Google Consent – Kommt die Pflicht zum Cookie-Banner?

Wer auf seiner Webseite Google-Dienste wie Analytics, Ads oder den Tag Manager einsetzt, hat vermutlich in den vergangenen Tagen oder Wochen eine E-Mail von Google mit dem Hinweis auf die Aktualisierung der «EU-Einwilligungsrichtlinie» erhalten oder wurde von Webdienstleistern auf eine kommende Pflicht zum Einsatz einer Consent-Management-Plattform (CMP) hingewiesen.

Hintergrund dieser Meldungen ist die Erweiterung der Google-Richtlinie zur Einwilligung der Nutzer in der EU auf die Schweiz per 31. Juli 2024 und der damit einhergehenden Anpassung des Google Consent-Modes. In diesem Beitrag erfährst Du, was diese Änderungen für dich als Webseitenbetreiber konkret bedeutet und ob Du künftig ein CMP einsetzen musst.

Die Google-Richtlinie zur Einwilligung der Nutzer in der EU

Die Richtlinie zur Einwilligung der Nutzer in der EU regelt, unter welchen Umständen Webseiten- oder Appbetreiber für den Einsatz von Google-Diensten die Zustimmung ihrer Nutzer einholen müssen. Für Nutzer in der EU und im EWR gilt die Richtlinie bereits seit dem 6. März 2024. Per 31. Juli 2024 erfolgte die Erweiterung auf die Schweiz.

Konkret schreibt die Richtlinie vor, dass für gewisse Datenbearbeitungsvorgänge die Zustimmung der betroffenen Person eingeholt werden muss. Google verlangt dies in folgenden Fällen:

·       beim Einsatz von Cookies oder anderer Formen der lokalen Speicherung von Informationen, soweit die Einholung einer Einwilligung hierfür gesetzlich vorgeschrieben ist;

·       bei der Erhebung, Weitergabe und Nutzung von personenbezogenen Daten zur Personalisierung von Werbeanzeigen.

Zu beachten ist, dass es sich bei der Richtlinie um Nutzungsbedingungen von Google  und nicht um eine gesetzliche Regelung handelt. Wer gegen die Richtlinie verstösst, verletzt also keine gesetzliche Pflicht, riskiert jedoch, dass die Funktionalität der Google-Dienste beeinflusst oder eingeschränkt wird.

Der Google Consent-Mode (Einwilligungsmodus)

Mit dem Einwilligungsmodus kann für den Einsatz von Google-Diensten, die auf sogenannte Tags zurückgreifen, der jeweilige Cookie-Einwilligungsstatus der Nutzer verwaltet werden. Es handelt sich dabei um eine Schnittstelle, über die der Webseiten- oder Appbetreiber Google mitteilt, ob seine Nutzer eine Einwilligung zur Bearbeitung von Personendaten zum jeweiligen Zweck erteilt haben oder nicht. Die Erteilung oder Verweigerung der Einwilligung erfolgt dabei in der Regel über eine sogenannte Consent-Management-Plattform (CMP), über das der Nutzer der jeweiligen Datenbearbeitung zustimmen oder diese ablehnen kann. Je nach Einwilligungsstatus werden Tags der Google-Dienste entweder im Modus der vollständigen Datenerhebung oder in einem eingeschränkten Modus ohne Cookie-Setzung bzw. Erhebung von Personendaten arbeiten.

Das Einwilligungserfordernis nach DSGVO

Innerhalb der EU und dem EWR ist das Zustimmungserfordernis für eine Datenbearbeitung zum Zweck der Verhaltensanalyse, unabhängig von Regelungen in den Google-Richtlinien, in den meisten Fällen gesetzlich vorgeschrieben. Die DSGVO setzt für die rechtmässige Datenbearbeitung immer einen Rechtfertigungsgrund voraus. Für die Nutzung von Webseiten-Tracking-Tools kommt dabei regelmässig die Einwilligung der betroffenen Person in Frage. Wer also das Verhalten seiner Nutzer in der EU oder dem EWR beobachten will, muss bereits heute deren Zustimmung einholen. Betreiber von Webseiten, die sich an Nutzer in der EU und dem EWR richten, müssen somit bereits unabhängig von der Änderung der Nutzungsbedingungen von Google eine CMP einsetzen.

Das Einwilligungserfordernis nach Schweizer Recht

Im Gegensatz zur DSGVO ist nach Schweizer Recht eine Datenbearbeitung auch ohne Rechtfertigungsgrund erlaubt, solange die gesetzlich vorgeschriebenen Bearbeitungsgrundsätze eingehalten werden. Eine Einwilligung zur Datenbearbeitung ist in der Regel nicht notwendig. Die Einhaltung der Bearbeitungsgrundsätze setzt jedoch voraus, dass jede Datenbearbeitung transparent erfolgt. Das heisst, die Bearbeitung von Personendaten muss für die betroffene Person erkennbar sein. In Bezug auf den Einsatz von Tracking-Werkzeugen bedeutet dies, dass Webseitenbesucher über deren Einsatz informiert werden müssen inkl. dem Hinweis, dass der Bearbeitung widersprochen werden kann. Die Transparenzpflicht ist erfüllt, wenn die notwendigen Informationen in einer allgemein zugänglichen Datenschutzerklärung aufgeführt sind. Die Einblendung eines gesonderten Cookie-Banners ist in der Schweiz hingegen nicht notwendig.

Was seit dem 31. Juli 2024 für Schweizer Unternehmen gilt

Mit der Erweiterung der «Richtlinie zur Einwilligung der Nutzer in der EU» auf die Schweiz gelten seit dem 31. Juli 2024 zusätzliche Nutzungsbedingen für Google-Dienste. Auf den ersten Blick entsteht dabei der Eindruck, dass das Einholen einer Einwilligung für das Tracking von Nutzerverhalten mit Google-Diensten auch in der Schweiz zur generellen Pflicht wird.

Dies gilt aber nicht in jedem Fall, denn eine allgemeine Pflicht zur Einholung einer Einwilligung für den Einsatz von Cookies gilt auch gemäss Google-Richtlinie weiterhin nur, wenn dies gesetzlich vorgeschrieben ist. Da in der Schweiz keine solche gesetzliche Pflicht besteht, ist für den Einsatz von Cookies auf Webseiten, die sich nur an ein Schweizer Publikum richten, weiterhin keine Einwilligung notwendig.

Werden Personendaten jedoch zur Personalisierung von Werbeanzeigen bearbeitet, verpflichtet Google Schweizer Webseiten- und Appbetreiber zukünftig zur Einholung einer Einwilligung ihrer Nutzer.

Die Zustimmung der Webseitennutzer ist seit dem 31. Juli 2024 damit Pflicht, wenn die eingesetzten Google-Dienste so konfiguriert sind, dass Personendaten zum Zweck der personalisierten Werbung erhoben, weitergegeben oder genutzt werden. In erster Linie trifft die Pflicht Webseitenbetreiber, die auf ihrer Webseite Werbeanzeigen über Google Ads einblenden. Wer hier personalisierte Werbung einbinden will, muss künftig die Einwilligung der Nutzer einholen, ansonsten riskiert er, dass die Google-Dienste ab August nicht mehr wie gewünscht funktionieren.

Auch beim Einsatz anderer Google-Dienste ist Vorsicht geboten. Dienste, wie etwa Google Analytics erheben standardmässig Personendaten zur Anzeige personalisierter Werbung, auch wenn dies gar nicht genutzt wird. Wer Daten für personalisierte Werbung nicht benötigt, sollte die Einstellungen so wählen, dass keine entsprechende Erhebung erfolgt, ganz im Sinne des Prinzips der Datensparsamkeit. In diesem Fall kann auch weiterhin auf die Einholung einer Einwilligung via CMP und damit auf das Einblenden eines «Cookie-Banners» verzichtet werden.

Für Webseiten, die sich an ein Zielpublikum in der EU oder dem EWR richten, ändert sich grundsätzlich nichts. Das Zustimmungserfordernis galt bereits vor der Richtlinienanpassung und gilt auch weiterhin.

Was ist als Webseitenbetreiber zu tun?

Die Frage, ob ein Handlungsbedarf vorliegt, hängt von folgenden Faktoren ab:

·       Richtet sich die Webseite an ein Zielpublikum in der EU bzw. dem EWR, ändert sich nichts. Zur Einhaltung der DSGVO ist es bereits heute Pflicht, eine Einwilligung zur Bearbeitung von Personendaten zum Zweck der Verhaltensanalyse und der personalisierten Werbung einzuholen. Zu prüfen bleibt jedoch die korrekte Übermittlung des Einwilligungsstatus.

·       Richtet sich die Webseite lediglich an ein Schweizer Zielpublikum und werden keine Personendaten zum Zweck der personalisierten Werbung bearbeitet, ändert sich nichts. Eine Einwilligung zur Bearbeitung von Personendaten, die lediglich der Beobachtung des Nutzungsverhaltens dient, ist weiterhin nicht notwendig. Webseitenbetreiber sollten jedoch sicherstellen, dass die verwendeten Google-Dienste richtig konfiguriert sind und die Nutzung der erhobenen Daten für personalisierte Werbung deaktiviert wird.

·       Richtet sich die Webseite an ein Schweizer Zielpublikum und werden Daten zum Zweck der personalisierten Werbung bearbeitet, ist seit dem 31. Juli 2024 die Zustimmung der Webseitenbesucher einzuholen. Der Webseitenbetreiber muss in diesem Fall ein zertifizierten Consent-Management-Plattform (CMP) einsetzten oder den von Google angebotenen Google Consent Mode V2 einsetzen, ansonsten riskiert er einen Verstoss gegen Googles Nutzungsbedingen und dass die eingesetzten Dienste nicht mehr wie gewünscht funktionieren. Eine gesetzliche Pflicht besteht jedoch weiterhin nicht.

Fazit

In der Schweiz verlangt das Datenschutzgesetz in der Regel nicht, dass Verantwortliche explizit eine Einwilligung einholen. Google verlangt jedoch ab dem 31.07.2024 in Übereinstimmung mit ihrer eigenen angepassten EU-Einwilligungsrichtlinie, dass Einwilligungen in bestimmten Konstellationen aktiv erteilt werden, was über die Anforderungen des schweizerischen Rechts hinausgeht. Um die entsprechenden Google-Dienste weiterhin uneingeschränkt nutzen zu können, ist daher zu prüfen, ob Anpassungen notwendig sind.

Unsere Experten stehen Dir bei der Evaluation und Bewertung gerne zur Verfügung.

Hier findest Du mehr über das Thema Datenschutz.

IT- und Technologierecht

Rechtsstreitigkeiten in der IT: Tipps für Unternehmen zur Risikominimierung

Arbeitsrecht

Die verschiedenen Arbeitszeitmodelle im Überblick

IT- und Technologierecht

KI-Dienste: Haftung, Verträge, Datenschutz und Co.

Datenschutz

1 Jahr neues Datenschutzgesetz

Arbeitsrecht

Homeoffice IV

Baurecht

Virtuelle ZEV und lokale Elektrizitätsgemeinschaften (LEG)

optional
optional
optional