Martin Steiger, gemäss einer aktuellen Umfrage (persoenlich.com berichtete) sind Dreiviertel der Befragten in der Schweiz ob der omnipräsenten Cookie-Banner auf Websites genervt. Nun wären solche Hinweise hierzulande gesetzlich gar nicht nötig. Warum sieht man sie trotzdem?
Der vermutlich häufigste Grund: Website-Betreiber sehen Cookie-Banner bei anderen Websites und kennen die Rechtslage in der Schweiz nicht. Das Ergebnis ist «Copy and Paste», wie bei vielen rechtlichen Themen auf Websites.
Gibt es noch andere Gründe?
Manche Unternehmen glauben fälschlicherweise, mit einem Cookie-Banner die informationelle Selbstbestimmung zu fördern. Und schliesslich erweckt selbst Google neuerdings den Eindruck, Cookie-Banner seien für Google Analytics und Google Ads gemäss der EU Consent User Policy immer erforderlich, was nicht stimmt. In meiner Anwaltstätigkeit und bei der Datenschutzpartner Academy sind Fragen und Irrtümer zu Cookies, Einwilligungen und den Spielregeln von Google ein Dauerbrenner.
Cookie-Banner schaffen aber auch Transparenz und informieren darüber, mit wem ein Website-Betreiber Informationen teilt. Ist das nicht positiv zu werten aus Sicht der User?
Für die notwendige und wichtige Transparenz sorgt die gesetzliche Informationspflicht. Die Information erfolgt durch die Veröffentlichung einer Datenschutzerklärung auf der Website. Darüber hinaus verfügen Nutzer über ein Auskunftsrecht über die Bearbeitung ihrer Daten.
«Datenschutzerklärungen werden in erster Linie von Aufsichtsbehörden und Fachpersonen gelesen»
Aber die neueren Banner listen doch detailliert auf, was mit meinen Daten geschieht.
Ein Cookie-Banner hat in erster Linie den Zweck, Einwilligungen einzuholen. Allein für Transparenz ist kein Cookie-Banner erforderlich. Die Erfahrung zeigt übrigens, dass Transparenz gewünscht wird, aber Datenschutzerklärungen in erster Linie von Aufsichtsbehörden und Fachpersonen gelesen werden.
Was auffällt: Die meisten Cookie-Banner verstecken die Option, Cookies grundsätzlich abzulehnen, und verleiten einen stattdessen, auf «alle akzeptieren» zu klicken. Warum diese Alibiübung?
Website-Betreiber fürchten – zu Recht! –, dass die Nutzer nicht Ja sagen, wenn sie direkt Nein sagen können. Wenn die Nutzer allerdings keine echte Wahl haben, sind die Einwilligungen in vielen Fällen nicht rechtswirksam. Die betreffenden Unternehmen schaden sich mit diesem Vorgehen gleich doppelt: Sie erhalten nicht die gewünschte Rechtssicherheit und verärgern einen grossen Teil der Besucher ihrer Website. Immer wieder stosse ich sogar auf Fake-Cookie-Banner, das heisst, sie funktionieren – mit Absicht oder aus Versehen – gar nicht.
In der EU sind Cookie-Banner Pflicht. Jede Schweizer Website kann auch in der EU aufgerufen werden. Ist es daher nicht auch verständlich, wenn sich Schweizer Website-Betreiber für den strengeren Standard entscheiden?
Das ist verständlich, aber nicht immer zu Ende gedacht. Gerade Unternehmen im E-Commerce verspielen Umsatz mit Kunden aus der Schweiz, denn die Conversion-Rate leidet unter einem Cookie-Banner. Wenn die Cookie-Banner funktionieren, verlieren sie auch Tracking-Möglichkeiten. Ferner werden viele Website-Besucher verärgert. Auch können die häufig eingesetzten Consent-Management-Plattformen zwischen Website-Besuchern aus der Schweiz und dem übrigen Europa unterscheiden. Ich sehe im exzessiven Einholen von Einwilligungen ohnehin keinen erstrebenswerten Standard.
«Die Nutzer werden gezwungen, Verantwortung zu übernehmen, die sie gar nicht übernehmen können»
Warum nicht?
Wenn Nutzer beispielsweise eine Medien-Website besuchen, wollen sie – das ist erfreulich! – journalistische Inhalte konsumieren. Sie wollen nicht Rechtstexte lesen und einen Freipass für die Weitergabe ihrer Daten an Hunderte von «Partnern» in aller Welt erteilen müssen. Die Nutzer werden gezwungen, Verantwortung zu übernehmen, die sie gar nicht übernehmen können.
Was wäre aus Ihrer Sicht ein sinnvolles und zweckmässiges Vorgehen?
Am Anfang sollte immer die Frage stehen: Können wir unsere Website derart datensparsam gestalten, dass selbst nach europäischem Recht kein Cookie-Banner erforderlich ist? Tracking ist in vielen Fällen auch datensparsam möglich. In der Schweiz gibt es mit Fusedeck und Friendly Analytics zwei bekannte Anbieterinnen. Falls ein Cookie-Banner benötigt wird, zum Beispiel aufgrund der Verwendung von Google AdSense für Werbung von Dritten, sollten sich Website-Betreiber folgende Fragen stellen: Wie holen wir rechtswirksame Einwilligungen nach europäischem Standard, nämlich informierte, freiwillige und ausdrückliche Einwilligungen ein? Wie kommunizieren wir offen und überzeugend, wofür wir Einwilligungen benötigen? Solches «Legal Copywriting» kann sich lohnen. Und schliesslich: Müssen wir unsere schweizerischen Website-Besucher wirklich mit einem unnötigen Cookie-Banner nerven?
Was an den Ergebnissen der eingangs erwähnten Umfrage auffällt: Viele Befragte gehen davon aus, dass Cookie-Banner in der Schweiz obligatorisch wären. Wie erklären Sie sich dieses Unwissen?
Wer eine Website besucht, wird ständig mit einem Cookie-Banner belästigt, auch in der Schweiz. In der Folge kamen viele Befragte vermutlich nicht auf die Idee, dass die Cookie-Banner von Unternehmen und Organisationen freiwillig eingesetzt werden.
Ebenfalls auffällig: Je älter, desto besser informiert sind die Leute über die Rechtslage bezüglich Cookie-Banner. Was lesen Sie aus diesem Ergebnis?
Recht und Wirtschaft sind Themen, die in Schule und Studium nicht oder ungenügend vermittelt werden. In der Folge eignen sich viele Menschen das entsprechende Wissen, wenn überhaupt, erst im Lauf der Zeit an. Die meisten jungen Menschen haben verständlicherweise auch andere Prioritäten als sich mit Cookie-Bannern zu befassen. Dafür sind sie beim reflexartigen Wegklicken von Cookie-Bannern wesentlich flinker.
«Die Information muss den Nutzern aber nicht aufs Auge gedrückt werden»
Das eine sind die Cookie-Banner, das andere die Cookies selbst. Wenn das schweizerische Gesetz keinen Hinweis auf diese Art des User-Trackings fordert, heisst das dann auch, dass sie eigentlich gar nicht so problematisch ist?
Das schweizerische Recht kennt ebenfalls eine Cookie-Richtlinie, die aber das genaue Gegenteil der europäischen Richtlinie darstellt: Die Website-Besucher müssen über Cookies informiert werden, normalerweise als Teil der Datenschutzerklärung. Und es muss ein Widerspruch gegen Cookies möglich sein, normalerweise mit den Cookie-Einstellungen direkt im Browser. Diese Regelung findet sich im Fernmeldegesetz. Generell gilt im schweizerischen Datenschutzrecht, dass Einwilligungen die grosse Ausnahme sind. Der Grundsatz ist die Information mit einer Möglichkeit, widersprechen zu können. Die Information muss den Nutzern aber nicht aufs Auge gedrückt werden, sondern kann über die Datenschutzerklärung erfolgen. Die schweizerische Lösung ist differenziert und pragmatisch.
Wie zeigt sich das?
Die schweizerische Cookie-Richtlinie geht richtigerweise davon aus, dass Cookies nur ausnahmsweise schädlich sind. Es gibt gute Gründe, den Erfolg und die Reichweite von Onlineangeboten und Werbung messen zu wollen. Das Gleiche gilt gemäss dem schweizerischen Datenschutzrecht für die alltägliche Bearbeitung von Personendaten. Wir leben im Informationszeitalter!
Nun hat man in den letzten Jahren immer wieder gehört, dass Cookies verschwinden würden – was aber offensichtlich nicht der Fall ist. Was ist da die rechtliche und technische Situation?
In erster Linie möchte Google auf Cookies verzichten. Mit Android und dem Chrome-Browser sowie mit Werbung in Apps und auf Websites kommt Google auch ohne Cookies an die benötigten Daten heran. Viele andere Anbieter von Lösungen für die Erfolgs- und Reichweitenmessung sowie für Werbung gehen davon aus, Cookies zu benötigen, um möglichst unabhängig von Google zu bleiben. Der rechtliche Spielraum wird aber für alle immer enger: Datenschutz-Aufsichtsbehörden in Europa verhängen zunehmend Bussen wegen nicht rechtskonformer Cookie-Banner. Die Behörden können auf die strenge Rechtsprechung des Europäischen Gerichtshofs (EuGH) verweisen. Wer Cookies einsetzen muss oder einsetzen möchte, sollte sich deshalb in jedem Fall fragen, wie eine möglichst nutzerfreundliche und rechtskonforme Umsetzung erfolgen kann. Wer Risiken bei der Compliance eingeht, muss darauf vorbereitet sein, dass sich Risiken manifestieren. Ein einziger Datenschutz-Troll kann mit seinen Klagen ein Unternehmen während Jahren und in zahlreichen Verfahren auf Trab halten.