Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen

15.07.2025
|
Lesedauer: 7 min.
Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen

Management Summary

Die Schweiz verschärft die Anforderungen an Cookie-Banner: Seit Januar 2025 gibt es neue Leitlinien des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB). Webseitenbetreiber in der Schweiz müssen für nicht notwendige Cookies (z. B. für Tracking oder Werbung) vorher durch die Nutzer explizit die Zustimmung einholen. Die EDÖB-Leitlinien legen klar fest, wie ein rechtskonformes Cookie-Banner aussieht: Es muss Nutzer verständlich informieren, gleichwertige Auswahlmöglichkeiten (“Alle akzeptieren” und “Alle ablehnen”) bieten, granulare Einstellungen erlauben und jederzeitiges Widerrufen der Einwilligung ermöglichen. Dark Patterns – also manipulative Designs, die Nutzer zur Zustimmung drängen – sind ausdrücklich verboten. Wer Dienste von Drittanbietern wie Analytics oder Social-Media-Plugins einbindet, muss diese Services in das Consent-Management einbeziehen und die Einwilligung einholen.

Neue Datenschutz-Leitlinien in der Schweiz: Was bedeuten sie für deine Cookie-Banner? Erfahre, welche neuen Regeln ab 2025 gelten und wie du Cookie-Banner rechtskonform und nutzerfreundlich gestaltest.

Warum gibt es neue Leitlinien zum Cookie-Banner?

Hintergrund: Am 1. September 2023 trat in der Schweiz das revidierte Datenschutzgesetz (DSG) in Kraft.

Dieses neue Gesetz orientiert sich in vielen Punkten an europäischen Standards und stärkt die Rechte der Nutzer. Um Unklarheiten bei der Umsetzung zu beseitigen, hat der EDÖB im Januar 2025 einen Leitfaden veröffentlicht, der die datenschutzrechtlichen Anforderungen beim Einsatz von Cookies präzisiert.

Bisher war die Rechtslage in der Schweiz nicht so eindeutig wie in der EU: Zwar schreibt das Fernmeldegesetz (FMG, Art. 45c) schon seit 2007 vor, dass Webseitenbesucher über Cookies informiert werden müssen und eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

Doch ob ein aktives Opt-in (also ein expliziter Klick auf “Alles akzeptieren” oder dergleichen) nötig ist, war lange umstritten. Viele Schweizer Webseiten verzichteten daher auf umfassende Cookie-Banner oder boten nur eine Meldung zum Wegklicken an.

Mit den neuen EDÖB-Leitlinien wurden die Regularien nun verschärft und jenen der EU angepasst. Unternehmen und Webseiten-Betreiber müssen nun sicherstellen, dass ihr Consent-Management den aktuellen Anforderungen entspricht, sonst drohen Abmahnungen oder Strafen.

Was regeln die neuen EDÖB-Leitlinien genau?

Klare Regeln: Welche Cookies brauchen Zustimmung?

Die Leitlinien unterscheiden zunächst zwischen notwendigen und nicht notwendigen Cookies.

Notwendige Cookies sind essenziell für den Betrieb der Webseite (z. B. Login-Sessions, Warenkorb, Sicherheitsfunktionen). Sie dürfen ohne vorherige Einwilligung gesetzt werden.

Nicht notwendige Cookies umfassen alle anderen, insbesondere Analyse-, Tracking- und Marketing-Cookies, die das Nutzungsverhalten zu kommerziellen Zwecken auswerten.
Hier gelten strenge Anforderungen.

Laut EDÖB dürfen nicht notwendige Cookies nur gesetzt werden, wenn eine gültige Rechtsgrundlage vorliegt. Konkret heißt es in den Leitlinien:

„Nicht notwendige Cookies dürfen nur gesetzt werden, wenn:

  • die betroffene Person zuvor nach erfolgter Aufklärung und freiwilliger Einwilligung (Opt-in) eingewilligt hat,
  • oder nach sorgfältiger Interessenabwägung ein überwiegendes berechtigtes Interesse vorliegt und der betroffenen Person ein klares und leicht verständliches Widerspruchsrecht (Opt-out) jederzeit eingeräumt wird.“

Mit anderen Worten: Für alle personenbezogenen Datenverarbeitungen mittels Cookies braucht es entweder die ausdrückliche Zustimmung der Nutzer oder eine sehr gut begründete Berufung auf berechtigte Interessen.

Einfach nur weiter scrollen oder die Seite zu nutzen, reicht nicht mehr aus – der EDÖB stellt klar, dass bloßes Weitersurfen keine gültige Einwilligung darstellt. Nutzer müssen durch eine bewusste Aktion (z. B. Klick auf “Akzeptieren”) zustimmen, damit eine Einwilligung wirksam ist.

Profiling und Tracking: Besondere Vorsicht bei hohem Risiko

Nicht alle Cookies sind gleich: Die Leitlinien differenzieren bei Tracking auch nach dem Risiko der Profilbildung. EDÖB unterscheidet zwischen “normalem” Profiling und Profiling mit hohem Risiko.

Normales Profiling: Verarbeitet Nutzerdaten, um z. B. Inhalte oder Werbung zu personalisieren. Hier genügt ein Opt-Out-Angebot – der Nutzer muss also widersprechen können, falls er es nicht möchte.
Beispiel: Ein Webshop merkt sich Produkte und empfiehlt ähnliche Artikel – solange keine Daten an Dritte weitergegeben werden, reicht eine Widerspruchsmöglichkeit (Opt-out).

Profiling mit hohem Risiko: Hierunter fällt jegliches Tracking, das intensiv in die Persönlichkeit eingreift. Z.B. Cross-Site-Tracking über verschiedene Webseiten hinweg oder die Auswertung sensibler persönlicher Daten (etwa Gesundheits- oder Finanzdaten) zur Vorhersage von Verhaltensmustern.

In solchen Fällen verlangt der EDÖB unbedingt eine ausdrückliche Einwilligung (Opt-in). Das bedeutet: Ohne aktive Zustimmung der betroffenen Person dürfen solche Cookies nicht gesetzt werden.

Beispiel: Die Einbindung eines Werbe-Trackers, der Nutzer über zahlreiche Webseiten verfolgt und detaillierte Persönlichkeitsprofile erstellt, fällt unter hohes Risiko – hier muss der Besucher vorab zustimmen, sonst bleibt das Cookie deaktiviert.

Zudem sollen bei solchen High-Risk-Einsätzen ggf. zusätzliche Schutzmaßnahmen ergriffen werden, etwa eine Datenschutz-Folgenabschätzung nach Art. 22 DSG.

Drittanbieter-Cookies: Gemeinsame Verantwortung

Für Marketers besonders relevant: Externe Dienste wie Google Analytics, Facebook-Pixel, YouTube-Embeds & Co. setzen oft eigene Cookies. Wer solche Drittanbieter-Tools auf der Webseite einbindet, trägt laut EDÖB eine Mitverantwortung für die dadurch erfolgende Datenbearbeitung.

Der Webseiten-Betreiber entscheidet nämlich, welche Tools eingesetzt werden und ermöglicht so erst die Datenbeschaffung des Drittanbieters auf seiner Seite.

In der Praxis bedeutet das, dass Drittanbieter-Cookies auch ins Cookie-Banner integriert werden müssen. Wird etwa Google Analytics eingebettet, darf kein Tracking stattfinden, bevor der Nutzer dem Dienst zugestimmt hat.

So sieht ein rechtskonformes Cookie-Banner aus

Was muss ein Cookie-Banner nun konkret bieten, damit es den neuen Schweizer Vorgaben entspricht?

Die EDÖB-Leitlinien nennen hier klare Must-haves und machen deutlich, welche Dark Patterns unzulässig sind.

Ein rechtskonformes Cookie-Banner muss:

  • Klar und verständlich informieren – Der Nutzer muss auf einen Blick verstehen, warum Cookies eingesetzt werden (Zweck) und was mit den Daten geschieht. Und zwar in einfacher Sprache
  • Echte Auswahlmöglichkeiten bieten – Ein gleichwertiger “Akzeptieren” und “Ablehnen”-Button auf derselben Ebene ist Pflicht
    • Beide Optionen (Akzeptieren/Ablehnen) müssen gleich auffällig gestaltet sein (gleiche Größe, Format etc.).
  • Granulare Einstellungen erlauben – Nutzer sollten einzelne Cookie-Kategorien (z. B. Notwendig, Funktional, Statistik, Marketing) oder Services gezielt ein- oder ausschalten können
    • Niemand soll gezwungen sein, allem oder nichts zuzustimmen.
  • Widerruf jederzeit ermöglichen – Es reicht nicht, nur beim Webseitenaufruf den Cookie-Banner anzuzeigen. Nutzer müssen ihre Einwilligung jederzeit ändern oder zurückziehen können.

Unzulässig sind laut EDÖB insbesondere folgende Praktiken:

  • Vorab angekreuzte Kästchen – Der Nutzer muss aktiv zustimmen und nicht zuerst etwas deaktivieren
  • Irreführendes Design – Jegliche Gestaltung, die die Wahl verzerrt, ist verboten. Z. B. ein riesiger grüner “Alle akzeptieren”-Button, während “Ablehnen” als schlichter Textlink versteckt ist
  • Keine Möglichkeit “abzulehnen” – Es muss immer eine Option vorhanden sein, mit der man die Einstellungen ablehnt.

Zur Veranschaulichung ein positives Beispiel aus der Praxis:

Beispiel Consent Banner Schweiz 2025

Beispiel Consent Banner lt. EDÖB Leitlinien.

Was müssen Unternehmen jetzt tun?

Die neuen Vorgaben sind verbindlich. Folgende To-Do’s sollten sofort angegangen werden, um rechtlich auf der sicheren Seite zu sein:

  • Cookie-Inventar aufnehmen: Verschaffe dir einen Überblick, welche Cookies deine Webseite setzt. Welche davon sind technisch notwendig und welche dienen z. B. Marketing, Tracking oder Komfort? Dokumentiere Zweck und Funktionsdauer jedes Cookies.
  • Cookie-Banner aktualisieren: Passe deine Cookie-Banner entsprechend den EDÖB-Leitlinien an. Stellen sicher, dass es alle erforderlichen Buttons und Infos enthält.
  • Einstellungen für Opt-in/Opt-out umsetzen: Richte eine Lösung ein, mit der Nutzer die Cookies granular steuern können.
  • Tracking-Skripte anpassen: Passe den Einsatz von Analytics-, Advertising- und Social-Media-Skripten so an, dass sie erst nach Zustimmung laden. Das erfordert ggf. technisches Eingreifen: z. B. Google Analytics nur noch via Tag Manager mit Consent-Abfrage auslösen.
  • Datenschutzerklärung updaten: Bringe deine Datenschutzerklärung auf den neuesten Stand. Liste dort alle eingesetzten Cookies und Tools mit Zweck, Anbieter, Laufzeit und Rechtsgrundlage auf. Gib an, wie Nutzer ihre Einwilligung widerrufen können. Transparenz ist sehr wichtig und schafft Vertrauen zu den Besuchern der Webseite.

Fazit

Die EDÖB-Leitlinien vom Januar 2025 stellen einen Wendepunkt für das Consent Management in der Schweiz dar. Spätestens jetzt gilt: Datenschutz ist kein “Nice-to-have” mehr, sondern Pflicht im digitalen Geschäftsalltag.

Für Webseitenbetreiber heißt das, bestehende Cookie-Banner kritisch zu prüfen und alle Vorgaben der EDÖB umzusetzen. Ein benutzerfreundliches, rechtskonformes Cookie-Banner schafft zudem Klarheit und Vertrauen.

Frau mit Brille und Kopfhörern arbeitet zu Hause am Laptop und blickt in die Kamera. KI-generiertes Bild.
Keine Herausforderung ist wie die andere. Sprich jetzt mit unseren Expert*innen, um deine individuelle Lösung zu finden.

Noch Fragen? Sprich mit uns.

Jetzt Kontakt aufnehmen
Relevante Inhalte

Mehr zum Thema Analytics

Analytics

Die Komplexität der Marketing-beurteilung

Mehr erfahren
MMM und Experimente ihre Stärken entfalten|Das Measurement Triangle|Stärken und Schwächen der Modelle zur Marketingbeurteilung
Analytics

Data-driven Decisions: Wie aus Daten echte Erkenntnisse werden

Mehr erfahren
kostenpflichtige Versionen von Facebook und Instagram an|Meta präsentiert werbefreie Facebook- und Instagram-Versionen|
Analytics

Cookie Löschung bei Consent Ablehnung

Mehr erfahren
Analytics

Ein KPI - viele Berechnungen

Mehr erfahren