Kolumne von Martin Steiger – Cookie-Banner nerven und doch sind sie fast überall. Kaum eine Website möchte auf Tracking mit Cookies verzichten. Das Problem: Die meisten Cookie-Banner sind nicht rechtskonform ausgestaltet.
Martin Steiger ist Anwalt für Recht im digitalen Raum und Mitgründer von Datenschutzpartner (Bild: Daniela Grünenwald)
Cookie-Banner gehen auf die EU-Cookie-Richtlinie von 2009(!) zurück. Wer Informationen im Browser von Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) speichern möchte, muss klar und umfassend informieren sowie die aktive und ausdrückliche Einwilligung («Opt-in«) einholen. Davon ausgenommen sind Cookies, die unbedingt erforderlich sind, um einen ausdrücklich gewünschten Dienst zur Verfügung stellen zu können, zum Beispiel für die Sprach-Auswahl oder den Warenkorb.
Die Erfolgs- und Reichweitenmessung mit Cookies – im Klartext: Tracking – gilt weder als unbedingt erforderlich noch gibt es viele Nutzer, die nach klarer und umfassender Information einwilligen, dass ihre Website-Nutzung von A bis Z erfasst wird. Viele Cookie-Banner enthalten einen Text wie «Durch die weitere Nutzung stimmen Sie der Verwendung von Cookies zu.» Dieser Text ist fast genauso nervig wie Cookie-Banner überhaupt, denn er stellt keine aktive und ausdrückliche Einwilligung dar. Der «Standardtarif» für derartige Cookie-Banner sind 30'000 Euro Busse, wenn man erwischt wird.
Die Wahrscheinlichkeit, für fehlende oder nicht rechtskonforme Cookie-Banner gebüsst zu werden, ist bislang gering. Wenn Tracking wirtschaftlich vorteilhaft eingesetzt wird, kann es sich deshalb lohnen, das Risiko einzugehen. Eine rechtssichere Alternative ist «Cookieless Tracking».
Wer sich für ein Cookie-Banner entscheidet, sollte es so ausgestalten, dass weder die EU-Cookie-Richtlinie offensichtlich verletzt noch die Intelligenz der Nutzerinnen beleidigt wird. Niemand glaubt, dass ein Text wie «Durch die weitere Nutzung schliessen Sie ein Abonnement für 50 Franken / Monat ab» funktioniert. Genauso wenig taugt ein Text dieser Art als Einwilligung für Cookies. Das gilt übrigens auch für irreführende Buttons, die bezwecken, dass Nutzer unbeabsichtigt ihre Einwilligung erteilen.
In der Schweiz versteckt sich die «Cookie-Richtlinie» im Fernmeldegesetz (FMG). Demnach genügt es, über Cookies zu informieren und auf eine «Opt-out»-Möglichkeit hinzuweisen. Dafür kann die Datenschutzerklärung, die sowieso vorhanden sein sollte, verwendet werden. Ein Cookie-Banner im europäischen Sinn ist nicht erforderlich gemäss schweizerischem Recht.
Autor: Lic. iur. HSG Martin Steiger ist Anwalt und Mitgründer von Datenschutzpartner. Er ist auf Recht im digitalen Raum spezialisiert und befasst sich insbesondere mit Datenschutzrecht. Er unterrichtet unter anderem am Schweizerischen Institut für Betriebsökonomie (SIB).
Magazin kostenlos abonnieren
Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.