Am 3. Februar 2025 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) einen neuen Leitfaden zum Einsatz von Cookies und ähnlichen Technologien veröffentlicht. Auch wenn die Datenschutzgrundlagen gleich bleiben, bringt der Leitfaden eine klarere Kommunikation mit sich und betont den Unterschied zwischen gesetzlichen Vorgaben und Empfehlungen stärker als bisher.

Klare Differenzierung zwischen Vorschriften und Empfehlungen

Bisher waren die Richtlinien des EDÖB oft interpretationsbedürftig. Jetzt ist klarer geregelt, welche Anforderungen gesetzlich bindend sind und welche als empfohlene Best Practices gelten. Unternehmen haben somit mehr Orientierung, was sie zwingend umsetzen müssen und wo sie selbst abwägen können.

Strengere Vorgaben mit deutlicheren Formulierungen:

1. Pflicht zur Einwilligung: Webseiten, die Cookies für Marketing oder Tracking-Zwecke einsetzen, müssen eine explizite Zustimmung (Opt-in) der Nutzer einholen. Eine reine «Opt-out»-Möglichkeit reicht nicht mehr aus.
2. Klare Verantwortlichkeit: Webseitenbetreiber tragen die Verantwortung dafür, dass auch Dritte, die über ihre Seite Cookies setzen (z. B. Google oder Meta), die Datenschutzvorgaben einhalten.
3. Mögliche Sanktionen: Derzeit sind keine direkten Strafen vorgesehen. Der EDÖB betont jedoch, dass Unternehmen, die gegen die Datenschutzbestimmungen verstossen, künftig verstärkt mit Prüfungen und behördlichen Massnahmen rechnen müssen. Auch wenn aktuell keine Bussgelder festgelegt sind, könnten in Zukunft strengere Durchsetzungsmassnahmen folgen, ähnlich wie in der EU.

Warum betrifft das fast jedes Unternehmen?

Setzt deine Website Cookies von Werbenetzwerken wie Google oder Meta ein? Dann bist du betroffen!
Bisher war es gängige Praxis, Consent-Banner nur zur Information und mit einer Opt-out-Option bereitzustellen. Der neue Leitfaden betont jedoch, dass Werbe-Tracking mit «Profiling hohem Risiko» (also z. B. personalisierte Werbung durch Remarketing oder Conversion-Tracking) eine aktive Einwilligung erfordert.
Empfohlene Massnahmen für Unternehmen:

• Cookie-Banner prüfen: Falls noch kein Opt-in implementiert ist, sollte dies dringend angepasst werden.
• Klare Informationen bieten: Nutzer müssen transparent über die Zwecke der Cookies informiert werden.
• Irreführende Designs vermeiden: Gestaltungselemente, die Nutzer unbemerkt zur Zustimmung verleiten oder eine Ablehnung erschweren, sollten vermieden werden.

Besondere Relevanz für Werbetreibende

• Ein wesentlicher Unterschied zu früheren Datenschutzregelungen ist die explizite Erwähnung der Werbewirtschaft. Der Leitfaden unterscheidet nun klar zwischen Tracking für statistische Zwecke und Tracking für personalisierte Werbung:
• Statistische Analyse (z. B. anonymisierte Web-Analytics) bleibt weniger problematisch.
• Personalisierte Werbung unterliegt strengeren Anforderungen, insbesondere wenn Drittanbieter-Tracking involviert ist.

Wer ist betroffen?

• Schweizer Unternehmen mit rein nationalem Fokus: Hier bleibt die Regulierung weniger strikt als in der EU, aber Transparenz wird stärker eingefordert.
• International tätige Unternehmen: Wer Kunden in der EU bedient, muss zusätzlich DSGVO-konform handeln. Der EDÖB betont, dass die Compliance-Strategie entsprechend angepasst werden sollte.

Vergleich mit der EU-DSGVO – Wo haben Schweizer Unternehmen noch Spielraum?

Obwohl der EDÖB-Leitfaden viele Parallelen zur Datenschutz-Grundverordnung (DSGVO) der EU aufweist, gibt es einige Unterschiede:

1. Mildere Anforderungen an Schweizer Unternehmen: Während in der EU ein Verstoss gegen die DSGVO empfindliche Strafen nach sich ziehen kann, setzt der EDÖB primär auf Aufklärung und Empfehlungen. Sanktionen sind zwar nicht ausgeschlossen, aber bisher weniger strikt durchgesetzt.
2. Einwilligungspflicht für Werbe-Cookies: In der EU ist eine Opt-in-Lösung für alle nicht notwendigen Cookies längst Pflicht. In der Schweiz wurde dies bisher weniger konsequent verlangt, doch mit dem neuen Leitfaden wird eine Anpassung an die EU-Standards erkennbar.
3. Mehr Flexibilität bei der Umsetzung: Schweizer Unternehmen haben im Vergleich zu EU-Unternehmen etwas mehr Spielraum bei der Gestaltung ihrer Cookie-Banner. Dennoch wird Transparenz erwartet, und irreführende Designs („Nudging“) sind zu vermeiden.
4. Geringere Dokumentationspflichten: Während die DSGVO eine umfassende Dokumentation von Verarbeitungstätigkeiten erfordert, sind die Anforderungen in der Schweiz etwas weniger aufwendig – dennoch wird empfohlen, Datenschutzmassnahmen intern nachvollziehbar festzuhalten.

Was bedeutet das für Unternehmen?

Schweizer Unternehmen sollten sich bewusst sein, dass sie mit einer DSGVO-konformen Lösung automatisch auch den EDÖB-Anforderungen entsprechen. Wer jedoch nur in der Schweiz tätig ist, kann theoretisch eine etwas pragmatischere Cookie-Strategie fahren – sollte aber damit rechnen, dass eine stärkere Angleichung an die EU-Regeln künftig möglich ist.

Herausforderungen für die Praxis

Viele Unternehmen stehen nun vor einem Dilemma: Datenschutzkonforme Consent-Management-Systeme reduzieren oft die Menge an gesammelten Daten und damit die Effektivität von Werbekampagnen. Gleichzeitig wird es riskanter, sich nur auf bestehende Marktpraktiken zu verlassen, da der EDÖB eine klarere Durchsetzung anstrebt.
Besonders in der Finanzbranche, die mit sensiblen Daten arbeitet, gelten erhöhte Anforderungen an Transparenz und Datenschutz.

Fazit: Mehr Klarheit, aber auch mehr Verantwortung

Der neue Leitfaden bringt keine grundlegend neuen Regeln, aber eine präzisere Kommunikation und eine stärkere Betonung der Eigenverantwortung. Werbetreibende müssen ihre Cookie-Strategien überdenken, um Datenschutzrichtlinien einzuhalten, ohne dabei auf wertvolle Daten zu verzichten.
Adisfaction – Annex unterstützt Unternehmen dabei, datenschutzkonforme und zugleich effektive Werbestrategien zu entwickeln.