06/2019 – Fachartikel Swiss Infosec AG

Gerne informieren wir Sie im nachfolgenden Artikel darüber ob und wann ein Cookie-Banner (Cookie-Hinweis) auf Ihrer Webseite rechtskonform ist.

Die Cookie-Hinweise auf Webseiten haben in den letzten Monaten verschiedene Formen angenommen. Ein Grund für die Vielfalt ist die immer noch bestehende Rechtsunsicherheit zu diesem Thema.

Was sagt die Cookie-Richtlinie?

Die rechtliche Situation zu den Cookies wird in der EU durch die so genannte «Cookie-Richtlinie» (Richtlinie 2009/136/EG) geregelt. Sie kommt nur für Nutzer in jenen EU-Ländern zur Anwendung, in welchen die Cookie-Richtlinie umgesetzt wurde (z.B. Frankreich, nicht aber Deutschland).

Die Cookie-Richtlinie sieht bei entsprechender Umsetzung im EU-Mitgliedstaat vor, dass Cookies, welche nicht unbedingt erforderlich sind, nur noch verwendet werden dürfen, wenn der Nutzer der Webseite nach vorgängiger Aufklärung seine Einwilligung erteilt hat (sog. Opt-In-Prinzip). Dies erfolgt mittels Cookie-Banner, mit welchem auf die Verwendung von Cookies hingewiesen wird. Wurde die Cookie-Richtlinie nicht umgesetzt, gelten entsprechend nationale Regelungen.

Cookie-Banner und die EU-Datenschutz-Grundverordnung (DSGVO)

Die Verarbeitung von personenbezogenen Daten, worunter auch Cookies fallen, sofern sich ein Personenbezug nachweisen lässt, erfordert nach DSGVO eine Rechtsgrundlage. Als Rechtsgrundlage in Frage kommen die Einwilligung oder die berechtigten Interessen (vgl. Art. 6 DSGVO). Unabhängig von der Rechtsgrundlage sind die betroffenen Personen in jedem Fall über den Einsatz von Cookies angemessen zu informieren (Art. 12 ff DSGVO).

Nach DSGVO werden Cookie-Banner deshalb eingesetzt, um:

• die Einwilligung der Webseitenbesucher (nachfolgend auch Nutzer genannt) zur Verwendung von Cookies einzuholen; oder auch nur,
• um die Nutzer über die Verwendung von Cookies vorschriftsgemäss zu informieren.

Nach allgemeiner Auffassung kann ein normales bzw. niederschwelliges Besuchertracking, d.h. die Verwendung von Cookies zur Aufzeichnung und Verarbeitung pseudonymisierter Daten für rein statistische Zwecke (wie z.B. Google Analytics mit IP-Masking) auf der Rechtsgrundlage der berechtigten Interessen der Unternehmung, welche Cookies einsetzt, gestützt werden. Das berechtigte Interesse besteht darin, dass die Nutzung der Webseite zur Verbesserung des Inhalts und zur Verbesserung der Werbemassnahmen genutzt werden soll (Marketingzwecke). Eine explizite Zustimmung zum Einsatz von Cookies ist bei Verarbeitung zu diesen Zwecken nicht erforderlich. Die Datenschutzkonferenz in Deutschland vertritt dem gegenüber in ihrem Positionspapier die Meinung, dass beim Einsatz von personenbezogenen Cookies explizit die Einwilligung des Webseitenbesuchers einzuholen ist. Die Beschlüsse der Datenschutzkonferenz sind allerdings rechtlich nicht bindend.

Anders sieht es aus, wenn eine über das normale Besuchertracking hinausgehende Verarbeitung personenbezogener Daten erfolgt, wie dies oftmals bei Online Behavioural Advertising oder Retargeting der Fall ist. Nach DSGVO wird in diesen Fällen eine sog. informierte Einwilligung in Form einer Erklärung oder sonstigen eindeutig bestätigenden Handlung des Nutzers gefordert, bevor Cookies platziert werden dürfen. Hier muss deshalb mindestens ein Bestätigungs-Button geklickt werden, bevor das Analyse-Cookie gesetzt werden darf (sog. Soft Opt-In Option). Die Lehre verlangt ausserdem, dass dem Webseitenbesucher genau aufgezeigt wird, welche Cookies verwendet werden sollen und ihm die Möglichkeit gegeben wird, der Verwendung der einzelnen Cookies separat zuzustimmen.

Hat die Cookie-Richtlinie bald ausgedient?

Die E-Privacy-Verordnung soll die bisher geltende «Cookie-Richtlinie» ablösen und wie auch die DSGVO unmittelbar auf die EU-Mitgliedstaaten anwendbar sein. Die Verordnung wird auch für Gesellschaften mit Sitz in der Schweiz relevant sein. Ähnlich wie die Regelung in der DSGVO ist auch der räumliche Anwendungsbereich der vorgeschlagenen E-Privacy-Verordnung weit gefasst.

Die Einholung der Einwilligung zur Verwendung von Cookies soll demnach erheblich vereinfacht werden: Künftig sollen Nutzer den Einsatz von Cookies generell über die Privatsphäre-Einstellungen ihres Webbrowsers regeln können. Die Cookie-Banner sollen deshalb nach der Vorstellung der EU-Kommission bald der Vergangenheit angehören.

Wie der genaue Text der E-Privacy-Verordnung aussehen wird, ist derzeit noch nicht klar. Für grössere Umstellungen bei der Handhabung von Cookies könnte es vorteilhaft sein, den finalen Text dieser Verordnung abzuwarten. Ein Inkrafttreten ist nicht vor 2022 geplant.

Die Cookie-Banner, die uns bis dato im Netz begegnen, genügen den Anforderungen an ein wirksames OptIn mit Einwilligung oftmals nicht. Dazu dürften Cookies, wie erwähnt, erst dann bei Nutzern gespeichert werden, nachdem sie über diese aufgeklärt wurden und sich der Nutzer mit ihnen einverstanden erklärt hat. Nach unserer Erfahrung haben Unternehmen oftmals Mühe, dies so in technischer Hinsicht umzusetzen, weshalb regelmässig die Einholung der rechtskonformen Einwilligung verzichtet wird.

Mit den gängigen Cookie-Bannern wird lediglich darauf hingewiesen, dass die Webseite Cookies verwendet. Bei diesen Bannern macht es keinen Unterschied, ob der Nutzer auf «Ich stimme zu/ok» klickt oder einfach weitersurft und sich bei jedem Seitenwechsel aufs Neue von dem Hinweis begrüssen lässt.

Cookies und das Schweizer Datenschutzgesetz (DSG)

In der Schweiz besteht seit 2007 eine eigene Cookie-Regelung für Webseitenbetreiber. Sie ist im Vergleich zur europäischen Cookie-Richtlinie aber auch der DSGVO wesentlich weniger restriktiv.

Die entsprechende schweizerische Cookie-Regelung findet sich in Art. 45c lit. b des Fernmeldegesetzes (FMG). Die Cookie-Regelung in der Schweiz enthält in der Regel keine Formvorschriften. Das «Bearbeiten von Daten auf fremden Geräten durch fernmeldetechnische Übertragung […] ist nur erlaubt, […] wenn die Benutzerinnen und Benutzer über die Bearbeitung und ihren Zweck informiert sowie darauf hingewiesen werden, dass sie die Bearbeitung ablehnen können.» Eine explizite Einwilligung ist demnach nicht erforderlich. Eine solche ist nur dann notwendig, wenn mit den Cookies besonders schützenswerte Personendaten oder Persönlichkeitsprofile bearbeitet werden (Art. 4 Ziff. 5 DSG).

Webseitenbetreiber in der Schweiz müssen den Besucher hingegen über verwendete Cookies informieren und dabei auch den Zweck nennen. Ausserdem muss dem Nutzer erklärt werden, wie Cookies abgelehnt, das heisst, im Browser deaktiviert werden können. Ein Verstoss gegen diese Cookie-Regelung gilt als Ordnungswidrigkeit und kann mit Busse bis zu 5000 Franken bestraft werden (Art. 53 FMG).

Im Minimum das Minimum: Unser Fazit

Nach wie vor ist unsicher, ob nach DSGVO explizit eine Einwilligung zum Einsatz von Cookies auf der Webseite erforderlich ist oder nicht. Was jetzt genau gilt, bleibt vorerst allerdings unklar. Letztendlich werden die EU-Aufsichtsbehörden und die EU-Gerichte diese Frage zu entscheiden haben.

Für den Einsatz von Cookie-Bannern sprechen die Transparenz und das Vertrauen. Fairness gebietet es, Besucher einer Webseite darüber zu informieren, welche Auswirkung der Webseitenbesuch hat und wie die personenbezogenen Daten verwendet werden. Die Verwendung von Cookie-Hinweisen ist so gesehen eine vertrauensbildende Massnahme, die Seriosität ausstrahlt und heute Best Practice ist.

Sofern Sie nicht über ein normales Besuchertracking hinausgehende Verarbeitung tätigen oder schützenswerte Daten verarbeiten, empfehlen wir deshalb einen sogenannten «Informationsbanner» zu implementieren, womit der Nutzer über die Verwendung von Cookies informiert wird.

Fragen Sie sich, ob der Cookie-Banner auf Ihrer Webseite den Anforderungen von DSGVO & Co. entspricht? Wir unterstützen Sie inhaltlich und technisch bei der Einhaltung von Schweizer Datenschutz und DSGVO. www.infosec.ch/dsgvo

05/2019 – Fachartikel Swiss Infosec AG

Alles Wissenswerte über das Zusammenspiel zwischen Datenschutz, gesetzlichen Aufbewahrungs- und Verjährungsfristen

Personendaten können nur für eine gewisse Dauer aufbewahrt werden. Danach sind sie nach schweizerischem (DSG) wie auch nach europäischem Datenschutzrecht (DSGVO/GDPR) zu löschen.

Ausgenommen von der Löschpflicht sind zunächst Daten, die aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen. Ist das der Fall, müssen und dürfen Dokumente während dieser Dauer nicht gelöscht werden. Am wichtigsten ist die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsberichte und Buchungsbelege, die 10 Jahre beträgt.

Für die Zeit nach Ablauf dieser Dauer oder falls keine gesetzliche Aufbewahrungsfrist besteht, können Dokumente zunächst solange verwendet und aufbewahrt werden, wie die darin enthaltenen Personendaten zum Zweck, zu dem sie erhoben wurden, noch gebraucht werden. Auch aus dem Grundsatz der Datenrichtigkeit für Personendaten wird die Pflicht zur Löschung abgeleitet: Je älter Personendaten sind, desto eher werden sie in der Tendenz nicht mehr zutreffen.

Beispielsweise können Unterlagen, die für das Verfassen eines Zwischenzeugnisses benötigt werden, solange behalten werden, wie das Anstellungsverhältnis dauert. Grundlagendokumente des Unternehmens, wie etwa dessen Statuten oder Organisationsreglement, sollten während der ganzen Lebensdauer des Unternehmens aufbewahrt werden.

Werden Personendaten nicht mehr zum ursprünglich erhobenen Zweck gebraucht, kann im Allgemeinen angenommen werden, dass zu Beweiszwecken Unterlagen dennoch so lange aufbewahrt werden dürfen (aber nicht müssen) bis die Verjährungsfrist der zugrundeliegenden Forderung noch nicht abgelaufen ist. Ab diesem Zeitpunkt kann eine Forderung nicht mehr (gerichtlich) durchgesetzt werden. Beispielsweise verjährt die Forderung aus einem Auftragsverhältnis auf Bezahlung eines Übersetzungshonorars 10 Jahre nach seiner Fälligkeit. Hat der Kunde dem Übersetzungsunternehmen die Rechnung nicht bezahlt, kann das Unternehmen dies vom Kunden noch während 10 Jahren nach Bestellung der Übersetzungsleistung verlangen (und auch durchsetzen), später aber nicht mehr. Bei der Frage, welche Unterlagen während laufender Verjährungsfrist noch zu behalten sind, geht es im Wesentlichen um die Einschätzung, wie das Unternehmen im Hinblick auf potenzielle rechtliche Auseinandersetzungen aufgestellt sein will.

Zusammengefasst lässt sich die Aufbewahrungsdauer von Personendaten enthaltenden Dokumenten anhand dieser drei Fragen nachvollziehen (in dieser Reihenfolge):

a) Besteht eine gesetzliche Aufbewahrungsfrist?
b) Werden Personendaten noch gebraucht?
c) Wenn nicht: ist eine weitere Aufbewahrung zu Beweiszwecken bis zum Ablauf der Verjährungsfristen erforderlich?

Wenn alle drei Fragen mit nein beantwortet werden können, verlangt der Datenschutz, dass Personendaten gelöscht werden oder der Zugriff darauf zumindest stark eingeschränkt wird. Da die gesetzliche Aufbewahrungspflicht für Geschäftsbücher, Geschäftsbericht und Buchungsbelege 10 Jahre beträgt und viele Forderungen nach 10 Jahren verjähren, haben sich als genereller Richtwert 10 Jahre eingebürgert. Es gelten teilweise aber auch andere gesetzliche Aufbewahrungs- und Verjährungsfristen:

1.1 Gesetzliche Aufbewahrungsfristen

1.2 Verjährungsfristen

Wir empfehlen deshalb: Legen Sie unter Berücksichtigung des Bearbeitungszwecks und der jeweils geltenden Aufbewahrungs- und Verjährungsfristen für die Dokumente in Ihrem Unternehmen, die Personendaten enthalten, Fristen fest, nach deren Ablauf die Personendaten gelöscht werden können.

Haben Sie Fragen zu Personendaten generell oder zur Aufbewahrungspflicht oder Verjährungsfristen im Speziellen? Oder können wir Ihnen weiterhelfen, weil Sie ein individuelles Löschkonzept brauchen? Die Spezialisten der Swiss Infosec AG beraten und unterstützen Sie gerne, schnell und zielführend.