherstellen, dass die Anforderungen des Gesetzes eingehalten werden. Namentlich hat der Webseitenbetreiber sicher zu stellen, dass gegenüber den betroffenen Webseitenbesuchern sämtliche Informationspflichten erfüllt werden.
Der Betreiber soll also offenbar für “die Internetseite” eine Gesamtverantwortung tragen und deshalb vom (i.d.R. ja ausländischen) Dritten verlangen müssen, auch das DSG einzuhalten. Dafür fehlt jede Grundlage, ganz besonders ausserhalb des engen Bereichs einer etwaigen gemeinsamen Verantwortung.
Weichenstellung III: Verhältnismässigkeit
Der Leitfaden enthält im Wesentlichen eine datenschutzrechtliche Prüfung, d.h. folgt dem üblichen Prüfschema Information – Bearbeitungsgrundsätze – Rechtfertigung.
Bei der Verhältnismässigkeit hält der EDÖB an seiner schon häufig vertretenen Meinung fest, die Verhältnismässigkeit messe sich nicht etwa am vom Verantwortlichen frei gewählten Zweck, sondern am einem abstrakten und deshalb vom EDÖB bestimmten Zweck. Überschreitet eine Bearbeitung den entsprechenden Rahmen, stuft sie der EDÖB als unverhältnismässig ein.
Entsprechend sei der Einsatz nur notwendiger Cookies verhältnismässig. Dazu zählt der EDÖB beispielhaft folgende Zwecke:
- Warenkorb-Cookie
- Zwischenspeicherung von Angaben in einem Onlineformular
- Login
- Sprachauswahl
- Cookie-Opt-in und Cookie-Opt-out
- Lastenverteilung (“Load Balancing”)
- Verhinderung von Brute-Force-Angriffen
- Captchas
- Verhinderung der Überlastung von Webseiten
Der Einsatz aller anderen, also nicht in diesem Sinne notwendigen Cookies, sei unverhältnismässig.
Das ist falsch, und zwar nicht, weil diese Meinung unbequem ist – was sie ist –, sondern weil sie dem Wesen des Datenschutzrechts widerspricht. Das Datenschutzrecht und damit der EDÖB bestimmen keine Zwecke. Das BVGer hat dies deutlich festgehalten (im Helsana-Urteil, E. 5.4.3):
Zudem äussert sich, systematisch betrachtet, das Datenschutzgesetz grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht.
Der EDÖB masst sich mit dieser Haltung wirtschaftspolizeiliche Befugnisse an. Dogmatisch liesse sich diese Auffassung nur dadurch retten, dass man die Verhältnismässigkeit im engeren Sinne prüft, also die Zumutbarkeit (wobei man sich fragen müsste, ob diese im Privatbereich gilt). Der Einsatz nicht im Sinne des EDÖB notwendiger Cookies müsste also schlicht unzumutbar sein, damit er als unverhältnismässig gelten könnte. Dazu findet sich im Leitfaden aber nichts.
Richtigerweise steht es dem Verantwortlichen frei, die Zwecke einer Website selbst zu bestimmen. Verlangen diese Zwecke den Einsatz weiterer Cookies, ist dies zulässig und verhältnismässig. Will man solche Cookies nicht, müsste man sie spezialgesetzlich verbieten.
Interessant ist auch der weitere Hinweis, der Betreiber müsse
durch entsprechende Schaltflächen mit geeigneten Voreinstellungen nach Massgabe von Art. 7 Abs. 3 DSG sicherstellen, dass der Cookie-Einsatz auf das für den Verwendungszweck nötige Mindestmass beschränkt wird.
Das trifft so nicht zu. “Privacy by Default” verlangt nie, dass Schaltflächen bereitgestellt werden. Nur falls der Verantwortliche Bearbeitungen als optionale Varianten ausgestaltet und dem Betroffenen zudem eine Möglichkeit gibt, aus diesen Varianten zu wählen, muss er die sparsame Voreinstellung wählen (und auch nur dann, wenn es effektiv um eine Auswahl und nicht bloss die Ausübung des ohnehin bestehenden Widerspruchsrechts geht; denn letzteres besteht immer – Privacy by Design auf Widerspruchsfälle anzuwenden, hiesse in der Sache letztlich, für alle nicht zwingenden Bearbeitungen eine Einwilligung zu verlangen).
Folge: Rechtfertigungsbedarf
Weil der EDÖB den Einsatz nicht in seinem Sinne notwendiger Cookies als unverhältnismässig einstuft, ist dieser rechtfertigungsbedürftig (Art. 30 DSG). Weil das Gesetz als Rechtfertigungsgrund in den allermeisten Fällen ausscheiden dürfte, kommen das überwiegende Interesse und eine Einwilligung in Frage (Art. 31 Abs. 1 DSG).
Variante 1: Grundsatz – überwiegende Interessen
Ob der genannte Einsatz durch überwiegende Interessen gerechtfertigt ist, ist eine Frage der Einzelfallprüfung. Der Leitfaden muss diese Prüfung aber schematischer angehen:
Widerspruchsrecht (Out-Out)
Zunächst sei immer ein Widerrufsrecht zu gewähren. Das folgt für den EDÖB nicht nur daraus, dass ansonsten kein überwiegendes Interesse gelten könne – der Leitfaden ist klar dieser Meinung –, sondern auch aus Art. 45c FMG. Dieses Widerspruchsrecht muss offenbar technisch erleichtert werden.
Dazu folgende Anmerkungen:
- Anders als die DSGVO kennt das DSG kein Erleichterungsgebot bei Betroffenenrechten einschliesslich des Widerspruchsrechts. Eine rechtliche Grundlage für die allgemeine Forderung einer technischen Erleichterung existiert nicht.
- Wenn die Interessen an einer Datenbearbeitung nur unter dieser Voraussetzung überwiegen könnten, hätte es der Gesetzgeber in Art. 31 Abs. 2 DSG schreiben können und müssen.
- Das Widerspruchsrecht ist ein gesetzliches Recht (Art. 30 Abs. 1 lit. b DSG). Das Gesetz gilt aber als bekannt, wie Art. 20 Abs. 1 lit. b DSG beweist. Betroffene kennen das Widerspruchsrecht also.
- Art. 45c FMG schreibt keine technische Operationalisierung des Widerspruchsrechts vor.
- Es gibt bereits ein technisches Widerspruchsrecht: Die Browsereinstellungen. Sie sind allerdings nicht umfassend; gegen ein Fingerprinting bspw. können Browsereinstellungen wenig ausrichten (ausser die Ausführung von Skripten zu blockieren, die das Fingerprinting bewirken, und Hilfsmassnahmen wie das Löschen von Cookies, das Verwenden eines VPN usw.).
Der EDÖB könnte eine technische Umsetzung des Widerspruchsrechts deshalb eigentlich nur auf Basis von Treu und Glauben und dann nur im Einzelfall verlangen.
Fälle des überwiegenden Interesses
Wann die Interessen am Cookie-Einsatz überwiegen, ist wie erwähnt eine Frage des Einzelfalls. Art. 31 Abs. 2 DSG sieht aber Fälle vor, die ein solches Überwiegen indizieren. Der EDÖB geht hier auf zwei Fälle ein:
- Verbindung mit einem Vertrag: Ein Beispiel ist der etwas kryptische Fall, dass ein Cookie eines Onlineshops “Kommoditäten wie z.B. auf Adressdaten beruhende Hauslieferungen bedient” (?).
- Statistik: Hier wiederholt der EDÖB die Voraussetzungen von Art. 31 Abs. 2 lit. e DSG (frühzeitige Anonymisierung, keine Bekanntgabe besonders schützenswerter Personendaten, keine Veröffentlichung von Personendaten). Beispiele sind Statistiken über die Nutzung der Website.
Variante 2: Einwilligung (Ausnahme in drei Konstellationen)
Erfordernis
In drei Konstellationen können die Interessen am Einsatz der nicht notwendigen Cookies aus Sicht des EDÖB grundsätzlich nicht überwiegen, auch nicht mit dem Widerspruchsrecht:
- Unerwartete Cookies: Wenn der Zweck des Cookies in einem “offensichtlichen Kontrast zu den Zwecken der personenbezogenen Hauptbearbeitung” stehe. Beispiele:
- der Einsatz von “Cookies für eine Verknüpfung und Vermarktung von Adress- und Telefondaten” (?) “bei der Webseiten-gestützten Vermittlung karitativ oder freundschaftlich motivierter Dienste oder bei gewissen Online-Spielen”;
- Cookies mit kommerziellen Zwecken auf Webseiten mit sensiblen Inhalten politischer, gewerkschaftlicher oder religiöser Natur. Weshalb ein Opt-Out-Recht auf der Website bspw. der Grünen nicht reicht, bleibt allerdings offen, ebenso die Frage, ob Spendensammeln durch eine NGO einen kommerziellen Zweck darstellt.
- Hohe Eingriffsintensität: Wenn über das Cookie besonders schützenswerte Personendaten bearbeitet oder ein Profiling mit hohem Risiko durchgeführt und/oder entsprechende Daten weitergegeben werden. (Dies gelte auch dann, wenn solche Einsätze “aufgrund einer allgemeinen Verkehrsauffassung erwartet werden“).
Anforderungen an eine wirksame Cookie-Einwilligung
Dem Leitfaden lassen sich die folgenden Voraussetzungen einer wirksamen Einwilligung entnehmen:
- Ausdrücklichkeit:
- Verlangt ist diese nur bei besonders schützenswerten Personendaten, beim Profiling mit hohem Risiko und – bei Bundesorganen (auch Krankenkassen oder Pensionskassen in den Obligatorien) – bei jedem Profiling mit Cookies. Dazu genügt bspw. das Ankreuzen einer eindeutigen Checkbox.
- Wenn keine Ausdrücklichkeit erforderlich ist, darf die Checkbox auch vorangekreuzt sein (muss dann aber wohl bestätigt werden, sonst fehlt eine aktive Handlung – bspw. durch ein Wegklicken des entsprechenden Banners).
- Information:
- Zu informieren sei darüber, welche Bearbeitungen zu welchen Zwecken erfolgen soll, unter Umständen aber auch über die Risiken für die Betroffenen, wenn sie einwilligen (bei erhöhten Risiken). Dazu enthält der Leitfaden keine Konkretisierungen.
- Wenn Kinder zu den Adressaten der Website gehören, müsse die Einwilligungserklärung zudem in leichter und (für sie) unmissverständlicher Sprache verfasst sein.
- Bestimmtheit:
- Der Gegenstand der Einwilligung müsse ausreichend klar sein. Nicht klar genug sei etwa “Marketingzwecke”.
- Weshalb der Betroffene damit zu wenig anfangen kann, erschliesst sich allerdings nicht. Ohnehin: Wer einen solchen Ausdruck nicht versteht, wird erst recht nicht einwilligen, weshalb eine breite Formulierung nicht der Einwilligung schadet, sondern höchstens der Einwilligungsrate.
- Freiwilligkeit: An dieser fehle es in zwei Fällen:
- beim Einsatz von “Dark Patterns”, aber auch schon bei einem “Nudging”. Letzteres geht zu weit – wer einen grünen OK-Button und einen grauen “Ablehnen”- Button sieht, ärgert sich zu Recht, aber unfreiwillig wird die Einwilligung dadurch kaum (wenn schon, könnte das Anklicken dann überhaupt nicht mehr als Einwilligungserklärung gewertet werden, aber ein solcher Schluss dürfte der Realität widersprechen).
- Kopplung: Ebenfalls unfreiwillig sei eine Einwilligung, wenn sie eine Bedingung für den Zugang zur Website bzw. zur dadurch vermittelten Leistung sei, sofern der Verzicht unzumutbar ist. Das sei bspw. der Fall bei einem “marktherrschenden Onlinehändler”, einem “online Jobportal” oder einem “sozialen Netzwerk”. Die Verwendung solcher Websites muss also auch ohne Cookies möglich sein, die eine Einwilligung erfordern, also wenn sie unerwartet sind, besonders schützenswerte Personendaten verwenden oder zu einem Profiling mit hohem Risiko führen (alle anderen nicht notwendigen Cookies können mit überwiegenden Interessen gerechtfertigt werden, weshalb sich die Frage nicht stellt).
- Widerruflichkeit: Die Einwilligung ist von Gesetzes wegen widerruflich. Dennoch müsse der Betreiber eine “einfache Möglichkeit anbieten”, um das Widerrufsrecht auszuüben. Auch dies ist letztlich ein Import aus der DSGVO.
Personalisierte Werbung
Diesem Thema widmet der Leitfaden ein eigenes Kapitel (Ziff. 3.11). In der Sache läuft es aber auf dasselbe wie die allgemeineren Hinweise hinaus:
- Normales Profiling: Hier müsse mindestens das Widerspruchsrecht gewährt werden, was heisst, dass hier mit einem überwiegenden Interesse gearbeitet werden kann (Ausnahme: Bundesorgane).
- Profiling mit hohem Risiko: Hier ist eine ausdrückliche Einwilligung erforderlich. Ein Profiling mit hohem Risiko liegt vor, wenn ein Profiling zu einem Persönlichkeitsprofil führt. Indizien dafür sind für den EDÖB eine Teilnahme von Aakteuren in unterschiedlichen Sektoren, eine Berücksichtigung von Personendaten über einen längeren Zeitraum und der Einbezug öffentlicher Daten und Daten von Drittanbietern.
Informationspflichten
Der Leitfaden äussert sich an verschiedenen Stellen zu Informationspflichten:
- Erste Stufe Datenschutzerklärung:
- Zunächst ist bei Cookies – auch bei notwendigen, aber nur soweit dadurch Personendaten bearbeitet werden – nach Art. 19 f. DSG zu informieren. Diese Information muss “angemessen” bereitgestellt werden. Es genüge daher nicht, diese Information auf einer beliebigen Rubrik auf der Website anzubringen. Der EDÖB verlangt in der Sache nach wohl einen leicht zu findenden Link bspw. im Footer, was ja auch der Praxis entspricht.
- Die Datenschutzerklärung müsse immer dem Layered Approach genügen, also zuerst die wichtigsten Informationen bereitstellen und dann bei Interesse weiterführende Angaben. Für eine absolute Forderung nach einem solchen Vorgehen fehlt wiederum jede Grundlage (abgesehen davon, dass dafür schon ein Inhaltsverzeichnis genügen könnte).
- Und wem dient die Information? Hier ist der Leitfaden nicht nachvollziehbar:
Eine Datenschutzerklärung, die nach diesem Ansatz verfasst wird, erlaubt beispielsweise den betroffenen Personen alle wesentlichen Informationen in zusammengefasster Form auf einen Blick zu erhalten, sowie Fachpersonen, Investigationsjournalisten und Aufsichtsbehörden mit weitergehendem Informationsbedürfnissen, mittels Aufrufes einer weiteren Ebene, rechtlich und informationstechnologisch detaillierte Informationen zu erhalten”.
Offenbar werden Datenschutzerklärungen nicht nur für betroffene Personen verfasst, sondern auch für den EDÖB und gleich auch für Adrienne Fichter und andere Investigativjournalisten.
- Zweite Stufe Cookie-Banner:
- Ein Cookie-Banner und genauer eine Consent Management Platform (CMP) verlangt der Leitfaden nur, aber immer bei nicht notwendigen Cookies, denn hier müsse der Verantwortliche “das Widerspruchsrecht gegen den Einsatz nicht notwendiger Cookies auf der Webseite an prominenter Stelle anzeigen” (ob bei jedem Besuch, lässt der Leitfaden offen). Zudem müsse der “Grad an Auffälligkeit” der “Ungewöhnlichkeit des fraglichen Cookie-Einsatzes” entsprechen.
- Soweit eine Einwilligung erforderlich ist (s. oben), müsse zudem auch das Widerrufsrecht deutlich sein, und es müsse dann auch “mit besonderer Deutlichkeit” und “an prominenter Stelle” hingewiesen werden, und hier bei jedem Besuch.
- Cookies dürfen beim Beginn des Besuchs gesetzt werden, ausser natürlich, wenn sie sich auf eine Einwilligung stützen.
- Wenn der Verantwortliche für bestimmte Cookies mit einem Widerspruchsrecht (Opt-Out) und für andere mit einer Einwilligung (Opt-In) arbeitet, muss der Betroffene klar erkennen können, was für welche Cookies gilt.