Cookie-Banner als Compliance-Minenfeld
Cookie-Banner sind längst mehr als lästige Klick-Hürde – sie haben sich zu einem scharfen Prüfstein für Datenschutz-Compliance entwickelt, der Unternehmen in Europa schnell in gefährliche Haftungssphären bringen kann.
Wir alle kennen es: Das mehr oder weniger lästige «Wegklicken» von Cookie-Optionen. Was für Besucherinnen und Besucher von Websites zur Gewohnheit geworden ist, bedeutet für die Betreiber dieser Seiten einen nicht unerheblichen Aufwand. Und rechtlich sind Cookies alles andere als trivial, wie ein Experte nachfolgend erläutert – erst recht, weil man sich im Internet schnell auf internationaler Ebene bewegt.
Ein Minenfeld jenseits der DSGVO
Viele Unternehmen unterschätzen laut dem deutschen Datenschutzanwalt Asmus Eggert, dass Cookie-Verstösse häufig nicht primär über die DSGVO, sondern über ePrivacy-Regelungen und deren nationale Umsetzungen verfolgt werden – ohne One-Stop-Shop-Schutzschirm. Damit kann praktisch jede nationale Aufsichtsbehörde zuständig sein, sobald auf Endgeräte von Nutzerinnen und Nutzern in ihrem Hoheitsgebiet zugegriffen wird, unabhängig von einer lokalen Niederlassung. Wer sich in trügerischer Sicherheit wiegt, riskiert parallel geführte Verfahren in mehreren EU-Staaten.
Technische Non-Compliance als Hauptproblem
Das zentrale Risiko liegt nach Eggert in der Diskrepanz zwischen rechtlichen Vorgaben und der tatsächlichen Funktionsweise der Website. Häufige Fehler sind das Setzen nicht notwendiger Cookies vor einer wirksamen Einwilligung, unzureichend informierte Einwilligungstexte sowie technisch fehlerhafte oder nur scheinbar wirksame «Alles ablehnen»-Buttons. Hinzu kommen falsch konfigurierte Consent-Management-Tools, die nach Updates unbemerkt in die Non-Compliance rutschen und so über Nacht ein Bussgeldrisiko erzeugen.
Verantwortung bleibt beim Seitenbetreiber
Der Verweis auf den Consent-Management-Anbieter hilft im Ernstfall nicht, denn rechtlich verantwortlich bleibt immer der Websitebetreiber. Probleme resultieren in der Praxis selten aus dem Tool selbst, sondern aus fehlerhafter Implementierung, falscher Kategorisierung von Cookies und fehlender regelmässiger Kontrolle. Eggert empfiehlt daher technische Funktionsprüfungen, dokumentierte Änderungen sowie klare Zuständigkeiten zwischen Datenschutz, IT und Marketing.
Transparenz statt Dark Patterns
Transparenz ist nach Eggert keine Kür, sondern Pflicht: Nutzer müssen klar erkennen können, welche Zwecke verfolgt werden, welche Drittanbieter eingebunden sind und wie lange Daten gespeichert werden. Erforderlich sind verständliche Zweckbeschreibungen, vollständige Drittanbieterlisten, gleichwertig gestaltete Zustimmungs- und Ablehn-Buttons auf der ersten Ebene sowie eine jederzeit einfache Widerrufsmöglichkeit. Gestaltungen, die durch versteckte Ablehnoptionen oder visuell dominierende Zustimmungsbuttons zur Einwilligung drängen, können als unzulässige Dark Patterns die Freiwilligkeit der Einwilligung infrage stellen.
Hohe Bussgelder und globaler Umsatzbezug
Die Sanktionsrisiken sind erheblich: In vielen Staaten knüpfen die ePrivacy-Bussgeldregime an den aus dem Wettbewerbsrecht bekannten Unternehmensbegriff an, sodass der weltweite Konzernumsatz relevant werden kann. Während der deutsche Rahmen für bestimmte Cookie-Verstösse formal auf 300.000 Euro begrenzt ist, erlauben andere Länder wie Frankreich, Spanien oder Italien deutlich höhere Beträge bis hin zu neunstelligen Summen oder dem vollen DSGVO-Bussgeldrahmen. Besonders für internationale Plattformen kann dies schnell existenzielle Dimensionen annehmen.
Drei Massnahmenblöcke für mehr Sicherheit
Eggert rät Unternehmen zu einem strukturierten Dreiklang aus technischer Analyse, inhaltlicher Überarbeitung und Governance. Zunächst sollte im Detail geprüft werden, welche Cookies, Skripte und Tracking-Technologien wann und in welchen Entscheidungsszenarien aktiv werden und ob Nutzerentscheidungen konsistent respektiert werden. Darauf folgen klar formulierte Bannertexte, vollständige Listen von Drittanbietern, ein gleichwertig platzierter Ablehnen-Button und eine Consent-Architektur, die echte Wahlfreiheit ermöglicht – unterstützt durch eine Plattform, aber flankiert von juristischer und technischer Kontrolle.
Laufende Governance als Pflichtprogramm
Abschliessend fordert Eggert einen dauerhaften Prüf- und Kontrollprozess, damit neue Tools oder Relaunches nicht unbeabsichtigt zu Verstössen führen. Wer gegenüber Aufsichtsbehörden ein ernsthaft gelebtes Prüf- und Dokumentationssystem nachweisen kann, steht im Verfahren deutlich besser da – wer Cookie-Banner dagegen als einmalige technische Pflichtübung behandelt, sitzt auf einer «tickenden Zeitbombe» der Compliance.
Quelle: mip Consult
Cookie-Regelungen in der Schweiz
Die Cookie-Regulierung war bis vor Kurzem in der Schweiz noch nicht so eindeutig wie in der EU. Deshalb hat 2025 der EDÖB 2025 neue Leitlinien für das Setzen von Cookies veröffentlicht. Diese Leitlinien bedeuten eine Verschärfung der Regularien und eine Anpassung an die Rechtslage in der EU.
Nach revidiertem Schweizer Datenschutzgesetz (DSG) und Fernmeldegesetz (FMG) sind Cookies grundsätzlich zulässig, solange Nutzer transparent über Art, Zweck und Widerspruchsmöglichkeiten informiert werden und ihre Persönlichkeitsrechte nicht verletzt werden. Notwendige Cookies dürfen ohne Einwilligung eingesetzt werden, während für nicht notwendige Cookies strengere Anforderungen gelten: Je nach Risiko genügen ein Opt-out oder eine auf berechtigte Interessen gestützte Rechtfertigung, bei Profiling mit hohem Risiko oder der Bearbeitung besonders schützenswerter Daten ist jedoch eine ausdrückliche Opt-in-Einwilligung mit klarer Information, Freiwilligkeit und Widerrufsmöglichkeit erforderlich.
Sanktionen richten sich primär gegen verantwortliche natürliche Personen; vorgesehen sind Bussen bis zu 250.000 CHF, in einfacheren Fällen bis 50.000 CHF, wenn die Ermittlung der konkret verantwortlichen Person unverhältnismässig wäre. Zusätzlich drohen aufsichtsrechtliche Massnahmen des EDÖB wie Anordnungen zur Anpassung oder Unterlassung bestimmter Tracking- und Cookie-Praktiken.
Quellen:
