Die Post-Cookie-Ära
Wer kennt das nicht: Bei jedem Website-Besuch grüsst der Cookie-Banner. Mit der Einführung neuer Datenschutzbestimmungen kommen immer häufiger Alternativen zum Einsatz, die Tracking ohne Cookies ermöglichen. Diese sind aber mit Vorsicht zu geniessen.
Ein Cookie ist eine kleine Textdatei, die über eine Website auf dem Computer oder einem anderen Gerät gespeichert wird. Sie ermöglicht, die Nutzerpräferenzen (z.B. die Sprache) zu speichern, das Nutzererlebnis zu verbessern und das Verhalten der User auf der Website zu analysieren. Es gilt zwischen sogenannten First Party Cookies (die der Betreiber der Website selbst einsetzt) und Third Party Cookies (mithilfe derer Dritte wie etwa Ad-Tech-Anbieter Daten erheben) zu unterscheiden. Cookies können Personendaten enthalten oder durch Verknüpfung zu Personendaten werden.
Cookie-Alternativen
In der Schweiz und dem EWR wird verstärkt auf den Schutz der Privatsphäre und den Umgang mit Personendaten geachtet. Insbesondere sehen die Datenschutz-Grundverordnung (DSGVO) und die E-Privacy-Richtlinie der EU strenge Vorschriften vor. Das Schweizer Recht ist zwar nicht deckungsgleich mit dem EU-Recht, doch nähert es sich mit Blick auf das am 1. September 2023 in Kraft getretene revidierte Datenschutzgesetz (revDSG) diesem in gewissen Teilen an.
Die wachsenden Bedenken der Nutzerinnen und Nutzer, die immer restriktivere Regulierung und das Interesse der Browserhersteller an der Unterbindung von Third Party Cookies haben die Suche nach "Cookieless-Alternativen" beflügelt. Dabei handelt es sich um Technologien, mit denen sich das Verhalten von Usern im Internet ohne Cookies analysieren lässt, wie etwa mittels "Device Fingerprinting". Bei dieser Technologie werden einzelne, einzigartige technische Eigenschaften und Einstellungen, die jedes Endgerät aufweist, ausgelesen (z. B. Betriebssystem, Browser-Einstellungen, Sprache). All diese Informationen ergeben einen individuellen Fingerabdruck des Geräts. Mithilfe eines Algorithmus werden diese Daten in Form einer ID (sog. "Fingerprint") gespeichert, sodass der Nutzer bei einem erneuten Aufruf der Website wiedererkennbar ist.
Schweizer Recht
Die schweizerische (Cookie/Tracking-)Regelung geht aus dem Fernmeldegesetz (FMG) hervor. Nach Art. 45c lit. c FMG ist "das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung erlaubt, wenn die Nutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können". Das Tracking in der Schweiz ist demnach grundsätzlich einwilligungsfrei erlaubt, solange der Nutzer nicht von seinem Ablehnungsrecht Gebrauch macht oder auf Tracking-Methoden gesetzt wird, bei denen keine Personendaten anfallen. Nach Schweizer Recht genügt es, selbst bei der Bearbeitung von Personendaten mittels Cookies, die Informationen und das Ablehnungsrecht in der auf der Website abrufbaren Datenschutzerklärung zur Verfügung zu stellen; ein zusätzlicher Cookie-Banner ist nicht erforderlich. Das revDSG verpflichtet in Art. 7 Abs. 3 den Verantwortlichen neu, mit Voreinstellungen die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass zu beschränken, soweit die betroffene Person nichts anderes bestimmt. Aus dieser Bestimmung wird teilweise ein Obligatorium für Cookie-Banner abgeleitet. Eine solche Schlussfolgerung ist unserer Ansicht nicht richtig: Es steht einem Verantwortlichen zwar frei, dem User mehrere Cookie-Optionen zur Verfügung zu stellen. Tut er dies und sind die Cookies Personendaten, dann – und nur dann – muss die Voreinstellung aufgrund der neuen Bestimmung die am wenigstens weitgehende Einstellung vorsehen. Bietet der Verantwortliche dem User aber gar keine Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung an oder fragt er ihn, bevor ein Cookie gesetzt wird, so kann er bereits begriffslogisch keine Voreinstellungen vornehmen und die Pflicht greift nicht. Das neue Gesetz ändert also nichts: es gibt für Websites, die auf Besucherinnen und Besucher in der Schweiz ausgerichtet sind, keine Cookie-/Tracking-Banner-Pflicht seit September 2023, und auch keine Pflicht, dass etwa ein Kästchen auf einem Einwilligungsbanner nicht schon vorangekreuzt sein darf.
Zurück zur Tracking-Bestimmung von Art. 45c FMG. Diese wurde bewusst technologieneutral ausgestaltet und erfasst nur Fälle, bei denen erstens eine vom Datenbearbeiter gesteuerte Bearbeitung von Personendaten stattfindet, zweitens der Datenbearbeiter sich für die Datenbearbeitung eines Geräts bedient, das nicht ihm zuzurechnen ist, und drittens dieses Gerät von jener Person benutzt wird, über die Personendaten bearbeitet werden.
Dies bedeutet, dass allein der Umstand, dass das Tracking nicht mittels Cookies, sondern eines Alternativverfahrens erfolgt, nicht genügt, um sich der Informationspflicht und der Pflicht zur Ablehnungsmöglichkeit nach Art. 45c FMG zu entziehen. Die Aussage, ein Tracking sei "cookieless" und daher zulässig, stimmt also nicht. Es ist aber denkbar, dass das Tracking-Verfahren gar nicht unter Art. 45c FMG fällt, so etwa, wenn die Datenbearbeitung nicht vom Datenbearbeiter gesteuert wird, sodass es unter Umständen gar keiner Ablehnungsmöglichkeit bedarf. Kurzum: Ausschlaggebend ist nicht die Bezeichnung der Technologie, sondern ihre Ausgestaltung im Einzelfall. Die Ablehnungsmöglichkeit kann im Schweizer Recht sehr viel einfacher als im EU-Recht realisiert werden, beispielsweise durch den Hinweis auf die entsprechende Einstellung im Browser. Viele Website-Betreiber wählen allerdings heute eine benutzerfreundlichere Methode und bieten direkt auf der Website eine entsprechende Widerspruchsmöglichkeit an.
Beim Tracking von Personendaten gilt es zudem zu beachten, dass neben dem FMG auch das Datenschutzgesetz (DSG) zur Anwendung kommt. In diesem Fall ist insbesondere bei Datenbekanntgaben an Dritte und ins Ausland sowie bei besonders weitgehendem Tracking die Rechtmässigkeit der Datenbearbeitung sowie die Notwendigkeit einer Einwilligung gemäss DSG genauer zu prüfen.
Europäisches Recht
Gemäss E-Privacy-Richtlinie ist die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits auf dem Endgerät eines Nutzers gespeichert sind, nur nach klarer und informierter Einwilligung erlaubt, ausser es handelt sich um technisch notwendige Daten, um den gewünschten Dienst zur Verfügung zu stellen. Im Unterschied zur Schweiz, wo ein anonymes Tracking gar nicht geregelt und ein Tracking mit Personendaten so lange rechtmässig ist, bis der Nutzer Widerspruch erhebt ("Opt-out"), bedarf es in den EU-Ländern somit im Vorfeld immer einer ausdrücklichen, aktiven und freiwilligen Einwilligung ("Opt-in"), selbst bei anonymem Tracking.
Da es sich um eine Richtlinie handelt, ist jedes EU-Mitglied für deren Umsetzung selbstständig verantwortlich, sodass die Umsetzung zwischen den EU-Ländern variieren kann. Insbesondere bestehen unterschiedliche Ansichten über die Notwendigkeit einer Einwilligung bei Cookieless-Tracking-Methoden wie etwa bei der Fingerprinting-Technologie. Auch hier zeigt sich, dass für die Frage einer möglichen Banner-Pflicht nicht die Bezeichnung der Technologie, sondern vielmehr die effektive Ausgestaltung und Rechtslage im jeweiligen Land entscheidend ist. Möchte ein Unternehmen auf Nummer sicher gehen und Risiken minimieren, kann es der Einfachheit halber sinnvoll sein, dennoch eine Einwilligung einzuholen. In der EU wird zudem aktuell an der E-Privacy-Verordnung gearbeitet, die wiederum Neuerungen mit sich bringen wird.
Die Schweiz gehört zwar nicht zur EU. Bietet ein Schweizer Unternehmen aber Waren oder Dienstleistungen in der EU an oder beobachtet das Verhalten von Personen in der EU (etwa auf der Website), so kann es sein, dass es ebenfalls die Vorgaben der DSGVO und, bei entsprechender Ausrichtung der Website auf die EU, die E-Privacy Richtlinie zu berücksichtigen hat.