Zuerst ein Disclaimer: wir bieten in diesem Blog-Beitrag keine Rechtsberatung an. Wir stellen fest, dass unsere Interpretationen des neuen Schweizer Datengesetzes und verwandten Bestimmungen, z.B. die der EU oder Deutschlands fehlerhaft sein können. Alles, was wir hier schreiben, ist deshalb ohne Gewähr. Bei Fragen empfehlen wir einen ausgewiesenen Juristen hinzuzuziehen.
Das Beitragsbild stammt von einem KI-Bildergenerator (craiyon), mit der Eingabe «painting about data privacy in the style of georgia o’keeffe». 🙂
Dieser Beitrag ist aus der Warte der Webhoster und Webdienstleister geschrieben, die schlussendlich für die Websitebetreiber neue gesetzliche Vorschriften zu Datenschutz betreffend Web technisch umsetzen.
Zuerst einmal: Worum geht es? Economiesuisse bietet eine Übersicht:
Datenschutz: Eine Übersicht zum neuen Gesetz
Wer es möchte, das neue Gesetz gibt es als PDF-Datei hier zum Runterladen: https://www.fedlex.admin.ch/eli/fga/2020/1998/de.
Wir fragen ganz simpel: was muss ein Website-Betreiber in der Schweiz per 1. September 2023 neu machen, was sie oder er nicht schon bereits seit der Einführung der DSVGVO macht?
Vieles, was oben Economiesuisse erwähnt, ist bei WordPress-betriebenen Websites standardmässig eingebaut seit Einführung der DSGVO: z.B. eine Vorlage für die Datenschutzerklärung, die technische Umsetzung des Rechts auf Auskunft über die Bearbeitung seiner Personendaten, auch das Löschen aller Nutzerdaten auf Anfrage.
DSG fast wie die DSGVO, aber was ist mit dem leidigen Cookie-Banner?
Was man als Webbesucher auf Schweizer Sites seit Einführung der DSVGO beobachten konnte: Websites verfügen zwar über eine Datenschutzerklärung (sollten alle haben, auch ein Impressum natürlich), aber eher zufällig wurde ein Cookie-Banner angezeigt, um die Zustimmung z.B. von Cookies für Google Analytics (GA ist ein Thema für einen späteren Artikel) einzuholen.
Als kurzer Einschub soll nicht unerwähnt bleiben, dass Cookie-Banners aus Gründen der Nutzerfreundlichkeit selbstverständlich bedenklich sind. In einer Umfrage von 2020 in Deutschland erklärten 63 % der befragten Nutzer, dass sie sich von den Banners genervt fühlen. Eigentlich schade. Die EU-Behörden wollten den Nutzern etwas Kontrolle über ihre Webdaten zurückgeben (oder sogar geben?), haben leider aus Sicht der «Usability» ein Monster geschaffen, das immer mehr nervt, auch weil es keine Standards gibt, wo auf einer Seite genau das Banner erscheinen sollen. Wir haben Beispiele gefunden, wo ohne einen Klick gar nichts geht auf der Website. Total blockiert.
Aus unserer Sicht werden in der Schweiz mehrheitlich Cookie-Banners nur eingebaut bei Firmen-Websites, die eindeutig eine Ausrichtung in die EU-Länder aufweisen. Websites, die lokal agieren und keine EU-Webbesucher möchten, ignorieren in der Regel das Problem «Cookie-Banner».
admin.ch (bekanntlich unsere Bundesbehörden-Website) betreibt ein FAQ als PDF zum Thema Datenschutzrecht:
Unter Punkt 4.2 Welche Bedeutung hat die Datenschutz-Grundverordnung der EU für die Schweiz? steht Folgendes:
Allerdings gilt die EU-Datenschutz-Grundverordnung auch für Unternehmen in der Schweiz, wenn sie Personen in der EU Waren oder Dienstleistungen anbieten oder wenn sie das Verhalten von Personen in der EU beobachten. (Hervorhebung durch uns). Zudem ist es für die Schweiz wichtig, dass sie von der EU auch unter der Datenschutz-Grundverordnung weiterhin als Drittstaat mit einem angemessenen Datenschutzniveau anerkannt wird.
Zufällig könnten Besucher aus dem EU-Raum deine Schweizer Website finden und weiter könntest du als Firma diese unbeabsichtigt beobachten bzw. deren Daten sammeln. Das Risiko einer Abmahnung aus der Abmahnungshölle Deutschland ist in diesem Fall zwar klein aber nicht gleich null.
Was ist jetzt mit dem Cookie-Banner? Brauch ich es? Ja, nein, jein?
Die in der WordPress-Szene bekannte Steiger Legal Anwaltskanzlei schreibt auf ihrer Site:
Neues Datenschutzgesetz: Keine Cookie-Banner in der Schweiz
Martin Steiger sagt klar, dass das neue Datenschutzgesetz das Cookie-Banner nicht obligatorisch mache. Die Schweiz übernehme nicht die EU-Cookie-Richtlinie.
Er zitiert Art. 7 «Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen», Absatz 3:
«Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Herr Steiger sagt, dass aus dem obigen Absatz fälschlicherweise ein Obligatorium für Cookie-Banner abgeleitet werde. Ein Schweizer Wirtschaftsverband tue es trotzdem in einem Merkblatt (leider wissen wir nicht welchen Verband er meint).
Es ist schade, finden wir, dass das neue Gesetz nicht klarer ist. Übrigens: in Deutschland ist das anders. Dort gibt es zusätzlich zur EU-Cookie-Richtlinie seit 1. Dezember 2021 (Inkraftsetzung) ein neues Gesetz: das TTDSG, oder «Telekommunikation-Telemedien-Datenschutz-Gesetz». Dort wird unter § 25 «TTDSG «Schutz der Privatsphäre bei Endeinrichtungen» genau das definiert, was wir von einem Cookie-Banner erwarten, in Absatz 1:
Die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, sind nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat. Die Information des Endnutzers und die Einwilligung haben gemäß der Verordnung (EU) 2016/679 zu erfolgen.
Und die oben erwähnte Verordnung ist die im Volksmund genannte «EU-Cookie-Richtlinie». So schliesst sich der Kreis. Irgendwie.
Martin Steiger kommt zum Fazit, dass sich die Cookie-Richtlinie weiterhin im Fernmeldegesetz unter Art. 45c befindet:
«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»
Deshalb genüge es, die Nutzerin zu informieren, dass Cookies im Rahmen der Datenschutzerklärung verwendet werden und dass diese im Browser blockiert oder gelöscht werden können. Eine Einwilligung muss nicht eingeholt werden.
Noch am Rande ganz unten erwähnt er, dass die Nutzung einer Website rechtlich dem Websitebetreiber keine Einwilligung zur Verwendung von Cookies darstellt, obschon das in vielen «lite»-Versionen von Cookie-Banners gerade in der Schweiz suggeriert wird.
Welche Möglichkeiten hat der Schweizer Website-Anbieter? Wir sehen zwei: ein gutes Cookie-Banner gemäss bereits bewährten DSGVO-Standards (für die EU-Besucher) oder über IP-Blocking (IP-Nummer) EU-Besucher vom Webbesuch ausschliessen
Kleinfirmen, die wirklich, auch gar nichts mit EU zu tun haben, 100 % lokal agieren, können vielleicht das Risiko eingehen, kein Cookie-Banner einzurichten.
Unsere Empfehlung wäre hier (rechtlich selbstverständlich ohne Gewähr) von Fall zu Fall zu entscheiden, ein zusätzliches IP-Blocking einzubauen (was nicht schwer ist), damit nur IP-Nummern aus der Schweiz die Website erreichen können.
Das macht Sinn, wenn wirklich alle Webinhalte nur für Schweizer, also lokale Besucher, interessant sind. Das hätte möglicherweise auch den angenehmen Nebeneffekt, dass weniger Spam-Besucher, Spam-Bots usw. ihre Site erreichen können, die nur unnötig Server-Ressourcen verschlingen.
Allen anderen Website-Betreibern empfehlen wir klar Cookie-Banners einzurichten. Wenn Sie hier Hilfe benötigen, kontaktieren Sie uns.
Hat dir der Beitrag gefallen?
Verwandte Beiträge
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «painting in the style of Paul Gauguin about privacy».
Das Beitragsbild wurde durch DALL-E erstellt. Eingabeprompt war: «an impressionsist oil painting in the style of henri matisse about privacy».
Das Beitragsbild (wie für alle Beiträge 2023) wurde durch DALL-E erstellt. Eingabeprompt war: «a painting in the style of georgia o'keeffe of a twitter bird icon».
Danke für Ihre Stellungnahme. Frage:
Wäre es möglich nur IP-Adressen aus dem Ausland mit dem Cookie-Banner zu bedienen?
Hallo! Ja, die meisten Pro-Versionen von Cookie-Banner-Plugins für WordPress bieten das, z.B. das hier: https://wordpress.org/plugins/real-cookie-banner/. Wir versuchen in Kürze mal eine Zusammenfassung der besten Plugins zu machen.
Hallo
ist diese Art von IP-Blocking nicht vollautomatisiertes Profiling, also «Profiling mit hohem Risiko» und deshalb verboten? Schliesslich wird anhand des Aufenthaltsorts der Person – dieser kann sehr wohl auch falsch in der IP-Datenbank sein – entschieden, das sie sich über die Webseite nicht informieren darf.
Hallo Klaus!
Da wir keine Anwälte sind und keine Rechtsberatung bieten, können wir das nicht klar beurteilen: https://datenrecht.ch/ueberlegungen-zum-profiling-mit-hohem-risiko/:
«Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt».
Aus der Begründung im Zitat denken wir nicht, dass eine blosse IP-Nummer einem «Profiling» entspricht. Wie weit aber das Blockieren eines Users über seine IP-Nummer legal ist, ist natürlich eine andere Frage. Routinemässig werden ja seit fast immer IPs, die sich nicht als echte Nutzer aufführen (z.B. fake Suchmaschinenbots) blockiert.
Als Beispiel wie GoDaddy das macht: https://in.godaddy.com/help/block-access-from-countries-by-using-the-firewall-41647