Lange galt der Cookie-Banner als europäische Marotte, die an der Grenze haltmacht. Der neue Leitfaden des EDÖB räumt mit diesem Irrtum auf – ohne dass deshalb jede KMU-Website morgen einen Banner braucht. Für Treuhänder steht dabei mehr auf dem Spiel als für andere.
«Brauchen wir jetzt eigentlich auch in der Schweiz einen Cookie-Banner? Wir dachten, das sei nur eine EU-Sache.» Diese Frage fällt zurzeit in auffällig vielen Sitzungszimmern – und sie verrät einen Irrtum, der sich über Jahre festgesetzt hat. Der Banner mit dem höflichen «Akzeptieren Sie alle Cookies?» galt vielen als Brüsseler Eigenart, die mit der Schweiz wenig zu tun hat. Diese Gewissheit hat einen Namen bekommen, der sie beendet: den Cookie-Leitfaden des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Vorweg die Entwarnung, die zugleich die eigentliche Botschaft ist: Es stimmt nicht, dass nun jede Website einen Banner braucht. Wer das behauptet, macht es sich zu einfach. Aber es stimmt auch nicht mehr, dass Schweizer Websites tun und lassen können, was sie wollen. Die Wahrheit liegt dazwischen – und genau dort wird es für KMU und besonders für Treuhänder interessant.
Stellen Sie sich Ihre Website wie ein Ladengeschäft vor. Manche Helfer im Hintergrund sind harmlos: die Kasse, der Einkaufskorb, das Türschloss. Andere sind unsichtbare Beobachter, die jedem Besucher hinterherlaufen, notieren, was er anschaut, und ihre Notizen an fremde Firmen weiterreichen – Firmen, die denselben Besucher auch in Dutzenden anderer Läden wiedererkennen. Der EDÖB hat nichts gegen die Kasse. Aber er schaut den Beobachtern jetzt sehr genau auf die Finger. Wer in der Schweiz eine Website betreibt, sollte deshalb wissen, welche dieser Beobachter er eigentlich beschäftigt.
Beginnen wir mit dem, was der Leitfaden ist – und was nicht. Der EDÖB hat ihn am 22. Januar 2025 erstmals veröffentlicht und am 6. Oktober 2025 in der Version 1.1 nachgeschärft. Die Ergänzungen betreffen genau die heiklen Punkte: personalisierte Werbung über fremde Anbieter, Standortdaten, sogenannte Cookie-Paywalls und die Frage, wann eine ausdrückliche Einwilligung nötig ist.
Wichtig ist, was der Leitfaden nicht ist: ein neues Gesetz. Der EDÖB erfindet keine Cookie-Pflicht. Er legt vielmehr offen, wie er das bestehende Schweizer Recht künftig auf Tracking-Technologien anwenden wird – abgeleitet aus dem Datenschutzgesetz, der Datenschutzverordnung, der Rechtsprechung und seiner bisherigen Aufsichtspraxis. Man könnte sagen: Der Leitfaden ist nicht das Gesetzbuch, sondern die Ansage des Schiedsrichters, wie er künftig pfeifen wird. Das ist in der Praxis fast wichtiger, denn nach diesen Pfiffen richtet sich, wer Ärger bekommt und wer nicht.
Dass es der Behörde ernst ist, zeigt der Fahrplan. Schon in ihrer Mitteilung vom 3. Februar 2025 stellte sie klar, dass der Leitfaden die Linie unter dem neuen Datenschutzgesetz vorzeichnet. Am 7. Oktober 2025 legte sie nach und kündigte eine Sensibilisierungskampagne an – mit anschliessenden aufsichtsrechtlichen Schritten. Am 31. März 2026 folgte ein Merkblatt, das sich direkt an die Bevölkerung richtet und vor pauschaler Zustimmung zu «allen Cookies» warnt. Mit anderen Worten: Erst wird das Publikum aufgeklärt, dann wird kontrolliert. Wer das als Vorwarnung liest, liegt richtig.
Die Schweiz hat keine ePrivacy-Richtlinie wie die EU, jenes europäische Regelwerk, aus dem die berüchtigte Banner-Pflicht stammt. Trotzdem ist das Land kein rechtsfreier Raum. Zwei Grundlagen greifen seit Langem.
Die entscheidende Frage lautet deshalb nicht, ob eine Website Cookies verwendet. Die entscheidende Frage lautet, welche Daten dabei bearbeitet werden, welches Risiko daraus entsteht und welche Schutzmassnahmen erforderlich sind. Genau hier setzt der Leitfaden des EDÖB an.
Die erste ist Artikel 45c des Fernmeldegesetzes. Das Gesetz selbst stammt aus dem Jahr 1997 – diese Cookie-Bestimmung kam aber erst später hinzu und gilt seit dem 1. April 2007. Wer Daten auf dem Gerät eines Nutzers speichert oder ausliest – und genau das tun Cookies –, muss seither über die Bearbeitung und ihren Zweck informieren und sagen, wie man sie ablehnen kann. Sie war nur lange ein zahnloser Tiger.
Die zweite Grundlage ist das Datenschutzgesetz. Hier zieht der EDÖB eine klare Linie: Im Zweifel sollte man davon ausgehen, dass Cookies Personendaten betreffen. Und verantwortlich dafür ist der Website-Betreiber – auch dann, wenn die Technik von einem fremden Anbieter stammt. Das ist der vielleicht unbequemste Satz des ganzen Leitfadens, und er verdient ein Bild: Sie sind der Gastgeber. Wenn Sie einen Dienstleister in Ihr Haus einladen und der sich danebenbenimmt, können Sie sich nicht damit herausreden, Sie hätten ihn ja nur eingeladen. Wer das Plugin einbindet, trägt die Verantwortung für das, was es tut.
Und jetzt kommt die Differenzierung, die der Artikel sauber treffen muss, weil sie der Kern der ganzen Sache ist: Nicht jedes nicht notwendige Cookie braucht automatisch eine ausdrückliche Zustimmung. Der EDÖB sagt das ausdrücklich. Eine Einwilligung ist eine von mehreren Möglichkeiten, eine Datenbearbeitung zu rechtfertigen – nicht in jedem Fall die einzige. Es kommt auf das Risiko an. Man kann es sich wie eine Ampel vorstellen:
Die sauberste Formel für die Schweiz lautet deshalb nicht «Jeder braucht einen DSGVO-Banner». Sie lautet: Schweizer Websites brauchen ein belastbares Verständnis davon, was sie eigentlich tracken – und müssen, sobald nicht notwendige oder riskante Technologien im Spiel sind, aktiv informieren, eine echte Wahl ermöglichen und bei hohem Risiko vorher fragen. Ein Banner kann ein Werkzeug dafür sein. Er ist aber nicht der Zweck.
Drei Themen hebt die Behörde hervor, und alle drei haben einen gemeinsamen Nenner: Sie reichen tief ins Persönliche.
Da sind erstens die Cookies fremder Anbieter, die personalisierte Werbung ermöglichen – die erwähnten unsichtbaren Beobachter. Sie verfolgen Menschen über viele Websites hinweg, fügen die Beobachtungen zu Interessenprofilen zusammen und spielen passende Werbung aus. Das Tückische daran: Der Website-Betreiber kann oft gar nicht beurteilen, was der fremde Anbieter mit den Daten anstellt. Genau deshalb dreht der EDÖB die Beweislast um. Lässt sich ein hohes Risiko nicht ausschliessen, ist von einem hohen Risiko auszugehen – und damit von der Pflicht, vorher zu fragen. Für Website-Betreiber bedeutet das in der Praxis: Nicht die Anzahl der eingesetzten Tools ist entscheidend, sondern die Kontrolle darüber. Wer nicht weiss, welche Drittanbieter beim Aufruf seiner Website Daten erhalten, kann weder Transparenz schaffen noch die Verhältnismässigkeit der Bearbeitung beurteilen.
Zweitens die Standortdaten. Wo jemand sich aufhält und wie er sich bewegt, verrät erstaunlich viel: den Arbeitsweg, den Arztbesuch, die Stammkneipe, vielleicht die Übernachtung, die niemanden etwas angeht. Aus Bewegungsmustern lassen sich Rückschlüsse auf das Leben eines Menschen ziehen, die weit über das hinausgehen, was er preisgeben wollte. Der EDÖB stuft Standortdaten deshalb als besonders heikel ein.
Drittens die Cookie-Paywalls – Modelle nach dem Muster «Zahlen oder Tracking akzeptieren». Verboten sind sie nicht pauschal. Aber der EDÖB pocht darauf, dass eine Einwilligung freiwillig sein muss. Heikel wird es, wenn der Zugang faktisch nur gegen die Zustimmung zu nicht notwendigem Tracking zu haben ist. Wo es eine Bezahl-Alternative gibt, kommt es darauf an, ob der Preis verhältnismässig bleibt und das Grundrecht auf Datenschutz nicht ausgehöhlt wird. Eine Wahl, die keine echte Wahl ist, zählt nicht als Zustimmung.
Schliesslich verlangt der EDÖB ein faires Handwerk – und hier wird es konkret. Das Ablehnen darf nicht schwerer sein als das Zustimmen. Aktive Einwilligungen müssen vor der Bearbeitung erfolgen, nicht danach. Pflichtfelder und freiwillige Felder müssen klar getrennt sein. Und die berüchtigten «Dark Patterns» – der grell leuchtende «Alle akzeptieren»-Knopf neben dem grau versteckten «Ablehnen», die irreführenden Farben, die kleine Schrift – zerstören die Gültigkeit der Einwilligung. Ein Banner, der den Nutzer austrickst, ist juristisch wertlos. Er dokumentiert das Problem nur hübscher.
Bleibt die Frage, die jeder Praktiker insgeheim stellt: Passiert eigentlich etwas, wenn man nichts tut? Die ehrliche Antwort lautet: nicht sofort, aber zunehmend wahrscheinlich – und sichtbar.
Der EDÖB kann unter dem revidierten Datenschutzgesetz mehr als früher. Er darf Untersuchungen führen und – das ist neu – verbindliche Anordnungen treffen; bis 2023 konnte er bloss unverbindliche Empfehlungen aussprechen. Dazu kommen Strafbestimmungen mit Bussen bis zu 250'000 Franken. Wichtig zu wissen: Diese Bussen treffen in der Regel nicht das anonyme Unternehmen, sondern die verantwortliche natürliche Person, und verfolgt werden sie von den kantonalen Staatsanwaltschaften. Die schärfste eigene Waffe des EDÖB ist also weniger die Busse als die verbindliche Anordnung.
Dass die Behörde nicht nur Papier produziert, zeigen zwei Fälle. Im Verfahren gegen die Auktionsplattform Ricardo und die TX Group beanstandete der EDÖB unter anderem Datenbearbeitungen zu Werbezwecken, fehlende gültige Einwilligungen und das Tracking über mehrere Plattformen hinweg; er verlangte, für bestimmte Bearbeitungen vorab eine informierte, freiwillige und ausdrückliche Zustimmung einzuholen.
Der zweite Fall, Digitec Galaxus, ist lehrreich – auch in seinen Grenzen. Der EDÖB hatte beanstandet, dass der Onlineshop mehr Verhaltensdaten bearbeitete als nötig. Am 12. Februar 2026 meldete die Behörde, das Unternehmen habe nachgebessert: Kundinnen und Kunden können die Personalisierung und die damit verbundenen Cookies nun mit einem einzigen Klick abschalten. Damit war das Verfahren erledigt. Zur Ehrlichkeit gehört allerdings, dass dieser Fall noch nach altem Recht abgewickelt wurde und die Empfehlungen damals rechtlich unverbindlich waren – Fachleute haben das durchaus kritisiert. Trotzdem bleibt die Lehre eindeutig: Die Durchsetzung trifft nicht zuerst das kleine KMU von nebenan. Sie beginnt bei den grossen, sichtbaren Fällen. Aber von dort strahlt sie auf den ganzen Markt aus – und sie ist heikel für den Ruf.
Die Schweizer Entwicklung steht nicht für sich allein. In der EU hat der Europäische Datenschutzausschuss präzisiert, was technisch alles unter die Cookie-Regeln fällt – nicht nur klassische Cookies, sondern auch unsichtbare Zählpixel, präparierte Links und neuere Verfahren, mit denen sich Geräte eindeutig wiedererkennen lassen. Für die Schweiz ist das nicht direkt verbindlich. Doch weil die grossen Werbenetzwerke, die technischen Standards und die Banner-Systeme international gebaut werden, prägt diese EU-Linie auch das, was auf Schweizer Websites läuft.
Auch die Debatte um «Zahlen oder zustimmen» wird europäisch geführt: Der Datenschutzausschuss hat sich 2024 kritisch zu solchen Modellen grosser Plattformen geäussert, während der EDÖB die Cookie-Paywalls nun ausdrücklich im Schweizer Leitfaden behandelt. Für ein KMU ist das selten das eigene Geschäftsmodell, aber ein guter Massstab für die Frage, wann eine Zustimmung wirklich freiwillig ist
Die Technik selbst ist in Bewegung. Cookies fremder Anbieter werden von Browsern zunehmend blockiert; Google rät Website-Betreibern seit Längerem, ihre Drittanbieter-Cookies zu prüfen und auf neuere, datensparsamere Verfahren umzustellen. Wissenschaftliche Untersuchungen zeichnen derweil ein ernüchterndes Bild der gelebten Praxis: Studien fanden auf Zehntausenden von Websites Tracking, das ohne wirksame Zustimmung lief, Banner mit eingebauten Tricks, erschwerte Widerrufe und Cookies, die schon vor – oder trotz – einer Ablehnung gesetzt wurden. Kurz: Viele Banner halten nicht, was sie versprechen. Genau das will der EDÖB künftig nicht mehr durchgehen lassen.
Spätestens hier wird das Thema bodenständig. Eine KMU-Website ist heute selten noch eine digitale Visitenkarte. Sie misst Besucherzahlen, blendet Karten ein, bettet Videos ein, verschickt Newsletter, bietet Terminbuchungen, Chatfenster oder Bewerbungsformulare an. Hinter all dem stecken oft dieselben grossen Namen – Analyse-Werkzeuge, Werbepixel sozialer Netzwerke, Karten- und Video-Dienste, Marketing-Automatisierung. Und nach der Logik des EDÖB bleibt der Betreiber dafür verantwortlich, auch wenn eine Agentur, ein Plugin oder ein Software-Dienst die Sache technisch eingerichtet hat.
Die gute Nachricht: Das grösste Risiko liegt nicht bei den nützlichen, technisch notwendigen Cookies. Der Einkaufskorb, die Anmeldung, die Sicherheit – das ist unproblematisch. Heikel wird es bei den nicht notwendigen Cookies, die Verhalten analysieren, Besucher wiedererkennen, Daten mit Dritten teilen oder websiteübergreifende Profile ermöglichen. Bei manchen schlichten Reichweitenmessungen lässt der EDÖB unter engen Bedingungen ein überwiegendes Eigeninteresse gelten – verlangt dann aber zumindest ein gut sichtbares, leicht bedienbares «Nein». Wo das Risiko hoch ist, muss vorher gefragt werden.
Für ein KMU ergibt sich daraus ein überschaubarer, aber konkreter Pflichtenkanon. Er klingt nach Arbeit, ist aber im Kern gesunder Menschenverstand – man muss wissen, was im eigenen Haus passiert:
Eine Bestandsaufnahme machen: Welche Cookies und Tracker laufen überhaupt auf der Website?
Die Zwecke einordnen: Was ist notwendig, was nicht, was ist riskant?
Die eingebundenen Drittanbieter prüfen – wer bekommt welche Daten?
Die Datenschutzerklärung auf den aktuellen Stand bringen.
Den Banner technisch sauber einrichten, damit er wirklich blockiert und nicht nur anzeigt.
Zustimmungen und Ablehnungen nachvollziehbar protokollieren.
Sicherstellen, dass kein Tracking startet, bevor die Person die Wahl hatte.
Für eingebettete Inhalte fremder Anbieter – etwa ein Video oder ein Social-Media-Knopf – empfiehlt der EDÖB einfache technische Lösungen, bei denen erst ein bewusster Klick die Verbindung zum Dritten herstellt. Das Prinzip dahinter ist immer dasselbe: Information und Wahl müssen kommen, bevor Daten fliessen, nicht danach.
Für Treuhänderinnen und Treuhänder ist dieses Thema kein gewöhnliches Website-Thema. Es trifft sie an einer empfindlicheren Stelle, und der Grund hat einen Namen: Vertrauen. Die Berufs- und Standesregeln verlangen Sorgfalt, die Einhaltung der Rechtsordnung und vor allem Verschwiegenheit über alles, was im Mandat bekannt wird. Genau dieses Berufsverständnis verträgt sich schlecht mit einer Website, die im Hintergrund Daten an Werbenetzwerke verteilt.
Man muss sich nur klarmachen, was ein Websitebesuch hier verraten kann. Wer die Website einer Treuhandkanzlei besucht und gezielt Seiten zu Steuerthemen, Nachfolgeregelungen oder Sanierungen aufruft, offenbart oft mehr über seine persönliche Situation, als ihm bewusst ist. Genau deshalb wiegen Tracking- und Transparenzfragen in dieser Branche schwerer als in vielen anderen KMU. Das ist nicht automatisch ein im engen Sinn «besonders schützenswertes» Datum. Aber die Erwartung an Diskretion ist hier eine völlig andere als bei einem gewöhnlichen Webshop. Es ist der Unterschied zwischen einer Boutique und einem Wartezimmer: Im Wartezimmer erwartet niemand, dass die Empfangsperson laut herumerzählt, weshalb man gekommen ist.
Dass die Branche das Thema ernst nimmt, ist kein Zufall. EXPERTsuisse positioniert das Datenschutzgesetz ausdrücklich als Herausforderung für die Treuhand-, Steuer- und Revisionsbranche und stellt eigene Hilfsmittel bereit – vom Dateninventar über die Datenschutzerklärung bis zu den Vorgaben für Prüfungs- und Treuhanddienstleistungen. Datenschutz ist hier kein Randthema, sondern Teil der beruflichen Compliance.
Daraus ergeben sich für Treuhänder drei Ebenen, auf denen das Thema zählt:
Die eigene Compliance. Kanzleiwebsite, Landingpages, Newsletter, Webinare, Kontakt- und Bewerbungsformulare, Kundenportale – sie alle müssen sauber laufen.
Die Mandantenberatung. Treuhänder sind für viele KMU die erste Anlaufstelle in Governance- und Risikofragen. Ein Cookie-Check lässt sich als niederschwelliger Einstieg in die Datenschutz-Betreuung anbieten – ein Türöffner, kein Pflichtprogramm.
Der Reputationsschutz. Eine Treuhandgesellschaft, die selbst intransparent trackt, beschädigt genau das Gut, von dem sie lebt. Das ist kein kosmetischer Schaden, sondern ein Risiko für die Marke.
So gesehen ist die Botschaft für Treuhänder klar: Der Cookie-Leitfaden ist kein technisches Detail für die IT-Abteilung. Es geht um Mandantenvertrauen, Berufsgeheimnis und um eine neue Beratungsfrage, die im KMU-Segment ohnehin aufkommt. Wer Mandanten in Geld-, Steuer- und Organisationsfragen begleitet, wird zunehmend auch erklären müssen, warum die eigene Website nicht unkontrolliert Daten an Dritte abgibt.
Damit lässt sich aufräumen mit drei Sätzen, die in der Praxis erstaunlich oft fallen – und die alle drei falsch sind.
Der erste lautet: «Wir sind nur in der Schweiz tätig, also betrifft uns das nicht.» Das Gegenteil ist richtig. Das Schweizer Datenschutzgesetz und Artikel 45c des Fernmeldegesetzes gelten unabhängig davon, ob zusätzlich noch europäisches Recht greift. Die Schweiz ist eben kein blinder Fleck.
Der zweite lautet: «Unser Webdesigner hat das Plugin installiert, also ist er verantwortlich.» Auch das greift zu kurz. Verantwortlich für die Datenbearbeitung ist nach Sicht des EDÖB der Betreiber der Website – der Gastgeber, nicht der Handwerker, der die Tür eingebaut hat.
Der dritte ist der gefährlichste, weil er sich so beruhigend anfühlt: «Wir haben doch einen Banner, also sind wir sauber.» Entscheidend ist nicht, ob ein Banner da ist, sondern ob er funktioniert: ob Cookies wirklich blockiert werden, bis jemand zustimmt; ob das Ablehnen so einfach ist wie das Zustimmen; ob auf Tricks verzichtet wird; und ob die Risikoklasse richtig getroffen ist. Ein hübscher Banner über einer Website, die trotzdem munter trackt, löst das Problem nicht. Er dokumentiert es nur ordentlicher.
Das Thema betrifft praktisch jedes KMU, weil heute fast jede Website irgendeine Form von Analyse, Marketing oder eingebundenem Drittdienst nutzt. Für Treuhänder kommt hinzu, dass ihre digitalen Kontaktpunkte in einem besonderen Vertrauensraum stehen – und dass sie gegenüber ihren KMU-Mandanten eine natürliche Multiplikatorenrolle haben.
Die schwächste Schlagzeile zu dieser Geschichte wäre: «Jetzt braucht jeder einen Cookie-Banner.» Sie ist falsch und führt in die falsche Richtung – nämlich zu kosmetischen Lösungen. Die stärkere und ehrlichere Linie lautet anders: Der EDÖB zwingt Schweizer KMU und Treuhänder zu sauberer Ordnung im eigenen digitalen Haus. Tracking gehört inventarisiert, nach Risiko bewertet, transparent gemacht und technisch sauber gesteuert. Wer stattdessen nur einen schmucken Banner aufsetzt, hat das Problem nicht gelöst. Er hat es bloss hübscher dokumentiert.
EDÖB, Leitfaden betreffend Datenbearbeitungen mittels Cookies und ähnlichen Technologien, Version 1.1 vom 6. Oktober 2025 (erste Fassung 22. Januar 2025).
EDÖB, Mitteilung «Cookie-Leitfaden aktualisiert», 7. Oktober 2025 (Ankündigung Sensibilisierungskampagne und aufsichtsrechtliche Schritte; Hinweise zu Third-Party-Cookies, Standortdaten, Cookie-Paywalls).
EDÖB, Merkblatt zur Verwendung von Cookies und ähnlichen Technologien (für Nutzerinnen und Nutzer), 31. März 2026.
EDÖB, Schlussbericht in Sachen Ricardo AG und TX Group AG, 11. April 2024.
EDÖB, Mitteilung «Digitec Galaxus: Personalisierung der Website kann neu mit einem Klick deaktiviert werden», 12. Februar 2026.
EDÖB, Informationsseiten «Untersuchung von Datenschutzverstössen» und «Strafbestimmungen»; revDSG Art. 49 ff., Art. 51 (Verfügungskompetenz), Art. 60 ff. (Bussen bis CHF 250'000, primär natürliche Personen).
Fernmeldegesetz (FMG), Art. 45c lit. b (Informations- und Ablehnungspflicht bei der Datenbearbeitung auf fremden Geräten; in Kraft seit 1. April 2007).
Europäischer Datenschutzausschuss (EDPB), Guidelines 2/2023 zum technischen Anwendungsbereich von Art. 5 Abs. 3 ePrivacy-Richtlinie (Tracking-Pixel, eindeutige Identifikatoren u. a.).
EXPERTsuisse, Leitfaden zum Datenschutzgesetz für die Revisions-, Steuerberatungs- und Treuhandbranche (Hilfsmittel: Datenverzeichnis, Datenschutzerklärung, Auftragsbearbeitungsvertrag).
Hinweis: Dieser Beitrag fasst die aufsichtsrechtliche Orientierung des EDÖB allgemein verständlich zusammen und ersetzt keine Rechtsberatung im Einzelfall.
Die Microsoft 365 Lizenzierung ist nicht nur eine Frage der Kostenoptimierung, sondern spielt eine zentrale Rolle für Compliance und Datenschutz in...
Technische und organisatorische Massnahmen aus dem DSG als Basis für KI-Anwendungen – Mit der EU-KI-VO als Referenzrahmen.
Die Datenschutz-Grundverordnung (DSGVO) ist eine rechtliche Grundlage, die Unternehmen verpflichtet, Personendaten von EU-Bürgern angemessen zu...