Menü
Cookie Recht: Die Behauptung geht auf ein falsches Verständnis von Art. 7 nDSG über Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen zurück.
Art. 7 Abs. 3 nDSG betreffend «Privacy by Default» lautet wie folgt:
Cookie Recht: «Der Verantwortliche ist verpflichtet, mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.»
Cookie Recht: Aus dieser Bestimmung wird fälschlicherweise ein Obligatorium für Cookie-Banner abgeleitet. Ein grosser Wirtschaftsverband beispielsweise formuliert es in einem Merkblatt wie folgt:
Cookie Recht: «Diese Regel kommt in der Praxis insbesondere beim Akzept von sog. Cookies im Internet zur Anwendung. Wenn man die Voreinstellungen akzeptiert, dürfen nur die für den Dienst zwingend notwendigen Cookies gesetzt werden. Die betroffene Person kann jedoch in den Einstellungen der Website andere Cookies akzeptieren.»
Wieso das falsch ist, erklärte David Rosenthal bereits 2020 in seinem Kurzkommentar zum neuen Datenschutzgesetz:
«Sieht ein Verantwortlicher in einem Service, einer Software oder einem Gerät mehrere Möglichkeiten vor, wie Personendaten bearbeitet werden können und kann der Benutzer diese Möglichkeiten über (Datenschutz-)Einstellungen selbst anpassen, so muss die Standardeinstellung die am wenigsten weitgehende Einstellung vorsehen.»
aber:
«Wo ein Verantwortlicher dem Benutzer keine (technische) Wahlmöglichkeiten zur Eigensteuerung der Datenbearbeitung anbietet, kann es bereits begriffslogisch auch keine Voreinstellungen vornehmen und die Pflicht greift nicht.»
und
«Der Umstand, dass eine Datenbearbeitung auf der Basis einer Einwilligung durchgeführt wird, führt ebenso wenig zu einer Voreinstellung, wie der Fall, in welchem einer betroffenen Person ein Widerspruchsrecht eingeräumt wird, selbst wenn ein solches in einem Online-Dienst über eine technische Funktion ausgeübt werden kann (‹Opt-out›-Knopf).»
Und weiter:
«Die Pflicht schreibt einem Verantwortlichen auch nicht vor, dass er den Benutzern (beispielsweise seines Online-Dienstes oder Geräts) Wahlmöglichkeiten anbieten muss. Wenn er dies aber tut, dann muss eine allfällige Voreinstellung so gesetzt sein, dass sie die Bearbeitung auf das «für den Verwendungszweck nötige Mindestmass» beschränkt.»
Die schweizerische «Cookie-Richtlinie» findet sich weiterhin in Art. 45c FMG:
«Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt […], wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.»
Die Information im Rahmen der allgemeinen Datenschutzerklärung über Cookies und die Möglichkeit, diese im Browser zu blockieren oder zu löschen, genügt. Es muss keine Einwilligung eingeholt werden.
Keine Einwilligung wird übrigens allein durch die Nutzung einer Website erteilt. Diese falsche Behauptung findet sich auf vielen schweizerischen Websites, zum Beispiel wie folgt formuliert:
«Durch die weitere Nutzung der Website stimmen Sie der Verwendung von Cookies gemäss unserer Datenschutzrichtlinien zu.»
Quelle: steigerlegal.ch