EDÖB-Leitfaden in der Praxis: Was er für Webseitenbetreiber wirklich bedeutet

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) ist die zentrale Aufsichtsbehörde für Datenschutzfragen in der Schweiz. Sein Leitfaden zu Online-Tracking und Cookies ist seit 2019 die wichtigste Referenz für Schweizer Webseitenbetreiber — auch wenn ihn nur die wenigsten gelesen haben. Hier eine Einordnung der wichtigsten Empfehlungen, ergänzt um die Beobachtung, wie der EDÖB sie in der Praxis umsetzt.

Was der Leitfaden ist — und was nicht

Der Leitfaden V1.1 vom Februar 2024 ist keine Verordnung, kein Gesetz, keine bindende Norm. Er ist eine Verlautbarung der Aufsichtsbehörde, in der sie ihre Auslegung des DSG für den Bereich Online-Tracking erklärt. Das klingt schwach, ist aber praktisch sehr wirkungsvoll: Wer untersucht wird, wird am Leitfaden gemessen. Wer abweicht, muss begründen.

Aus juristischer Sicht: Der Leitfaden bindet nicht direkt, aber er bildet die «sichere Praxis» ab. Vor Gericht würde ein Argument «aber der EDÖB hat das so empfohlen» zwar nicht den Ausschlag geben, aber ein erheblicher Faktor sein.

Die fünf wichtigsten Empfehlungen

1. Layered Approach für Cookie-Information

Der EDÖB empfiehlt eine zweistufige Information: erste Ebene als Banner mit den Kernpunkten, zweite Ebene mit detaillierter Cookie-Aufstellung. Die zweite Ebene muss intuitiv erreichbar sein.

In der Praxis: Die meisten Banner haben das umgesetzt, aber oft schlecht — der Klick auf «Einstellungen» öffnet eine Liste, die kaum lesbar ist. Was der EDÖB will: lesbare, kategorische Auflistung mit klarer Wahlmöglichkeit.

2. Gleichwertigkeit von Akzeptieren und Ablehnen

«Akzeptieren» und «Ablehnen» müssen visuell und logisch gleichwertig sein. Konkret: Beide Buttons sollten gleich gross sein, gleich prominent platziert, mit ähnlichem Kontrast.

In der Praxis: Hier gibt es viele Verstösse. Der grüne, leuchtende «Akzeptieren»-Button neben dem grauen, halbtransparenten «Ablehnen» ist ein klassisches Dark Pattern, das der EDÖB explizit als unzulässig markiert.

3. Keine Cookie-Walls

Eine Cookie-Wall — also «Akzeptieren oder Webseite verlassen» — ist nach EDÖB-Position nicht zulässig, weil die Einwilligung dann nicht mehr freiwillig ist. Es gibt Spielraum für Modelle wie «Pay-per-Page» oder «Consent oder Abo», aber das ist juristisch heikel.

In der Praxis: Cookie-Walls sind in der Schweiz selten. Die meisten Webseiten lassen Ablehnen zu, ohne den Zugang zu blockieren.

4. Granulare Wahlmöglichkeit

Nutzer müssen nicht nur «Alle akzeptieren» oder «Alle ablehnen» wählen können, sondern auch kategorisch — etwa nur Statistik, nur Marketing. Idealerweise pro einzelnem Drittanbieter-Tool.

In der Praxis: Granularität ist meistens umgesetzt, aber oft mit unklarer Kategorie-Beschriftung. «Marketing» heisst was genau? Welche Tools fallen rein, welche raus? Die Detailseite muss das klären.

5. Dokumentation der Einwilligung

Jede Einwilligung muss nachweisbar sein. Konkret: Consent-Log, der für jeden Nutzer-Klick festhält, was, wann, mit welchen Kategorien gewählt wurde.

In der Praxis: Der schwächste Punkt bei vielen Schweizer Webseiten. Wenn ein Nutzer eine Auskunftsanfrage stellt und nach seinem Consent-Log fragt, kommt oft Funkstille — weil keiner geführt wird.

Die Behördenpraxis seit 2024

Der EDÖB hat in den letzten 18 Monaten merklich aktiver geprüft. Die typische Vorgehensweise:

1. Eingang einer Beschwerde oder Stichproben-Auswahl durch die Behörde
2. Informelle Anfrage an das Unternehmen mit Bitte um Stellungnahme
3. Empfehlung zur Anpassung mit angemessener Frist (typisch 30-60 Tage)
4. Bei Nicht-Umsetzung: formelle Empfehlung mit Publikation
5. Bei weiterer Nicht-Umsetzung: Beschwerde an das Bundesverwaltungsgericht

In der Praxis kommen die meisten Fälle bei Stufe 2 zum Abschluss — eine informelle Anpassung reicht. Stufe 3 wird publik, Stufe 4 ist selten.

Was die V2 (angekündigt 2026) bringen könnte

Der EDÖB hat angekündigt, eine V2 des Leitfadens zu publizieren. Erwartete Schwerpunkte:

• AI-bezogenes Tracking — Behavioral Profiling durch ML-Modelle
• Server-Side Tracking — Workarounds, die First-Party-Cookies setzen, aber Daten an Drittanbieter senden
• Mobile App-Tracking — Schnittstelle zwischen DSG und Apple/Google App-Tracking-Policies
• Dark Pattern-Erweiterungen — neue Kategorien irreführender UI-Patterns

Wer heute schon sauber implementiert, ist für die V2 vorbereitet. Wer Workarounds nutzt, sollte sich auf neue Anforderungen einstellen.

Praxis-Checkliste vor einer EDÖB-Stichprobe

Wenn der EDÖB anklopft, sollten Sie folgende Punkte sofort vorzeigen können:

• Cookie-Banner mit gleichwertigen Akzeptieren/Ablehnen-Buttons
• Detailseite mit Auflistung aller Cookies, kategorisch und einzeln wählbar
• Consent-Log mit nachvollziehbaren Einwilligungen
• Datenschutzerklärung, die zur tatsächlichen Cookie-Realität passt
• Auskunftsanfragen-Prozess mit dokumentierter Reaktionszeit
• Datenexporte ins Ausland mit Mechanismus ausgewiesen
• Verzeichnis der Verarbeitungstätigkeiten (sofern pflichtig)

Wo Aiara den Leitfaden umsetzt

Aiaras Banner ist standardmässig nach dem Layered Approach gebaut. Akzeptieren und Ablehnen haben gleiche Grösse und Prominenz. Die Detailseite listet jeden Cookie einzeln, mit Anbieter, Zweck und Speicherdauer. Der Consent-Log läuft automatisch im Hintergrund — bei einer Auskunftsanfrage sehen Sie auf einen Blick, wann der Nutzer welche Wahl getroffen hat. Das ist nicht Magie, das ist die Anwendung dessen, was der EDÖB als «sichere Praxis» empfiehlt.