Was bedeutet das neue Datenschutzrecht für Agenturen und Webmaster:innen in der Schweiz?
Martin Steiger
Kategorie:in
Internet & Recht
Veröffentlicht am 20. Apr. 2023
Aktualisiert am 7. März 2024
Ein Gastbeitrag von Rechtsanwalt Martin Steiger, Datenschutzpartner AG / Steiger Legal AG.
Am 1. September 2023 tritt in der Schweiz das neue Datenschutzrecht in Kraft. Bist du als Agentur oder Webmaster:in tätig? Dann musst auch du dich mit dem neuen Datenschutzrecht befassen. Deine Kund:innen zählen auf deine Unterstützung!
Mit dem neuen Datenschutzgesetz (nDSG) und seinen Verordnungen soll das Datenschutzrecht in der Schweiz kein Papiertiger mehr sein. Wer Pflichten gemäss dem neuen Datenschutzrecht nicht einhält, riskiert unter anderem persönliche Bussen bis zu 250’000 Franken und eine Intervention des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).
Wer eine Website betreibt oder Website-Betreiber:innen unterstützt, bearbeitet immer auch Personendaten. In der Folge müssen auch Agenturen und Webmaster:innen das neue Datenschutzrecht für sich und ihre Kund:innen umsetzen. Wenn du dich bereits um die Einhaltung des geltenden Datenschutzrechts oder der europäischen Datenschutz-Grundverordnung (DSGVO) bemüht hast, wird dir im neuen DSG vieles bekannt vorkommen.
Inhalt dieses Beitrags:
Zuerst: Eigene Umsetzung als Agentur oder Webmaster:in
Für dich als Agentur oder Webmaster:in ist naheliegend, dass du in einem ersten Schritt sicherstellst, für das neue Datenschutzrecht bereit zu sein. Wirf einen Blick auf das neue Datenschutzgesetz mit seinen 74 Artikeln!
Im Vordergrund steht, dass du dir nach aussen keine Blösse gibst und das Risiko für eine Busse reduzierst. Dafür solltest du anhand der nachfolgenden fünf Fragen deinen Handlungsbedarf prüfen.
1. Ist ein Daten-Inventar vorhanden?
Welche Daten über welche Personen bearbeitest du wofür, wie und wo?
Ohne Daten-Inventar ist es kaum möglich, das neue Datenschutzrecht einzuhalten. Als Agentur oder Webmaster:in ist für dich das sogenannte Verzeichnis der Bearbeitungstätigkeiten normalerweise freiwillig. Wichtig ist aber, dass ein Daten-Inventar vorhanden ist, sei es als Excel-Tabelle, Mindmap, Notiz oder mit einem Online-Tool.
2. Ist dein Outsourcing abgesichert?
Hast du deine Nutzung von Drittdiensten jeweils mit einem Auftragsverarbeitungsvertrag (AVV) abgesichert?
Fliessen Daten in unsichere Drittstaaten wie die USA auf Grundlage zusätzlicher Absicherungen, insbesondere mit Standarddatenschutzklauseln?
Die Nutzung von Diensten aus den USA bleibt datenschutzrechtlich heikel, ist aber für die meisten Agenturen und Webmaster:innen unverzichtbar. Erfreulicherweise stellen etablierte Anbieter den notwendigen Auftragsverarbeitungsvertrag zur Verfügung und ermöglichen mit Standarddatenschutzklauseln einen halbwegs abgesicherten Daten-Export.
Wenn du eine europäische oder gar schweizerische Alternative nutzt, kannst du dein Risiko reduzieren. In vielen Fällen wird aber nur ein amerikanischer Dienst in Frage kommen.
Der Auftragsverarbeitungsvertrag heisst auf Englisch meistens Data Processing Agreement (DPA). Die deutsche Bezeichnung Auftragsdatenverarbeitungsvertrag (ADV) ist nicht falsch, aber veraltet. Die Standarddatenschutzklauseln werden auf Englisch als Standard Contractual Clauses (SCC) bezeichnet.
Einige Beispiele für Auftragsverarbeitungsverträge:
- HubSpot Data Processing Agreement
- Data Processing Addendum von Mailchimp
- Zoom Global Data Processing Addendum
Bei diesen Beispielen sind, wie bei den meisten Diensten, die Standarddatenschutzklauseln über die Allgemeinen Geschäftsbedingungen (AGB) oder den AVV automatisch integriert.
Ein Outsourcing ist auch ein Webhosting wie beispielsweise bei cyon. Deinen AVV bzw. ADV mit cyon kannst du direkt in deinem my.cyon abschliessen.
3. Sorgst du für genügend Transparenz?
Informierst du die betroffenen Personen mit einer aktuellen und vollständigen Datenschutzerklärung?
Gemäss dem geltenden Datenschutzgesetz müssen die betroffenen Personen, zum Beispiel Website-Besucher:innen, die Bearbeitung ihrer Daten erkennen können. Dafür wird heute üblicherweise eine Website-Datenschutzerklärung veröffentlicht.
Mit dem neuen Datenschutzgesetz genügt allein die Erkennbarkeit nicht mehr, sondern es besteht eine ausdrückliche Informationspflicht über die Bearbeitung von Personendaten. Am einfachsten ist es, eine allgemeine Datenschutzerklärung zu erstellen und auf der Website zu veröffentlichen.
Die Datenschutzerklärung solltest du auf einer eigenen Webseite veröffentlichen und auf der ganzen Website im Footer unter einem Stichwort wie «Datenschutz», «Datenschutzerklärung» oder «Datenschutzhinweise» verlinken. Bezeichnungen wie «Datenschutzbedingungen» oder «Datenschutzrichtlinien» solltest du vermeiden.Du möchtest nicht, dass deine Datenschutzerklärung mit verbindlichen Allgemeinen Geschäftsbedingungen (AGB) verwechselt wird. Eine Datenschutzerklärung dient der Information und ist kein Vertrag.
4. Hast du die Datensicherheit im Griff?
Kennst du deine technischen und organisatorischen Massnahmen (TOM)?
Die beste Datenschutzerklärung und der beste Auftragsverarbeitungsvertrag nützen dir nichts, wenn deine Daten oder – noch schlimmer – die Daten deiner Kund:innen unbefugten Dritten zugänglich werden. Datensicherheit ist anspruchsvoll, wie zahlreiche Datenpannen auch bei grossen Unternehmen zeigen. So waren bei einer grossen schweizerischen Kreditkartenherausgeberin während Monaten viele Kreditkartenabrechnungen im Internet frei zugänglich. Einige Wochen zuvor verschickte das Unternehmen zudem eine Datenauskunft an die falsche Person.
Die Datensicherheit muss deshalb mit angemessenen und geeigneten technischen und organisatorischen Massnahmen (TOM) gewährleistet werden. Vermutlich hast du bereits TOM, ohne es zu wissen! In diesem Fall solltest du deine TOM dokumentieren.
Gängige TOM sind beispielsweise eine regelmässige Datensicherung (mit funktionierender Wiederherstellung!), ein wirksamer Passwortschutz (mit Zwei-Faktor-Authentisierung, 2FA), die Protokollierung von Website-Zugriffen und die vollständige Verschlüsselung von Datenträgern oder Geräten.
5. Bist du auf Anfragen von betroffenen Personen vorbereitet?
Kannst du bei Bedarf Auskunft erteilen oder Daten löschen?
Betroffene Personen können sich jederzeit bei dir melden und Auskunft darüber verlangen, welche Daten du über sie bearbeitest. Die erste Frist für eine Antwort beträgt 30 Tage. Es kann aber auch sein, dass eine betroffene Person die Löschung ihrer Daten verlangt.
In einem solchen Fall musst du oder eine andere zuständige Person rechtzeitig und richtig reagieren. Stammt die Anfrage von einer berechtigten und identifizierten Person? Welche Daten müssen herausgegeben oder vernichtet werden?
Wenn dir diese Fragen bekannt vorkommen, erinnerst du dich allenfalls an meinen früheren Beitrag «Neues Datenschutzgesetz: Diese 5 Schritte müssen Website-Betreiber:innen umsetzen, um 2022 bereit zu sein» von 2021.
Für die Vertiefung lohnt es sich, diesen Beitrag nochmals zu lesen. Abgesehen davon, dass sich das neue Datenschutzrecht bis am 1. September 2023 verzögert, ist der Beitrag immer noch hilfreich.
Bei dsat.ch findest du übrigens zahlreiche kostenlose Muster für datenschutzrechtliche Texte.
Danach: Unterstützung für Kund:innen als Agentur oder Webmaster:in
Deine Kund:innen müssen das neue Datenschutzrecht ebenfalls umsetzen und zählen häufig auf deine Unterstützung.
Wichtig ist für deine Kund:innen insbesondere, dass du ihnen spätestens auf Nachfrage erklären kannst, welche Daten über welche Personen im Rahmen ihrer Website wofür, wie und wo bearbeitet werden. Diese Angaben benötigen deine Kund:innen für ihr eigenes Daten-Inventar.
Diese Angaben benötigen deine Kund:innen aber auch, wenn sie Anfragen von betroffenen Personen erhalten. Die gleichen Angaben benötigen deine Kund:innen ferner, damit sie eine aktuelle und vollständige Datenschutzerklärung erstellen können.
Auch wichtig ist, dass du deinen Kund:innen ermöglichst, ihr Outsourcing abzusichern. Wenn beispielsweise Google Ads für deine Kund:innen wichtig sind und sie Google Analytics verwenden, solltest du sie fragen, ob sie mit Google einen Auftragsverarbeitungsvertrag abgeschlossen haben und ob sie schon die Möglichkeiten von Google Analytics 4 nutzen.
Wenn du eine Website gestaltest, solltest du von Anfang an vorsehen, dass es eine einzelne Webseite für die Datenschutzerklärung gibt und dass eine Verlinkung im Footer der gesamten Website möglich ist. Datenschutzerklärung und Impressum sollten nicht vermischt werden.
Genauso solltest du von Anfang an auf die Datensicherheit achten. Auch bei einer Website kann 2FA für den Login eingesetzt werden und für den Server-Zugriff ist ein SSH-Key anstelle eines Passwortes die bessere Wahl.
Wenn du Plugins in Websites einbaust, solltest du sicherstellen, dass sie von deinen Kund:innen datenschutzkonform genutzt werden können. Ein Fokus auf Datensparsamkeit ist hilfreich, zum Beispiel bei der Spam-Bekämpfung: Muss es wirklich Google reCAPTCHA sein oder funktioniert eine Alternative wie Antispam Bee?
Ist Google Analytics erforderlich oder kommt eine Alternative wie Matomo, selbst gehostet oder über einen Anbieter wie Friendly Analytics, in Frage?
Allenfalls bietest du deinen Kund:innen selbst Outsourcing an, zum Beispiel für ein Website-Hosting oder wenn du sie bei Werbung auf Social Media-Plattformen unterstützt. In diesem Fall hilfst du dir und deinen Kund:innen, wenn du einen eigenen Auftragsverarbeitungsvertrag (AVV) vorlegen kannst. So wirst Du nicht gezwungen, die unterschiedlichen AVV von einzelnen Kund:innen zu akzeptieren.
Schliesslich unterliegen viele deiner Kund:innen mindestens teilweise der Datenschutz-Grundverordnung (DSGVO) und sonstigem europäischem Recht. Entspricht ein allfälliges Cookie-Banner noch der heutigen Rechtslage? Wird die Datenschutzerklärung häufig genug, sicherlich zwei Mal im Jahr, aktualisiert?
Wichtig ist allerdings, dass die datenschutzrechtliche Verantwortung bei deinen Kund:innen bleibt. Du kannst und sollst sie unterstützen, aber du musst ihnen diese Verantwortung nicht abnehmen. Du solltest deshalb deinen Kund:innen in deinem eigenen Interesse immer klar kommunizieren, wo die Grenzen deiner rechtlichen Fachkompetenz liegen.
Möchten deine Kund:innen ein nerviges Cookie-Banner einsetzen, obwohl es in der Schweiz dafür auch in Zukunft keine Pflicht gibt? Das liegt in der Verantwortung deiner Kund:innen!
In jedem Fall: Datenschutz-Compliance benötigt Ausdauer!
Die Einhaltung von Datenschutzrecht, die Datenschutz-Compliance, ist nicht einmal erledigt, sondern ein Prozess. Du und deine Kund:innen müssen sich regelmässig um ihre Datenschutz-Compliance kümmern. Ausdauer ist erforderlich!
Eine einfache Möglichkeit ist, sich alle paar Monate einige Stunden im Kalender zu blockieren. In dieser Zeit kann man beispielsweise das Daten-Inventar, die Datenschutzerklärung und die TOM auf Aktualität und Vollständigkeit prüfen. Anpassungs- und Verbesserungsmöglichkeiten gibt es eigentlich immer. Und ansonsten geniesst man unverhoffte Freizeit oder nutzt die gewonnene Zeit, um für Kund:innen zu arbeiten.
Hinweis: Der vorliegende Beitrag kann nur allgemeine Hinweise zu einem Einstieg in die Thematik geben. Für Abklärungen im Einzelfall, bei Unklarheiten und im Zweifelsfall empfiehlt sich die gezielte Beratung durch eine erfahrene und qualifizierte Fachperson wie beispielsweise einen Rechtsanwalt.
*) Beim Link handelt es sich um einen Partnerlink. Schliesst du einen Kauf bei Datenschutzpartner ab, erhält cyon eine kleine Provision, ohne dass dir zusätzliche Kosten entstehen. Im Gegenteil: Durch die Nutzung des Gutscheincodes profitierst du sogar von 10% Rabatt im ersten Jahr.
Titelbild: Lianhao Qu/Unsplash
Beteilige dich an der Diskussion
28 Kommentare
@Olaf Müller:
Links, mit denen andere Websites ausgerufen werden, führen nicht zu einer eigenen Bearbeitung von Personendaten. Datenschutzrechtlich relevant ist hingegen das Einbetten von Google Maps.
Worauf ich trotz langem Googeln keine effektive Antwort fand, ist die Frage, ob man für die Einbindung von Dritttools via Widgets/Iframes die absolute Erlaubnis des Besuchers benötigt (z.B. mit 2nd Click Aktivierung oder innerhalb des Konsent Banners) oder ob eine Information in der Datenschutzerklärung ausreicht.
Zu diesen Tools gehören populäre Lösungen wie z.B. Google Maps, Youtube Videos, Search, Twitter Feeds, recapchta, aber auch weniger populäre Lösungen wie z.B. elfsight.com
Die Problematik liegt einerseits darin, dass man keine effektive Kontrolle über Datenverarbeitung hat und anderseits es sich oft um Anbieter aus “unsicheren Drittstaaten handelt”. Auch wird in der Regel bei jedem Request eine IP-Adresse in jeder Form irgendwie übertragen, sodass es sich in der Regel immer um Personendaten handelt. Recaptcha z.B. ist eine Datenkrake.
Wie sind da die Empfehlungen?
@Martin Häfliger:
Gemäss schweizerischem Recht ist grundsätzlich keine Einwilligung erforderlich. (Wie überhaupt fast nie eine Einwilligung erforderlich ist.)
Der Daten-Export muss aber abgesichert werden, aktuell meist mit Standarddatenschutzklauseln (Standard Contractual Clauses, SCC). Das ist mindestens bei den seriösen Anbietern grundsätzlich der Fall.
Bei Google reCAPTCHA wäre die Frage nach einer Einwilligung übrigens sinnvoll: Jene, die man damit abwehren möchte, würden ja nicht einwilligen … wenn man aber einen Dritt-Dienst für eine «Datenkrake» hält, ist für mich klar, dass man ihn nicht einsetzen sollte.
Besten Dank für das kompetent und wortgewandt präsentierte Webinar. Und die gestellten Fragen waren Extraklasse, die Antworten auf den Punkt. Was mich interessiert: wie verhält es sich mit in WordPress eingesetzten Plugins? Muss man bezüglich deren Datenverarbeitung ebenfalls Auskunft geben können? Danke!
@Olaf Müller:
Ja.
Bei der Auskunfts- und Informationspflicht geht es letztlich immer darum, welche Daten über eine Person wofür, wie und wo bearbeitet werden – und zwar unabhängig von Mitteln und Verfahren. Es kommt also auf die Bearbeitung von Personendaten an und nicht darauf, ob diese Bearbeitung mit einem WordPress-Plugin erfolgt.
Erstmal vielen Dank für die ausführlichen und kompetenten Informationen.
Wenn ich z.B. eine kleine eigene private Webseite habe wo ich lediglich Links zu meinen sozialen Profilen aufliste, oder zum aktuellen Zeitpunkt lediglich eine “Coming Soon” Seite ohne Inhalt ausser diesen 2 Wörtnern, braucht es dann trotzdem ein Impressum und insbesondere eine Datenschutzerklärung (kein Tracking, keine externen Script, keine Personendaten (ausser Logfiles), keine Cookies, …)?
@Kevin:
Im beschriebenen Fall wirst Du kein Impressum brauchen. Hingegen wirst Du auch beim Betrieb einer Minimal-Website Personendaten bearbeiten, womit Du eine Datenschutzerklärung veröffentlichen müsstest. Allerdings dürfte das rechtliche Risiko äusserst gering sein, wenn Du erst einmal darauf verzichtest.
Muss ich in der Datenschutzerklärung auf meiner Website über die gesamten Datenschutzmassnahmen der Firma aufklären, z.B. das ich Videoüberwachung in der Firma verwende (Annahme) oder reicht es, wenn ich hier lediglich über die eingesetzten Tools aufkläre die auf der Website eingesetzt werden?
@Fabian:
Eine Website-Datenschutzerklärung genügt nicht mehr. Man veröffentlicht die Datenschutzerklärung zwar normalerweise weiterhin auf der Website, aber sie muss über jede Bearbeitung von Personendaten informieren. Man spricht deshalb auch von einer allgemeinen Datenschutzerklärung.
Video-Überwachung kann man in die allgemeine Datenschutzerklärung integrieren. Man würde damit ergänzend zur Video-Überwachung am Ort der Kameras ergänzende Informationen liefern.
Siehe zum Ganzen: https://steigerlegal.ch/2022/11/27/video-ueberwachung-hinweisschild-schweiz/
Grüezi Herr Steiger,
Besten Dank für Ihr Feedback. Ich finde das allerdings nicht wirklich logisch. 99% der Leute auf unserer Website sind nicht unsere Kunden. Vielleicht werden sie es mal aber zur Zeit des Besuchs sind sie es nicht. Würde es nicht ausreichen Kunden über den Datenschutz und die verwendeten Tools zu orientieren zum Zeitpunkt wenn ein Vertrag mit uns abgeschlossen wird und die Erklärung auf der Website recht oberflächlich zu halten?
Zudem gibt man in einer so umfangreichen Datenschutzbestimmung ziemlich viel von der Firma und der Arbeitsweise preis, nicht? Wenn ich mir z.B. die Datenschutzbestimmungen der UBS oder der ZKB anschaue sind diese ziemlich generell gehalten und gehen nicht auf Details ein z.B. mit welchen Programmen Daten verarbeitet oder ob Office 365 zur Terminvereinbarung genutzt wird. Das würde doch sofort Angriffsfläche für Hacker bieten?
Finde ich eine spannende frage und sitze gerade im selben boot. Wir haben ein maintenance abo, welches auf diversen tools aufbaut. Somit würde man 1. konkurrenz und 2. dem kunden eine gewisse angriffsfläche bieten. Würde mich interessieren, falls hierzu jemand eine antwort hat, wie und ob man zwischen besuchern und kunden unterscheiden kann/darf
Gruss
Tobias
Danke für den interessanten Beitrag! Bietet datenschutzpartner.ch auch Hilfe an bei der Erstellung eines AVV für die eigenen Dienstleistungen und Kunden? Gibt es Vorlagen oder einen Generator? Danke fürs Feedback!
Hallo, wie ist es eigentlich mit der Sprache, z.B. der Datenschutzerklärung? Muss diese in Deutsch oder einer/allen der Schweizer Amtssprachen abgefasst sein? Spielt es eine Rolle, z.B. wenn ich nur englischen Inhalt anbiete? Oder könnte das auch abhängig von der TLD sein?
Vielen Dank für den interessanten Podcast.
@Marcel Suter:
Die Datenschutzerklärung sollte in den Sprachen der Website veröffentlicht werden, damit sich die betroffenen Personen informieren können.
Interessanterweise haben wir unter anderem diesen Punkt in einer aktuellen Episode der «Datenschutz Plaudereien» gegen Schluss diskutiert:
https://podcast.datenschutzpartner.ch/133-legal-session-cyon-follow-up-bexio
Eine ausgezeichnete, kompetente Sache! Ich danke für die Gelegenheit, dieses Webinar nachträglich in Ruhe abzuhören. Man ist als Normalo damit m.E. Gut gerüstet, wie man weiter vorgehen kann. Und genz besonders schätze ich, dass hier nicht auf Panik und Aktivismus gemacht wird.
@Rolf Besser:
Vielen Dank! 🙇🏻♂️
In der Datenschutzerklärung von datenschutzpartner.ch habe ich folgendes gelesen:
«Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum exportieren, …»
Meine Frage: was genau ist mit “anderswo im Universum” gemeint? :-)
Kompliment, Du hast die Datenschutzerklärung aufmerksam gelesen! 🏆
Wir haben die Frage bei Datenschutzpartner vor einiger Zeit beantwortet:
https://www.datenschutzpartner.ch/2022/04/23/datenschutzerklaerung-daten-export-universum-mond/
tl;dr: Wir gehen gerne auf Nummer sicher und tragen dem Umstand Rechnung, dass Daten nicht mehr nur auf unserem Planeten bearbeitet werden.
> Niemand, der ehrlich ist, kann behaupten, das Datenschutzrecht vollständig umsetzen zu können.
Dann ist es schlicht zu kompliziert und nicht für Menschen gemacht. Glücklicherweise ist man in der Schweiz vernünftig was das Klagen angeht – zumindest was ich bisher mitgekriegt habe. Der Wille die Daten der Menschen zu schützen, ist gut und immer wichtiger. Die politische Umsetzung ist aber überhaupt nicht befriedigend. Das beste Beispiel ist der Cookie-Banner-Wahn, der das Ziel völlig verfehlt, verwirrt und nervt, wie man in dieser Kommentarspalte sieht. Es braucht niederschwellige Lösungen für die es nicht komplizierte Verträge, ein Jurastudium oder teure Beratung braucht, zumindest nicht für private und rein informativen Websites.
Danke für den Kommmentar. Talentierte Entwickler, welche auch die Seite des Benutzers kennen und verstehen haben hierfür Lösungen ohne den Besucher mit Consents zu sehr zu belasten. Das es kompliziert ist die datenschutzrechtlichen Regelungen im Gesamten einzuhalten ist nachvollziehbar aber nicht unmöglich. Für alles weitere freue ich mich in einem persönlichen Gespräch eure Fragen als Creative Coder zu beantworten.
@Stefan:
Ja, das Datenschutzrecht ist in einigen Punkten missglückt, leider … auf Cookie-Banner kann man immerhin mit Blick auf die Schweiz verzichten.
Ganz deiner Meinung.
Man müsste die Sache auf Browserebene lösen.
Sobald man den Browser startet kommt ein Hinweisfenster ähnlich einem Cookie-Banner.
Wer sich mit einem Browser ins Internet begibt, befindet sich auf unsicherem Terrain und ist selbst verantwortlich für das was er von sich preisgibt.
Von mir aus kann man Qualitätszertifikate verteilen für Websites die nachgewiesen haben, dass mit den Daten besonders sorgfältig umgegangen wird.
Und kann mir jemand einen konkreten Fall nennen, wo jemand durch Eingabe seiner persönlichen Daten auf einer Website, einen Schaden erlitten hatte, welcher eine Busse bis zu CH 250’000.-rechtfertigt? Die Spuren ins Darknet verlieren sich doch im Ausland. Es herrschen dort andere Gesetze, man kann die Verantwortlichen kaum zur Rechenschaft ziehen.
“no-tracking” ;-)
@Alain:
Die Lösung auf Browser-Ebene gab es mit «Do Not Track», aber sie wurde nicht für verbindlich erklärt, weil das Bedürfnis nach Tracking gross ist … 🤷🏻♂️
Ich höre ständig, es brauche halt eben doch ein Cookie-Consent-Dingsbums. Was stimmt?
In der Schweiz gibt es nach meinem Verständnis weiterhin keine Cookie-Banner-Pflicht. Martin hat dazu in seinem Blog noch einen separaten Beitrag veröffentlicht: https://steigerlegal.ch/2023/02/06/cookie-banner-neues-datenschutzgesetz-schweiz/
@Philipp Zeder:
Ja, das ist richtig, die Schweiz setzt weiterhin auf Information über Cookies, wofür einige Hinweise in der Datenschutzerklärung genügen.
Wir haben zu diesem Thema auch eine Episode der «Datenschutz Plaudereien» veröffentlicht:
https://podcast.datenschutzpartner.ch/88-cookie-banner-dsg-david-rosenthal
Ich hätte da nochmals eine Frage: wie ist das, wenn man einen Link zu einer Google-Review (sichtbar in Google Maps) im Newsletter oder auf der Website einsetzt? Ist dies mit dem Hinweis zum Einsatz von Google Maps abgedeckt? Oder würden Sie das einfach textlich erwähnen? Danke vielmals.