1. Was der EDOEB-Leitfaden 2025 konkret geändert hat
Direkte Antwort: Der EDOEB hat seinen Leitfaden zu Cookies und ähnlichen Tracking-Technologien 2025 in mehreren Punkten verschärft. Die wichtigsten Änderungen: explizites Opt-in für nicht-essenzielle Cookies, gleiche Sichtbarkeit von Akzeptieren und Ablehnen, jederzeitiger Widerruf, dokumentierte Einwilligung.
Bis zum älteren Leitfaden genügte oft eine sogenannte «implizite Einwilligung»: Wenn der Nutzer nach einem Hinweis weiterbrowst, wurde das als Einverständnis interpretiert. Diese Praxis wird im neuen Leitfaden nicht mehr akzeptiert — angelehnt an die Praxis europäischer Aufsichtsbehörden und Gerichtsurteile.
Die drei wichtigsten Verschärfungen
- Default-Deny: Vor der Einwilligung dürfen keine nicht-essenziellen Cookies geladen werden. Voraktivierte Häkchen sind unzulässig.
- Symmetrie: Der Ablehnen-Button muss genauso prominent sein wie der Akzeptieren-Button. «Dark Pattern» (Akzeptieren bunt, Ablehnen versteckt im Footer) sind nicht mehr zulässig.
- Granularität: Der Nutzer muss Cookie-Kategorien einzeln wählen können — ein einziger «Akzeptieren»-Button ist nicht zulässig, wenn mehrere Kategorien existieren.
Quellen: EDOEB-Cookie-Leitfaden, revDSG (SR 235.1).
2. Cookie-Kategorien und Einwilligungs-Pflicht
| Kategorie | Einwilligung nötig? | Default | Beispiele |
|---|---|---|---|
| Technisch zwingend / Funktional | Nein | Aktiv | Session-Login, CSRF-Token, Warenkorb |
| Präferenzen | Empfohlen | Optional | Sprache, Layout-Präferenzen |
| Statistik / Analyse | Ja | Inaktiv | Google Analytics, Matomo Cloud, Plausible (selbst-hosted ggf. nicht) |
| Marketing / Tracking | Ja | Inaktiv | Meta Pixel, Google Ads, LinkedIn Insight |
| Externe Inhalte | Ja (meistens) | Inaktiv | YouTube-Embed, Google Maps, Social-Media-Embeds |
Wichtige Klarstellung: Die Pflicht zur Einwilligung folgt nicht aus dem revDSG direkt, sondern aus Artikel 45c des Fernmeldegesetzes (FMG) sowie der Praxis des EDOEB. Der EDOEB-Leitfaden 2025 ist die zentrale Referenz für Schweizer Unternehmen.
3. Konkrete Anforderungen ans Cookie-Banner
Ein EDOEB-konformes Cookie-Banner muss mindestens diese sieben Eigenschaften haben:
- Sichtbar bei erstem Besuch: Banner erscheint bevor nicht-essenzielle Cookies geladen werden.
- Klare Kategorien: Mindestens drei Kategorien (Notwendig / Statistik / Marketing) mit Einzel-Toggles.
- Symmetrische Buttons: «Alle akzeptieren» und «Alle ablehnen» gleich prominent — gleiche Grösse, gleiche Positionierung, gleiche Farb-Wertigkeit.
- Detail-Ansicht: Link zu Cookie-Liste mit Anbieter, Zweck, Speicherdauer.
- Widerrufs-Möglichkeit: Nutzer kann jederzeit (z. B. via Footer-Link «Cookie-Einstellungen») seine Wahl ändern.
- Keine Daten vor Einwilligung: Tracking-Pixel, Marketing-Skripte dürfen erst nach Einwilligung laden.
- Dokumentation: Einwilligungen werden mit Timestamp, anonymisiert IP-Hash und gewählten Kategorien gespeichert.
4. Consent Mode v2 in der Schweiz
Direkte Antwort: Wer Google-Werbeprodukte (Google Ads, GA4) nutzt und EU-/EWR-Traffic verarbeitet, muss seit März 2024 Consent Mode v2 implementieren. Für reinen CH-Traffic ist es technisch nicht zwingend — aber empfohlen, weil es die Datenqualität bei abgelehnter Einwilligung deutlich verbessert.
Consent Mode v2 stellt vier Consent-Signale bereit, die Sie an Google übermitteln:
ad_storage— ob Werbe-Cookies gesetzt werden dürfenad_user_data— ob personenbezogene Daten an Google für Werbung gesendet werden dürfenad_personalization— ob Daten für personalisierte Werbung verwendet werden dürfenanalytics_storage— ob Analytics-Cookies gesetzt werden dürfen
Das Default-Deny-Setup
Im <head> vor allem anderen, vor dem gtag-Skript:
Nach Einwilligung des Nutzers (z. B. Klick auf «Alle akzeptieren») updaten Sie:
Bonus: Bei abgelehnter Einwilligung sendet Google im Consent Mode v2 sogenannte «Cookieless Pings» ohne personenbezogene Daten. Daraus modelliert Google fehlende Conversions algorithmisch (Modeled Conversions) — das verbessert das Reporting bei niedriger Einwilligungsrate signifikant.
5. Boilerplate-Texte und Beispiel-Setup
Banner-Header (DE)
«Wir respektieren Ihre Privatsphäre»
Wir verwenden Cookies und ähnliche Technologien, um Ihre Erfahrung zu verbessern, anonym zu analysieren, wie unsere Website genutzt wird, und Ihnen relevante Inhalte zu zeigen. Sie können jederzeit zwischen Kategorien wählen oder Ihre Wahl widerrufen. Details in unserer Datenschutzerklärung.
Buttons
- Primär-Button: «Alle akzeptieren»
- Symmetrischer Button: «Alle ablehnen»
- Sekundär-Link: «Einstellungen anpassen»
Detail-Ansicht (Auszug)
Notwendige Cookies (immer aktiv)
Diese Cookies sind für das Funktionieren der Website unverzichtbar. Sie speichern Sitzungs-Informationen, schtzen vor Cross-Site-Request-Forgery und merken sich Ihre Sprach-Wahl.
Statistik-Cookies (optional)
Anonyme Nutzungs-Statistiken helfen uns, die Website zu verbessern. Wir nutzen [Tool], die Daten werden anonymisiert und auf [EU/CH]-Servern gespeichert.
Marketing-Cookies (optional)
Diese Cookies erlauben uns, Ihnen relevantere Werbung auf anderen Websites zu zeigen. Anbieter: [Liste]. Sie können Ihre Wahl jederzeit unter «Cookie-Einstellungen» im Footer widerrufen.
Footer-Link für Widerruf
Im Website-Footer den Text «Cookie-Einstellungen» oder «Privatsphäre-Einstellungen» verlinken, der das Banner erneut öffnet. So können Nutzer jederzeit ihre Wahl ändern.
6. Tool-Vergleich für KMU
| Tool | Preis (KMU) | EDOEB-konform? | Consent Mode v2? | Bemerkung |
|---|---|---|---|---|
| Cookiebot | ab CHF 12/Monat | Ja, konfigurierbar | Ja | Auto-Scan, mehrsprachig |
| Usercentrics | ab CHF 39/Monat | Ja | Ja | DE-Anbieter, sehr granular |
| Iubenda | ab CHF 8/Monat | Ja | Ja | Günstig, integrierte Datenschutz-Generatoren |
| Borlabs (WP) | ab CHF 50/Jahr | Ja | Ja | WordPress-spezifisch, einmalige Lizenz |
| Klaro! (Open Source) | Gratis | Ja, bei richtiger Konfig | Manuell | Selbst-hosted, technisches Setup nötig |
| Eigenbau | Entwicklungszeit | Ja, bei sauberer Umsetzung | Manuell | Für Spezialfälle / einfache Sites |
Empfehlung für KMU: Cookiebot oder Iubenda für Standard-Sites. Borlabs bei WordPress. Eigenbau nur, wenn Sie Tracking-Stack klein halten und Entwicklungs-Ressourcen haben.
7. Häufige Fehler bei Schweizer KMU
Fehler 1: Skripte vor Einwilligung laden
Klassiker: Google-Tag-Manager in <head>, der direkt alle Marketing-Tags lädt — inklusive Meta-Pixel und Google-Ads-Tag — bevor das Cookie-Banner überhaupt angezeigt wurde. Das ist ein klarer Verstoss.
Fehler 2: Asymmetrische Buttons
«Alle akzeptieren» in Marken-Farbe, «Ablehnen» nur als kleiner Text-Link unter dem Banner: nicht zulässig.
Fehler 3: Cookie-Banner aber kein Backend-Tracking
Ein Banner zeigen, aber die Wahl des Nutzers technisch ignorieren (Skripte laden trotzdem): grober Verstoss. Das technische Setup muss die Einwilligung tatsächlich respektieren.
Fehler 4: Keine Dokumentation
Im Streitfall müssen Sie nachweisen können, dass eine bestimmte Person eingewilligt hat. Mindeststandard: Timestamp, anonymer Identifier, gewählte Kategorien.
Fehler 5: Drittländer-Tracking ohne SCC
Wenn Sie US-Tools (Google, Meta) einsetzen und Daten in die USA fliessen, brauchen Sie Standardvertragsklauseln (SCC) bzw. das EU-US-Data-Privacy-Framework. Für Schweizer Daten gilt eine analoge Logik mit dem Schweiz-US-DPF.