Im Oktober 2025 hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) aktualisierte Leitlinien zum Einsatz von Cookies und ähnlichen Trackingtechnologien veröffentlicht. Diese Leitlinien konkretisieren die Anforderungen des neuen Datenschutzgesetzes (nDSG), das am 1. September 2023 in Kraft getreten ist, sowie des Artikels 45c des Fernmeldegesetzes (FMG). Für Schweizer Unternehmen — KMU eingeschlossen — haben diese Leitlinien unmittelbare und praktische Konsequenzen.
Weshalb hat der EDÖB seine Leitlinien aktualisiert?
Seit Inkrafttreten des nDSG herrschte bei vielen Schweizer Website-Betreibern Unsicherheit darüber, welches Einwilligungsniveau für nicht notwendige Cookies tatsächlich erforderlich ist. Die Praxis variierte erheblich: Manche begnügten sich mit einem reinen Hinweisbanner, andere stützten sich auf berechtigte Interessen, um Analyse- oder Werbe-Cookies ohne ausdrückliche Zustimmung zu setzen.
Die neuen Leitlinien des EDÖB beenden diese Grauzone. Sie vertreten eine strikte Auslegung der Einwilligung, die sich an den besten europäischen Praktiken orientiert, aber im Schweizer Recht verankert ist. Das Ziel: sicherstellen, dass Nutzende die Kontrolle über ihre personenbezogenen Daten behalten — auch jene, die über Trackingtechnologien erfasst werden.
Was sich konkret ändert
1. Ausdrückliche Einwilligung vor jedem nicht notwendigen Cookie
Die Regel ist klar: Kein nicht notwendiges Cookie darf gesetzt werden, bevor der Nutzer aktiv und informiert zugestimmt hat. Das bedeutet:
- Kontrollkästchen müssen standardmässig deaktiviert sein.
- Das blosse Weitersurfen auf der Website (Scrollen, Klick auf einen internen Link) gilt nicht mehr als Einwilligung.
- Banner, bei denen die Ablehnungsschaltfläche weniger prominent gestaltet ist als die Zustimmungsschaltfläche, gelten als nicht konform.
2. Kein Scrollen oder Weitersurfen als Einwilligung
Dies ist eine der bedeutendsten Änderungen. Viele Schweizer Websites zeigten Banner mit dem Hinweis: «Durch weiteres Surfen stimmen Sie der Verwendung von Cookies zu.» Diese Praxis ist durch die neuen Leitlinien ausdrücklich untersagt. Die Einwilligung muss aus einer eindeutigen, aktiven Handlung des Nutzers hervorgehen.
3. Klare Informationen über den Zweck
Vor der Einwilligung muss der Nutzer verstehen können:
- Welche Cookies eingesetzt werden (Name, Anbieter, Speicherdauer).
- Zu welchem Zweck sie gesetzt werden (Reichweitenmessung, Werbe-Personalisierung, Social Media usw.).
- Wer Zugriff auf die erhobenen Daten hat (einschliesslich Dritter wie Google Analytics oder Meta Pixel).
Vage Formulierungen wie «zur Verbesserung Ihrer Erfahrung» oder «zu statistischen Zwecken» reichen nicht mehr aus. Jede Cookie-Kategorie muss präzise und für durchschnittliche Nutzer verständlich beschrieben werden.
4. Widerruf der Einwilligung so einfach wie deren Erteilung
Das nDSG verankert das Recht, die Einwilligung jederzeit zu widerrufen. Die neuen Leitlinien präzisieren, dass dieser Widerruf genauso einfach sein muss wie die ursprüngliche Zustimmung. Konkret:
- Ein dauerhaft zugänglicher Link oder Button muss den Zugriff auf die Cookie-Einstellungen von jeder Seite der Website aus ermöglichen.
- Der Widerruf muss sofort wirksam werden, ohne weitere Schritte.
- Widerrufene Einstellungen dürfen bei jedem Besuch nicht zurückgesetzt werden.
5. Begrenzte Speicherdauer der Einwilligung
Die Einwilligungs-Cookies selbst müssen eine angemessene Lebensdauer haben. Der EDÖB empfiehlt, 12 Monate nicht zu überschreiten, wonach der Nutzer erneut um Zustimmung gebeten werden muss.
Notwendige vs. nicht notwendige Cookies: Die wichtige Unterscheidung
Nicht alle Cookies unterliegen denselben Regeln. Die Leitlinien bestätigen folgende Unterscheidung:
| Cookie-Typ | Beispiele | Einwilligung erforderlich? |
|---|---|---|
| Unbedingt notwendig | Session, Warenkorb, Authentifizierung, CSRF-Schutz | Nein |
| Funktionale Cookies | Sprache, Region, Anzeige-Einstellungen | Nein (bei expliziter Anfrage) |
| Analyse / Statistik | Google Analytics, Matomo (nicht anonymisiert) | Ja |
| Marketing / Werbung | Meta Pixel, Google Ads, Retargeting | Ja |
| Social Media | Share-Buttons, eingebettete Widgets | Ja |
Schweizer Recht vs. EU-ePrivacy: Die wichtigsten Unterschiede
Die Schweiz ist kein EU-Mitglied und unterliegt nicht direkt der ePrivacy-Richtlinie oder der DSGVO. Dennoch nähern sich die neuen EDÖB-Leitlinien diesen deutlich an — mit einigen spezifisch schweizerischen Besonderheiten.
| Kriterium | Schweiz (nDSG + FMG Art. 45c) | EU (DSGVO + ePrivacy) |
|---|---|---|
| Rechtsgrundlage für nicht notwendige Cookies | Ausdrückliche Einwilligung | Ausdrückliche Einwilligung |
| Einwilligung durch Weitersurfen | Untersagt (EDÖB-Leitlinien 2025) | Untersagt (EuGH-Rechtsprechung) |
| Aufsichtsbehörde | EDÖB (Bern) | Verschiedene (z.B. BfDI, CNIL) |
| Maximale Sanktionen | CHF 250 000 (Strafbestimmungen nDSG) | Bis zu 4% des weltweiten Jahresumsatzes (DSGVO) |
| Cookie-Wall | Nicht empfohlen | In der Regel ungültig (EDPB) |
| Empfohlene max. Einwilligungsdauer | 12 Monate (EDÖB) | 6–13 Monate (je nach Behörde) |
| Verarbeitungsverzeichnis | Pflicht (> 250 MA oder Risikobearbeitung) | Pflicht (Art. 30 DSGVO) |
Der wesentliche Unterschied liegt im Sanktionsregime: Schweizer Sanktionen sind strafrechtlicher Natur und richten sich gegen verantwortliche natürliche Personen, während DSGVO-Bussen verwaltungsrechtlich sind und für grosse Unternehmen weitaus höhere Beträge erreichen können. Für Schweizer KMU bleiben Reputationsrisiken und Interventionen des EDÖB die wirkungsvollsten Druckmittel.
Auswirkungen auf Schweizer KMU
Die neuen Leitlinien gelten für jede Website, die sich an Nutzerinnen und Nutzer in der Schweiz richtet — unabhängig von der Unternehmensgrösse. Ein Onlineshop in Zürich, eine Anwaltskanzlei in Basel oder ein selbstständiger Handwerker in Bern sind gleichermassen betroffen, wenn ihre Website Dritttools wie Google Analytics, Facebook Pixel oder Live-Chat-Plugins einsetzt.
Die Risiken bei Nichteinhaltung sind vielfältig:
- Nutzerbeschwerden beim EDÖB.
- Offizielle Untersuchungen, die zu verbindlichen Empfehlungen führen können.
- Reputationsschäden, insbesondere für Unternehmen mit datenschutzsensiblen Kundensegmenten (Bank-, Medizin-, Rechtsbereich).
- Entwertung von Analysedaten, die ohne gültige Einwilligung erhoben wurden — ein erhebliches Problem für datenbasierte Marketingentscheidungen.
Praktische Schritte zur Compliance
Schritt 1: Cookie-Audit Ihrer Website durchführen
Bevor Sie handeln, müssen Sie genau wissen, welche Cookies Ihre Website setzt, wann und warum. Ein Audit erfasst:
- Eigene Cookies (von Ihrer eigenen Infrastruktur generiert).
- Drittanbieter-Cookies (Google, Meta, LinkedIn, Hotjar, Intercom usw.).
- Cookies, die vor jeder Einwilligung gesetzt werden.
Nutzen Sie die Entwicklertools Ihres Browsers oder automatisierte Scanner, um eine vollständige Liste zu erstellen.
Schritt 2: Konforme CMP-Lösung implementieren
Eine Consent Management Platform (CMP) ist für die grosse Mehrheit professioneller Websites inzwischen unverzichtbar. Sie muss:
- Ein Banner anzeigen, bei dem Ablehnungsoptionen genauso prominent sind wie Zustimmungsoptionen.
- Eine granulare Verwaltung nach Cookie-Kategorien ermöglichen.
- Das Laden von Drittanbieter-Skripten vor Einholung der Einwilligung blockieren.
- Einwilligungen protokollieren (Zeitstempel, Banner-Version, Nutzerwahl), um diese bei einer Prüfung nachweisen zu können.
- Einen dauerhaft zugänglichen Mechanismus zum Widerruf der Einwilligung bieten.
Schritt 3: Datenschutzerklärung aktualisieren
Ihre Datenschutzerklärung muss die tatsächlich über Cookies durchgeführten Datenbearbeitungen widerspiegeln. Sie muss enthalten:
- Die Liste der verwendeten Cookies und deren Zwecke.
- Die Rechtsgrundlagen (Einwilligung für nicht notwendige, berechtigte Interessen für unbedingt notwendige Cookies).
- Datenübermittlungen in Drittländer (z.B. Google Analytics überträgt Daten in die USA).
- Das Widerrufsrecht und die entsprechende Vorgehensweise.
Massgebliche Rechtsgrundlagen: Art. 6 nDSG (Rechtmässigkeit der Datenbearbeitung), Art. 45c FMG (Cookies und ähnliche Technologien) sowie die offiziellen Leitlinien des EDÖB.
Schritt 4: Testen und dokumentieren
Nachdem die CMP eingerichtet ist, führen Sie gründliche Tests durch:
- Surfen Sie auf Ihrer Website, ohne Cookies zu akzeptieren: Überprüfen Sie, dass kein nicht notwendiges Cookie gesetzt wird.
- Testen Sie den Widerruf der Einwilligung: Prüfen Sie, dass die Einstellungen sofort berücksichtigt werden.
- Überprüfen Sie die Kompatibilität mit Google Consent Mode v2, wenn Sie Google Analytics oder Google Ads nutzen.
- Bewahren Sie Screenshots und Einwilligungsprotokolle auf.
Rechtliche Grundlagen und offizielle Quellen
- Art. 6 nDSG — Rechtmässigkeit der Bearbeitung personenbezogener Daten
- Art. 45c FMG — Datenschutz in der elektronischen Kommunikation
- EDÖB — www.edoeb.admin.ch — Cookie-Leitlinien (Oktober 2025)
- nDSG — Bundesgesetz über den Datenschutz vom 25. September 2020
Die Einhaltung der EDÖB-Leitlinien ist keine Option, die grossen Unternehmen vorbehalten ist. Sie betrifft jede professionelle Schweizer Website, die Analyse- oder Digital-Marketing-Tools einsetzt. Die gute Nachricht: Mit den richtigen Werkzeugen lässt sich das Wesentliche in wenigen Stunden regeln.
Finden Sie zuerst heraus, wo Sie stehen. PrivaScan analysiert automatisch die Cookies Ihrer Website, klassifiziert sie nach Kategorie und zeigt Ihnen, welche gemäss den neuen EDÖB-Leitlinien eine ausdrückliche Einwilligung erfordern. Kostenlosen Scan starten