Im Beitrag Cookie-Banner in Schweizer Onlineshops 2022 haben wir beleuchtet, wie die 30 umsatzstärksten Schweizer Onlineshops Cookie-Banner verwenden.
Uns interessiert nicht nur, wie die Cookie-Banner effektiv verwendet werden, sondern auch wie sie denn richtigerweise verwendet werden müssten. Diese Fragen haben wir unserem Experten Netzwerk Mitglied Lukas Bühlmann gestellt.
[Carpathia] Benötigen Schweizer Onlineshops einen Cookie-Banner?
[Lukas Bühlmann] Das ist umstritten unter dem aktuell noch geltenden Schweizer Datenschutzrecht. Sofern der Onlineshop sich ausschliesslich an Schweizer Kunden richtet und in den Datenschutzinformationen transparent über den Einsatz von Cookies und den technischen Möglichkeiten, diese über den Browser abzulehnen informiert, vertreten gewisse Kollegen die Auffassung, dass es keinen Banner braucht. Wir sind der Ansicht, dass es zwar auch dann einen Banner braucht, dieser aber nur beim ersten Aufruf der Seite über den Einsatz von Cookies durch Link in die DSE (Datenschutzerklärung) aufklären muss. Sobald sich ein Schweizer Onlineshop auch an Kunden in der EU richtet, muss er die Cookie-Vorschriften der EU beachten.
[Cpta] Aufgefallen ist uns, dass Onlineshops, die nur in der Schweiz tätig sind, oftmals keinen Cookie-Banner haben, international tätige Unternehmen hingegen schon. Wie erklärst du dir das?
[LB] Das hat damit zu tun, dass die Ausrichtung auf ausländische Kunden grundsätzlich zur Anwendbarkeit der ausländischen Vorschriften am Wohnsitz der angesprochenen Kunden führt. Den erfahrenen international ausgerichteten Unternehmen ist dieser Grundsatz schon seit längerem bekannt und sie richten sich zwischenzeitlich danach.
[Cpta] Einige der Cookie-Banner sind Informationsbanner (Option «Schliessen» oder zu den «Datenschutzhinweisen»), wie beurteilst du diese?
[LB] Wie erwähnt entspricht diese Variante nach unserem Verständnis und Auslegung den aktuell geltenden relevanten Schweizer Vorschriften. Mit dem Inkrafttreten des revidierten Schweizer DSG am 1. September 2023 wird sich die Rechtslage auch in der Schweiz derjenigen in der EU angleichen.
[Cpta] Das Zulassen aller Cookies wird jeweils durch einen hervorgehobenen Call-to-Action forciert, daneben bietet sich die Möglichkeit, zu den Cookie-Einstellungen zu gelangen. Ist dies die gängige Praxis im internationalen Umfeld?
[LB] Hier wird das Thema Nudging angesprochen, also die Praxis der unbewussten Incentivierung einer gewünschten Handlung, vorliegend dem Akzeptieren aller Cookies. Diese Praxis ist zwar rechtlich nicht grundsätzlich unzulässig, sie ist aber heikel und bedarf immer einer genauen Prüfung der konkreten Ausgestaltung im Einzelfall. In diesem Zusammenhang sind insb. die beiden Prinzipien Privacy by Default und Privacy by Design relevant. Sie erfordern zum einen, dass die Standardeinstellungen grundsätzlich nur die technisch notwendigen Cookies zulassen und zum anderen, dass das Design der Interaktion mit den Usern so ausgestaltet sein sollte, dass es den User grundsätzlich einfach und verständlich darin unterstützt seine Privatsphäre zu schützen. Was dies in der Praxis dann genau bedeutet, ist natürlich ein weites Feld. Klar ist, dass die Ausgestaltung des Banners bei aufmerksamer Betrachtung nicht irreführend sein darf.
[Cpta] Über die Hälfte der Cookie-Banner verdeckt Informationen wie AGB oder Impressum, die erst zugänglich werden, nachdem der Cookie-Banner weg ist. Wie viel der Seite muss ohne das Annehmen von Cookies zugänglich sein?
[LB] Die Datenschutzinformationen müssen auf jeden Fall zugänglich sein, bevor Cookies akzeptiert werden und die Seite über diese Daten über den Nutzer erhebt. Entsprechend braucht es im Banner einen Link auf die Datenschutzerklärung. Eine bewusste Ausgestaltung in dem geschilderten Sinne dürfte bei mittlerweile doch vielen Internet-Usern einen unseriösen Eindruck hinterlassen und letztlich auch nicht im Interesse des Webseitenbetreibers sein.
[Cpta] Gibt es noch etwas Interessantes anzumerken zum Thema «Cookies», das du bisher noch nicht platzieren konntest?
[LB] Es laufen auf Europäischer Ebene seit längerem Bestrebungen die Vorschriften rund um Cookies und andere Tracking-Technologien zu revidieren und neu in der Form einer EU-Verordnung EU-weit einheitlich zu regeln. Das politische Seilziehen um diese neuen Vorschriften unter den verschiedenen Interessensverbänden und Mitgliedstaaten ist intensiv, weswegen sich diese Revision schon lange hinzieht. Klar scheint aber, dass die Tage der sog. Third-Party-Cookies zu Zwecken der Ausspielung personalisierter Werbung gezählt sind. Google hat erneut bekräftigt, auf seinen Browsern ab „zweiter Jahrehälfte 2024“ keine solche Werbe-Cookies mehr zuzulassen.
Lukas Bühlmann berät und vertritt schweizerische und internationale Klienten in den Bereichen IT-, E-Commerce-, Datenschutz- und Werberechts. Er verfügt über besonders breite Erfahrungen in der Beratung von Klienten, die im internationalen, grenzüberschreitenden E-Commerce tätig sind sowie in allen Bereichen des digitalen Handels und der Gestaltung von digitalen Geschäftskonzepten.
Beitragsbild: Cookie-Banner von ikea.ch
