- EDÖB veröffentlicht am 6. Oktober 2025 aktualisierte Cookie-Leitlinien, Version 1.1, mit Deltaview zur Ausgangsfassung.
- Änderung: Verhältnismässigkeit nicht notwendiger Cookies wird relativiert; Massstab ist der vom Verantwortlichen gesetzte Bearbeitungszweck.
- Leitlinien adressieren Standortdaten: hohes Identifizierungsrisiko, mögliches Profiling, DSFA-Pflicht bei sensiblen Rückschlüssen.
- Neu: Anmerkung zu Paywalls; EDÖB plant Sensibilisierungskampagne und weitere aufsichtsrechtliche Schritte.
Der EDÖB hat heute, am 6. Oktober 2025, eine aufdatierte Fassung seiner Cookie-Leitlinien vom 22. Januar 2025 veröffentlicht (dazu unser damaliger Beitrag). Die aktuelle Fassung ist Version 1.1. Ein Deltaview zur Ausgangsfassung kann hier heruntergeladen werden (PDF).
Das ist ein ungewöhnliches Vorgehen des EDÖB, aber ein willkommenes. Werden Leitlinien angepasst, erlaubt dies dem Publikum, sich dazu konstruktiv zu äussern. Interessierte Kreise können so ihre Positionen einbringen, ohne dafür den Weg an die Gerichte gehen zu müssen, auch dann, wenn sie – wie bisher – keine Gelegenheit haben, zu einem Entwurf Stellung zu nehmen.
Die wesentliche Änderungen betrifft die Verhältnismässigkeit. Die alte Fassung der Leitlinien hielt pauschal fest, nicht notwendige Cookies seien generell unverhältnismässig. Die aktuelle Fassung rückt von dieser besonders kritisierten Haltung ab:
- Sie sagt zwar immer noch, nicht notwendige Cookies verstiessen gegen den Grundsatz der Verhältnismässigkeit.
- Dabei wird nun aber auf die vorangehende Definition der notwendigen Cookies verwiesen.
- Dort halten die Leitlinien nun zu recht fest, dass es der Verantwortliche ist, der den Bearbeitungszweck setzt, und dass sich die Verhältnismässigkeit an diesem Zweck misst:
Welche Cookies und ähnliche Technologien zur Gewährleistung der funktionalen Durchführbarkeit der gewünschten Bearbeitung technisch notwendig sind, hängt vom Verwendungszweck ab, welchen der Verantwortliche mit einer konkreten Datenbearbeitung verfolgt, und kann nicht pauschal beantwortet werden.
Mit anderen Worten fingieren die Leitlinien nicht mehr, nicht notwendige Cookies seien persönlichkeitsverletzend.
Neu adressiert der Leitfaden ausdrücklich auch Standortdaten (allerdings ohne sie zu definieren – die Angabe eines Landes oder einer Stadt kann aber jedenfalls nicht als Standortdatum verstanden werden):
- Bei einer Erhebung von Standortdaten, die zu Bewegungsprofilen führt, sei “in der Praxis” von einer “hohen Wahrscheinlichkeit einer Identifizierung von Personen” auszugehen.
- Eine Erfassung von Geolokalisationsdaten könne je nach Dauer und Radius in ein Profiling mit hohem Risiko münden, wenn diese Daten alleine oder in Kombination mit anderen Daten zu präzisen Bewegungsprofilen führen, die Rückschlüsse über wesentliche Aspekte der Persönlichkeit der Nutzer erlaubt. Das sei auch durch Kombination ungenauer Standortdaten möglich.
- Bewegungsprofile können durch Auswertung von wiederholt aufgesuchten Orten (z.B. Arzt- und Anwaltspraxis) zu “sensiblen Rückschlüsse auf die Intimsphäre” führen. Das kann eine DSFA verlangen.
- Bei Apps zur Abrechnung von Personentransporten sei die Erfassung von Positionsdaten unverhältnismässig und verlange eine Einwilligung.
Am Ende findet sich zudem eine neue Anmerkung zu Paywalls.
Der EDÖB hat in der Mitteilung zum Update angekündigt, eine “an ein breiteres Publikum gerichtete Sensibilisierungskampagne” durchführen zu wollen und sodann die “nötigen aufsichtsrechtlichen Schritte nach Massgabe des Leitfadens in die Wege” zu leiten.