Cookies und vergleichbare Technologien

Hinweis: Um den Text leichter lesbar zu machen, werden im Folgenden sowohl Cookies als auch vergleichbare Technologien unter dem verkürzten Begriff «Cookies» zusammengefasst.
  • Was sind Cookies und wozu braucht es sie?

    Das für das Surfen verwendete HTTP-Protokoll ist zustandslos, das heisst, für einen Webserver stellen sich die einzelnen Aufrufe einer Webseite jeweils als für sich unabhängig dar. Für moderne Webanwendungen mit entsprechenden Möglichkeiten der Nutzerinteraktion muss daher eine technische Lösung verwendet werden, um die Besucher über mehrere Webseitenaufrufe hinweg identifizieren zu können. Eine solche Lösung  sind beispielsweise (Session-)Cookies1. Wenn eine Webseite im Internet-Browser aufgerufen wird, können Cookies vom Server der aufgerufenen Webseite übermittelt und am Endgerät – also etwa am Computer oder Smartphone – bzw. im Internet-Browser des Besuchers abgespeichert werden. Moderne Browser speichern und verwalten Cookies meist in Datenbanken und übermitteln sie, solange sie nicht gelöscht werden, bei jedem Seitenaufruf zurück an den zugehörigen Webserver.

    Beispiel: Online-Shops verwenden typischerweise Cookies. Sie sind der Grund dafür, dass ein Besucher des Online-Shops auf die hinterlegten Produkte in seinem Einkaufswagen zurückgreifen kann und sich nicht wieder neuerlich einloggen muss, falls er die Einkaufstour zwischendurch unterbricht.

    Es gibt verschiedene Arten von Cookies. Eine Einteilung kann beispielsweise anhand ihrer Lebensdauer (etwa sitzungsbezogene und persistente Cookies) oder anhand der Domain, zu der sie gehören (etwa First-Party- und Third-Party-Cookies2), vorgenommen werden. Wenn der Webserver, der die Webseite bereitstellt, Cookies auf dem Endgerät des Nutzers speichert, spricht man von sogenannten «HTTP-Header-Cookies». Ferner können Cookies mittels JavaScript-Code gespeichert werden, der sich auf der Seite befindet oder dort eingebunden wird.​​​​​

    1 Vereinfacht gesagt sind (Session-)Cookies Datenspeicher, die aus einem Namen (auch «Schlüssel» genannt) und einem Wert bestehen.

    2 Während First-Party-Cookies vom Betreiber der Webseite (Verantwortlichen) selbst gesetzt werden, setzt bei einem Third-Party-Cookie ein Drittanbieter diese und hat so Einfluss auf die Verwendung.
  • Rechtliche Regelung

    Cookies als auch die sogenannten «Cookie-Banner» werden in der Datenschutz-Grundverordnung (DSGVO) nicht speziell geregelt. Die Rechtsgrundlage findet sich vielmehr in den jeweiligen nationalen Gesetzen der EU/EWR-Mitgliedstaaten, welche die Richtlinie (RL) 2002/58/EG (ePrivacy-Richtlinie) umzusetzen haben. Die erwähnte Richtlinie hat mit der (RL) 2009/136/EG dahingehend eine Änderung in Art. 5 erfahren, wonach die Mitgliedstaaten sicherzustellen haben, dass die Speicherung von Informationen oder der Zugriff auf Informationen, die bereits im Endgerät eines Teilnehmers oder Nutzers gespeichert sind (was auch auf Cookies zutrifft), nur gestattet ist, wenn der betreffende Teilnehmer oder Nutzer auf der Grundlage von klaren und umfassenden Informationen, die er gemäss der Datenschutzrichtlinie (RL 95/46/EG)1 unter anderem über die Zwecke der Verarbeitung erhält, seine Einwilligung gegeben hat. Eine Ausnahme von dieser Einwilligungspflicht besteht nur, sofern

    a) der alleinige Zweck der Speicherung oder des Zugriffs auf bereits im Endgerät des Nutzers gespeicherte Informationen die Durchführung der Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz ist; oder

    b) die Speicherung oder der Zugriff auf bereits im Endgerät des Nutzers gespeicherte Informationen unbedingt erforderlich ist, damit ein vom Nutzer ausdrücklich gewünschter Dienst der Informationsgesellschaft zur Verfügung gestellt werden kann.

    Von den Ausnahmen erfasst sind somit sogenannte «technisch erforderliche» Cookies. Dazu zählen etwa Cookies in Zusammenhang mit Warenkörben in Online-Shops, aber auch Cookies für Spracheinstellungen oder für Kontaktformulare (siehe unten).

    Im Konkreten muss daher unterschieden werden, welcher Zweck mit dem Setzen eines Cookies verfolgt wird und ob es nebst der Information über die damit zusammenhängende Datenverarbeitung auch einer Einwilligung bedarf. Die Anforderungen an die Informationspflicht wie auch die Einwilligung richten sich dabei nach der DSGVO.2

    Hinweis: Für Liechtenstein ist zu beachten, dass die RL 2009/136/EG zwar bisher nicht in den EWR übernommen wurde, dass aber seit dem 1. Februar 2025 Art. 61 Abs. 4 Kommunikationsgesetz (KomG) in Kraft ist, welcher die Regelung aus Art. 5 Abs. 3 von Richtlinie (RL) 2009/136/EG beinahe wortgleich ins nationale liechtensteinische Recht übernommen hat.

    Der Vollständigkeit halber ist ausserdem festzuhalten, dass sich weder Art. 5 Abs. 3 der Richtlinie (RL) 2009/136/EG noch Art. 61 Abs. 4 KomG nur auf das Setzen oder Auslesen von Cookies auf Webseiten beziehen, sondern allgemein jede Form der technischen Speicherung von Daten oder des Zugriffs auf Daten auf jeglicher Art von Endgeräten betreffen. Umfasst sind somit beispielsweise auch mit Cookies vergleichbare Technologien wie LocalStorage, Web Storage, das Auslesen von Werbe- und Geräte-IDs, Seriennummern, aber auch der Einsatz von ETags oder TLS-Session-IDs zum Zwecke des Trackings, Fingerprinting (z.B. durch das Auslesen von installierten Schriften oder Anwendungen) und vieles mehr. Die gegenständlichen Ausführungen widmen sich aufgrund der Praxisrelevanz jedoch vorwiegend dem Thema Cookies im Kontext von Webseiten.

    1 Heute: VO (EU) 2016/679 – Datenschutz-Grundverordnung (DSGVO).

    2 Die ehemalige Artikel-29-Datenschutzgruppe hat zu diesem Thema bereits 2013 eine Arbeitsunterlage 02/2013 mit Leitlinien für die Einholung der Einwilligung zur Verwendung von Cookies (WP 208) erstellt, die neben den rechtlichen Hintergründen auch konkrete Ausgestaltungsmöglichkeiten zur Umsetzung aufzeigt.

     

    1. Technisch erforderliche Cookies (im engeren Sinn)

    Ist der Cookie zur Nutzung des Webauftritts oder einer Applikation «technisch erforderlich», also zwingend notwendig zur Übertragung einer Nachricht oder der Bereitstellung des vom Nutzer gewünschten Dienstes (z. B. Warenkorb in Online-Shop), besteht keine Verpflichtung zur Einholung einer Einwilligung (kein Cookie-Banner erforderlich), da der Cookie von der Ausnahme in Art. 61 Abs. 4 Bst. b KomG erfasst ist und sich die Datenverarbeitung mit Art. 6 Abs. 1 Bst. f DSGVO rechtfertigen lässt.

    Hinweis: Weder die europäische ePrivacy-Richtlinie noch das liechtensteinische KomG enthalten eine Aufzählung, die konkret definiert, was unter «technisch erforderlichen Cookies» zu verstehen ist. Die Opinion 04/2012 on Cookie Consent Exemption (WP 194) der ehemaligen Artikel-29-Datenschutzgruppe enthält allerdings Kriterien zur Beurteilung, ob Cookies aus technischer Sicht notwendig sind. Sie kann daher im Zweifelsfall herangezogen werden.

    Insbesondere folgende Funktionen sind technisch erforderlich (daher können entsprechende Cookies ohne Einwilligung gesetzt werden):

    • Notwendige Sitzungsverwaltung (z.B. Login oder Warenkorb-Cookies, sobald ein Nutzer sich anmeldet bzw. ein Produkt in den virtuellen Einkaufswagen legt);
    • Nutzereingaben, die sich bei Onlineformularen über mehrere Seiten erstrecken, sobald Nutzer das Formular ausfüllen;
    • Ausgewählte Sprache, sofern die Standardeinstellung verändert wird;
    • Vermerken der vom Nutzer getroffenen Wahl bezüglich des Einwilligungsstatus, sofern hierfür keine eindeutige Online-Kennung3 vergeben wird.

    Es bleibt jedoch die datenschutzrechtliche Pflicht, den Betroffenen, sprich den Webseitenbesuchern, entsprechende Informationen über die Verwendung von Cookies bspw. in einer Datenschutzerklärung bereitzustellen (vgl. Art. 13 DSGVO).

    Beispieltext:

    "Wir verwenden auf unserer Webseite Cookies, um damit unser Angebot nutzerfreundlich zu gestalten. Cookies sind kleine Datenelemente, die Ihr Browser automatisch erstellt und die auf Ihrem Endgerät (Laptop, Tablet, Smartphone etc.) gespeichert werden, wenn Sie unsere Seite besuchen. Die Cookies bleiben so lange gespeichert, bis Sie diese löschen. Dadurch können wir Ihren Browser beim nächsten Besuch wieder erkennen.

    Sollten Sie dies nicht wünschen, können Sie Ihren Browser so einrichten, dass er Sie über das Setzen von Cookies informiert und Sie diese im Einzelfall erlauben. Wir weisen Sie allerdings darauf hin, dass eine Deaktivierung dazu führt, dass Sie nicht alle Funktionen unserer Webseite nutzen können.

    Rechtsgrundlage für die durch Cookies verarbeiteten Daten ist Art. 6 Abs. 1 Bst. f DSGVO."
    3 Cookies können sogenannte Universally Unique Identifier (UUID) enthalten. Dabei handelt es sich vereinfacht ausgedrückt um nutzerspezifische Identifikatoren, mit denen Endgeräte von Nutzern eindeutig markiert werden können. Nach ErwG. 30 DSGVO zählen solche Identifikatoren zu den sogenannten Online-Kennungen. Grundsätzlich stellt eine Online-Kennung lediglich eine technische Markierung eines Endgeräts dar. Allerdings bestehen zahlreiche Möglichkeiten, diese Kennungen einer bestimmten Person zuzuordnen.

     

    2. Andere Cookies (z.B. Tracking-Cookies o.Ä.)

    Werden nicht ausschliesslich «technisch erforderliche» Cookies eingesetzt, sondern zum Beispiel solche, mit denen das Nutzerverhalten von Personen auf der jeweiligen Webseite oder über mehrere Webseiten oder Endgeräte hinweg aufgezeichnet und individuell ausgewertet werden kann (z.B. für Profiling oder die Nachverfolgung der Nutzer oder zu personalisierten Marketing-Zwecken), so ist nach Art. 61 Abs. 4 KomG eine ausdrückliche Einwilligung erforderlich. Die Anforderungen an eine rechtswirksame Einwilligung finden sich in Art. 7 DSGVO.

    Zu diesen Cookies zählen insbesondere solche zur Einbindung von Plugins von Social-Media-Anbietern, grossen Online-Plattform-Betreibern und Werbenetzwerken, wobei diese Auflistung nicht abschliessend ist.

    Umgesetzt wird die Einholung der Einwilligung am häufigsten mittels «Cookie-Banner» (Consent Management Tool). Ebenso muss bei der Einholung der Einwilligung sowie in einer Datenschutzerklärung über die Verwendung dieser Cookies sowie die damit zusammenhängende Datenverarbeitung informiert werden. Dies umfasst die Rechtsgrundlage (Art. 6 Abs. 1 Bst. a DSGVO), Zwecke, Speicherfrist, allfällige Empfänger und Datentransfers in Drittstaaten etc. (vgl. Art. 13 DSGVO).

    Achtung: Bei der Verwendung von sogenannten «Cookie Bannern» (Consent Management Tools) muss sichergestellt sein, dass sie die datenschutzrechtlichen Bestimmungen vollständig einhalten. Derartige Tools sollten deshalb keinesfalls ungeprüft eingesetzt werden. Ein entsprechendes Angebot im Internet bedeutet nicht automatisch, dass das Tool auch den datenschutzrechtlichen Bestimmungen entspricht.

     

    3. Spezialfall: Cookies für (rudimentäre) Webanalyse und Besucherstatistiken

    Cookies, welche in Zusammenhang mit einer einfachen Webanalyse oder Besucherstatistik stehen, sind zwar nicht im engeren Sinn «technisch erforderlich» zum Bereitstellen einer Webseite oder (mobilen) Applikation, sie sind jedoch – sofern sie sich auf das rein statistische Messen von Besucherzahlen etc. beschränken – ebenfalls als wesentlich für eine sinnvolle technische Bereitstellung der gewünschten Dienste anzusehen und somit «ähnlich» der technisch erforderlichen (im engeren Sinn). Sie sind von den in der oben genannten Kategorie «Andere Cookies», insoweit abzugrenzen, als das Ziel der Verarbeitung die Erstellung nicht-personenbezogener, aggregierter Statistiken ist.

    Sofern der Einsatz eines Cookies die nachfolgenden Bedingungen an eine datenminimierte, rein statistische und somit nicht-personenbezogene Analyse erfüllt, fällt er daher gemäss der Auslegung der DSS ebenfalls unter die Ausnahme von Art. 61 Abs. 4 Bst. b KomG und es ist entsprechend nur eine Information, aber keine Einwilligung (Cookie-Banner) der Betroffenen erforderlich.4 Die Bedingungen, die ein Verantwortlicher und gegebenenfalls sein Auftragsverarbeiter dabei einhalten müssen, sind wie folgt:

    Der Einsatz der Cookies darf

    • einzig dem Zweck des Verantwortlichen an der Messung der Besucher einer Webseite oder Applikation dienen (Messung verschiedener grundlegender Kennzahlen wie Besucherzahl, Häufigkeit, Zeitdauer etc. und Ableitung von Erkenntnissen z.B. zur Performance, Erkennung von Navigationsproblemen, Optimierung der technischen Leistung oder Benutzerfreundlichkeit, Abschätzung der erforderlichen Serverleistung, Analyse der aufgerufenen Inhalte). Jegliche weiteren Zwecke, etwa Marketing oder auch eigene Zwecke des Auftragsverarbeiters, sind ausdrücklich ausgeschlossen;
    • nur zur Erhebung von Daten für die Erstellung anonymisierter Statistiken für eine bestimmte Webseite (inkl. ihrer Unterseiten) verwendet werden;5
    • weder einen Abgleich noch eine Verknüpfung der erhobenen Daten mit personenbezogenen Daten aus anderen Verarbeitungsvorgängen (z.B. Kunden-Dossiers, Besuchsstatistiken anderer Webseiten etc.) oder eine Weiterleitung in nicht-anonymisierter Form an Dritte ermöglichen;
    • keine Nachverfolgung des Surf-Verhaltens eines Betroffenen über unterschiedliche Webseiten hinweg ermöglichen. So ist jegliche technische Lösung, die einen einheitlichen Identifikator für einen Betroffenen über mehrere unterschiedliche Webseiten hinweg nutzt (z.B. über ein Cookie eines Dritten, das auf den verschiedenen Webseiten abgerufen wird), um die Reichweite eines bestimmten Inhalts abzuschätzen oder zu messen, ausgeschlossen. 

    Ausserdem muss der Verantwortliche

    • die Betroffenen über den Einsatz dieser Cookies sowie die damit verbundene Verarbeitung personenbezogener Daten informieren (z.B. in der Datenschutzerklärung);
    • die Speicherdauer der Cookies auf das absolut erforderliche Mass begrenzen, sodass keine endlose Speicherung im Endgerät erfolgt oder die Speicherdauer bei jedem neuerlichen Besuch automatisch verlängert wird; sowie auch die Speicherdauer der damit erhobenen Daten auf das absolut erforderliche Mass begrenzen;
    • den Betroffenen ein Widerspruchsrecht nach Art. 21 DSGVO gewähren, da die Verarbeitung der mit den Cookies erhobenen personenbezogenen Daten aufgrund seines berechtigten Interesses (Art. 6 Abs. 1 Bst. f DSGVO) geschieht.

    Ein Auftragsverarbeiter, der Analyse-Dienstleistungen für verschiedene Verantwortliche erbringt, muss gewährleisten,

    • dass die Erhebung und Verarbeitung der Daten jedes Verantwortlichen separat stattfinden;
    • dass die eingesetzten Cookies vollständig unabhängig voneinander und von jeglichem anderen Cookie (oder Tracking-Instrument) sind;
    • dass er Massnahmen zur Datenminimierung ergreift, welche das Risiko einer direkten Identifizierung der Betroffenen (z.B. via singling out) möglichst verhindert. So darf er etwa keine eindeutig zuordenbaren Identifikatoren pro Betroffenen verwenden. Dementsprechend müssen Cookies so strukturiert sein, dass derselbe Cookie mehreren Geräten zugeordnet werden kann, wodurch eine begründete Unsicherheit hinsichtlich der IT-Identität des Cookie-Empfängers entsteht. Dies wird üblicherweise durch Maskierung geeigneter Teile der IP-Adresse im Cookie erreicht.6

    Achtung: Es ist zu beachten, dass einige Angebote für Webseiten-Analysen bzw. Reichweitenmessungen nicht unter die Ausnahme für «technisch erforderliche» Cookies fallen, weil deren Anbieter die erhobenen Daten zusätzlich auch noch für eigene Zwecke weiterverwenden. Nur wenn eine solche Weiterverwendung über die Einstellungen bzw. Konfiguration des Dienstes ausgeschlossen werden kann, ist eine Nutzung solcher Dienste ohne ausdrückliche Einwilligung der Betroffenen, d.h. ohne Cookie-Banner o.ä., erlaubt. Zu beachten ist, dass dies jedoch bei den grossen Anbietern am Markt üblicherweise nicht möglich ist. Ebenso ist darauf hinzuweisen, dass manche Dienste die erhobenen Daten in Drittstaaten transferieren, was Garantien nach Kapitel V DSGVO erforderlich macht.

    Hinweis: Nicht von Art. 61 Abs. 4 KomG erfasst sind die automatisiert von einem Server erhobenen Informationen (Log Files). Die Auswertung dieser Informationen zum Zwecke einer Besucherstatistik kann deshalb mit geeigneter Information in der Datenschutzerklärung auf Basis von Art. 6 Abs. 1 Bst. f DSGVO (berechtigtes Interesse) erfolgen.

    4 Achtung: Ob eine rudimentäre Webanalyse/Besucherstatistik von der Ausnahme für technisch erforderliche Cookies erfasst ist oder nicht, wird von den Datenschutzbehörden in Europa unterschiedlich beurteilt. Die Interpretation der Datenschutzstelle Liechtenstein folgt der grosszügigeren Auslegung der Behörden etwa von Frankreich oder Italien.

    5 Wenn es sich um Webseiten einer Unternehmensgruppe desselben Verantwortlichen handelt, dann dürfen ausnahmsweise über alle Seiten anonymisierte Statistiken erstellt werden.

    Konkrete Hinweise, wie IP-Adressen angemessen maskiert werden können, finden sich in Kapitel 7.2 der Cookie-Leitlinie der italienischen Datenschutz-Aufsichtsbehörde (zuletzt besucht am: 10.12.2025).