Cookie-Banner Schweiz: Was wirklich rein muss
Pflicht-Inhalte, häufige Fehler und welche Tools für Schweizer Webseiten wirklich taugen.
Vor zwei Wochen hatte ich einen Kunden am Telefon. Treuhänder aus dem Berner Oberland, sehr seriös, sehr gewissenhaft. Er sagte: «Ich habe ein Cookie-Banner. Ist alles gut, oder?» Ich habe seine Webseite kurz angeschaut, dann musste ich ihm erzählen, dass sein Banner schön aussieht, aber Google Analytics einfach munter weiter Daten an die USA schickt, egal was sein Besucher klickt.
Das ist leider sehr typisch. Cookie-Banner gehören zu den Dingen, wo viele KMU denken «haben wir gemacht», ohne dass sie wirklich funktionieren. Ich erkläre heute, was tatsächlich rein muss, was häufig fehlt, und mit welchen Tools Sie das richtig hinbekommen.
Erstmal: Wo gilt was?
In der Schweiz gilt seit September 2023 das revidierte Datenschutzgesetz, kurz revDSG. Das ist nicht 1:1 das DSGVO, aber sehr nah dran. Beim Thema Cookies gibt es einen wichtigen Unterschied. Das revDSG verlangt Transparenz, also Information darüber, welche Cookies und Tracker Sie einsetzen und wofür. Das DSGVO verlangt zusätzlich aktive Einwilligung vor dem Setzen, also Opt-in.
In der Praxis ist das fast egal, und ich erkläre, warum. Praktisch jede Schweizer Webseite hat auch Besucher aus dem EU-Raum. Sobald das der Fall ist, gilt für diese Besucher das DSGVO. Wir können nicht zwei verschiedene Banner ausspielen, also nehmen wir gleich das strengere. Heisst: Opt-in für alle nicht-technischen Cookies. Sie sind auf der sicheren Seite und müssen nicht jedes Mal überlegen, was wo gilt.
Das ist keine theoretische Schikane. Der EDÖB (das ist die Schweizer Datenschutzbehörde) hat 2024 mehrere Webseiten geprüft und auch öffentlich kritisiert, weil sie Tracking ohne echte Wahl betrieben. Bussen werden zwar selten verhängt, aber die Aufmerksamkeit hat zugenommen.
Was wirklich ins Cookie-Banner gehört
Ein korrektes Cookie-Banner hat sechs Dinge, die zwingend drin sein müssen. Das ist nicht meine Erfindung, das kommt aus revDSG und DSGVO direkt:
1. Klare Information über die Kategorien
Welche Arten von Cookies setzen Sie? Mindestens unterteilt in: technisch notwendig (z.B. Session, Warenkorb), Statistik/Analytics, Marketing/Tracking, Komfort/Personalisierung. Pro Kategorie muss erklärt sein, was passiert.
2. Drei gleichwertige Buttons
«Alle akzeptieren», «Nur notwendige», und «Auswahl treffen» oder Equivalent. Wichtig: alle drei müssen visuell gleichwertig sein. Das ist der häufigste Fehler. Wenn «Akzeptieren» in fettem Grün und «Ablehnen» in einem winzigen grauen Link daneben steht, ist das keine echte Wahl. Der EDÖB sieht das genauso.
3. Konkrete Cookie-Liste
In der Detailansicht muss eine Liste der einzelnen Cookies stehen, mit Anbieter, Zweck und Speicherdauer. Ja, das ist viel Arbeit. Tools wie Cookiebot scannen automatisch und füllen die Liste selber.
4. Verweis auf die Datenschutzerklärung
Ein klar sichtbarer Link zur Datenschutzerklärung, in der dann nochmal ausführlicher steht, was wirklich passiert. Im Banner selbst nur die Kurzfassung.
5. Möglichkeit, die Wahl zu ändern
Ihre Besucher müssen ihre Einstellungen nachträglich ändern können. Meistens über einen kleinen Link im Footer wie «Cookie-Einstellungen». Wer das vergisst, ist nicht konform.
6. Echtes Blockieren bei Ablehnen
Das ist der kritische Punkt. Wenn jemand «Nur notwendige» klickt, dürfen Analytics, Pixel und andere Tracker nicht laden. Punkt. Ein Banner, das nur informiert aber nicht blockiert, ist nicht konform und im Zweifel sogar schädlich, weil es Compliance vortäuscht.
Die fünf häufigsten Fehler, die ich sehe
Aus den letzten 18 Monaten Schweizer KMU-Audits, hier die wirklich häufigen Probleme:
Das Banner blockiert nichts
Häufigster Fehler. Banner zeigt «Wir nutzen Cookies», jemand klickt «OK» oder ignoriert es, und Google Tag Manager hat in jedem Fall schon längst geladen. Egal was geklickt wird, die Daten fliessen. Test mit Browser-DevTools, Network-Tab: Sehen Sie Calls zu google-analytics.com, doubleclick.net oder facebook.com, bevor irgendwas geklickt wurde? Dann blockiert Ihr Banner nicht.
Akzeptieren riesig, Ablehnen winzig
Auch klassisch. «Alle Cookies akzeptieren» ist ein grosser bunter Button, «Ablehnen» ein blasser grauer Link am unteren Rand. Das ist Dark-Pattern und gilt rechtlich nicht als freiwillige Einwilligung. Auch der EDÖB nennt das in Stellungnahmen explizit.
Die Cookie-Liste ist alt oder falsch
Webseiten ändern sich. Heute YouTube-Embed dazu, morgen Hotjar deaktiviert. Die Cookie-Liste muss aktuell sein. Manuell verwaltet ist das schwierig. Cookiebot scannt automatisch monatlich und aktualisiert. Wer manuell pflegt, hat oft eine Liste, die mit der Realität nichts mehr zu tun hat.
Banner kommt nicht auf jeder Seite
Bei manchen WordPress-Konfigurationen oder bei Caching-Problemen erscheint das Banner nur auf der Startseite. Wer direkt auf eine Unterseite kommt (z.B. über Google), sieht keins. Tracker laden, ohne dass jemand die Wahl hatte. Test: einfach mal eine Unterseite im Incognito-Mode aufrufen.
Keine Möglichkeit, die Wahl zu ändern
Jemand hat einmal akzeptiert, dann später überlegt: «Eigentlich will ich das doch nicht.» Findet aber keinen Weg, die Einstellung zu ändern. Lösung: dezenter aber sichtbarer Link im Footer («Cookie-Einstellungen») der das Banner wieder öffnet.
Welche Tools wirklich funktionieren
Ich verwende für Kundinnen je nach Setup unterschiedliche Tools. Hier meine ehrliche Empfehlung:
Cookiebot (von Usercentrics)
Mein Standard für die meisten Schweizer KMU. Scannt automatisch monatlich, blockiert Tracker bis zur Einwilligung, mehrsprachig (DE/FR/IT/EN), funktioniert mit allen CMS. Kostet rund EUR 12 pro Monat für kleine Webseiten. Empfohlen, wenn Sie nicht WordPress-only sind.
Borlabs Cookie (für WordPress)
WordPress-spezifisch, sehr gut integriert, blockiert ebenfalls echte Tracker. Einmalkauf rund EUR 39 pro Jahr. Für reine WordPress-Seiten oft die preisgünstigere Wahl. Pflege der Cookie-Liste etwas manueller als Cookiebot.
Usercentrics CMP
Die grosse Schwester von Cookiebot, gleicher Konzern. Mehr Features, mehr Integrationen, aber bei wachsendem Traffic deutlich teurer. Sinnvoll für grössere Unternehmen oder wenn Sie viel Marketing-Stack haben.
Kostenlose WP-Plugins (Vorsicht)
Viele beliebte kostenlose Plugins informieren nur, blockieren aber gar nichts. Das ist gefährlich, weil es Compliance vortäuscht. Wenn Sie ein kostenloses Plugin nutzen, prüfen Sie zwingend mit DevTools: Werden Tracker blockiert oder nicht? Wenn nicht, raus damit.
Eine kurze Geschichte aus dem Alltag
Letzten Monat hat eine Anwältin aus Zürich mich kontaktiert. Sie hatte ein Cookie-Banner von einem kostenlosen Plugin, das «DSGVO-konform» warb. Wir haben mit den DevTools nachgeschaut: Google Analytics 4 lud sofort beim ersten Seitenaufruf, egal was der Besucher klickte. Das Banner war praktisch Deko.
Für sie als Anwältin war das doppelt problematisch. Nicht nur datenschutzrechtlich, auch reputationstechnisch. Wir haben auf Cookiebot umgestellt, die Datenschutzerklärung angepasst, einen Cookie-Einstellungen-Link in den Footer gepackt. Drei Stunden Arbeit, einmaliger Fix, danach läuft das automatisch.
Cookie-Setup prüfen lassen
Wir prüfen Ihr aktuelles Cookie-Banner, blockierte und nicht-blockierte Tracker, sowie Ihre Datenschutzerklärung. Schriftlicher Bericht mit konkretem Action-Plan. Pauschal CHF 280, bei Beauftragung anrechenbar.