Kolumne: Nicht jedes Cookie braucht einen Banner
Michèle Balthasar erklärt, wo Cookie-Abfragen notwendig sind und wo nicht.
Artikel erschienen in Swiss IT Magazine 2026/01
Artikel erschienen in Swiss IT Magazine 2026/01
Kaum eine Website kommt heute ohne Cookie-Banner aus. Sie überlagern Inhalte, fordern Entscheidungen und sind für viele Nutzer zum festen Bestandteil des digitalen Alltags geworden. Cookie-Banner sind das sichtbare Ergebnis regulatorischer Vorgaben. Diese Vorgaben geraten nun in Bewegung.
Cookie-Banner machen Datenbearbeitungen sichtbar, die sonst im Hintergrund ablaufen würden. Richtig umgesetzt können sie Transparenz, Rechtssicherheit und Vertrauen schaffen. Für IT- und Compliance-Verantwortliche sind sie damit ein Instrument zur Steuerung der Unternehmensrisiken.
In der EU dürfen «nicht technisch notwendige Cookies» erst gesetzt werden, wenn eine Zustimmung nach angemessener Information vorliegt. Diese Pflicht beruht auf dem Zusammenspiel von DSGVO und E-Privacy-Vorgaben. Mittlerweile wächst allerdings der politische Druck, weil Nutzer immer häufiger routinemässig klicken, ohne sich tatsächlich mit den Inhalten zu befassen. Zustimmung verkommt zur Formalität, ihr Schutzgehalt schwindet.
Vor diesem Hintergrund gewinnen die sogenannten Omnibus-Revisionen an Bedeutung. Gemeint sind Bestrebungen auf EU-Ebene, bestehende Digitalregeln zu vereinfachen und besser aufeinander abzustimmen. Diskutiert wird etwa, Präferenzen der Nutzer zentral auf Browser- oder Systemebene zu hinterlegen, sodass Websites diese Vorgaben übernehmen können. Für Nutzer bedeutet das weniger Abfragen und für Unternehmen eine funktionalere Gestaltung. Cookie-Banner würden damit nicht abgeschafft, aber funktional entlastet.
In der Schweiz ist die Rechtslage eine andere. Das Datenschutzgesetz und das Fernmeldegesetz kennen keine generelle Pflicht zum Einsatz von Cookie-Bannern. Entscheidend sind Zweck, Verhältnismässigkeit und Risiko der Datenbearbeitung. Der 2025 aktualisierte Leitfaden des EDÖB betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien präzisiert diesen risikobasierten Ansatz: Nicht notwendige Cookies gelten nicht mehr pauschal als unverhältnismässig, massgeblich ist der konkrete Einsatzkontext. Damit ist eine ausdrückliche Einwilligung mittels Cookie-Banners nicht in jedem Fall erforderlich, sondern nur dort, wo sie der konkrete Zweck und das Risiko der Bearbeitung gebieten.
Cookie-Banner machen Datenbearbeitungen sichtbar, die sonst im Hintergrund ablaufen würden. Richtig umgesetzt können sie Transparenz, Rechtssicherheit und Vertrauen schaffen. Für IT- und Compliance-Verantwortliche sind sie damit ein Instrument zur Steuerung der Unternehmensrisiken.
In der EU dürfen «nicht technisch notwendige Cookies» erst gesetzt werden, wenn eine Zustimmung nach angemessener Information vorliegt. Diese Pflicht beruht auf dem Zusammenspiel von DSGVO und E-Privacy-Vorgaben. Mittlerweile wächst allerdings der politische Druck, weil Nutzer immer häufiger routinemässig klicken, ohne sich tatsächlich mit den Inhalten zu befassen. Zustimmung verkommt zur Formalität, ihr Schutzgehalt schwindet.
Vor diesem Hintergrund gewinnen die sogenannten Omnibus-Revisionen an Bedeutung. Gemeint sind Bestrebungen auf EU-Ebene, bestehende Digitalregeln zu vereinfachen und besser aufeinander abzustimmen. Diskutiert wird etwa, Präferenzen der Nutzer zentral auf Browser- oder Systemebene zu hinterlegen, sodass Websites diese Vorgaben übernehmen können. Für Nutzer bedeutet das weniger Abfragen und für Unternehmen eine funktionalere Gestaltung. Cookie-Banner würden damit nicht abgeschafft, aber funktional entlastet.
In der Schweiz ist die Rechtslage eine andere. Das Datenschutzgesetz und das Fernmeldegesetz kennen keine generelle Pflicht zum Einsatz von Cookie-Bannern. Entscheidend sind Zweck, Verhältnismässigkeit und Risiko der Datenbearbeitung. Der 2025 aktualisierte Leitfaden des EDÖB betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien präzisiert diesen risikobasierten Ansatz: Nicht notwendige Cookies gelten nicht mehr pauschal als unverhältnismässig, massgeblich ist der konkrete Einsatzkontext. Damit ist eine ausdrückliche Einwilligung mittels Cookie-Banners nicht in jedem Fall erforderlich, sondern nur dort, wo sie der konkrete Zweck und das Risiko der Bearbeitung gebieten.
Informiert werden muss allerdings weiterhin. Die Möglichkeit eines wirksamen Widerspruchs muss ebenfalls gegeben sein. Die Information kann über eine Datenschutzerklärung oder eine separate Cookie-Policy erfolgen. Zentral bleibt dabei das Widerspruchsrecht. Der Verantwortliche muss die Möglichkeit zum Widerspruch gegen verhältnismässige, aber nicht notwendige Cookies an prominenter Stelle vorsehen. Diese Möglichkeit muss sowohl beim ersten Besuch als auch bei späteren Zugriffen leicht auffindbar und mit wenigen Schritten ausübbar sein.
Umgekehrt gilt: Ein Cookie-Banner «garantiert» nicht die Rechtskonformität. Genau hier liegt ein verbreitetes Missverständnis vor: Viele Unternehmen setzen auf den Banner als vermeintliches Compliance-Siegel und übernehmen ungeprüft Provider-Aussagen oder Standardkonfigurationen. Beides greift zu kurz. Verantwortung und Risiko der Datenbearbeitung verbleiben immer beim Unternehmen.
Sei es über europäische Omnibus-Revisionen oder über die Präzisierungen im Leitfaden des EDÖB: Die Richtung ist erkennbar. Weg von der ritualisierten Einwilligungsabfrage, hin zu nachvollziehbarer Steuerung. Dadurch werden in Zukunft weniger Cookie-Banner notwendig sein.
Umgekehrt gilt: Ein Cookie-Banner «garantiert» nicht die Rechtskonformität. Genau hier liegt ein verbreitetes Missverständnis vor: Viele Unternehmen setzen auf den Banner als vermeintliches Compliance-Siegel und übernehmen ungeprüft Provider-Aussagen oder Standardkonfigurationen. Beides greift zu kurz. Verantwortung und Risiko der Datenbearbeitung verbleiben immer beim Unternehmen.
Sei es über europäische Omnibus-Revisionen oder über die Präzisierungen im Leitfaden des EDÖB: Die Richtung ist erkennbar. Weg von der ritualisierten Einwilligungsabfrage, hin zu nachvollziehbarer Steuerung. Dadurch werden in Zukunft weniger Cookie-Banner notwendig sein.
Michèle Balthasar
Michèle Balthasar, Rechtsanwältin, Gründerin und Managing Partnerin von Balthasar Legal mit Standorten in Zürich und Luzern, berät kleine, mittlere und international tätige Unternehmen in den Bereichen Datenschutz, Governance, IT- und Energierecht. In ihrer Kolumne im «Swiss IT Magazine» beleuchtet sie aktuelle Fragestellungen im Spannungsfeld von Digitalisierung, Regulierung und Unternehmenspraxis.
Artikel kommentieren
