Wegleitung Cookies Do’s & Don’ts nach Schweizer Recht (FMG/DSG/DSV, Stand EDÖB-Leitfaden 06.10.2025)

I.    Einleitung

Die vorliegende Wegleitung richtet sich grundsätzlich nach dem Leitfaden des EDÖB.

1.     Geltungsbereich

·         Beide Rechtsregime berücksichtigen:

o   Art. 45c FMG: Regelt jegliches Speichern und Auslesen von Informationen auf Endgeräten (Cookies, Pixel, Local Storage usw.), auch ohne Personenbezug.

o   DSG/DSV: Regelt die Bearbeitung von Personendaten, einschliesslich Profiling.

·         Im Zweifel Personenbezug annehmen: Wenn sich ein Personenbezug nicht mit Sicherheit ausschliessen lässt, ist die Bearbeitung als Personendatenbearbeitung zu behandeln.

2.     Kategorien

2.1  Technisch notwendige Cookies

Als notwendig gelten nur Cookies, die für den Betrieb oder die Sicherheit der Website unbedingt erforderlich sind (z.B. Session-/Warenkorb-Cookies in Onlineshops, Load-Balancing, Sicherheits- und Authentifizierungscookies).

Für technisch notwendige Cookies ist grundsätzlich kein Einwilligungs- oder Auswahl- Cookie-Banner  erforderlich. Die Information muss lediglich klar zugänglich sein (z. B. über einen Link in der Fusszeile oder in der Datenschutzerklärung) und spätestens zum Zeitpunkt der Setzung verfügbar sein.

2.2  Nicht notwendige Cookies

Nicht notwendig sind Cookies, die dazu dienen, das Erlebnis der Nutzenden beim Surfen auf der Webseite zu optimieren (Komfort, Analytics, Marketing/Ads, Third-Party). Nicht notwendige Cookies stellen regelmässig einen Eingriff in die Persönlichkeit dar und bedürfen daher eines Rechtfertigungsgrundes gemäss Art. 31 DSG sowie der Einhaltung von Art. 45c FMG.

II.  Do’s

1.     Verhältnismässigkeit

Jede Datenbearbeitung mittels Cookies oder ähnlicher Technologien muss verhältnismässig ausgestaltet sein:

·         Geeignetheit

o   Das eingesetzte Cookie muss objektiv geeignet sein, den angegebenen Zweck zu erreichen.

o   Der Zweck ist konkret und spezifisch zu definieren (genügend konkret ist z. B. „Reichweitenmessung“, nicht aber „Marketing“).

·         Erforderlichkeit (Datenminimierung)

o   Es dürfen nur diejenigen Daten bearbeitet werden, die für den festgelegten Zweck notwendig sind.

o   Mildere Mittel sind vorzuziehen, sofern sie den Zweck ebenfalls erreichen.

o   Die Speicherdauer ist auf das notwendige Minimum zu beschränken und zu dokumentieren.

o   Beispiele von Massnahmen zur Begrenzung der Datenbearbeitung auf das Erforderliche Mass sind:

§  IP-Adressen sind frühestmöglich zu anonymisieren oder zu kürzen.

§  Keine persistente Nutzer-ID, wenn eine sessionbasierte Lösung genügt.

§  Keine Cross-Site- oder geräteübergreifende Wiedererkennung ohne zwingenden Zweck.

·         Zumutbarkeit (Eingriffsintensität)

o   Die Bearbeitung darf die Persönlichkeitsrechte der betroffenen Personen nicht übermässig beeinträchtigen.

o   Zu berücksichtigen sind insbesondere:

§  Art der Daten (z. B. Identifikatoren, Bewegungsdaten),

§  Dauer und Persistenz (Session vs. langfristig),

§  Reichweite (First-Party vs. Third-Party),

§  Transparenz und Kontrollmöglichkeiten für die Nutzenden.

·         Praxisbeispiel:

Bei Onlineshops gelten Warenkorb-Cookies als notwendig und damit als verhältnismässig. Sie speichern die ausgewählten Artikel, ermöglichen den Nutzerinnen und Nutzern einen reibungslosen Bestellvorgang und verhindern, dass Produkte erneut ausgewählt werden müssen, wenn der Kauf nicht in einer einzigen Browsersession abgeschlossen wird.

—> Je höher die Eingriffsintensität, desto strenger sind die Anforderungen an Rechtfertigung, Transparenz und Opt-out bzw. Einwilligung (Obt-in).

2.     Information

Nutzer über den Einsatz und Zweck von Cookies und ähnlichen Technologien informieren (auch wenn die damit erhobenen Daten (noch) keinen Personenbezug aufweisen).

·         „Layered Approach“ Die Information darf gestuft erfolgen

o   Erste Ebene (Cookie-Banner):

§  Kurzbeschreibung der eingesetzten Technologien

§  Hinweis auf Zwecke (z.B. „notwendige Funktionen“, „Statistik“, „Marketing“)

§  Hinweis auf Ablehnungs- bzw. Einstellmöglichkeiten

§  Link zur ausführlichen Information

o   Zweite Ebene (Datenschutzerklärung):

§  Identität und Kontaktdaten des Verantwortlichen (Art. 19 DSG)

§  Beschreibung der Bearbeitungszwecke, aufgeschlüsselt nach Cookie-Kategorien

§  Empfänger bzw. Empfängerkategorien, inkl. eingebettete Dritte (Art. 17 DSG)

§  Hinweise zu allfälligen Datenübermittlungen ins Ausland (Art. 16 DSG)

§  Rechte der betroffenen Personen (Auskunft, Berichtigung, Löschung, Widerspruch usw.)

§  Informationen zur Widerspruchs- bzw. Einwilligungsverwaltung

§  Speicherdauer der Cookies oder Kriterien zur Bestimmung („ID-Logik“)

·         Zeitpunkt der Information:

o   notwendigen Cookies: Information muss spätestens zum Zeitpunkt ihrer Setzung klar zugänglich sein (z.B. über die Fusszeile oder über einen fokussierten Cookie-Banner).

o   nicht notwendiger Cookies: Information muss vor der Aktivierung und - falls erforderlich - der erteilten Einwilligung erfolgen (DSG und Art. 45c FMG).

·         Es soll die Möglichkeit geschaffen werden, die Datenbearbeitung abzulehnen.

3.     Rechtfertigungsgrundlagen für den Einsatz nicht notwendiger Cookies

3.1  Interessenabwägung (Art. 31 Abs. 1–2 DSG):

Es ist zu prüfen, ob die Bearbeitung nicht notwendiger Cookies durch überwiegende private Interessen des Verantwortlichen gerechtfertigt werden kann.
Dabei sind insbesondere Zweck, Nutzen, Eingriffsintensität, Reichweite sowie Speicherdauer zu dokumentieren und regelmässig zu überprüfen.

·         Rahmenbedingungen und Grenzen der Interessenabwägung

o   Daten sind frühestmöglich zu anonymisieren, sobald dies mit dem Bearbeitungszweck vereinbar ist. Das heisst z.B.

§  Besonders schützenswerte Personendaten dürfen im Rahmen einer Interessenabwägung grundsätzlich nicht an Dritte weitergegeben werden. Eine Weitergabe ist nur zulässig, wenn die Daten vor der Übermittlung wirksam anonymisiert wurden.

§  Ergebnisse sind so aufzubereiten und zu veröffentlichen, dass keine Rückschlüsse auf identifizierbare Personen möglich sind.

·         Praktische Anwendbarkeit:

o   Eine Rechtfertigung nicht notwendiger Cookies mittels Interessenabwägung ist in der Praxis nur sehr eingeschränkt möglich.

o   Zulässig sind allenfalls First-Party-Analytics ohne externe Datenweitergabe (z. B. Matomo On-Premise), sofern:

§  die Bearbeitung verhältnismässig ausgestaltet ist (geeignet, erforderlich, zumutbar),

§  die Speicherdauer klar begrenzt ist,

§  eine sofortige und einfache Opt-out Möglichkeit besteht (Art. 45c FMG), und

§  keine Rückschlüsse auf einzelne Personen möglich sind.

o   Für Marketing-Cookies, Third-Party-Tracking, Cross-Site-Analyse oder Fingerprinting ist eine überwiegendes Interesse praktisch nie gegeben, da der Eingriff typischerweise schwer wiegt und Daten meist an Dritte weiterfliessen.

3.2  Rechtfertigungsgrund: Einwilligung der betroffenen Personen (Opt-in)

·         Eine Einwilligung (Obt-in) für nicht notwendige Cookies ist erforderlich, wenn:

o   besonders schützenswerte Personendaten bearbeitet werden,

o   Profiling mit hohem Risiko vorliegt (Art. 5 lit. f und Art. 22 DSG),

o   Daten an Dritte weitergegeben werden oder Dritte sie für eigene Zwecke nutzen (z. B. Social Media, AdTech-Netzwerke);

o   oder die Interessenabwägung nach Art. 31 DSG nicht zugunsten des Verantwortlichen ausfällt.

·         Gestaltung der Einwilligung (Obt-in):

o   Betroffene muss ausreichend informiert werden;

o   erteilt die Einwilligung spezifisch und freiwillig;

o   aktiv anklickbare Schaltfläche für die Einwilligungserteilung;

o   Einwilligung muss jederzeit widerrufbar sein.

·         Ohne Einwilligung (Obt-in) sind nur solche Cookies zulässig, die

o   rein statistischen Zwecken dienen, und keine besonders schützenswerten Daten beinhalten;

o   kein Profiling mit hohem Risiko erzeugen;

o   keine Drittweitergabe beinhalten;

o   verhältnismässig ausgestaltet sind, und

o   ein Opt-out vor Beginn der Bearbeitung möglich ist (Art. 45c FMG).

3.3  Rechtfertigungsgrund: Statistik/Forschung (Art. 31 Abs. 2 lit e DSG)

·         Dieser Rechtfertigungsgrund kommt insbesondere für First-Party-Analytics in Betracht (für nicht personenbezogene Datenbearbeitungen), nicht jedoch für Marketing- oder Third-Party-Tracking.

·         Die Datenbearbeitung ist zulässig, wenn:

o   sie ausschliesslich statistischen, forschungs- oder planungsbezogenen Zwecken dient;

o   die Ergebnisse keinen Bezug zu identifizierbaren Personen aufweisen;

o   eine frühestmögliche Anonymisierung erfolgt;

o   keine Weitergabe personenbezogener Rohdaten an Dritte erfolgt, und

o   sie verhältnismässig ausgestaltet ist.

3.4  Opt-out bei nicht notwendigen Cookies (ergibt sich aus Art. 45c FMG)

·         Unabhängig vom gewählten Rechtfertigungsgrund ist für nicht notwendige Cookies und vergleichbare Technologien ein Opt-out gemäss Art. 45c FMG zu gewähren. Das Opt-out muss einfach zugänglich sein und vor, oder spätestens zu Beginn, der Datenbearbeitung möglich sein. Technisch notwendige Cookies im Sinne von Ziff. 2.1 sind von dieser Opt-out Pflicht ausgenommen.

·         Das heisst:

o   Nicht notwendige Cookies und Tracking-Techologien müssen standardmässig deaktiviert sein.

o   Aktivierung darf erst nach einer bewusst getroffenen Wahl erfolgen.

4.     Drittdienste (Third-Party)

·         Transparenz über eingebettete Drittanbieter
Wenn Technologien oder Inhalte von Drittanbietern auf Website eingebettet sind (z. B. Social-Media-Plugins, Werbedienste), müssen Nutzer informiert werden, wer Zugang zu den Daten hat und wohin diese übermittelt werden. Dies umfasst insbesondere folgende Punkte:

o   Identität der Drittdienstleister (Name/Unternehmen)

o   Art der übermittelten Daten (z. B. IP-Adresse, Cookie-ID, Device-Informationen, Standortdaten)

o   Zweck der Datenbearbeitung durch den Dritten

o   Angaben zu möglichen Auslandsübermittlungen (Art. 16 DSG)

o   angewendete Garantien (z. B. Angemessenheitsbeschluss, Standarddatenschutzklauseln, Binding Corporate Rules)

·         Rollenverteilung korrekt bestimmen

Die Rollenbestimmung ist zentral, da sie Anforderungen an Verträge, Informationspflichten, Einwilligung und internationale Datenübermittlungen bestimmt.

o   Auftragsbearbeiter (Art. 9 DSG):
Der Drittanbieter bearbeitet Daten nur im Auftrag und nach Weisung des Verantwortlichen (z. B. Hosting, reine technische Dienste). In diesem Fall ist sicherzustellen, dass ein gültiger Auftragsbearbeitungsvertrag besteht.

o   Verantwortlicher:
Häufig bei Marketing- oder Analyse-Tools, wenn der Drittanbieter Daten für eigene Zwecke weiterverwendet. (erhöhte Informations- und Einwilligungsanforderungen).

·         Verträge und Terms & Conditions prüfen

Vor Einbindung eines Drittdienstes ist zu klären, ob dessen Nutzungsbedingungen und Datenflüsse DSG- und FMG-konform sind. Wichtig ist:

o   Werden Daten für eigene Zwecke des Drittanbieters genutzt?

o   Werden Unterauftragsbearbeiter eingebunden?

o   Welche Garantien bestehen bei Auslandsübermittlungen? Wurden Standartdatenschutzklauseln (SCC’s) abgeschlossen?

o   Sind die vertraglichen Regelungen (insb. bei Auftragsbearbeitern) vollständig und aktuell?

·         Nur notwendige Drittdienste einbinden

Es sollen nur Drittdienste eingebunden werden, die für den Betriebszweck erforderlich sind (Verhältnismässigkeit).

o   Verzicht auf unnötige Tracking- oder Analyse-Tools

o   Minimierung der Datenweitergabe

o   Einschränkung eingebetteter Inhalte, die automatisch Daten übertragen

·         leicht zugängliches Opt-out

Nutzer müssen jederzeit und mit wenigen Klicks widersprechen können (auch bei Folgebesuchen (Art. 32 DSG, Art. 45c FMG).

5.     Technische und organisatorische Massnahmen (TOMs)

Zur Sicherstellung einer rechtmässigen, verhältnismässigen und sicheren Bearbeitung von Personendaten im Zusammenhang mit Cookies, Tracking-Technologien und vergleichbaren Mechanismen werden angemessene technische und organisatorische Massnahmen umgesetzt und dokumentiert.

5.1  Datenschutzfreundliche Voreinstellungen (Art. 7 Abs. 3 DSG)

·         Standardmässig dürfen nur technisch notwendige Technologien aktiv sein.

·         Optionen wie Statistik, Marketing, Personalisierung oder Social Plugins dürfen nicht voraktiviert sein („Privacy by Default“).

5.2  Zugriffsbeschränkung

·         Rollen und Berechtigungen sind nach dem Need-to-know-Prinzip ausgestaltet und regelmässig zu überprüfen.

·         Externe Dienstleister erhalten nur zeitlich und funktional begrenzten Zugriff.

·         Zugriff auf Tag-Manager, Cookie-Konfigurationen, Consent-Management-Plattformen (CMP) sowie Analyse- und Tracking-Dashboards ist auf einen klar definierten Personenkreis beschränkt.

5.3  Aktivierungs- und Blockierungsmechanismen

·         Nicht technisch notwendige Cookies, Skripte und Third-Party-Technologien werden standardmässig blockiert und erst nach einer informierten Nutzerentscheidung aktiviert (Prior Blocking).

·         Es wird technisch sichergestellt, dass vor einer Einwilligung keine Datenübermittlung an Dritte erfolgt.

·         „2-Klick-Lösung“: Inhalte oder Skripte Dritter werden erst nach aktiver Zustimmung geladen.

5.4  Datenminimierung und Anonymisierung

·         IP-Adressen werden frühestmöglich anonymisiert oder gekürzt.

·         Es werden bevorzugt sessionbasierte Identifikatoren eingesetzt.

·         Nicht erforderliche Tracking-Parameter werden deaktiviert.

5.5  Trennung nach Zweck und Kategorie

·         Technisch notwendige, funktionale, statistische und Marketing-Technologien sind logisch und technisch voneinander getrennt.

·         Eine Zweckänderung oder Kombination von Daten erfolgt nur nach erneuter Prüfung der Rechtsgrundlage und - falls erforderlich - nach erneuter Information bzw. Einwilligung der betroffenen Personen.

5.6  Schutz der Übertragung und Integrität

·         Die Datenübertragung erfolgt verschlüsselt (TLS).

·         Einsatz von Content Security Policy (CSP) zur Einschränkung zulässiger Quellen.

·         Verwendung von Subresource Integrity (SRI) für externe Skripte, soweit technisch möglich.

5.7  Regelmässige Überprüfung

Tracking-Tools, Drittdienste, SDKs oder Tag-Manager ändern sich laufend. Webseitenbetreibende müssen deshalb regelmässig prüfen und dokumentieren ob:

·         neue Skripte nachgeladen werden

·         Drittdienstleister Bedingungen oder Datenflüsse geändert haben

·         weiterhin eine gültige Rechtsgrundlage besteht

·         alle Informationen im Cookie-Banner und in der Datenschutzerklärung noch aktuell sind.

6.     Dokumentation & Governance

Webseitenbetreibende müssen folgende Informationen dokumentieren:

·         Änderungen an Cookie-Einstellungen, CMP-Konfigurationen und Tracking-Setups

·         Cookie -Inventar: (Art. 12 DSG; Art. 45c FMG):

o   Name und Anbieter des Cookies/Tools

o   Zweck der Bearbeitung

o   Kategorie (notwendig / funktional / Analytics / Marketing)

o   Speicherdauer bzw. ID-Logik

o   Empfänger bzw. eingebettete Dritte

o   allfällige Auslandsübermittlungen und Garantien

o   Zeitpunkt/Trigger der Aktivierung (z. B. nach Klick)

·         Risikoeinstufung der Datenbearbeitung:

o   normalen Risiken

o   ein Profiling mit hohem Risiko (Art. 5 lit. f, Art. 22 DSG), z. B. bei umfangreichen Bewegungsprofilen oder Third-Party-Marketingnetzwerken.

·         Nachweis der gültigen Einwilligung und des Widerspruchs (Art. 7 DSG, Rechenschaftspflicht):

o   Consent-Logs (Zeitpunkt, Kontext, gewählte Kategorien)

o   Widerrufs- und Opt-out-Protokolle

o   technische Nachweise (CMP-Audit-Trails)

·         Die getroffenen technische und organisatorische Massnahmen (TOMs).

III.        Don’ts

1.     Verhältnismässigkeit / Datenminimierung

·         Keine Bearbeitung über das notwendige Mass hinaus (z. B. keine persistente Nutzer-ID, wenn sessionbasierte Lösung genügt).

·         Keine unnötigen Identifikatoren in technisch notwendigen Cookies (z. B. Spracheinstellungen brauchen keine geräteübergreifende Kennung oder langfristige Tracking ID)

·         Keine überlangen Speicherfristen ohne dokumentierte Notwendigkeit; keine „Default“-Laufzeiten ohne Review.

·         Keine Zweckänderung oder Zusammenführung mit weiteren Datenquellen (z. B. CRM/Offline-Daten), sofern nicht erforderlich und rechtlich gedeckt.

2.     Information / Transparenz

·         Datenschutzhinweise dürfen nicht versteckt sein;

·         Keine pauschalen oder unbestimmten Zwecke der Datenbearbeitung („für Marketingzwecke“);

·         Keine unvollständige Angaben zu eingebetteten Dritten/Empfängern (wer erhält welche Daten zu welchem Zweck).

3.     Einwilligung (Obt-in)  / Opt-out

·         Keine vorzeitige Aktivierung von nicht notwendigen Cookies/Third-Party-Tags vor Information und (wo erforderlich) Einwilligung;

·         Keine unspezifischen Einwilligungen ohne genügende Transparenz;

·         Keine Dark Patterns:

o   Ablehnung oder Anpassung darf nicht hinter verschachtelten Menüs versteckt werden;

o   Schaltflächen („Akzeptieren“, „Ablehnen“, „Einstellungen“) dürfen nicht asymmetrisch, irreführend oder manipulierend gestaltet sein;

·         Keine unvollständige oder unklare Anbieter-/Empfängerinformation (z. B. fehlende Nennung eingebetteter Dritter oder pauschale Sammelbezeichnungen);

·         Kein Zwang („take it or leave it“) für nicht notwendige Bearbeitungen:

·         Keine Sammelschalter für heterogene Zwecke/Partner ohne Granularität;

·         Kein Ignorieren von Widerrufen/Opt-outs (z. B. Reaktivierung von Cookies nach Widerruf; fehlende dauerhafte Einstellungsmöglichkeit).

4.      Drittdienste / Ausland

·         Keine Drittland-Transfers ohne Information und geeignete Garantien (Art. 16 DSG; z. B. Angemessenheit, SCC);

·         Keine Einbindung von Drittdiensten ohne Rollenklärung und passende Verträge (Auftragsbearbeitung vs. eigene Zwecke);

5.     Anonymisierung

·         Keine „Anonym“-Behauptung ohne wirksame Anonymisierung: IP-Kürzung allein genügt nicht, wenn Re-Identifizierung möglich bleibt.

6.     Hinweis Sanktionen

Art. 53 FMG: Verstösse gegen Art. 45c können mit Busse bis CHF 5’000 geahndet werden (natürliche Personen; i. d. R. vorsätzlich).

Quick-Check: Cookie- & Tracking-Entscheidungsbaum

1.    Schreiben/lesen Sie auf dem Endgerät? (Art. 45c FMG)

·       Ja: Fernmeldegesetz (FMG) anwendbar

o   Information verpflichtend

o   Widerspruchsmöglichkeit (Opt-out) vor der Bearbeitung, ausser technisch notwendig

·       Nein: FMG nicht anwendbar

2. Personenbezug möglich? (direkt / indirekt / durch Kombination)

·       Nein: DSG nicht anwendbar

·       Ja: DSG anwendbar

·       Im Zweifel: DSG anwenden (Best Practice)

3. Ist das Cookie zwingend erforderlich für Betrieb oder Sicherheit?

·       Ja (z. B. Session, Warenkorb, Authentifizierung, Load Balancing):

o   Keine ausdrückliche Einwilligung (Opt-in)

o   Kein Opt-out

o   Datenminimierung

o   Information genügt (kein Cookie-Banner notwendig)

·       Nein: Rechtfertigungsgrundlage für nicht notwendige Cookies prüfen

o   Interessenabwägung

o   ausdrückliche Einwilligung (Opt-in)

o   Rechtfertigungsgrund: Statistik/Forschung

ð    Opt-out: Unabhängig vom gewählten Rechtfertigungsgrund ist für nicht notwendige Cookies und vergleichbare Technologien ein Opt-out

4. Eingriffsintensität / Risiko hoch?

·       Kriterien:

o   Profiling mit hohem Risiko (Art. 5 lit. f, Art. 22 DSG)

o   Besonders schützenswerte Daten

o   Dritte verwenden Daten für eigene Zwecke (z. B. Social Media, AdTech)

o   Cross-Site-Tracking, Fingerprinting, Re-Targeting

o   Hohe Persistenz / grosse Reichweite

·       Ja, hohes Risiko:

o   Ausdrückliche Einwilligung (Opt-in) notwendig

o   Informationspflichten

·       Nein, kein hohes Risiko

o   Das Opt-out muss gut sichtbar und vor Aktivierung möglich sein (Art. 45c FMG)

o   Interessenabwägung prüfen (Art. 31 DSG) àNur zulässig bei minimaler Eingriffsintensität (z. B. First-Party-Analytics ohne Dritte)

o   Einwilligung nur erforderlich, wenn Interessenabwägung nicht trägt