Digital Compliance | DSGVO

Nur 6% der Schweizer Webseiten sind DSGVO-konform

Die neue Europäische Datenschutzgrundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten.

Die wichtigsten Änderungen der DSGVO betreffend Cookies sind:

  • Cookies gelten als Online-Identifikationen und damit als persönliche Informationen.
  • Das Sammeln und Verarbeiten von persönlichen Informationen (inkl. Cookies) bedarf der Zustimmung des Besuchers.
  • Webseitenbetreiber müssen detailliert über die Verwendung von Cookies informieren.
  • Besucher müssen die Möglichkeit haben, die Zustimmung zu Cookies jederzeit zu widerrufen. (Auf genauso einfache Weise wie die Zustimmung zu Cookies gegeben wurde.)
  • Die Zustimmung zu Cookies muss losgelöst von der Zustimmung zu den allgemeinen Nutzungsbedingungen oder der Datenschutzerklärung erfolgen.
  • Für notwendige Cookies, die für den Betrieb der Webseite notwendig sind, kann ein berechtigtes Interesse geltend gemacht werden.
  • Es ist nicht möglich, ein berechtigtes Interesse für Targeting-Cookies geltend zu machen, die die Nutzerinformationen der Webseite an Social Media Netzwerke und Werbenetzwerke übermitteln und von diesen zu Profiling- und Targeting-Zwecken genutzt werden oder für Re-Marketing eingesetzt werden. Für diese Cookies ist eine explizite Zustimmung erforderlich.

Die DSGVO gilt auch für Schweizer Webseiten und Firmen, die ihr Angebot an EU-Bürger richten oder Daten von EU-Bürgern sammeln und verarbeiten. Das bedeutet konkret, dass für Schweizer Firmen, die Web-Inhalte gezielt an EU-Bürger adressieren oder Daten von diesen sammeln, ein Cookie-Banner gemäss DSGVO Pflicht ist.

Sind Schweizer Webseiten DSGVO-konform?

Wir haben zwei Monate nach Inkrafttreten der DSGVO hundert Webseiten der Schweizer Top-500-Unternehmen analysiert. Die hundert Webseiten wurden aus allen Branchen ausgewählt. Die Schweizer Version der Webseite wurde einer manuellen Prüfung unterzogen und darauf geprüft, ob die Webseite einen Cookie Banner enthält und welche Cookie-Management-Möglichkeiten zur Verfügung stehen.

Nur 50% haben einen Cookie Banner

Genau die Hälfte aller Webseiten verfügt über einen Cookie Banner, der prominent über die Cookie-Nutzung der Webseite informiert. Dies ist für den Datenschutz erfreulich, da das aktuelle Schweizer Datenschutzgesetz (noch) keine Cookie-Banner vorschreibt.

  • 11% der Webseiten haben nur einen Banner zur Information, der geschlossen werden kann oder beim Anklicken eines Links auf der Seite verschwindet.
  • 27% haben neben der Information noch einen OK- oder Accept-Button auf dem Banner.
  • 12% bieten im Cookie Banner zusätzliche Cookie-Einstellungen an.

Nur 6% der Cookie-Banner sind DSGVO-konform

Gemäss DSGVO muss der Webseiten-Besucher die Möglichkeit haben, seine Zustimmung zu Cookies für jede Cookie-Kategorie einzeln geben zu können. Dabei wird zwischen den folgenden vier Cookie-Kategorien unterschieden:

  1. Notwendige Cookies: Das sind beispielsweise CMS-Cookies, ohne die die Webseite nicht funktionieren würde. Hier reicht eine implizite Zustimmung des Webseiten-Besuchers.
  2. Funktionale Cookies: Dies können Cookies sein, die das Funktionieren und die Erreichbarkeit der Webseite garantieren. Auch hier reicht eine implizite Zustimmung des Besuchers.
  3. Performance-Cookies: Dabei handelt es sich um Cookies, die die Nutzung der Webseite messen, wie zum Beispiel Web-Analyse-Tools wie Google Analytics. Hier ist eine implizite Zustimmung ebenfalls ausreichend.
  4. Targeting-Cookies: Das sind Cookies, die die Besucher der Webseite zu Retargeting-Zwecken verfolgen, zum Beispiel von Social Media Netzwerken wie Facebook. Diese Cookies erfordern eine explizite Zustimmung der Webseiten-Besucher.

Auf den Schweizer Webseiten haben wir folgende Cookie-Zustimmungsmodelle vorgefunden:

  1. Kein Cookie Banner: Alle Cookies werden ohne Hinweis gesetzt.
  2. Cookie Banner mit Hinweis:  Es werden ebenfalls alle Cookies gesetzt, aber mit dem Hinweis, dass man dem mit der weiteren Nutzung der Webseite zustimmt.
  3. Cookie Banner mit Zustimmungsmodell: Für alle Cookies ausser den notwendigen Cookies wird eine explizite Zustimmung des Besuchers eingeholt. Ohne diese werden die Cookies nicht gesetzt.

Die Verteilung dieser drei Modelle sieht folgendermassen aus:

  • 50% der Webseiten haben keinen Cookie Banner und alle Cookies werden ohne Zustimmung gesetzt.
  • 44% der Webseiten setzen Cookies aller Kategorien mit impliziter Zustimmung, also nach dem Motto: “Durch die weitere Nutzung unserer Webseite stimmen Sie der Verwendung von Cookies zu.” Dies wäre nur DSGVO-konform, wenn keine Targeting-Cookies eingesetzt würden.
  • Nur 6% aller Webseiten sind 100% DSGVO-konform und setzen nur die notwendigen Cookies. Für alle anderen Cookie-Kategorien muss der Besucher eine explizite Zustimmung erteilen, ohne diese werden sie nicht gesetzt.

Fazit

Die Ergebnisse lassen auf eine grosse Unsicherheit bei den Schweizer Unternehmen schliessen, wie die DSGVO in der Schweiz anzuwenden ist. Viele scheinen nicht genau zu wissen, was für Schweizer Firmen gilt und was die DSGVO für ihre Webseite bedeutet.

Es ist richtig, dass die DSGVO als Grundverordnung nicht sehr detailliert auf alle Fragen in der digitalen Kommunikation eingeht. Bei diesen Themen wird die EU e-Datenschutzgrundverordnung, die voraussichtlich 2019 lanciert werden wird, weitere Klarheit beim Umgang mit elektronischen Daten schaffen.

Die DSGVO als Grundverordnung stellt jedoch ein Grundrecht jedes Europäers dar und ist bereits jetzt bei der Verarbeitung persönlicher Daten anzuwenden.

Zusammenfassend zeigt die Analyse mit über 50% der Webseiten die einen Cookie-Banner einsetzen, dass auch für Schweizer Firmen die neue DSGVO ein Thema ist und die Webseiten für Europäische Besucher angepasst werden.

Trotzdem ist nur ein sehr geringer Anteil von 6% der Webseiten DSGVO-konform.

Unternehmenswebseiten, die unter die DSGVO fallen, empfehlen wir, ihre Online-Kanäle gemäss DSGVO zu prüfen, um Abmahnungen und Bussen zu vermeiden.