Cookie-Banner Pflicht in der Schweiz: Was 2026 wirklich gilt

Die Frage taucht in jeder Beratungssitzung auf: «Brauche ich denn überhaupt einen Cookie-Banner?» Und je nachdem, mit wem ich spreche, höre ich drei völlig verschiedene Antworten. Die Webagentur sagt «klar, alle haben einen». Der Anwalt sagt «kommt drauf an». Der Geschäftsführer sagt «ich will das so unauffällig wie möglich». Alle haben irgendwo recht — aber die nüchterne juristische Realität ist konkreter, als es auf den ersten Blick scheint.

Die Rechtslage in der Schweiz — kurz und klar

Das revidierte Datenschutzgesetz erwähnt Cookies nicht namentlich. Es spricht von der Bearbeitung von Personendaten und davon, dass diese Bearbeitung transparent erfolgen muss. Cookies sind technisch betrachtet kleine Textdateien, die im Browser gespeichert werden. Wenn ein Cookie eine eindeutige ID enthält und damit Verhalten zurückverfolgt werden kann, ist das eine Bearbeitung von Personendaten — also vom DSG erfasst.

Die zweite relevante Quelle ist Art. 45c des Fernmeldegesetzes (FMG). Er verpflichtet Webseitenbetreiber, ihre Nutzer über die Bearbeitung mittels Cookies zu informieren und ihnen die Möglichkeit zu geben, diese abzulehnen. In der Praxis hat das FMG aber wenig Zähne — bislang gab es kaum Strafverfahren auf dieser Grundlage.

Die dritte und derzeit wichtigste Quelle ist die EDÖB-Empfehlung vom Februar 2024. Darin wird klar formuliert, wie der EDÖB eine korrekte Cookie-Information versteht: Layered Approach mit erster Informationsebene, präziser Cookie-Aufstellung auf zweiter Ebene, gleichwertige Buttons für Akzeptieren und Ablehnen.

Wann ist ein Banner zwingend?

Die einfache Faustregel: Wenn Ihre Webseite Cookies setzt, die nicht für die Funktion notwendig sind, brauchen Sie einen Einwilligungs-Banner.

Konkret heisst das:

• Notwendige Cookies (Session, Warenkorb, Login, CSRF): kein Banner nötig, aber eine Erwähnung in der Datenschutzerklärung.
• Funktionale Cookies (Sprach-Präferenz, Theme, gespeicherte Filter): Empfehlung der Information, Einwilligung empfohlen aber nicht zwingend.
• Statistik-Cookies (Google Analytics, Matomo, Plausible): Einwilligung empfohlen — bei Plausible ohne Cookie technisch möglich.
• Marketing-Cookies (Meta Pixel, Google Ads, Hotjar): Einwilligung zwingend.

Die Praxis: Wer auch nur einen einzigen Marketing- oder Statistik-Cookie hat, braucht einen sauberen Einwilligungs-Banner. Webseiten ohne Tracking — etwa eine reine Visitenkarte ohne Analytics — kommen ohne Banner aus, sollten aber dennoch eine Datenschutzerklärung haben.

Das DSGVO-Thema, das viele KMU übersehen

Ein häufiger Irrtum: «Wir sind ein Schweizer Unternehmen, also gilt für uns nur das DSG.» Stimmt, solange Sie sich gezielt an den Schweizer Markt richten. Sobald Sie aber EU-Kundschaft aktiv ansprechen — etwa durch Produktversand nach Deutschland, deutschsprachige Anzeigen in Österreich oder einen Newsletter mit französischen Abonnenten — greift die DSGVO für diese Besucher.

Was bedeutet das konkret? Der DSGVO-Banner setzt strengere Standards als das DSG. Insbesondere:

• Einwilligung muss opt-in sein (nicht voreingestellt aktiv)
• «Ablehnen» muss gleichwertig zugänglich sein
• Einwilligung muss dokumentiert werden (Consent-Log)
• Einwilligung muss widerrufbar sein (so einfach wie sie erteilt wurde)

Wer beide Welten abdecken will, baut den Banner nach DSGVO-Standard. Das ist ohnehin die Empfehlung des EDÖB — strengere Anforderungen erfüllen mildere automatisch.

Die EDÖB-Empfehlung im Detail

Die Empfehlung von 2024 ist überraschend praxisnah. Sie schlägt einen «Layered Approach» vor:

Erste Ebene — der Banner selbst. Hier muss erkennbar sein:

• Welche Arten von Cookies eingesetzt werden
• Wer Empfänger ist (auch Drittanbieter)
• Wie die Einwilligung erteilt oder verweigert werden kann
• Ein Link auf detaillierte Informationen

Zweite Ebene — die Cookie-Detailseite. Hier muss aufgeführt sein:

• Jeder einzelne Cookie mit Name, Anbieter, Zweck, Speicherdauer
• Möglichkeit, kategorisch oder einzeln zu wählen
• Hinweise auf Drittanbieter-Datenschutzerklärungen

In der Praxis verschmelzen Ebene 1 und 2 oft in einer Modal-Logik: Banner unten, Klick auf «Einstellungen» öffnet die Detailansicht. Das ist akzeptabel, solange der Zugang zur Detailansicht intuitiv ist.

Drei Praxisbeispiele aus dem Schweizer Alltag

Beispiel 1 — Lokaler Restaurant-Webauftritt. Statische Seite, eingebettete Google Maps, sonst nichts. Maps setzt einen Cookie. Empfehlung: Banner mit Information und Möglichkeit, Maps zu deaktivieren. In der Praxis lädt man Maps erst nach Einwilligung — bis dahin zeigt man eine statische Karte oder einen Platzhalter.

Beispiel 2 — Webagentur mit HubSpot-CRM. HubSpot-Tracking, Google Analytics, Meta Pixel. Hier ist ein professioneller Cookie-Banner unverzichtbar — ohne Einwilligung darf keines dieser Tools laden.

Beispiel 3 — Schweizer Onlineshop mit DACH-Versand. DSGVO greift mit ein. Banner muss DSGVO-konform sein, Marketing-Cookies dürfen nur nach explizitem Opt-in geladen werden. Consent-Log ist Pflicht — bei Auskunftsanfragen muss nachweisbar sein, wann der Kunde welcher Verarbeitung zugestimmt hat.

Konsequenzen bei Verstoss

Der EDÖB hat 2025 begonnen, Webseiten gezielter zu prüfen. Bei einem Verstoss erfolgt zunächst eine informelle Empfehlung zur Anpassung. Wer ignoriert oder unvollständig korrigiert, riskiert eine formelle Empfehlung, die öffentlich gemacht werden kann. Im Wiederholungsfall droht eine Strafanzeige — mit der Konsequenz, dass die für den Verstoss verantwortliche natürliche Person mit bis zu CHF 250'000 belangt werden kann.

Reputational ist der Schaden oft grösser als die finanzielle Sanktion. Eine öffentliche EDÖB-Empfehlung gegen ein KMU bleibt im Web nachlesbar — und Kunden achten zunehmend auf Datenschutz-Hygiene.

Fazit für 2026

Die Cookie-Banner-Pflicht in der Schweiz ist nicht binär «ja oder nein». Sie hängt davon ab, welche Cookies und Tracking-Tools tatsächlich eingesetzt werden. Aber sobald irgendetwas jenseits von Session-Funktionalität läuft, ist ein sauberer Einwilligungs-Banner mit Layered Approach Pflicht — und keine Stilfrage.

Wer das pragmatisch lösen will, hat zwei Optionen: einen eigenen Banner bauen lassen (teuer, wartungsintensiv) oder eine fertige Lösung wie Aiara einsetzen, die DSG- und DSGVO-konform out-of-the-box funktioniert. Aiara erkennt automatisch, welche Cookies Ihre Webseite setzt, und passt den Banner inklusive Detailseite entsprechend an.