Eine von Nico Ebert (Dozent für Wirtschaftsinformatik an der ZHAW Zürcher Hochschule für Angewandte Wissenschaften) durchgeführte Untersuchung von 374 Schweizer Websites im März 2018 ergab, dass mindestens 24% der Websites sog. Fingerprinting-Verfahren nutzen (darunter Digitec, NZZ, Swiss und Zalando). Knapp acht Prozent der Websites nutzen sog. Session-Replay-Verfahren (darunter Doodle, jobs.ch, Migros-Magazin, Moneyhouse, Siroop).

Die Resultate dieser Studie dürften zumindest für Leute, die sich mit Online-Marketing beschäftigen, kaum überraschend sein. In rechtlicher Hinsicht bemerkenswert ist die Tatsache, dass einige Betreiber von Websites, welche Webtracking-Tools anwenden, die Anwendung dieser Tools und die Zwecke der Beschaffung und/oder die Art und Weise der Bearbeitung von Personendaten in ihren Datenschutzerklärungen (Privacy Policies) nicht oder lediglich in einer für die Nutzer nicht erkennbaren Weise deklarieren, obschon sowohl das geltende schweizerische Datenschutzgesetz (DSG) als auch die EU-Datenschutz-Grundverordnung (DSGVO) dies vorschreiben:

Artikel 4 DSG [Grundsätze]:

(…)

3 Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.

4 Die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung müssen für die betroffene Person erkennbar sein.

(…)

Artikel 5 DSGVO [Grundsätze für die Verarbeitung personenbezogener Daten]:

(1) Personenbezogene Daten müssen

(a) auf rechtmässige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmässigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

(b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäss Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken („Zweckbindung“);

(…)

Ab dem 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) auch für viele Schweizerische Bearbeiter von Personendaten –  sowohl Inhaber von Datensammlungen [sog. Verantwortliche] als auch deren Beauftragte [sog. Auftragsverarbeiter] – unmittelbar anwendbar sein. Bürgerinnen und Bürger [sog. betroffene Personen] werden ab diesem Zeitpunkt über umfassendere Rechte verfügen, welche es ihnen ermöglichen, mehr Kontrolle über ihre Personendaten zu erlangen. Gemäss Artikel 80 DSGVO sind betroffene Personen auch berechtigt, Einrichtung, Organisationen oder Vereinigung ohne Gewinnerzielungsabsicht, welche (a) ordnungsgemäss nach dem Recht eines EU-Mitgliedstaats gegründet wurden, (b) deren satzungsmässige Ziele im öffentlichem Interesse liegen und (c) im Bereich des Schutzes der Rechte und Freiheiten von betroffenen Personen in Bezug auf den Schutz ihrer personenbezogenen Daten tätig sind, mit der Wahrnehmung ihrer Rechte zu beauftragen.

Der vom österreichischen Jurist, Autor und Grundrechtsaktivisten Maximilian Schrems im Rahmen eines Crowdfundingprojekts Ende 2017 mitgegründete, in Wien domizilierte Verein NOYB – European Center for Digital Rights (NOYB steht als Akronym für “Non Of Your Business”) hat sich als Vereinigung im Sinne von Artikel 80 DSGVO konstituiert und sich zum Ziel gesetzt, “für eine effiziente Durchsetzung des Grundrechts auf Privatsphäre gegenüber grossen Unternehmen  zu sorgen“.