Datenschutz-Tipp

Was bedeutet das „Planet49“-Urteil des EuGH für deine Cookies? Nicht jedes Cookie braucht ‘nen „Daumen hoch“

Am 01.10.2019 ist eine kleine Keksbombe geplatzt. Am morgen hat der EuGH sein Urteil in der Rechtssache „Planet49“ verkündet.

Und im Ergebnis hat das für ein bisschen mehr Klarheit im Bereich der Verwendung von Cookies gesorgt. Natürlich haben jetzt viele über das Urteil geschrieben. Beispielhaft nenne ich hier mal die Beiträge von Nina Diercks, Thomas Schwenke und Stefan Hanloser.

Vorwort

Ich will mich hier gar nicht so sehr mit den Details des Urteils beschäftigen. Ehrlich gesagt lohnt sich das auch gar nicht wirklich. Wirklich überraschend war die Entscheidung nämlich nicht. Mir kam es eher so vor, dass die „Cookie-Setzenden“ sowie ihre Beratenden wie z.B. wir Anwältinnen und Anwälte die Hoffnung hatte, dass die frühere „Cookie-Praxis“ doch noch vom EuGH gerettet wird. Eine Hoffnung, die mir von vornherein so vorkam, wie die Hoffnung, dass ein Klimawandel nicht stattfindet.

Die Vorlagefragen

Aber zu Sache:

Der EuGH hatte vom BGH einige Fragen gestellt bekommen. Und die hat er beantwortet.

Es handelte sich um diese Fragen, die ich von „Jura“ zu „Deutsch“ übersetzt habe, es sind also nicht die Originalfragen:

  1. Handelt es sich um eine wirksame Einwilligung im Sinne von Art. 5 Abs. 3 der „ePrivacy-Richtlinie“ (ePrivacy-RL), wenn die Speicherung von Informationen (durch z.B. Cookies) oder der Zugriff auf Informationen, die bereits im Endgerät des Nutzers gespeichert sind, durch ein voreingestelltes Ankreuzkästchen erlaubt wird, das der Nutzer zur Verweigerung seiner Einwilligung abwählen muss?
  2. Macht es dabei einen Unterschied, ob es sich bei den gespeicherten oder abgerufenen Informationen um personenbezogene Daten handelt?
  3. Liegt eine wirksame Einwilligung im Sinn der Datenschutz-Grundverordnung (DSGVO) vor, wenn – wie in Frage 1 beschrieben – mit einer vorangehakten Checkbox gearbeitet wird?
  4. Welche Informationen hat ein Anbieter einer Internetseite nach Art. 5 Abs. 3 ePrivacy-RL dem Nutzer zu erteilen? Zählen hierzu auch die Funktionsdauer der Cookies und die Frage, ob Dritte auf die Cookies Zugriff erhalten?

Um es vorwegzunehmen ist hier aber auch wichtig zu erkennen, dass der BGH nicht danach gefragt hat, wann ein Cookie „unbedingt erforderlich“ i.S.d. Art. 5 Abs. 3 ePrivacy-RL ist. Gefragt wurde auch nicht danach, inwieweit ich für das Setzen des Cookies verantwortlich bin, wenn ein Dritter („3rd-Party“ das Cookie setzt. Und schließlich hat der BGH auch nicht danach gefragt, ob das Setzen von Cookies bei nicht vorhandener Umsetzung der ePrivacy-RL in Deutschland ggf. auf anderen Rechtsgrundlagen der DSGVO als Art. 6 Abs. 1 lit. a) DSGVO basieren kann.

Die Antworten des EuGH

Keine Einwilligung bei vorangekreuzter „Checkbox“

Die Antworten des EuGH fielen deutlich aus. Und glücklicherweise müssen uns noch nicht einmal alle Ausführungen zu interessieren. Denn viele Ausführungen des Urteils beziehen sich auf die alte EG-Datenschutzrichtlinie, die seit Anwendung der DSGVO nicht mehr in Kraft ist. Die Antwort auf die Frage ein bzgl. der EG-Datenschutzrichtlinie möchte ich daher hier gar nicht weiter thematisieren.

Da die Vorgaben der DSGVO zur Einwilligung insbesondere ein aktives Verhalten voraussetzen und eine „Nichthandlung“ keine Einwilligung darstellen kann, war klar, dass der EuGH in einer vorangekreuzten Checkbox keine wirksame Einwilligung erkennen kann.

Hier war nichts anderes zu erwarten, zumal Erwägungsgrund 32 der DSGVO dieses Szenario von „bereits angekreuzte“ Kästchen konkret adressiert.

Damit war die o.g. erste Frage denn auch schon klar beantwortet.

Gilt das auch, wenn die Informationen in den Cookies nicht personenbezogen sind?

Bei dieser Frage war das Ergebnis mal nicht ganz klar und insoweit spannend. Jetzt könnte man sagen, dass das doch eigentlich egal wäre, da Art. 5 Abs. 3 ePrivacy-RL ja nicht von personenbezogenen Daten spricht, sondern es hier nur darum geht, das in das Recht auf Privatheit i.S.d. Art. 7 GRCh eingegriffen wird.

Das könnte man allerdings mit Blick auf die unklaren Schutzgüter und die Wechselwirkung mit der DSGVO und dem Recht auf den Schutz personenbezogener Daten i.S.d. Art. 8 GRCh ggf. auch anders sehen.

Der EuGH spricht sich hier aber mit Blick auf die Erwägungsgründer der ePrivacy-RL klar dafür aus, dass das Einwilligungserfordernis auch dann gelte, wenn die Informationen im Endgeräte des Nutzers (wie z.B. in Cookies) nicht personenbezogen sind.

Wenn der EuGH das hier anders gesehen hätte, dann hätten viele größere Internetseiten mehr Spielraum gehabt. Denn die Cookies werden in der Regel nicht von ihnen selbst, sondern von den Werbepartnern gesetzt, die wiederum für die Datenverarbeitung für Werbezwecke selbst Verantwortliche sind. Nur für die Phase der Erhebung könnte man ggf. eine gemeinsame Verantwortlichkeit annehmen. Nur dann wäre die Frage für den Internetseitenanbieter gewesen, ob er denn nun die Einwilligung einholen muss oder ob diese Phase der Datenverarbeitung insoweit vielleicht unbedingt erforderlich wäre. Egal…das wären jedenfalls tiefergehende juristische Probleme gewesen, die wir jetzt einfach nicht haben, weil der EuGH hier klare Worte gefunden hat.

Welche Cookie-Infos sind dem Nutzer zu erteilen?

Auch hier muss sich der EuGH zunächst mit der alten EG-Datenschutzrichtlinie befassen, die uns nicht mehr interessiert. Hier führt er aber zunächst grundlegend aus, dass folgende Informationen zum „Verantwortlichen“ für eine Verarbeitung nach Treu und Glauben (vgl. Art. 5 Abs. 1 lit. a) DSGVO) erforderlich sind:

  • Identität des Verantwortlichen
  • Zweckbestimmungen der Verarbeitung, für die die Daten bestimmt sind,
  • weitere Informationen beispielsweise zu Empfängern oder Kategorien der Empfänger der Daten, sofern sie unter Berücksichtigung der spezifischen Umstände, unter denen die Daten erhoben werden, notwendig sind, um gegenüber der betroffenen Person eine Verarbeitung nach Treu und Glauben zu gewährleisten.

Dann biegt der EuGH zur DSGVO ab und bestätigt nur kurz, dass sich das nach Art. 13 DSGVO auch ergebe.

Im Ergebnis sind daher Angaben zur Funktionsdauer der Cookies und dazu, ob Dritte Zugriff auf die Cookies erhalten können, erforderliche Informationen, die dem Betroffenen im Kontext mit der Verwendung von Cookies zu erteilen sind.

Soweit so gut oder schlecht. Nur…

Was passiert als Nächstes?

Nun der Ball liegt jetzt wieder im Spielfeld des BGH. Der BGH muss nun entscheiden, wie das Ganze im deutschen Recht zu bewerten ist.

Problem ist, dass der BGH wohl vorhatte, den noch geltenden § 15 Abs. 3 TMG richtlinienkonform, d.h. europarechtskonform auszulegen. Nur…wenn wir uns den Wortlaut ansehen, wird das kaum gehen. Er ist schlichtweg nicht europarechtskonform.

Da die ePrivacy-RL nach der Rechtsprechung des EuGH zur unmittelbaren Wirkung von nicht umgesetzten EU-Richtlinien nicht unmittelbar für nicht-staatliche Internetseitenanbieter gilt, liegt nicht zwingend ein Rechtsverstoß vor. Der BGH wird hier wohl am ehesten § 15 TMG für nicht anwendbar erklären und dann zu Art. 6 DSGVO herüberspringen.

Nach den Ausführungen des EuGH würde ich meinen, dass der BGH dann nur Art. 6 Abs. 1 lit. a) DSGVO – also eine Einwilligung – als einschlägige Rechtsgrundlage für nicht unbedingt erforderliche Cookies in Deutschland halten wird.

Letztlich müssen wir aber noch abwarten.

Wie geht es weiter? Wird es neue Gesetze geben?

Das Bundeswirtschaftsministerium hat schon vor einigen Wochen angekündigt, dass sie eine Änderung des TMG vornehmen wollen, wenn der EuGH in der Rechtssache „Planet49“ entschieden hat.

Ich gehe davon aus, dass dann in Deutschland eine Umsetzung von „Cookie Law“ in Deutschland durch das TMG erfolgen wird. Das wird aber noch ein wenig dauern.

Wegen der Entscheidung des EuGH kann es gut sein, dass nun wieder Dynamik des stockenden Gesetzgebungsprozesses um die ePrivacy-Verordnung kommen wird. Deswegen, weil das eine Chance wäre, die nun in der EU schon länger bestehenden „Cookie-Klickorgien“ mal zu beenden und durch vernünftige (technische) Verfahren zu ersetzen. Aber das wird ebenfalls noch dauern.

Was solltest du jetzt tun, wenn du eine Internetseite hast?

Hier die Handlungsempfehlungen in Kürze:

  1. Don’t panic! Es bringt jetzt nicht, hastig zu reagieren. Lieber das Gehirn noch einmal mit Sauerstoff belüften, durchatmen und dann überlegen, was sinnvoll ist. Hilfreich können die nachfolgenden Schritte sein.
  2. Analysiere, ob und welche Cookies (und für welchen Zweck) beim Aufruf deiner Website im Browser gesetzt werden.
  3. Unterscheide die Cookies zwischen Session-Cookies und sog. Persistent-Cookies also Cookies, die eine gewisse Laufzeit haben.
  4. Bei den Session-Cookies schaust du dir an, ob du die wirklich benötigst. Viele Spracheinstellungs-Session-Cookies sind z.B. sehr „90er“ – also altmodisch – und werden heute meist nicht mehr benötigt.
    Es gilt immer, wenn du das nicht wirklich brauchst: Schmeiß’ weg!

    Session-Cookies, die du z.B. für die Warenkorb-Steuerung brauchst, können als unbedingt erforderlich gelten. Für die brauchst du keine Einwilligung.

    Auch sog. „Remember-Me“-Cookies, die ermöglichen, dass der Nutzer sich nicht immer wieder neu einloggen muss, können i.d.R. als „vom Nutzer verlangt“ gelten und daher ohne Einwilligung verwendet werden.

  5. Bei den Persistent-Cookies wird es dann schwieriger. Hier solltest du genau schauen, was du davon brauchst und ob es unbedingt erforderlich ist. Hier ist die Rechtslage extrem unklar.

    Grundsätzlich gilt: Wenn die Seite für den Nutzer ohne das jeweilige Cookie fehlerfrei angezeigt wird, dann ist das ein Indiz dafür, dass das jeweilige Cookie nicht unbedingt erforderlich ist und du daher eine Einwilligung benötigst.

    Der Gegensatz gilt aber auch: Wenn ohne das „Persistent-Cookie“ die Seite nicht fehlerfrei aufgerufen werden kann, Dinge z.B. nicht funktionieren oder Fehler auftreten, dann ist das ein Indiz dafür, dass das jeweilige Cookie unbedingt erforderlich ist und damit keine Einwilligung vom Nutzer eingeholt werden muss.

  6. Wenn du eine Einwilligung als Rechtsgrundlage für Cookies benötigst, musst du sicherstellen, dass das jeweilige Cookie gesetzt wird, nachdem der Nutzer eine wirksame Einwilligung erteilt hat.
  7. Vor einer Einwilligung müssen Nutzer über Zweck des Cookies und Empfänger von Daten informiert werden.

    Außerdem muss die Dauer der Speicherung dargelegt sein. Und es muss Angaben dazu geben, wer „Verantwortlicher“ für die Verarbeitung der Cookie-Daten ist.
    ACHTUNG: Das bist du häufig nicht alleine, sondern z.B. das Werbeunternehmen ist für die Phase der Erhebung der Daten des Nutzers und für das Setzen des Cookies gemeinsam mit dir verantwortlich. Hier ist auch noch vieles unklar.

    Empfehlen würde ich aber, mit den jeweiligen Anbietern jetzt dringend über ein sog. „Joint-Control-Agreement“ nach Art. 26 DSGVO zu sprechen. Ich gehe davon aus, dass das noch wichtig werden wird.

  8. Es ist derzeit unklar, ob z.B. Cookies, die dafür eingesetzt werden, um die Seite per Werbung zu finanzieren, als „unbedingt erforderlich“ gelten können. Dafür spricht, dass es Seiten gibt, für die Werbeeinnahmen „conditio sine qua non“. D.h., dass es die Websites nicht mehr geben würde, wenn keine Cookies für Werbezwecke gesetzt werde würden. Dagegen sprechen aber natürlich auch Argumente.
    Das Ganze ist also extrem „wackelig“. Ich würde hier aktuell raten, mit einer Einwilligung zu arbeiten. Problem ist auch hier wieder die Frage der gemeinsamen Verantwortlichkeit.

So erstellen Sie ein IT-Sicherheitskonzept (Teil 1 – IT-Richtlinie)

Wichtiger Hinweis: Die Ausführungen hier sind veraltet und werden derzeit an die DSGVO angepasst. Ihr könnt sie zwar noch verwenden, solltet dann aber auch schon die Vorgaben aus Art. 32, 25 und 24 DSGVO „implementieren“.
Zuletzt aktualisiert: 09.11.2015
Wie…wir brauchen ein IT-Sicherheitskonzept? Was soll denn das sein? Haben wir nicht schon so etwas? Wir hatten doch mal so etwas erstellt, oder…? Diese und ähnliche Fragen treten gerne auf, wenn das Thema IT-Sicherheit im Unternehmen auf einmal aufkommt. Häufig stellen wir uns diese Fragen, wenn ein Vertragspartner auf einmal nach einem solchen Dokument fragt oder wir bei Durchsicht eines Vertrages mit einem Auftraggeber oder Kunden eine Vertragsklausel finden, in der steht, dass der Auftragnehmer („wir“) verpflichtet ist, ein IT-Sicherheitskonzept vorzuhalten oder gar vorzulegen. Und auch in – hinsichtlich der IT-Sicherheit – gut aufgestellten Unternehmen kommen manchmal Fragen dazu auf, ob die bisherige Konzeption des Informationssicherheits-Management-Systems (ISMS) noch aktuell ist oder ggf. optimiert werden kann.

Wie Sie wahrscheinlich wissen, bin ich Jurist. Genau genommen bin ich Rechtsanwalt. Ich bin also eigentlich gar nicht prädestiniert und wohlmöglich auch nicht qualifiziert dafür, hier Anleitungen und Hinweise zu geben, die Ihnen dabei helfen, ein IT-Sicherheitskonzept zu erstellen. Und vielleicht haben Sie sogar Recht. Es hat sicher einen Grund, dass IT-Sicherheitskonzepte von Technikern erstellt werden, oder? Und dennoch…bei meinem Internet-Angebot Datenschutz-Guru geht es eben nicht darum, dass ich der Guru bin. Es geht darum, die besseren Fragen zu stellen, um zu den besseren Ergebnissen zu gelangen. Genau das führt letztlich zu Erfolg. Aber was ist Erfolg? Erfolg ist, wenn Sie ihre Ziele erreichen! Und wenn Ihr und unser Ziel ist, IT-Sicherheit im Unternehmen einfach und effektiv besser umzusetzen als vorher, dann ist es auch Fachfremden erlaubt, Fragen zu stellen.
Und kennen Sie das nicht auch, dass Sie häufig so tief in Ihrer Fachwelt stecken, dass Sie den Wald vor lauter Bäumen nicht mehr sehen. Und wenn dann z.B. ein Arbeitskollege oder noch besser Ihr Lebenspartner fragt, warum Sie das nicht einfach “so und so“ machen, geht Ihnen auf einmal ein Licht auf, und es fällt der Groschen…die Lösung war viel einfacher als Sie dachten.

Rechtliche Zulässigkeit der Weiterleitung von E-Mails bei (Urlaubs-) Abwesenheit – Best Practice Ansatz

Der Einsatz von E-Mail im Unternehmen ist aufgrund der nicht ausreichenden rechtlichen Regelung in Deutschland immer wieder eine wunderbare Gelegenheit für juristische Auseinandersetzungen. Zwar sind einige Anwendungsfälle durch die Rechtsprechung mittlerweile geklärt (zumindest mehr oder weniger), doch ganz wesentliche Fragen des Umgangs mit E-Mail sind nach wie vor rechtlich umstritten.

Es ist jetzt Anfang August 2011, und wir stecken momentan noch mitten in der Urlaubszeit. Und: Was haben Sie für Ihre Urlaubsabwesenheit für ihren dienstlichen E-Mail-Account geplant? Bleibt dieser etwa für die Zeit des Urlaubs komplett ruhen und bleibt ungelesen?
Dann laufen Sie allenfalls Gefahr, dass wichtige E-Mails nicht bearbeitet werden oder Fristen versäumt werden. Vielleicht haben Sie aber einen Auto-Responder aktiviert, der die Absender von E-Mails an Sie darüber informiert, dass Sie sich gerade im wohlverdienten Urlaub befinden und sich nach Rückkehr aus dem Urlaub zurückmelden werden. Vielleicht informiert der Auto-Responder den Absender freundlicherweise auch darüber, dass Sie für eilige Fälle einen Vertreter haben, bei dem das dringliche Anliegen gegebenenfalls noch einmal selbst durch eine weitere E-Mail vorgebracht werden kann.

Diese Konstellation ist eine einfache und rechtlich unproblematisch Konstellation, die ich immer empfehlen würde, wenn der jeweilige E-Mail-Account nicht regelmäßig mit Fristsachen oder Kundenanliegen beglückt wird.

Was aber können Sie tun, wenn die Bearbeitung der E-Mails während ihres Urlaubs durch Kollegen (oder die Unternehmensleitung) unbedingt erforderlich ist? Dann fangen die rechtlichen Probleme erst so richtig „schön“ an. Dürfen Sie zum Beispiel einem Kollegen Zugriffsrechte auf Ihren E-Mail-Account einräumen? Oder dürfen Sie gar eine Weiterleitung der E-Mail an einen oder mehrere Kollegen einrichten? Das alles sind wunderbare Fragen, auf die es bis heute keine eindeutigen Antworten gibt. Es gibt nämlich keine einschlägige, klare Rechtsprechung zu diesen Fragen, und die Literatur zu diesem Thema schweigt sich zu den wesentlichen Probleme aus oder ist heillos zerstritten.

Checkliste zur Prüfung eines Auftragsdatenverarbeitungsvertrages

Auftragsdatenverarbeitung ist in aller Munde und aus der Unternehmenspraxis nicht mehr wegzudenken. Ob es nun die Wartung von IT-Systemen oder die Durchführung komplexer Datenanalysen für den Auftraggeber ist….es muss nach § 11 BDSG neben der sorgfältigen Auswahl des Auftragnehmers unbedingt auch der Auftrag zur Verarbeitung der Daten schriftlich erteilt werden.

Mittlerweile haben viele Unternehmen Musterverträge für ihre eigenen Bedürfnisse erstellt. Und das betrifft sowohl Unternehmen als Auftraggeber als auch Unternehmen als Auftragnehmer.

Wenn Sie z.B. als Datenschutzbeauftragter, Justitiar oder sonstiger Verantwortlicher für die Prüfung eines Auftragsdatenverarbeitungsvertrages verantwortlich sind, stehen Sie regelmäßig vor der Herausforderung – und das meist auch noch schnell – eine Prüfung des Vertrages im Hinblick auf die Einhaltung der Vorgaben des § 11 BDSG, und insbesondere bzgl. § 11 Abs. 2 BDSG durchzuführen.

Natürlich können Sie jetzt ins Gesetz schauen und Punkt für Punkt prüfen, ob die Voraussetzungen vorliegen. Vielleicht geht es aber auch noch einfacher. Ich gebe zu: Ich bin ja normalerweise nicht so ein Checklisten-Fan, da ich eher nicht prozedural, sondern optional “programmiert” bin; gleichwohl hat mir die nachfolgende Checkliste in meiner anwaltlichen Praxis erheblich geholfen, die Vertragsprüfungen zu beschleunigen.

Die Checkliste ist eine Hilfestellung und ersetzt keine vollständige juristische Prüfung. Ich habe die Inhalte nach meinen persönlichen Vorlieben und Schwerpunkten gewählt. Bitte beachten Sie, dass Ihre Aufsichtsbehörde möglicherweise andere Punkte wichtig findet. Klären Sie die Vollständigkeit der Punkte daher unbedingt auch noch mal für Ihre Bedürfnisse ab.

So benutzen Sie die Checkliste:

  • Laden Sie sich die Checkliste herunter.
  • Öffnen Sie die Checkliste mit Microsoft Word oder einer anderen Textverarbeitung, die in der Lage ist, mit Formularfeldern zu arbeiten.
  • Legen Sie sich den zu prüfenden Auftragsdatenverarbeitungsvertrag zurecht.
  • Gehen Sie die Fragen der Checkliste durch.
  • Wenn Sie die jeweilige Frage mit “Ja” beantworten könnten, dann geben Sie die Fundstelle im Vertrag in dem betreffenden Feld an. Das ist für Sie ein idealer Nachweis der Prüfung und eine prima Gedankenstütze, wenn Sie den Vertrag noch einmal prüfen bzw. den Abschluss begründen sollen.
  • Wenn Sie Fragen mit “Nein” beantworten müssen, ist dies ein starkes Anzeichen dafür, dass der Vertrag überarbeitungsbedürftig ist. Klären Sie diesen Punkt am besten in Ihrem Unternehmen und vor allem mit dem Vertragspartner, um etwaige Zweifel an der Einhaltung der Voraussetzungen des § 11 Abs. 2 BDSG gar nicht erst entstehen zu lassen.
  • Wenn Sie mit der Prüfung fertig sind, können Sie als Prüfender die Checkliste für Nachweiszwecke unterzeichnen – müssen Sie aber nicht.
  • Belohnen Sie sich nach getaner Arbeit – Sie haben mit der Checkliste sicher Zeit eingespart. Die können Sie nutzen, z.B. für einen leckeren Milchkaffee, Bürosport oder einen Plausch mit den Kollegen.

 

Und wenn Sie die Checkliste gut finden, dann freue ich mich über ein Lob! Empfehlen Sie dann doch gerne anderen meinen kostenlosen Newsletter Datenschutz-Tipps für Unternehmen weiter. Denn Empfehlungen sind für mich ein großes Lob! Herzlichen Dank!

Wichtiger Hinweis zum Urheberrecht:
– Die Nutzung der Checkliste für eigene Zwecke ist kostenfrei.
– Der Verkauf der Checkliste ist untersagt.

Oder mit anderen Worten: Sie können die Checkliste für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Checkliste dazu nutzt, um diese an Dritte zu verkaufen. Die Checkliste in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Sie können die Checkliste als Word-Datei (.docx) hier herunterladen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Bücher für den Datenschutzbeauftragten: BDSG-Kommentare (Video-Rezension)

Das Bundesdatenschutzgesetz (BDSG) ist nicht gerade ein Gesetzeswerk, das durch das einfache Lesen des Gesetzestextes verstanden werden kann. Im Gegenteil: häufig verwirrt die Lektüre der Rechtsnormen, und Sie wissen nach dem Lesen noch weniger als vorher bzw. verstehen gar nichts mehr. Trösten Sie sich! Es geht nicht nur Ihnen so. Selbst für gestandene Datenschutzrechtler sind einige Normen im BDSG bei reiner Zugrundelegung des Wortlautes nicht mehr verstehbar. Die Lage ist skurril. Einerseits betont das Bundesverfassungsgericht (BVerfG) gerade für das Recht auf informationelle Selbstbestimmung das Erfordernis von gesetzlichen Regelungen, die dem Gebot von Normenbestimmtheit und Normenklarheit entsprechen; andererseits ist der Gesetzgeber derzeit offenbar nicht in der Lage, diesem Gebot durch verständliche Regelungen im Datenschutzrecht gerecht zu werden.

Für mehr Klarheit darf dann gerne Literatur sorgen. Und zum BDSG gibt es mittlerweile (neben Lehrbüchern) eine Reihe von Gesetzeskommentaren, die auch den Datenschutzbeauftragten bei der Bewältigung von Anfragen und bei der Klärung von datenschutzrechtlichen Sachverhalten unterstützen sollen. Die Preisspanne ist dabei sehr unterschiedlich.

Wie Sie als Datenschutzrechtler oder Datenschutzbeauftragte das richtige Buch auswählen und bzw. oder herausfinden, was zu Ihnen passen könnte, das zeige ich Ihnen im nachfolgenden Video:

Ja…ich weiß, das Video ist recht lang und eignet sich vielleicht nicht dazu, es mal kurz zwischendurch zu sehen. Wenn Sie sich aber ernsthaft mit der Anschaffung eines passenden BDSG-Kommentars beschäftigen, dann ist das Anschauen hilfreich und wertvoll – das verspreche ich Ihnen. Natürlich können Sie auch einfach zu den Passagen „vorspulen“, die Sie interessieren. Sie müssen ja nicht zwingend das komplette Video sehen.

Neben der reinen Vorstellung und Kritik an den einzelnen Büchern, gibt es auch ein paar (wenige) Insider-Infos zu den Autoren.

Folgende BDSG-Kommentare bzw. Bücher werden im Video besprochen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

So erstellen Sie schnell eine Übersicht der Maßnahmen nach § 9 BDSG (mit Muster)

„Eine schnelle Möglichkeit, die von Ihnen getroffenen technischen und organisatorischen Maßnahmen zu Datenschutz und Datensicherheit nach dem BDSG zu dokumentieren.“

Oh je…vielleicht kennen Sie die Situation – sei es als Auftraggeber oder Auftragnehmer: Ihr Vertragspartner, für den die Daten verarbeiten oder von dem Sie Daten bekommen sollen, verlangt von ihnen eine Aufstellung der sog. technischen und organisatorischen Maßnahmen im Sinne des § 9 BDSG und der sog. Anlage zu § 9 Satz 1 BDSG. In dem Thema Datenschutz gut aufgestellt sind und ihre interne Verarbeitungsübersicht aktuell ist, haben Sie mit dieser Anfrage möglicherweise überhaupt kein Problem.

Vielleicht geht es Ihnen aber auch wie vielen anderen Unternehmen, und Sie haben im Bereich des Datenschutzes und gerade im Bereich der Dokumentation noch ein wenig Nachholungsbedarf. Und wenn Sie dann noch nie mit den sog. 8 Geboten der Anlage zu § 9 Satz 1 BDSG zu tun gehabt haben, kann es schon ein wenig Zeit in Anspruch nehmen, die von ihrem Vertragspartner geforderten Informationen zusammenzutragen.

Ich habe mir überlegt, wie ich Unternehmen dabei unterstützen kann, diese Aufgabe effektiv und vor allem einfach zu erledigen. In der praktischen Arbeit geht ein Großteil der Zeit dafür “flöten”, dass Sie gar nicht wissen, was denn überhaupt mögliche Maßnahmen z.B. einer Zutrittskontrolle sein können. Wäre es dann nicht einfacher und vor allem schneller, wenn ich auf einem “Set” von Maßnahmen die passenden ankreuzen kann? Sicher wäre das eine Hilfe, oder?
Hier ein Video mit einer Demonstration der Ausfüll-Hilfe:

Und Ja…natürlich wäre es professioneller, wenn Sie die von Ihnen getroffenen Maßnahmen einzeln aufführen und nicht auf Basis einer “Ankreuzliste” an ihren Vertragspartner senden. Manchmal haben sie aber eben nicht die Zeit, und vor allem kann so eine Liste dann auch dafür genutzt werden, um durch Fleißarbeit eine individuelle, auf das Unternehmen abgestimmte Liste zu erstellen.

Wie dem auch sei, schaden kann so eine Liste jedenfalls nicht. Und sei es, dass sie eine Gedankenstütze ist, für die Maßnahmen, die Sie als technische und organisatorische Maßnahmen zur Datensicherheit treffen müssen.

Und denken Sie daran, dass nach herrschender Auffassung in der rechtswissenschaftlichen Literatur eine reine Aufzählung bzw. Wiedergabe des Textes der Anlage zu § 9 Satz 1 BDSG als Dokumentation der von Ihnen getroffenen technischen und auch organisatorischen Maßnahmen zu Datenschutz und Datensicherheit nicht ausreichend ist.

Natürlich sind die von mir in der Ausfüll-Hilfe aufgeführten Maßnahmen nicht vollständig. Es dürften gleichwohl die gängigen Maßnahmen sein, die in der Praxis häufig gebraucht werden.

Vielleicht kann der eine oder andere von Ihnen damit etwas anfangen. Darüber würde ich mich sehr freuen.

Wichtiger Hinweis zum Urheberrecht:

  • Die Nutzung der Ausfüll-Hilfe für eigene Zwecke ist kostenfrei.
  • Der Verkauf der Ausfüll-Hilfe ist untersagt.

Oder mit anderen Worten: Sie können die Ausfüll-Hilfe für eigene Zwecke jederzeit gerne verwenden, insbesondere vervielfältigen und bearbeiten. Ich möchte lediglich nicht, dass ein Unternehmen die Ausfüll-Hilfe dazu nutzt, um diese an Dritte zu verkaufen. Die Ausfüll-Hilfe in dieser Fassung soll stets kostenfrei bleiben, und ich möchte nicht, dass dies durch Dritte umgangen wird.

Viel Spaß mit der Ausfüll-Hilfe und beim Ankreuzen der passenden Maßnahmen. Wenn Sie noch Fragen zu dem Formular haben, melden Sie sich gerne bei mir.

Sie können die Word-Datei (.docx) hier herunterladen:

Hinweis: Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können.

Datenschutz-Tipp Nr. 30: Was es mit der Meldepflicht nach dem BDSG so auf sich hat…

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Haben Sie schon einmal ein Verfahren bei der für Sie zuständigen Aufsichtsbehörde für den Datenschutz im nicht-öffentlichen Bereich gemeldet? Nein? Falls Sie jedoch zehn oder mehr Mitarbeiter im Unternehmen haben, die automatisiert personenbezogene Daten verarbeiten (dafür reicht heutzutage schon aus, dass jemand ein E-Mail-Programm benutzt), dann könnte es gut sein, dass sie sich ordnungswidrig verhalten haben.

Das Bußgeld für diese Fälle beträgt nach § 43 BDSG bis zu 50.000,00 €. Das hört sich sehr nach Angstmacherei an, soll es aber nicht sein. Ich persönlich habe in all den Jahren meiner Tätigkeit als spezialisierter Anwalt im Datenschutzrecht keinen Fall mitbekommen, in dem ein Unternehmen wegen der Verletzung der Meldepflicht ein Bußgeldbescheid bekommen hätte. Das heißt zwar nicht zwingend, dass es diese Fälle nicht gibt; sie scheinen aber zumindest in der Praxis nicht häufig vorzukommen.

Und der Grund dafür liegt auch auf der Hand. Denn die Meldepflicht entfällt nicht nur, wenn sie weniger als zehn Personen beschäftigen, die automatisiert personenbezogene Daten verarbeiten, sondern auch, wenn sie einen betrieblichen Datenschutzbeauftragten bestellt haben.

Und wenn Sie jetzt ganz schlau überlegen, dann kommen Sie sicher zu dem Ergebnis, dass ein Unternehmen (wenn die handelnden Personen nicht ganz auf den Kopf gefallen sind) in der Praxis sehr leicht ein Meldepflicht-Versäumnis heilen kann.

Aber Achtung: eine rechtmäßige „Heilung“ bekommen Sie so nicht hin. Es ist lediglich ein taktisches Manöver, das in der Praxis aber offenbar häufig zu funktionieren scheint.

Das hört sich jetzt mittlerweile wahrscheinlich etwas zu kryptisch an, oder? Nehmen wir zur Verdeutlichung einfach ein praktisches Beispiel:

Angenommen Sie haben ein Unternehmen bzw. arbeiten einem Unternehmen, das Zeitschriften auf dem Markt anbietet. Und nehmen wir weiter an, dass Sie für Zwecke der Vergrößerung des Abonnentenkreises auch Adressen von Altkunden nutzen, um diese noch drei Jahre nach Kündigung ihres letzten Abonnements anzuschreiben, um ein neues Probe-Abo anzubieten. Hierfür nutzen Sie ein wunderbar neues und buntes CRM-Tool.

Und es passiert, was passieren muss. Der angeschriebene Ex-Abonnent ist empört über die erneute Werbung für ein Probe-Abo. Er wendet sich an die zuständige Aufsichtsbehörde für den Datenschutz und will wissen, wie es sein kann, dass Sie ihn noch einmal als Ex-Abonnenten anschreiben. Und die Aufsichtsbehörde wendet sich jetzt an Sie. Sie bekommen also dieses Schreiben von der Aufsichtsbehörde und denken sich „Was zum Teufel…“ bzw. neudeutsch „WTF“ (das Akronym forschen Sie nach, wenn Sie es nicht kennen, ja?)

Und die Aufsichtsbehörde möchte einiges von Ihnen wissen. Sie möchte zum Beispiel wissen, ob ein betrieblicher Datenschutzbeauftragter bestellt ist. Und für den Fall, dass keiner bestellt worden ist, mögen Sie bitte darlegen, wie viele Mitarbeiter in Ihrem Unternehmen automatisiert personenbezogene Daten verarbeiten.

Spätestens dann sollten die Alarmglocken schallen. Denn wenn sie nämlich keinen Datenschutzbeauftragten bestellt haben und zehn oder mehr Mitarbeiter in Ihrem Unternehmen beschäftigen, hätten sie mit hoher Wahrscheinlichkeit das CRM-Verfahren bei der Aufsichtsbehörde melden müssen. Und zwar vor der Inbetriebnahme.

Ein Datenschutz-Berater oder ein fachkundiger Anwalt wird Ihnenspätestens jetzt raten, einen betrieblichen Datenschutzbeauftragten zu bestellen. Außerdem sollte dann unverzüglich die interne Verfahrensdokumentation für das Unternehmen erstellt werden. Denn – auch wenn die Meldepflicht entfällt – geht der Gesetzgeber gleichwohl davon aus, dass das, was sie hätten melden müssen, jetzt als Dokumentation intern vorgehalten wird.

Sie können dann auf jeden Fall der Aufsichtsbehörde mitteilen, dass ein Datenschutzbeauftragter bestellt worden ist. Problematisch bzw. peinlich kann es nur werden, wenn die Aufsichtsbehörde – was häufig der Fall ist – die Bestellungsurkunde des Datenschutzbeauftragten sehen möchte. Dann fällt das Datum der Bestellung natürlich auf. Und wenn sie keine strafrechtlichen Risiken eingehen wollen, würden ich tunlichst von einer Rückdatierung absehen.

Wenn sich dann aus der Bestellungsurkunde ergibt, dass der Datenschutzbeauftragte erst seit kurzem bestellt worden ist, kann die Aufsichtsbehörde sich natürlich ihren Teil denken. In der Regel wissen die betreffenden Mitarbeiter der Aufsichtsbehörde dann Bescheid, dass die eigentlich zu erfolgende Meldung des Verfahrens in der Vergangenheit eben nicht erfolgt ist. Meiner Erfahrung nach nutzen die Aufsichtsbehörden diese Kenntnis jedoch regelmäßig nicht dafür aus, im Nachhinein noch Bußgeldbescheide wegen Verletzungen der Meldepflicht zu erlassen. Vielmehr hat es den Anschein, dass die Aufsichtsbehörden es wohlwollend zur Kenntnis nehmen, dass das Unternehmen jetzt seine Hausaufgaben macht und durch einen Datenschutzbeauftragten dabei unterstützt wird.

Zu guter letzt: Was viele vergessen bzw. nicht wissen, ist, dass die Meldepflicht für bestimmte Unternehmen auch dann nicht entfällt, wenn ein Datenschutzbeauftragter bestellt worden ist. Dies betrifft die Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung oder für Zwecke der Markt-oder Meinungsforschung verarbeiten. Diese müssen die automatisierten Verarbeitungen bei der Aufsichtsbehörde zu sog. Verfahrensregister melden, in denen die Daten von der jeweiligen Stelle zum Zweck der Übermittlung bzw. der Markt- oder Meinungsforschung gespeichert werden.

Skurril wird diese Ausnahme von der Ausnahme übrigens für Webservices wie Social Networks oder Bewertungsportale. Denn nach der Rechtsprechung des BGH („spickmich.de“) ist das Vorhalten von Nutzerdaten für Besucher oder andere registrierte Mitglieder einer Website als geschäftsmäßige Übermittlung von Daten im Sinne des § 29 BDSG anzusehen. Hier wird wieder einmal deutlich, wie wenig das BDSG an die moderne Informationsgesellschaft angepasst ist. Denn wenn wir die Rechtsprechung des BGH strikt anwenden würden, würde dies dazu führen, dass ein nicht unbedeutender Teil der deutschen Online-Anbieter sich in der Vergangenheit wegen der Verletzung von Meldepflichten ordnungswidrig verhalten haben und künftig ihre Verfahren bei der jeweils für sie zuständigen Aufsichtsbehörde für den Datenschutz zum Register melden müssen. Na dann Prostmahlzeit.

In diesem Sinne… bis zum nächsten Mal,

Ihr Stephan Hansen-Oest

Geburtsdatum im Online-Shop

Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen, den Sie kostenlos abonnieren können:

Es ist schon eine Weile her, seit der letzte Datenschutz-Tipp erschienen ist. In der Zwischenzeit ist eine Menge passiert (glücklicherweise wenig Negatives), und jetzt habe ich endlich wieder die Möglichkeit gehabt, mir die erforderliche Zeit zu nehmen, um diese Tipp-Serie fortzuführen. Ich habe auch ein wenig Urlaub gemacht, und sie kennen das vielleicht selbst: in einem Zustand absoluter Erholung haben Sie meist die besten Ideen. Und als ich so auf dem Balkon des Hotelzimmers auf Fuerteventura saß, habe ich mir gedacht, dass ich auch einfach jetzt den nächsten Tipp auf Video für Sie aufnehmen könnte. Gesagt – getan.

Wenn Sie das Video gesehen haben, wissen Sie, dass es um ein Auskunftsersuchen in eigener Angelegenheit geht. Ich habe in einem Onlineshop ein Weihnachtsgeschenk gekauft, und während des Bestellprozesses wurde ich nach meinem Geburtsdatum gefragt. Nun ja… Ich habe es angegeben.

Jetzt möchte ich wissen, ob der Onlineshop mein Geburtsdatum dann immer noch hat. Möglicherweise wird das ein wunderbares Beispiel dafür, wie so ein Auskunftsersuchen in der Praxis mal ablaufen kann. Ich hoffe nicht, dass ich auch die Aufsichtsbehörde einschalten muss. Und wenn doch: nun ja, dann wird es zumindest ein schöner Praxis-Einblick für sie.

Und so sah mein Auskunftsersuchen (anonymisiert) aus:

Sehr geehrte………,

ich habe am xx.xx. des letzten Jahres in Ihrem Onlineshop einen Artikel bestellt. Ich möchte nun gerne wissen, welche Daten Sie zu meiner Person gespeichert haben. In rechtlicher Hinsicht stütze ich mein Auskunftsbegehren auf § 34 BDSG.

Folgende Daten zu meiner Person sollten Ihnen die Zuordnung der bei Ihnen gespeicherten Daten ermöglichen:

Kundennummer: xxxx
Bestelldatum: xxxx
Name: xxxxx
Adresse: xxxxx
Auftragsnummer: xxxxx

Bitte teilen Sie mir bis spätestens xx.xx.xxxx mit, welche Daten Sie zu meiner Person gespeichert haben. Ich möchte außerdem gerne wissen, ob meine Daten an andere Empfänger oder Kategorien von Empfängern weitergegeben werden (oder worden sind). Im Falle einer Weitergabe bitte ich um Benennung der Empfänger. Schließlich möchte ich Sie auch noch bitten, mir den Zweck der Speicherung meiner personenbezogenen Daten zu benennen.

Mir ist bekannt, dass der unverschlüsselte Versand von personenbezogenen Daten per E-Mail vor der unbefugten Kenntnisnahme von Dritten nicht geschützt ist. Ich erkläre hiermit meine Einwilligung, dass sie mir die begehrte Auskunft per E-Mail erteilen.

Mit freundlichen Grüßen

….

Und nun bin ich gespannt, was daraus wird. Ich halte Sie auf dem Laufenden.

Datenschutz-Tipp Nr. 26: So formulieren Sie eine perfekte Einwilligungserklärung (Teil 2)

Wichtiger Hinweis:
Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen. Nicht alle Newsletter werden auf diesen Internetseiten veröffentlicht. Außerdem erfolgt die Online Veröffentlichung manchmal nur in Auszügen und zeitlich immer später als der Versand des E-Mail-Newsletters. Wenn Sie keinen Newsletter verpassen wollen und den Newsletter stets nach Erscheinen erhalten wollen, dann sollten Sie den kostenlosen E-Mail-Newsletter abonnieren. Die Registrierung dauert weniger als eine Minute:
Datenschutz-Tipps für Unternehmen

Ich sage meinen Mandanten gerne, dass die Umsetzung von Datenschutz im Unternehmen zu 40% aus Fachwissen und zu 60% aus Psychologie besteht. Und ja, ich meine das durchaus und sogar sehr ernst.

Das lässt sich anhand des Beispiels einer perfekten Einwilligungserklärung recht gut erklären. Für viele Unternehmen stellt die Umsetzung der verschärften Voraussetzungen für die Verwendung von personenbezogenen Daten von Kunden oder Dritten für eigene Werbezwecke eine Herausforderung dar. Viele Unternehmen haben wegen der verschärften Bedingungen und des Erfordernisses, nahezu ausschließlich mit Einwilligungen zu arbeiten, das Problem, dass immer weniger Kunden und/oder Dritte beworben werden können, weil es an Einwilligungen fehlt.

Denn viele Kunden sind einfach nicht gewillt, eine Einwilligung in Werbung gesondert zu unterzeichnen bzw. zu erklären. Für die Zusendung von Werbung wie z.B. Newslettern per E-Mail müssen nicht nur die Voraussetzugnen des § 28 Abs. 3 BDSG, sondern auch Voraussetzungen des § 7 UWG eingehalten werden. Ohne Sie hier mit Details zu langweilen, kann ich sagen, dass Unternehmen künftig für die Versendung von Werbung an Kunden in der Regel eine Einwilligung des Kunden bekommen. Nicht zuletzt die Entscheidung des OLG Thüringen (Urteil, Urteil vom 21.04.2010, Az.: 2 U 88/10) hat gezeigt, dass die Luft hier sehr dünn geworden ist.

Und damit sind wir quasi wieder am Anfang der „Herausforderung“. Denn viele Unternehmen beklagen, dass keine Einwilligungen vorliegen und die Neigung der Kunden oder Interessieren, in Werbung „einzuwilligen“, geringer geworden sind.

Datenschutz-Tipp Nr. 28 – Was ein Datenschutzbeauftragter können muss

Wichtiger Hinweis:
Dieser Beitrag stammt aus meinem Newsletter Datenschutz-Tipps für Unternehmen. Nicht alle Newsletter werden auf diesen Internetseiten veröffentlicht. Außerdem erfolgt die Online Veröffentlichung manchmal nur in Auszügen und zeitlich immer später als der Versand des E-Mail-Newsletters. Wenn Sie keinen Newsletter verpassen wollen und den Newsletter stets nach Erscheinen erhalten wollen, dann sollten Sie den kostenlosen E-Mail-Newsletter abonnieren. Die Registrierung dauert weniger als eine Minute:
Datenschutz-Tipps für Unternehmen

Erinnern Sie sich an TIM? Das ist gut.

TIMs Gespräch mit seinem Chef über die Gefahr, die durch Bußgeldrisiken drohen kann, ist gut gelaufen. Er war in der Lage, das Wesentliche in komprimierter Form gut zusammen zu fassen. Er hat nicht dramatisiert, aber auch nichts schön geredet. Er hat getan, was er für richtig hielt.

Wenn der Geschäftsführer von TIMs Firma manchmal auch etwas cholerisch ‘rübergekommen ist…wenn es um ernstzunehmende Themen ging, dann hat er meist ein Ohr und vor allem auch den Mut, Entscheidungen zu treffen.

Die Neural Pathway GmbH, in der TIM neuerdings arbeitet, ist ein noch junges Unternehmen. Sehr erfolgreich dazu und ziemlich schnell dynamisch gewachsen. “Dynamisch gewachsen” – das kennen Sie vielleicht auch in der Praxis als gern gesehene Ausrede, um einen “klitzekleinen” Missstand zu rechtfertigen oder – korrekter formuliert – zu entschuldigen.

Bei Neural Pathway sah das dynamische Wachstum so aus, dass innerhalb von 18 Monaten aus einem Unternehmen mit vier festen und einigen freien Mitarbeitern ein fester Mitarbeiterstamm von knapp 50 Leuten entstanden ist. So ein Thema wie DATENSCHUTZ ist für Neural Pathway wichtig. Denn Datenschutz ist ein wesentlicher Baustein für Vertrauen gegenüber den Kunden. Wenn Sie IT-Systeme von Kunden warten wollen, dann ist es schon beim Verkaufsgespräch von immenser Bedeutung, dass der Kunde ein gutes Gefühl hat: Ein gutes Gefühl, dass die Wartung der IT-Systeme durch Neural Pathway SICHER ist. …

Datenschutz-Tipp Nr. 27 – Die Matrix der Bußgeldrisiken – Wie Sie sich einen Überblick über Bußgeldrisiken verschaffen

Wichtiger Hinweis:
Dieser Beitrag stammt auf meinem Newsletter Datenschutz-Tipps für Unternehmen. Nicht alle Newsletter werden auf diesen Internetseiten veröffentlicht. Außerdem erfolgt die Online Veröffentlichung zeitlich immer später als der Versand des E-Mail-Newsletters. Wenn Sie keinen Newsletter verpassen wollen und den Newsletter stets nach Erscheinen erhalten wollen, dann sollten Sie den kostenlosen E-Mail-Newsletter abonnieren. Die Registrierung dauert weniger als eine Minute:
Datenschutz-Tipps für Unternehmen

INHALTSÜBERSICHT

  1. Die Matrix der Bußgeldrisiken im Datenschutz
  2. Organisatorisches zum Newsletter – Neue Gestaltung

1. Die Matrix der Bußgeldrisiken im Datenschutz

Ich möchte Ihnen gerne jemanden vorstellen: TIM JANKE

TIM JANKE, nennen wir ihn einfach TIM, ist 42 Jahre alt und hat nach seinem Studium der Wirtschaftsinformatik in einigen Unternehmen gearbeitet. Zunächst als Trainee, dann als Projektmanager und später als Leiter einer Unterabteilung. Mit praktischer Informatik hat TIM nicht mehr viel zu tun. Im Laufe der Jahre hat er viel mehr Spaß daran gehabt, neue Projekte zu planen, auf die Beine zu stellen und dann die Umsetzung zu begleiten. Ich denke, wir können das im weitesten Sinne “Projektmanagement” nennen.

Nun hat TIM ein neues Projekt. In einer neuen Firma. Mit einem neuen Chef. Einem neuen Gehalt. Einem neuen Dienstwagen. Und, und, und…

Sie werden TIM in den kommenden Wochen ein wenig über die Schulter schauen. Denn TIM ist auch ein bisschen wie Sie. In seinem Assessment-Training für den Job, den er bekommen hat, wurde ihm ein nach einem Interview ein Persönlichkeitsprofil ausgestellt. Dort stand Folgendes, das Ihnen vielleicht auch bekannt vorkommt. Nehmen Sie sich bitte kurz die Zeit, das Profil AUFMERKSAM zu lesen: …