Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen

Neue Datenschutz-Leitlinien in der Schweiz: Was bedeuten sie für deine Cookie-Banner? Erfahre, welche neuen Regeln ab 2025 gelten und wie du Cookie-Banner rechtskonform und nutzerfreundlich gestaltest.

Warum gibt es neue Leitlinien zum Cookie-Banner?

Hintergrund: Am 1. September 2023 trat in der Schweiz das revidierte Datenschutzgesetz (DSG) in Kraft.

Dieses neue Gesetz orientiert sich in vielen Punkten an europäischen Standards und stärkt die Rechte der Nutzer. Um Unklarheiten bei der Umsetzung zu beseitigen, hat der EDÖB im Januar 2025 einen Leitfaden veröffentlicht, der die datenschutzrechtlichen Anforderungen beim Einsatz von Cookies präzisiert.

Bisher war die Rechtslage in der Schweiz nicht so eindeutig wie in der EU: Zwar schreibt das Fernmeldegesetz (FMG, Art. 45c) schon seit 2007 vor, dass Webseitenbesucher über Cookies informiert werden müssen und eine Widerspruchsmöglichkeit (Opt-out) angeboten werden muss.

Doch ob ein aktives Opt-in (also ein expliziter Klick auf “Alles akzeptieren” oder dergleichen) nötig ist, war lange umstritten. Viele Schweizer Webseiten verzichteten daher auf umfassende Cookie-Banner oder boten nur eine Meldung zum Wegklicken an.

Mit den neuen EDÖB-Leitlinien wurden die Regularien nun verschärft und jenen der EU angepasst. Unternehmen und Webseiten-Betreiber müssen nun sicherstellen, dass ihr Consent-Management den aktuellen Anforderungen entspricht, sonst drohen Abmahnungen oder Strafen.

Was regeln die neuen EDÖB-Leitlinien genau?

Klare Regeln: Welche Cookies brauchen Zustimmung?

Die Leitlinien unterscheiden zunächst zwischen notwendigen und nicht notwendigen Cookies.

Notwendige Cookies sind essenziell für den Betrieb der Webseite (z. B. Login-Sessions, Warenkorb, Sicherheitsfunktionen). Sie dürfen ohne vorherige Einwilligung gesetzt werden.

Nicht notwendige Cookies umfassen alle anderen, insbesondere Analyse-, Tracking- und Marketing-Cookies, die das Nutzungsverhalten zu kommerziellen Zwecken auswerten.
Hier gelten strenge Anforderungen.

Laut EDÖB dürfen nicht notwendige Cookies nur gesetzt werden, wenn eine gültige Rechtsgrundlage vorliegt. Konkret heißt es in den Leitlinien:

„Nicht notwendige Cookies dürfen nur gesetzt werden, wenn:

die betroffene Person zuvor nach erfolgter Aufklärung und freiwilliger Einwilligung (Opt-in) eingewilligt hat,
oder nach sorgfältiger Interessenabwägung ein überwiegendes berechtigtes Interesse vorliegt und der betroffenen Person ein klares und leicht verständliches Widerspruchsrecht (Opt-out) jederzeit eingeräumt wird.“

Mit anderen Worten: Für alle personenbezogenen Datenverarbeitungen mittels Cookies braucht es entweder die ausdrückliche Zustimmung der Nutzer oder eine sehr gut begründete Berufung auf berechtigte Interessen.

Einfach nur weiter scrollen oder die Seite zu nutzen, reicht nicht mehr aus – der EDÖB stellt klar, dass bloßes Weitersurfen keine gültige Einwilligung darstellt. Nutzer müssen durch eine bewusste Aktion (z. B. Klick auf “Akzeptieren”) zustimmen, damit eine Einwilligung wirksam ist.

Profiling und Tracking: Besondere Vorsicht bei hohem Risiko

Nicht alle Cookies sind gleich: Die Leitlinien differenzieren bei Tracking auch nach dem Risiko der Profilbildung. EDÖB unterscheidet zwischen “normalem” Profiling und Profiling mit hohem Risiko.

Normales Profiling: Verarbeitet Nutzerdaten, um z. B. Inhalte oder Werbung zu personalisieren. Hier genügt ein Opt-Out-Angebot – der Nutzer muss also widersprechen können, falls er es nicht möchte.
Beispiel: Ein Webshop merkt sich Produkte und empfiehlt ähnliche Artikel – solange keine Daten an Dritte weitergegeben werden, reicht eine Widerspruchsmöglichkeit (Opt-out).

Profiling mit hohem Risiko: Hierunter fällt jegliches Tracking, das intensiv in die Persönlichkeit eingreift. Z.B. Cross-Site-Tracking über verschiedene Webseiten hinweg oder die Auswertung sensibler persönlicher Daten (etwa Gesundheits- oder Finanzdaten) zur Vorhersage von Verhaltensmustern.

In solchen Fällen verlangt der EDÖB unbedingt eine ausdrückliche Einwilligung (Opt-in). Das bedeutet: Ohne aktive Zustimmung der betroffenen Person dürfen solche Cookies nicht gesetzt werden.

Beispiel: Die Einbindung eines Werbe-Trackers, der Nutzer über zahlreiche Webseiten verfolgt und detaillierte Persönlichkeitsprofile erstellt, fällt unter hohes Risiko – hier muss der Besucher vorab zustimmen, sonst bleibt das Cookie deaktiviert.

Zudem sollen bei solchen High-Risk-Einsätzen ggf. zusätzliche Schutzmaßnahmen ergriffen werden, etwa eine Datenschutz-Folgenabschätzung nach Art. 22 DSG.

Drittanbieter-Cookies: Gemeinsame Verantwortung

Für Marketers besonders relevant: Externe Dienste wie Google Analytics, Facebook-Pixel, YouTube-Embeds & Co. setzen oft eigene Cookies. Wer solche Drittanbieter-Tools auf der Webseite einbindet, trägt laut EDÖB eine Mitverantwortung für die dadurch erfolgende Datenbearbeitung.

Der Webseiten-Betreiber entscheidet nämlich, welche Tools eingesetzt werden und ermöglicht so erst die Datenbeschaffung des Drittanbieters auf seiner Seite.

In der Praxis bedeutet das, dass Drittanbieter-Cookies auch ins Cookie-Banner integriert werden müssen. Wird etwa Google Analytics eingebettet, darf kein Tracking stattfinden, bevor der Nutzer dem Dienst zugestimmt hat.

So sieht ein rechtskonformes Cookie-Banner aus

Was muss ein Cookie-Banner nun konkret bieten, damit es den neuen Schweizer Vorgaben entspricht?

Die EDÖB-Leitlinien nennen hier klare Must-haves und machen deutlich, welche Dark Patterns unzulässig sind.

Ein rechtskonformes Cookie-Banner muss:

Klar und verständlich informieren – Der Nutzer muss auf einen Blick verstehen, warum Cookies eingesetzt werden (Zweck) und was mit den Daten geschieht. Und zwar in einfacher Sprache
Echte Auswahlmöglichkeiten bieten – Ein gleichwertiger “Akzeptieren” und “Ablehnen”-Button auf derselben Ebene ist Pflicht
- Beide Optionen (Akzeptieren/Ablehnen) müssen gleich auffällig gestaltet sein (gleiche Größe, Format etc.).
Granulare Einstellungen erlauben – Nutzer sollten einzelne Cookie-Kategorien (z. B. Notwendig, Funktional, Statistik, Marketing) oder Services gezielt ein- oder ausschalten können
- Niemand soll gezwungen sein, allem oder nichts zuzustimmen.
Widerruf jederzeit ermöglichen – Es reicht nicht, nur beim Webseitenaufruf den Cookie-Banner anzuzeigen. Nutzer müssen ihre Einwilligung jederzeit ändern oder zurückziehen können.

Unzulässig sind laut EDÖB insbesondere folgende Praktiken:

Vorab angekreuzte Kästchen – Der Nutzer muss aktiv zustimmen und nicht zuerst etwas deaktivieren
Irreführendes Design – Jegliche Gestaltung, die die Wahl verzerrt, ist verboten. Z. B. ein riesiger grüner “Alle akzeptieren”-Button, während “Ablehnen” als schlichter Textlink versteckt ist
Keine Möglichkeit “abzulehnen” – Es muss immer eine Option vorhanden sein, mit der man die Einstellungen ablehnt.

Zur Veranschaulichung ein positives Beispiel aus der Praxis:

Beispiel Consent Banner lt. EDÖB Leitlinien.

Was müssen Unternehmen jetzt tun?

Die neuen Vorgaben sind verbindlich. Folgende To-Do’s sollten sofort angegangen werden, um rechtlich auf der sicheren Seite zu sein:

Cookie-Inventar aufnehmen: Verschaffe dir einen Überblick, welche Cookies deine Webseite setzt. Welche davon sind technisch notwendig und welche dienen z. B. Marketing, Tracking oder Komfort? Dokumentiere Zweck und Funktionsdauer jedes Cookies.
Cookie-Banner aktualisieren: Passe deine Cookie-Banner entsprechend den EDÖB-Leitlinien an. Stellen sicher, dass es alle erforderlichen Buttons und Infos enthält.
Einstellungen für Opt-in/Opt-out umsetzen: Richte eine Lösung ein, mit der Nutzer die Cookies granular steuern können.
Tracking-Skripte anpassen: Passe den Einsatz von Analytics-, Advertising- und Social-Media-Skripten so an, dass sie erst nach Zustimmung laden. Das erfordert ggf. technisches Eingreifen: z. B. Google Analytics nur noch via Tag Manager mit Consent-Abfrage auslösen.
Datenschutzerklärung updaten: Bringe deine Datenschutzerklärung auf den neuesten Stand. Liste dort alle eingesetzten Cookies und Tools mit Zweck, Anbieter, Laufzeit und Rechtsgrundlage auf. Gib an, wie Nutzer ihre Einwilligung widerrufen können. Transparenz ist sehr wichtig und schafft Vertrauen zu den Besuchern der Webseite.

Fazit

Die EDÖB-Leitlinien vom Januar 2025 stellen einen Wendepunkt für das Consent Management in der Schweiz dar. Spätestens jetzt gilt: Datenschutz ist kein “Nice-to-have” mehr, sondern Pflicht im digitalen Geschäftsalltag.

Für Webseitenbetreiber heißt das, bestehende Cookie-Banner kritisch zu prüfen und alle Vorgaben der EDÖB umzusetzen. Ein benutzerfreundliches, rechtskonformes Cookie-Banner schafft zudem Klarheit und Vertrauen.

Cookie-Banner 2025: Was Schweizer Webseitenbetreiber wissen müssen

Management Summary

Warum gibt es neue Leitlinien zum Cookie-Banner?

Was regeln die neuen EDÖB-Leitlinien genau?

Klare Regeln: Welche Cookies brauchen Zustimmung?

Profiling und Tracking: Besondere Vorsicht bei hohem Risiko

Drittanbieter-Cookies: Gemeinsame Verantwortung

So sieht ein rechtskonformes Cookie-Banner aus

Was müssen Unternehmen jetzt tun?

Fazit

Weitere Themen

Cookie Löschung bei Consent Ablehnung

Usercentrics CMP Version 3

Privacy-first Marketing: Die Zukunft des verantwortungsvollen Marketings

Ausblick des Consent Managements: Trends und Entwicklungen

DMA entschlüsselt: 3 Dinge, die Marketer für die Nutzung von Google-Diensten wissen sollten

Google reCAPTCHA DSGVO konform nutzen

Warum Consent Management eine strategische Chance für Unternehmen ist

Regeln und Änderungen für Data-driven Advertising 2024 durch Post Cookie und DMA

Digital Marketing Trends 2024

Consent Mode für Google Ads, Google Marketing Platform & GA4 – was ist zu tun?

Das neue Datenschutzgesetz in der Schweiz ab 1.9.2023 – worauf Sie achten müssen!

Bessere Conversion-Performance dank Advanced Matching

Google Fonts & Datenschutz – geht das?

Google Analytics datenschutzkonform nutzen

DSGVO, TMG, TKG und nun TTDSG: was bringt das neue deutsche TTDSG?

ADPC – der neue Standard für Consent Management?

Consent Management in der Schweiz – Notwendigkeit oder Best Practice?

Das Leben nach den 3rd-Party Cookies – Ein Leitfaden

Wie konform muss ein Cookie-Banner sein?

Tracking-Systeme & Datenschutz

Consent Optimization – OptIn Optimierung: Damit schmecken die Cookies auch meiner Zielgruppe!

Happy New Digital Marketing Trends 2021

Server Side Tagging (GTM vs. Tealium iQ vs. TagCommander)

TCF 2.0 – Aktueller Stand und Entwicklungen

Datenweitergabe von Inhalten Dritter – wer haftet?

Schrems III bis CIV

Cookies außerhalb des GTM – Keine gute Idee?

New Year, New Data: Digital Marketing Trends 2020