Ein Beitrag von Vanessa Müller und Christian Feldmann
Dieser Artikel beantwortet Ihnen folgende Fragen:
Welche Unterschiede gibt es und wann gilt die DSGVO auch in der Schweiz?
Ist die DSGVO für Schweizer Webseitenbetreiber relevant und wann greift das Marktortprinzip der DSGVO?
Unterschiede zwischen der europäischen DSGVO und dem schweizer DSG
Wer in Deutschland einen Consent-Banner, umgangssprachlich auch „Cookie-Banner“, einrichtet, muss hierzu das TTDSG berücksichtigen. Dort ist geregelt, wann eine Einwilligung für das Speichern bzw. Auslesen von Informationen auf dem Endgerät der Nutzer:innen notwendig ist. Wie die Einwilligung wiederum einzuholen ist, steht in der EU-DSGVO. Hierauf verweist §25 TTDSG, der sogenannte „Cookie-Paragraph“.
Doch in der Schweiz gilt weder das deutsche TTDSG noch die europäische DSGVO unmittelbar. Wie also sind hier die rechtlichen Vorgaben? Anders als die DSGVO erlaubt das Schweizer Datenschutzgesetz (DSG) grundsätzlich die Verarbeitung von personenbezogenen Daten. Eine aktive, freiwillige und informierte Einwilligung wird hier also vorerst nicht benötigt. Das Schweizer Pendant zum deutschen TTDSG – das Fernmeldegesetz (FMG) – schränkt diese Freiheit dennoch etwas ein.
Einwilligung für das Setzen von Cookies nach Schweizer Recht
Im Fernmeldegesetz heißt es in Art. 45c lit. b folgendermaßen:
“Das Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung ist nur erlaubt: […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert und darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.”
Auch in der Schweiz müssen die Nutzer:innen also über den Einsatz von Cookies informiert werden. Eine aktive Einwilligung (Opt-In) wie wir sie aus der DSGVO kennen, ist jedoch nicht notwendig. Cookies dürften also nach Schweizer Recht von vornherein aktiv sein. Jedoch müssen Webseitenbetreiber:innen darauf hinweisen, dass die Bearbeitung durch die eingesetzten Cookies abgelehnt werden kann. Hierfür ist es im Regelfall ausreichend, wenn auf die Möglichkeit hingewiesen wird, dass die Speicherung von Informationen (in diesem Fall Cookies) im Browser untersagt werden kann. Eine solche Einstellung kann in den Einstellungen des Browsers hinterlegt werden. Webseitenbetreiber:innen sollten also über diese Einstellungsmöglichkeit aufklären und den Nutzer:innen bestenfalls Informationen bereitstellen, wie diese aktiviert werden können. Weiterhin sollte im Rahmen der Informationserteilung dargestellt werden, wie sich eine Ablehnung von Cookies auf die Funktionalität der Webseite auswirkt. So wird den Nutzer:innen eine informierte Entscheidung im Hinblick auf die Datenbearbeitung durch die Webseite ermöglicht.
Die DSGVO für Schweizer Webseitenbetreiber
Erstmal dürfen sich Schweizer Webseitenbetreiber freuen, denn die Gestaltung des Cookie-Banners (und entsprechend der Datenschutzerklärung) gestaltet sich nach Schweizer Recht einfacher als nach europäischem. Dennoch ist Vorsicht geboten: Die DSGVO kann gemäß dem Marktortprinzip aus Art. 3 Abs. 2 DSGVO auch für Unternehmen außerhalb der EU gelten. EU-Bürger profitieren grundsätzlich von den Schutz-Regelungen der DSGVO – unabhängig davon, wer die personenbezogenen Daten verarbeitet und wo diese Verarbeitung stattfindet. Das bedeutet, dass auch Unternehmen, die sonst nicht an die DSGVO gebunden sind, diese beachten müssen, wenn es um die Daten von EU-Bürgern geht. Auch Schweizer Unternehmen bzw. Webseitenbetreiber sollten sich also mit der Verordnung vertraut machen. Auch im TTDSG wird das Marktortprinzip in § 1 Abs. 3 hinterlegt. Insofern können die nachfolgenden Schilderungen – zumindest im Hinblick auf die Geltung des TTDSG beim Einsatz von Cookies – analog verstanden werden.
Das Marktortprinzip der DSGVO
Genauere Informationen zum Marktortprinzip lassen sich in den Erwägungsgründen 23 und 24 (ErwG) der DSGVO finden. Dort werden die Anforderungen aus Art. 3 Abs. 2 lit. a und b DSGVO näher erläutert. In den Erwägungsgründen steht sinngemäß, dass die DSGVO anzuwenden ist, wenn
- sich das Angebot des Unternehmens offensichtlich an EU-Bürger:innen richtet
(ErwG 23) und/oder - das Unternehmen das Verhalten von EU-Bürger:innen beobachtet, z. B. durch Tracking mittels Cookies (ErwG 24).
Wenn also Profiling betrieben wird bzw. die Webseitenbesucher aus der EU mittels Cookies getrackt werden, muss das Cookie-Banner zwingend gemäß den Vorgaben der DSGVO gestaltet werden.
Schwieriger wird die Einschätzung hinsichtlich des ersten Punkts. Denn wann genau richtet sich eine Webseite offensichtlich auch an Nicht-Schweizer? Die bloße Zugänglichkeit einer Webseite für EU-Bürger:innen ist schließlich kein eindeutiges Kriterium. Ebenfalls die Sprachauswahl der Webseite kann in diesem Fall nur schwerlich hinzugezogen werden nachdem gleich vierAmtssprachen in der Schweiz gelten.
Mögliche Fragen, die Aufschluss über die Zielgruppe der Webseite bzw. des Angebots geben, könnten daher sein:
- Können Bestellungen in Euro getätigt werden?
- Werden Bestellungen in die EU versandt?
- Gibt es Kundenstimmen oder Partner-Referenzen auf der Webseite, die aus der EU stammen?
Sobald es triftige Gründe gibt, die darauf hindeuten, dass „der Verantwortliche beabsichtigt, den Personen in der Union Waren oder Dienstleistungen anzubieten“ (ErwG 23), gilt also das Marktortprinzip der DSGVO. Hierbei wird selbstredend auch berücksichtigt, ob die Waren oder Dienstleistungen bisher faktisch an EU-Bürger:innen vertrieben wurden.
Empfehlung für die Praxis
Wenn nicht eindeutig ausgeschlossen werden kann, dass sich das Angebot ausdrücklich an Schweizer:innen richtet, sollte die DSGVO berücksichtigt werden. Dies gilt selbstredend auch für andere Drittstaaten im Sinne der DSGVO. Der Cookie-Banner muss dann nach den Vorgaben der DSGVO und des TTDSG gestaltet und die Einwilligung in die Nutzung der technisch nicht zwingend notwendigen Cookies entsprechend eingeholt werden.
Wie das gelingen kann, haben wir in diesem Podcast erklärt.
