Wussten Sie, dass die Mehrheit der Schweizer Websites Drittanbieter-Cookies setzt, ohne die Besucher korrekt zu informieren? Seit dem 1. September 2023 ist die vorherige Einwilligung für diese Cookies keine Kür mehr — sie ist gesetzliche Pflicht gemäss nDSG. Doch bevor Sie handeln können, müssen Sie wissen, welche Cookies überhaupt auf Ihrer Website aktiv sind. Dieser Leitfaden zeigt Ihnen, wie Sie sie erkennen und was danach zu tun ist.
Was sind Drittanbieter-Cookies?
Drittanbieter-Cookies (Third-Party Cookies) sind Dateien, die im Browser Ihrer Besucher von einer anderen Domain als Ihrer eigenen gesetzt werden. Wenn jemand ihreseite.ch besucht, kann Ihr Server eigene Cookies setzen (sogenannte First-Party-Cookies). Wenn Ihre Seite aber ein Google-Analytics-Skript, ein Meta-Pixel oder ein Stripe-Widget lädt, setzen diese Dienste ihre eigenen Cookies — von ihren jeweiligen Domains — ohne dass Sie diese selbst hosten.
Der Unterschied ist entscheidend: Drittanbieter-Cookies sind von Natur aus websiteübergreifende Tracking-Werkzeuge. Sie ermöglichen es Werbenetzen und Analytics-Plattformen, denselben Nutzer auf tausenden verschiedenen Websites wiederzuerkennen.
Die häufigsten Drittanbieter-Cookies
Dies sind die Tracker, die auf Schweizer Websites am häufigsten anzutreffen sind:
| Dienst | Anbieter | Hauptzweck |
|---|---|---|
| Google Analytics 4 | Besuchermessung, Nutzerverhalten | |
| Meta Pixel | Meta (Facebook) | Conversion-Tracking, Remarketing Instagram/Facebook |
| Google Ads (gtag) | Conversion-Attribution, Remarketing-Zielgruppen | |
| Hotjar | Hotjar Ltd | Session-Aufzeichnung, Heatmaps |
| Microsoft Clarity | Microsoft | Verhaltensanalyse, Session Replay |
| Stripe.js | Stripe | Betrugserkennung bei Zahlungen |
Jeder dieser Dienste lädt ein externes JavaScript, das einen oder mehrere Cookies setzen kann — im Fall von Google oft mehrere Dutzend.
Warum ist das gemäss nDSG relevant?
Das nDSG und seine Ausführungsverordnung (DSV) verlangen eine freiwillige, informierte, spezifische und unmissverständliche Einwilligung, bevor nicht notwendige Cookies gesetzt werden dürfen. Drittanbieter-Analyse- und Werbe-Cookies fallen genau in diese Kategorie.
In der Praxis bedeutet das:
- Das Tracking-Skript muss beim Laden der Seite blockiert und erst nach ausdrücklicher Zustimmung aktiviert werden
- Die Nutzenden müssen ablehnen können, so einfach wie sie zustimmen — keine vorausgefüllten Checkboxen, kein versteckter "Ablehnen"-Button
- Der EDÖB kann bei Verstössen eine Untersuchung einleiten und Korrekturmassnahmen anordnen
Wie erkennen Sie Drittanbieter-Cookies?
1. Browser-Entwicklertools
Öffnen Sie in Chrome oder Edge die DevTools (F12) und navigieren Sie zu Application > Cookies. Sie sehen alle Cookies der aktuellen Seite. Drittanbieter-Cookies erkennen Sie daran, dass ihre Domain von Ihrer eigenen abweicht.
Einschränkung: Sie sehen nur die Cookies, die beim Laden der Seite gesetzt wurden. Cookies, die erst nach einem Scroll oder Klick ausgelöst werden, können dabei unbemerkt bleiben.
2. Browser-Erweiterungen
Verschiedene Erweiterungen ermöglichen eine Echtzeit-Analyse der Cookies:
- Cookie-Editor — zeigt und bearbeitet Cookies der aktuellen Seite
- Privacy Badger (EFF) — blockiert Tracker und identifiziert Drittdomains
- uBlock Origin — visualisiert blockierte Netzwerkanfragen
Diese Tools eignen sich für schnelle Überprüfungen, erfassen aber keine Cookies aus bedingten oder dynamisch geladenen Skripten.
3. Automatisierte Scanner
Ein automatisierter Scanner crawlt Ihre Website wie ein echter Besucher — über einen Headless-Browser (Playwright oder Puppeteer). Er erfasst alle gesetzten Cookies, einschliesslich solcher, die nach Nutzerinteraktion geladen werden, und klassifiziert sie nach Kategorie. Das ist die zuverlässigste und vollständigste Methode.
Genau das leistet PrivaGuard: Die Analyse umfasst bis zu 500 Seiten Ihrer Website, erkennt aktive Drittskripte im Netzwerk und erstellt einen detaillierten nDSG-Compliance-Bericht.
Was Sie jetzt tun müssen
Sobald Sie Ihre Cookies kennen, sind folgende Massnahmen umzusetzen:
-
Drittskripte beim Laden blockieren — ersetzen Sie Ihre Script-Tags durch die PrivaGuard-Blocking-Syntax :
<!-- Vorher --> <script src="https://www.googletagmanager.com/gtag/js"></script> <!-- Nachher (blockiert bis zur Einwilligung) --> <script type="text/plain" data-category="analytics" src="https://www.googletagmanager.com/gtag/js"></script> -
Jeden Cookie kategorisieren: "notwendig", "funktional", "analytisch" oder "Marketing"
-
Rechtskonformes Consent-Banner implementieren — "Zustimmen" und "Ablehnen" müssen gleichwertig gestaltet sein
-
Alle Cookies dokumentieren — in Ihrer Datenschutzerklärung mit Zweck und Speicherdauer
-
Verarbeitungsverzeichnis führen — Drittanbieter und deren Unterauftragsverarbeiter aufführen
Identifizieren Sie in Sekunden alle aktiven Drittanbieter-Cookies auf Ihrer Website — ohne Registrierung oder Installation. PrivaGuard analysiert Ihre Website gründlich und liefert Ihnen einen vollständigen nDSG-Compliance-Bericht.