Informationspflichten

Muss ich alle Empfänger von Daten in Datenschutzhinweisen konkret angeben?

Die Informationspflichten in Art. 13 und 14 DSGVO gehören – ich wiederhole mich da immer wieder – zu den mit Abstand schlechtesten Regelungen der DSGVO.

Und es zeigt sich immer mehr, dass die Informationspflichten „europarechtskonform“ ausgelegt werden müssen. Hä? Europarechtlich? Die DSGVO ist doch Europarecht. Ja…richtig. Genau genommen ist die DSGVO aber europäisches Sekundärrecht. Und dieses Sekundärrecht darf europäischem Primärrecht wie z.B. dem Vertrag über die Arbeitsweise der Europäischen Union oder auch der Grundrechte-Charta der Europäischen Union (GRCh) nicht widersprechen.

Und da wären wir auch schon bei dem Problem. Denn eine weit ausgelegte Informationspflicht kann dazu führen, dass andere Grundrechte der GRCh verletzt werden. Nach den Grundsätzen von Art. 52 GRCh sind die Grundrechte hier in ein ausgewogenes Verhältnis zu bringen. Und zwar so, dass der Wesensgehalt des jeweiligen Grundrechts geachtet wird.

Das bedeutet konkret, dass z.B. das Recht auf den Schutz personenbezogener Daten des Art. 8 GRCh nicht den Wesensgehalt der Grundrechte auf Freiheit der Meinungsäußerung und Informationsfreiheit (Art. 11 GRCh), die Berufsfreiheit und Recht zu arbeiten (Art. 15 GRCh), die unternehmerische Freiheit (Art. 16 GRCh) und das Eigentumsrecht (Art. 17 GRCh) verletzen darf.

Im Ergebnis meine ich, dass daher z.B. eine konkrete Angabe der Empfänger von personenbezogenen Daten nach Art. 13 Abs. 1 lit. e) DSGVO und Art. 14 Abs. 1 lit. e) DSGVO selbst dann durch eine Angabe einer Kategorie von Empfängern ersetzt werden kann, wenn ich die Empfänger konkret kenne. Und ob ich das „muss“ ist z.B. in der rechtswissenschaftlichen Literatur momentan umstritten.

In dieser Podcast-Folge setzte ich mich einmal damit auseinander.

Konkrete Angabe der Rechtsgrundlage in Datenschutzhinweisen erforderlich?

In dieser Podcast-Episode geht es um die Beantwortung dieser Frage:

  • Muss ich in meinen Datenschutzhinweisen die Rechtsgrundlage konkret angeben?

In Deutschland wird diese Frage nach herrschender Auffassung mit „Ja“ beantwortet. Für den Rest der Europäischen Union dürfte das aber alles andere als eindeutig sein. Denn ein Großteil der Internetseiten der europäischen Aufsichtsbehörden nennt in ihren Datenschutzhinweise keine konkrete Rechtsgrundlage. Was ist davon zu halten?

Umsetzung von Informationspflichten mit Link-Lösung für „Offliner“

Wer die Umsetzung der Informationspflichten der DSGVO per „Link-Lösung“ noch nicht kennt, der kann die Hintergründe hier nachlesen: Erfüllung der DSGVO-Informationspflichten – Die „Link-Lösung“ (mit Muster)

Nun fragt aber ein Datenschutz-Coaching-Mitglied eine gute Frage. Denn wie setze ich die „Link-Lösung“ um, wenn ich keine Internetseite habe?

Hier die Frage dazu:

Die Link-Lösung ist für viele Firmen ja doch das Non plus Ultra, um der DSGVO in Sachen Infopflichten etc. gerecht zu werden.

Wenn jetzt aber ein kleiner Handwerksbetrieb so gar nichts mit dem Internet zu tun hat, keine Website hat oder sonstiges? Muss er dann wirklich immer seine Datenschutzhinweise in der Tasche haben, um diese gegebenenfalls an den Betroffenen auszuhändigen? Oder bei telefonischer Anfrage gleich Post mit den Unterlagen versenden? Oder gibt es ein Pendant zur Link-Lösung für solche Firmen?

Meine Antwort:
Wenn der Handwerker aus dem Beispiel nicht jedesmal seinen „Datenschutz-Flyer“ an den Kunden oder Interessenten aushändigen möchte, dann könnte er darüber nachdenken, zumindest in seinen Unterlagen (Angebot, Rechnung etc.) die Informationen aus Art. 12, 13 DSGVO auf der Rückseite von Angebot, Rechnung etc. unterzubringen.

Eine andere risikoarme Möglichkeit sehe ich nicht.

Und wenn ich ganz ehrlich bin, würde ich jedem Handwerksbetrieb sehr deutlich machen, dass wir im Jahr 2018 (bald 2019) leben und es wirklich nicht nachvollziehbar ist, wenn man nicht eine Internetseite hat. Es ist weder schwierig, noch teuer eine kleine Internetpräsenz vorzuhalten, mit der dann zugleich die Informationspflichten „charmant“ erledigt werden können. Dazu bedarf es heute auch keines besonderen Fachwissens mehr. Es gibt eine Reihe von Dienstleistern, bei denen man ohne Vorwissen leicht eine Internetseite zum Leben erwecken und pflegen kann (z.B. Jimdo).

Warum ich einen Deep-Link bei der „Link-Lösung“ für DSGVO-Informationspflichten empfehle

Unternehmen (und auch öffentliche Stellen) sind verpflichtet, Betroffenen bei der Erhebung von personenbezogenen Daten über die Datenverarbeitung zu informieren. Rechtsgrundlage ist in diesen Fällen primär Art. 13 DSGVO. Häufig wird es jedoch nicht möglich sein, die recht umfassenden Pflichten des Art. 13 DSGVO auf einmal zu erteilen. Manchmal reicht der Platz nicht und oft wäre es auch einfach nicht sinnvoll. Daher empfehle ich die sog. „Link-Lösung“, mit der einfach auf die weiteren Datenschutzhinweise verlinkt wird. Was ich damit meine, kann hier in meinem Beitrag zur Link-Lösung (mit Muster) nachgelesen werden.

In dem Beitrag verweise ich am Ende allerdings auch darauf, dass ich empfehle, diese Informationen für den Betroffenen über einen sog. „Deep Link“ zugänglich zu machen. Und es vergeht keine Woche, in der ich gefragt werde, was ich damit meine und/oder warum ich das meine.

Was meine ich mit einem „Deep Link“

Das erste Missverständnis, das ich mit meinem Beitrag ausgelöst habe, beruht darauf, dass ich nicht deutlich genug klargestellt habe, dass die Informationspflichten, die über die „Link-Lösung“ erfüllt werden sollen, nichts mit den Datenschutzhinweisen für die Internetseite des Unternehmens zu tun haben.
Es sind zwei verschiedene Paar Schuhe, denn die Datenschutzhinweise für eine Internetseite beziehen sich bitte immer auf die Datenverarbeitung, die über die Internetseite erfolgt. Also z.B. dazu, was und wie lange der Webserver Zugriffe speichert, Hinweise zu Cookies, ggf. Webformularen und Newsletter etc.

Es geht dort aber eben nicht um den Datenschutz im allgemeinen bei dem jeweiligen Unternehmen. Genau der wird aber i.d.R. Thema der „Link-Lösung“ sein.

Das ist übrigens auch einer der Kardinalfehler von Unternehmen und auch öffentlichen Stellen im Zusammenhang mit Datenschutzhinweisen. In Datenschutzhinweise wird gerne alles, aber auch wirklich alles hineingepackt, was einem zum Datenschutz einfällt.
Und als Anwalt kann ich sagen, dass das in Einzelfällen durchaus mal bewusst so gemacht wird. Denn je mehr Text dort steht, ohne diesen sinnvoll zu strukturieren, um so schwerer wird ein Betroffener (oder auch ein „Gegner“) es haben, hier Fehler oder mögliche Verstöße zu identifizieren.

Ich selbst bin allerdings auch als Nutzer extrem genervt, wie schlecht viele Unternehmen in der Praxis Datenschutzhinweise handhaben. Ein häufiges Beispiel sind da z.B. Newsletter-Abos. Wenn ein Unternehmen es schon schafft, im Kontext mit dem Formular freundlicherweise einen Link zu weiteren Datenschutzinformationen zum Newsletter anzubringen, anzubringen, ist meine Begeisterung zunächst groß. Und ich denke:

Endlich hat es jemand kapiert, dass es Sinn macht, konkrete Hinweise zum Datenschutz bei einem Newsletter zu verlinken.

Die Enttäuschung ist aber häufig groß, wenn ich bei einem Klick auf den betreffenden Link dann auf die allgemeinen Datenschutzhinweise des Unternehmens geschickt werde, wo ich in (gefühlt) 40 DIN A4 Seiten Text irgendwo eine Passage zum Newsletter finden könnte. Und ich frage mich dann:

Was genau ist denn so schwer daran, hier einmal eine Seite mit einem Text einzurichten, in dem es eben nur um die Datenverarbeitung beim Newsletter-Abo geht? Ich verstehe es nicht.

Ich habe keine Lust, mich im Kontext eines simplen Newsletter-Abos durch Textwüsten von Datenschutz-Blablabla zu kämpfen, das nichts konkret mit dem Newsletter zu tun hat, wenn ich eigentlich nur wissen möchte, ob meine personenbezogenen Daten weitergegeben werden und ob z.B. ein Tracking von Open- und Clickrates stattfindet (was ich nicht schlimm finde, wenn es einen nachvollziehbaren Grund dafür gibt).

Und in Gesprächen mit Aufsichtsbehördenmitarbeiterinnen und -mitarbeitern würdet ihr häufig auch genau das erfahren. Auch dort werdet ihr hören:

Bitte die Hinweise konkret auf den Punkt und keine ellenlangen Datenschutzausführungen, die am Thema vorbei gehen.

Und die Unternehmen, die das verstanden haben, werden vielleicht genau deswegen, wenn es mal Ärger in einer Datenschutzangelegenheit gibt, die Gewinner sein.

Es ist – wie so häufig im Datenschutz – zu wenig Leidenschaft bei dem Thema. Ich verlange und erwarte ja nicht, dass man ein Datenschutz-Fan wird. Es ist aber eine Frage des respektvollen Umgangs mit Kunden (Betroffenen), hier sein Gehirn ausreichend mit Sauerstoff zu belüften und zumindest zu versuchen, einen Text zur Datenverarbeitung zu schreiben, den jemand, den das Thema interessiert zumindest verstehen kann. Und wenn das schon nicht herausragend gelingt, würde ich erwarten, dass zumindest das Auffinden der konkreten Passage leichter gemacht wird.

Für die Design-Interessierten unter den Lesern kann ich es mit folgendem Vergleich ausdrücken:

Der Großteil der Datenschutzhinweise im Internet beinhaltet so wenig Leidenschaft, Schönheit und Klarheit. Es ist so, als würdest du als Schriftart für deine gesamte Corporate-Identity „Comic Sans“ wählen.

Kein Unternehmen mit einem Anspruch würde das tun. Im Bereich der Datenschutzhinweise ist es leider Standard. Jedes Unternehmen kann hier besser werden.

Leider hat auch das Datenschutzrecht Mitschuld an diesem Dilemma. Speziell die völlig ausufernden Pflichtangaben in Art. 13, 14 DSGVO machen es kaum möglich, hier Texte zu schreiben, die jemand freiwillig lesen und leicht verstehen möchte. Ich kann da aus eigener Erfahrung sprechen, wie schwer das z.B. bei meinen eigenen Datenschutzhinweisen für diese Website ist. Hier wäre weniger gesetzliche Anforderung mehr gewesen.

Vielleicht wird die Sache dann irgendwann leichter, wenn die EU-Kommission die nach Art. 12 Abs. 8 DSGVO bestehende Möglichkeit nutzt, mit vorgegebenen Bildsymbolen in Datenschutzhinweisen zu arbeiten. Das ist derzeit jedoch noch Zukunftsmusik.

Aber kommen wir zurück zum Thema:
Aus all diesen Gründen empfehle ich die Informationen, die über die „Link-Lösung“ abrufbar gemacht werden, konkret auf das zuzuschneidern, was es beschreiben soll: die allgemeine Verarbeitung personenbezogener Daten im Unternehmen
Und das ist eben nicht zu verwechseln mit den Datenschutzhinweisen, die sich allgemein auf der Website befinden. Sonst kommt es nämlich sehr schnell zu einer Verwechselungsgefahr und damit zu einem (norddeutsch) Kuddelmuddel. Und Kuddelmuddel ist im Datenschutzrecht nie gut. Insbesondere nicht, wenn es um Informationen für Betroffene geht.

Warum empfehle ich einen „Deep Link“, der nicht allgemein von der Internetseite verlinkt wird?

Der Grund dafür ist wohl berufsbedingt. Auch wenn aktuell (Zeitpunkt: 03.12.2018) gerichtlich noch nicht eindeutig geklärt ist, ob fehlerhafte Datenschutzhinweise „abgemahnt“ werden können, würde ich bedenken, dass sich in Datenschutz-Informationen – wie z.B. denjenigen, die über die „Link-Lösung“ verlinkt werden – immer schnell einmal der Fehlerteufel einschleicht.

Ich gehöre nicht unbedingt zu den Menschen, die immer empfehlen „unter dem Radar zu fliegen“, wenn es um Datenschutz geht. Es gibt aber Bereiche, in denen es Sinn macht. Und dazu gehören auch die Informationen der „Link-Lösung“. Und hier erleidet niemand dadurch Schaden.
Es wird lediglich vermieden, dass jedermann und damit vielleicht auch einmal Mitbewerber oder auch sog. Unterlassungsklagenverbände, die nach dem sog. Unterlassungsklagengesetz (UKlaG) Verstöße abmahnen könnten, diese Informationen leicht finden können.

Ein Fehler ist in Datenschutzhinweisen immer leicht gefunden. Mal fehlen Informationen zu bestimmten Verarbeitungsschritten oder – was noch schlimmer ist – in den Hinweisen wird eine Datenverarbeitung beschrieben, die rechtlich unzulässig ist. Ein klassisches Eigentor. In beiden Fällen kann es dann unnötigerweise ohne eine Deep-Link-Lösung schneller zur Ärger kommen.

Daher würde ich immer raten, die Informationen zum Datenschutz im Rahmen der „Link-Lösung“ über einen Deep-Link umzusetzen. Das heißt:

  • Die betreffende Internetseite wird nicht in der Navigation der Internetseite des Unternehmens verlinkt, damit nur die Personen die Seite finden, die z.B. in einer E-Mail-Signatur den Link gefunden haben.
  • Die Internetseite sollte nicht für Suchmaschinen auffindbar sein (robots.txt entsprechend einstellen)
  • Die betreffende Internetseite sollte gleichwohl eine leicht tippbare, gut im Kurzzeitgedächtnis merkbare Internetadresse haben wie z.B. https://www.mustermann.de/ds

Ich hoffe, dass mein Ansatz so etwas verständlicher geworden ist. In gleicher Weise können auch weitere spezielle Hinweis für bestimmte Verarbeitungen im Unternehmen per Deeplink zugänglich gemacht werden. Wie oben angeführt: Je konkreter, desto besser.

Aber verzetteln sollte man sich dabei nicht, sonst hat man nachher 20 verschiedene Datenschutzinformationen, die schwer gepflegt werden können.

Ein Tipp noch: Es sollte für Bewerberinnen und Bewerber auch spezielle Datenschutzhinweise geben. Auf die würde ich jedoch sehr prominent im entsprechenden „Stellen-Teil („Karriere“) der Internetseite hinweisen. Warum? Um z.B. auch zu verhindern, dass Bewerber sich auf Unwissenheit berufen können, wenn sie eine Initiativbewerbung an eine bestimmte Person im Unternehmen senden und dann die Daten später gelöscht wissen wollen. Das geht dann in einem solchen Fall nicht so einfach, denn E-Mails an Accounts von Mitarbeiterinnen und Mitarbeitern werden wahrscheinlich revisionssicher archiviert. Hier ist es dann sehr hilfreich, sich gegen eine Löschung wehren zu können, wenn der Bewerber hätte wissen müssen, dass auch Initiativbewerbungen nur an die E-Mail-Adresse jobs@mustermann.de gesendet werden sollen. Denn das „jobs“-Postfach wird dann hoffentlich nicht revisionssicher archiviert, um die Bewerberdaten nach kurzer Zeit wieder löschen zu können.

Tja…es ist nicht immer einfach mit diesem Datenschutz

Ausnahmen von Informationspflichten (Art. 14 DSGVO)

Stell’ Dir vor, du arbeitest als Datenschutzbeauftragter bei der „Ruckus GmbH“. Am Morgen fährt ein LKW vor. Er lädt 50 Kartons ab, die mit Akten gefüllt sind. Die Akten sind chronologisch sortiert. Und enthalten sind Verträge, Unterlagen etc. zu Forderungen, die gegenüber „Schuldnern“ bestehen. Jetzt wird dir diese Frage gestellt:

Müssen jetzt alle Betroffene, deren personenbezogene Daten in diesen Akten enthalten sind, darüber informiert werden?

Klingt nach einem skurrilen Fall? Ist es aber nicht. Diese Dinge fallen recht regelmäßig in bestimmten Branchen an, in denen Forderungen verkauft oder geltend gemacht werden. Also z.B. im Bereich des „Factorings“, der stillen Zession oder dem Inkasso-Bereich.

Und wie gehen wir nun mit so einem Fall um? Darum kümmere ich mich leicht hastig in dieser Podcast-Episode.

Erfüllung der DSGVO-Informationspflichten – Die „Link-Lösung“ (mit Muster)

Letzte Aktualisierung | letzter Aktualisierungscheck: 23.04.2019

Kapitel 3 der Datenschutz-Grundverordnung (DSGVO) regelt die Rechte der Betroffenen. Leider – und das habe ich ja mehrfach schon betont – ist dies aus Sicht von sinnvoller Rechtssetzung das mit Abstand schlechteste Kapitel der DSGVO. Und das bezieht sich in besonderer Weise auf die Informationspflichten des Verantwortlichen gegenüber dem Betroffenen.

Es kann mit Fug und Recht behauptet werden, dass die Umsetzung der DSGVO bei vielen Unternehmen (und auch öffentlichen Stellen) wesentlich einfacher gewesen wäre, wenn die Informationspflichten in vernünftiger und rechtstechnisch sauberer Weise geregelt worden wären.

Während es zu den Informationspflichten gegenüber Betroffenen im Hinblick auf die Daten, die nicht bei ihm selbst erhoben worden sind, noch halbwegs brauchbare Ausnahmen in Art. 14 Abs. 5 DSGVO gibt, die durch Auslegung der Norm für die Praxis handhabbar gemacht werden können, bestehen diese Ausnahmeregelungen im Hinblick auf personenbezogene Daten, die beim Betroffenen selbst erhoben werden, nicht.

Hier ist also stets und vor allem dem Wortlaut nach zum Zeitpunkt der Erhebung der Daten zu informieren. Hier ist die Erfüllung der Informationspflichten des Art. 13 DSGVO nur entbehrlich, „wenn und soweit die betroffene Person bereits über die Information verfügt“.

In der Praxis führt das genau dazu, dass m.E. dem Datenschutz ein Bärendienst erwiesen wird. Die Betroffenen werden derzeit „dichtgeschütttet“ mit langen und ausführlichen Datenschutzhinweisen, die natürlich nicht gelesen werden. Im Gegenteil: Wie bei längeren AGB werden diese Dokumente von den Betroffenen nur als „ach schon wieder so ein Dokument, in dem immer das Gleiche steht“ wahrgenommen. Nur wenige – fragt das gerne mal im Freundes- und Bekanntenkreis ab – lesen wirklich diese Informationen oder nehmen sie auch nur wahr. Die Dokumente landen meist in der physischen oder digitalen Mülltonne.

Leider werden Datenschutzhinweise wieder einmal nur für die Personen geschrieben, die sie ggf. wirklich lesen: Also für Juristen/Anwälte und Mitarbeiterinnen und Mitarbeiter in Aufsichtsbehörden. Ansonsten nimmt nur ein Bruchteil der Personen diese Dokumente wahr.

Und die Informationspflichten aus Art. 13 DSGVO verstärken diesen Prozess sogar noch. Dadurch, dass jetzt – aus Angst vor Bußgeldern (oder ggf. „Abmahnungen“) – viel mehr über die Verarbeitung personenbezogener Daten informiert wird, werden Betroffene immer mehr „taub“ gegenüber diesen Hinweisen. Sie werden einfach nicht mehr wahrgenommen. Die Regelung im Wortlaut des Art. 13 DSGVO hat das angestrebte Ziel der Regelung (mehr „Transparenz“ und „Fairness“) verfehlt.

Um die auch von den Medien wahrgenommenen „Datenschutzinformations-Orgien“ bei einem reinen Telefontermin oder auch nur bei Übergabe einer Visitenkarte zu vermeiden, wird jetzt seitens einiger Aufsichtsbehörden in Deutschland versucht, dieses praxisnaher zu regeln. Das ist erst einmal zu begrüßen und freut mich.

So soll es z.B. bei Datenschutzinformationen von Ärzten bei der Vereinbarung von Behandlungsterminen per Telefon ausreichend sein, wenn die Information nicht direkt zum Zeitpunkt der Erhebung (z.B. Telefongespräche zwecks Terminabsprache), sondern „im zeitlichen Zusammenhang mit der Erhebung der Daten“ erfolgt. Das ist zwar eine praktikable Lösung, ist aber als Auslegung entgegen dem Wortlaut der Norm eine nicht rechtssichere Variante.

Eine bessere Option sehe ich allerdings auch nicht. Ich denke, dass eine wirklich vernünftige Umsetzung der Informationspflichten aus Art. 13 DSGVO zum Beispiel über eine „Link-Lösung“ erfolgen kann. Und ich bin ganz sicher nicht der einzige, der diese Auffassung vertritt.

Die „Link-Lösung“ für Informationspflichten aus Art. 13 DSGVO

Die Link-Lösung hängt sich zunächst am Wortlaut von Art. 13 Abs. 1 DSGVO auf:

Werden personenbezogene Daten bei der betroffenen Person erhoben, so teilt der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mit (…)

Dort steht eben nicht direkt, wie die Informationen zu erteilen sind. Auch aus den insoweit einschlägigen Erwägungsgründen ergibt sich insoweit nicht genau, wie die Informationen zur Verfügung stellen sind. So heißt es in Erwägungsgrund 60 wörtlich:

Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird. Der Verantwortliche sollte der betroffenen Person alle weiteren Informationen zur Verfügung stellen, die unter Berücksichtigung der besonderen Umstände und Rahmenbedingungen, unter denen die personenbezogenen Daten verarbeitet werden, notwendig sind, um eine faire und transparente Verarbeitung zu gewährleisten.

Weder aus dem Wortlaut von Art. 13 DSGVO noch aus den Erwägungsgründen ergibt sich, dass z.B. ein Unternehmen zwingend „aktiv“ Informationen zum Datenschutz zu überreichen hat, wenn sich z.B. ein Kunde im Laden befindet. Oder ein Patient in der Arztpraxis.

Und weder der Wortlaut der Norm noch die Erwägungsgründe sprechen dagegen, dass ich nicht vielleicht bzgl. meiner Informationen zum Datenschutz auf Datenschutzhinweise auf meiner Internetseite verweisen kann. Es könnte jedoch ggf. bezweifelt werden, dass die nach Art. 12 Abs. 1 Satz 1 DSGVO erforderliche „leichte Zugänglichkeit“ nicht gewährleistet wäre (vgl. zum Meinungsstand hier).

Wir leben allerdings in einer Zeit, in der ein Großteil der Bevölkerung jederzeitigen Internetzugang hat. Wenn wir mal bei dem Beispiel einer Arztpraxis bleiben würden, so könnte Praxispersonal wohl sowohl bei Jugendlichen als auch bei Senioren davon ausgehen, dass diese in der Lage sind, auf Internetseiten zuzugreifen. Sollten hieran Zweifel bestehen, weil entweder die intellektuellen Fähigkeiten nicht oder nicht mehr vorhanden sein sollten, könnte das Praxispersonal individuell reagieren und die erforderlichen Informationen zum Datenschutz dann in anderer geeigneter Weise kommunizieren.

Voraussetzung ist m.E., dass ein Verweis auf Datenschutzhinweise z.B. im Internet nicht dazu führt, dass eine Situation entsteht, die einer fairen und transparenten Verarbeitung personenbezogener Daten widerspricht. So ein Widerspruch kann immer dann entstehen, wenn eine Verarbeitung nicht den typischen (oder vernünftigen) Erwartungen des Betroffenen entspricht. Mit anderen Worten: Art oder Umfang der Verarbeitung sind überraschend. Genauer: Überraschend und unerwartet. In diesen Fällen sollte ein sog. Medienbruch vermieden und z.B. bei einer Datenerhebung auf Papier auch in Papierform informiert werden. In allen anderen Fällen kann aber ein Verweis auf weitere Datenschutzhinweise auf einer Internetseite ausreichend sein.

Der Europäische Datenschutzausschuss, das neue Gremium der Aufsichtsbehörden der Europäischen Union, hat in einem „Endorsement 1/2018“ (PDF) auch das Arbeitspapier WP 260 rev. 01 der Art. 29 Gruppe mit dem Titel „Guidelines on transparency under Regulation 2016/ 679“ (PDF) übernommen.

Aus diesen Guidelines ergibt sich, dass auch in einer „Offline“-Situation ein „geschichteter Ansatz“ („Layered Approach“) sinnvoll und zulässig sein kann. So kann es auch nach Auffassung des Europäischen Datenschutzausschusses z.B. zulässig sein, in einem Telefongespräch kurz auf eine Datenverarbeitung (und dessen Zweck) hinzuweisen, um dem Betroffenen dann später einen Link zu den vollständigen Datenschutzhinweisen auf einer Internetseite zukommen zu lassen (so z.B. Ziff. 38 von WP 260 rev. 01 der Art. 29 Gruppe (PDF). Anders ist das aber z.T. von Aufsichtsbehörden auf Anfrage mitgeteilt worden (wurde mir so berichtet). Danach sei ein Aushang mit Informationen zum Datenschutz nicht ausreichend.

Tatsache ist aber, dass die DSGVO nicht per se verbietet, dass die Informationen aus Art. 13 DSGVO über z.B. einen Link auf eine Internetseite erteilt werden. Entscheidend ist (s.o.) allein, dass dadurch die Transparenz und Fairness der Datenverarbeitung gegenüber dem Betroffenen gewahrt bleibt. Und solange hier eine Datenverarbeitung erfolgt, die vom Betroffenen typischerweise erwartet werden kann, wird m.E. eine Link-Lösung, bei der auf einen Link zu vollständigen Datenschutzhinweisen verwiesen wird, nicht nur eine geeignete, sondern auch die beste Variante sein.

Die „beste“, weil so verhindert wird, dass die Betroffenen mit Datenschutzhinweisen überschüttet werden. Die sie einfach nicht mehr richtig wahrnehmen und ggf. auch nicht richtig ernstnehmen.

Betroffene würden bei Umsetzung der Link-Lösung dann nur noch in den Fällen oder Situationen konkrete Datenschutzhinweise ausgehändigt erhalten, die in irgendeiner Weise „besonders“ oder „anders“ sind. Also bei einer Abweichung vom „typischen“ Verlauf. Eben „unerwartet überraschend“. Und das genau wäre eine sinnvolle Situation im Datenschutz. Der Betroffene wüsste dann „Okay, jetzt wird es ernst. Das sollte ich mir jetzt vielleicht wirklich noch einmal ansehen.“. Und genau das wäre eine gute Umsetzung im Sinne der „Betroffenen“ und „Verantwortlichen“.

Niemand braucht Informationen zum Datenschutz, wenn es sich um typische, erwartete Datenverarbeitung handelt, die für den Betroffenen nicht überraschend ist. Wer es genauer wissen möchte, der kann sich über den Link die genauen Datenschutzhinweise ansehen. Und darüber hinaus macht es natürlich auch Sinn, z.B. in der Arztpraxis zusätzlich eine Printvariante vorzuhalten, die auf Anfrage eines Patienten herausgegeben werden kann. Oder eben an die Patienten herausgegeben werden kann, die ggf. die Datenschutzhinweise nicht über das Internet abrufen können. Oder diese ggf. auf diese Weise nicht „verstehen“ (z.B: aufgrund von fehlenden Sprachkenntnissen oder kognitiven Fähigkeiten).

Und was ist mit der Rechenschaftspflicht? Muss ich nicht nachweisen können, dass ich meinen Informationspflichten nachgekommen bin? Geht das nicht nur, wenn ich mir z.B. den Erhalt der Informationen durch den Betroffenen bestätigen lasse?

Gute Frage. Aber ich denke nicht, dass eine Verletzung von Art. 5 Abs. 2 DSGVO vorliegt, wenn ich nicht im Einzelfall nachweisen kann, dass Betroffener „X“ die Information erhalten hat. Vielmehr ist es meiner Meinung nach ausreichend, wenn ich nachweisen kann, dass mein Unternehmen (oder meine Praxis) so organisiert ist (oder ab Zeitpunkt X war), dass jeder Patient die Möglichkeit der Information hatte und auch diesbezüglich Vorkehrungen getroffen worden sind.

Beispiel: Meine Praxisorganisation (kann z.B. eine Anweisung der Praxisinhaber sein) sieht vor, dass auf dem Tresen am Empfang ein deutlich sichtbarer Aufsteller angebracht ist, auf dem zu lesen ist:

Unsere Hinweise zum Datenschutz finden Sie hier: www.praxis-mustermann.de/ds

Dieser Hinweis ist kurz und die Internetadresse lässt sich merken und ist kurz genug, um sie z.B. auf dem Smartphone kurz einzugeben und aufzurufen.

Und wenn ich dann auch noch nachweisen kann, wann diese Anweisung zur Praxisorganisation erfolgt ist, dann sprechen gute Gründe dafür, dass damit der Rechenschaftspflicht Genüge getan wurde. Sicher kann man das anders sehen. Aber Datenschutz ist – unabhängig von einer fehlenden Definition des eigentlichen Schutzzweckes des „Datenschutzes“ im EU-Recht – kein Selbstzweck. Er dient vornehmlich den Betroffenen. Auch aus diesem Aspekt sind keine hohen Anforderungen an die Rechenschaftspflicht bzw. dem Nachweis von Umsetzungen im Bereich Datenschutz zu stellen.

Und wie macht das nun z.B. ein Unternehmen bei einer Übergabe von Visitenkarten? Diesem mittlerweile berühmten Fall, in dem ich „eigentlich“ beim Erhalt einer Visitenkarte mit meinem „Datenschutz-Flyer“ antworten und diesen übergeben müsste, sofern ich die Visitenkarten nicht einfach nur unsortiert in einen Karton werfe und sie damit nicht einem „Dateisystem“ zugeführt wird.

Ganz ehrlich: Jeder, der im geschäftlichen Bereich (ansonsten wird die DSGVO wegen der sog. „Haushaltsausnahme“ für den privaten und familiären Bereich grds. keine Anwendung finden) eine Visitenkarte überreicht geht typischerweise davon aus, dass die Visitenkarte vom Empfänger der Karte im Anschluss geordnet analog oder digital abgelegt wird, um die auf der Visitenkarten enthaltenen Informationen später auch wieder zu finden. Zum Beispiel, um dann wieder Kontakt aufzunehmen.

Gesonderte Datenschutzhinweise sind hier auch in Anbetracht des in der Regel geringen Schutzbedarfs der Informationen auf einer Visitenkarte aus Gründen von Transparenz & Fairness nach der DSGVO nicht zwingend erforderlich. Auch hier sollte also die Link-Lösung eine geeignete Umsetzung darstellen.

Und wie wiese ich nun auf diesen Link hin?

„Am besten bei jeder Gelegenheit, ohne sich zu blamieren und ohne dass ein Mitarbeiter nachdenken muss“

…ist da meine Standard-Antwort für Mandanten. Und damit meine ich, dass in jeder E-Mail-Signatur eines Mitarbeiter ein kurzer Link enthalten ist, in dem so oder ähnlich steht: „Unsere Datenschutzgrundsätze“, „Datenschutz bei Mustermann GmbH“ oder kurz „Datenschutzhinweise“

Natürlich wäre ein gesonderter Hinweis hierauf sinnvoll. Wenn ich also z.B. im Nachgang zu einem Treffen, bei dem ich eine Visitenkarte erhalte, sowieso eine E-Mail an den Kontakt sende, kann ich natürlich in einem Satz kurz auf die Datenschutzhinweise verweisen. Also z.B. „Übrigens: Unsere Hinweise um Umgang mit personenbezogenen Daten finden Sie hier.“

Manchmal wäre das aber ggf. auch schon unpassend oder im menschlichem Umgang miteinander ein bisschen „strange“. Dann bliebe aber auf jeden Fall die Möglichkeit, über die E-Mail-Signatur einen Link zu den Datenschutzhinweisen (wie oben beschrieben) aufzunehmen.

Ich denke, da wird jeder seinen Weg finden. Auch hier gilt, dass dem „Datenschutz“ ein Bärendienst erwiesen würde, wenn alle Beteiligten sich gegenseitig sozusagen mit Datenschutzhinweisen „voll-kleistern“.

Und genauso wie oben beschrieben, wären hier aber gesonderte Hinweise zum Datenschutz, auf die ich dezidiert hinweisen sollte, dann erforderlich wenn ich die Visitenkarte nutzen möchte, um die Daten z.B. über eine Internetseite allgemein zugänglich zu machen.

Aber ansonsten weiß im Bereich der Visitenkarten wohl jeder Beteiligte, dass diese dazu genutzt werden, um entweder direkt Kontakt zum Visitenkarteninhaber zu halten oder ggf. auch den Kontakt an andere Personen zu empfehlen. Da wird es also in aller Regel kein nennenswertes Risiko für den Betroffenen geben, aus dem sich ergeben würde, dass die Link-Lösung nicht ausreichend wäre.

Und wie könnten nun die Informationen zur Datenverarbeitung hinter so einem Link aussehen? Hier ein Beispiel eines „normalen“ Unternehmens aus dem produzierenden Gewerbe:

Grundsätze der Datenverarbeitung bei der Mustermann GmbH

Sie sind über einen Link auf diese Seite gekommen, weil Sie sich über unseren Umgang mit (Ihren) personenbezogenen Daten informieren wollen. Um unsere Informationspflichten nach den Art. 12 ff. der Datenschutz-Grundverordnung (DSGVO) zu erfüllen, stellen wir Ihnen nachfolgend gerne unsere Informationen zum Datenschutz dar:

Wer ist für Datenverarbeitung verantwortlich?

Verantwortlicher im Sinne des Datenschutzrecht ist die

Mustermann GmbH
Musterstr. 123
12345 Musterstadt

Sie finden weitere Informationen zu unserem Unternehmen, Angaben zu den vertretungsberechtigten Personen und auch weitere Kontaktmöglichkeiten im Impressum unserer Internetseite: https://www.mustermann.de/impressum

Welche Daten von Ihnen werden von uns verarbeitet? Und zu welchen Zwecken?

Wenn wir Daten von Ihnen erhalten haben, dann werden wir diese grundsätzlich nur für die Zwecke verarbeiten, für die wir sie erhalten oder erhoben haben.

Eine Datenverarbeitung zu anderen Zwecken kommt nur dann in Betracht, wenn die insoweit erforderlichen rechtlichen Vorgaben gemäß Art. 6 Abs. 4 DSGVO vorliegen. Etwaige Informationspflichten nach Art. 13 Abs. 3 DSGVO und Art. 14 Abs. 4 DSGVO werden wir in dem Fall selbstverständlich beachten.

Auf welcher rechtlichen Grundlage basiert das?

Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten ist grundsätzlich – soweit es nicht noch spezifische Rechtsvorschriften gibt – Art. 6 DSGVO. Hier kommen insbesondere folgende Möglichkeiten in Betracht:

  • Einwilligung (Art. 6 Abs. 1 lit. a) DSGVO)
  • Datenverarbeitung zur Erfüllung von Verträgen (Art. 6 Abs. 1 lit. b) DSGVO
  • Datenverarbeitung auf Basis einer Interessenabwägung (Art. 6 Abs. 1 lit. f) DSGVO)
  • Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)

Wenn personenbezogene Daten auf Grundlage einer Einwilligung von Ihnen verarbeitet werden, haben Sie das Recht, die Einwilligung jederzeit mit Wirkung für die Zukunft uns gegenüber zu widerrufen.

Wenn wir Daten auf Basis einer Interessenabwägung verarbeiten, haben Sie als Betroffene/r das Recht, unter Berücksichtigung der Vorgaben von Art. 21 DSGVO der Verarbeitung der personenbezogenen Daten zu widersprechen.

Wie lange werden die Daten gespeichert?

Wir verarbeiten die Daten, solange dies für den jeweiligen Zweck erforderlich ist.

Soweit gesetzliche Aufbewahrungspflichten bestehen – z.B. im Handelsrecht oder Steuerrecht – werden die betreffenden personenbezogenen Daten für die Dauer der Aufbewahrungspflicht gespeichert. Nach Ablauf der Aufbewahrungspflicht wird geprüft, ob eine weitere Erforderlichkeit für die Verarbeitung vorliegt. Liegt eine Erforderlichkeit nicht mehr vor, werden die Daten gelöscht.

Grundsätzlich nehmen wir gegen Ende eines Kalenderjahres eine Prüfung von Daten im Hinblick auf das Erfordernis einer weiteren Verarbeitung vor. Aufgrund der Menge der Daten erfolgt diese Prüfung im Hinblick auf spezifische Datenarten oder Zwecke einer Verarbeitung.

Selbstverständlich können Sie jederzeit (s.u.) Auskunft über die bei uns zu Ihrer Person gespeicherten Daten verlangen und im Falle einer nicht bestehenden Erforderlichkeit eine Löschung der Daten oder Einschränkung der Verarbeitung verlangen.

An welche Empfänger werden die Daten weitergegeben?

Eine Weitergabe Ihrer personenbezogenen Daten an Dritte findet grundsätzlich nur statt, wenn dies für die Durchführung des Vertrages mit Ihnen erforderlich ist, die Weitergabe auf Basis einer Interessenabwägung i.S.d. Art. 6 Abs. 1 lit. f) DSGVO zulässig ist, wir rechtlich zu der Weitergabe verpflichtet sind oder Sie insoweit eine Einwilligung erteilt haben.

Wo werden die Daten verarbeitet?

Ihre personenbezogenen Daten werden von uns ausschließlich in Rechenzentren der Bundesrepublik Deutschland verarbeitet.

Ihre Rechte als „Betroffene“

Sie haben das Recht auf Auskunft über die von uns zu Ihrer Person verarbeiteten personenbezogenen Daten.

Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bitten wir um Verständnis dafür, dass wir dann ggf. Nachweise von Ihnen verlangen, die belegen, dass Sie die Person sind, für die Sie sich ausgeben.

Ferner haben Sie ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit Ihnen dies gesetzlich zusteht.

Ferner haben Sie ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Ein Recht auf Datenübertragbarkeit besteht ebenfalls im Rahmen der datenschutzrechtlichen Vorgaben.

Insbesondere haben Sie ein Widerspruchsrecht nach Art. 21 Abs. 1 und 2 DSGVO gegen die Verarbeitung Ihrer Daten im Zusammenhang mit einer Direktwerbung, wenn diese auf Basis einer Interessenabwägung erfolgt.

Wir setzen keine Verarbeitungen ein, die auf einer automatisierten Entscheidungsfindung einschließlich Profiling i.S.d. Art. 22 DSGVO beruhen.

Unsere Datenschutzbeauftragte

Wir haben eine Datenschutzbeauftragte in unserem Unternehmen benannt. Sie erreichen diese unter folgenden Kontaktmöglichkeiten:

Mustermann GmbH
– Datenschutzbeauftragte –
Musterstr. 123
12345 Musterstadt
E-Mail: datenschutz@mustermann.de

Beschwerderecht

Sie haben das Recht, sich über die Verarbeitung personenbezogenen Daten durch uns bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Stand: 30.05.2018

Ich persönlich würde empfehlen, diesen „Link“ als Deep-Link zu verwenden. Damit meine ich, dass diese Datenschutzgrundsätze nicht über die normale Website zu finden sein sollten. Also z.B. nicht über die Navigationsleiste. Meine Datenschutz-Coaching-Mitglieder wissen warum. Update, 03.12.2018: Ich habe die Gründe aber hier auch noch einmal beschrieben: Warum ich einen Deep-Link bei der „Link-Lösung“ für DSGVO-Informationspflichten empfehle

Informationspflichten nach DSGVO in Arztpraxen – doch alles nicht so schlimm?

Die geschätzten Kollegen von „datenschutz nord“ hatten in ihrem Blog ein wunderschönes Beispiel für die völlig missglückten Vorschriften zu Informationspflichten in der DSGVO: Telefonieren unerwünscht – Informationspflichten nach der DSGVO

Nach Art. 13 DSGVO sind einem Patienten „zum Zeitpunkt der Erhebung“ der ganze „Batzen“ der Informationen aus Art. 13 Abs. 1 und 2 DSGVO mitzuteilen. Gerade am Telefon, wenn ein Patient einen Termin erstmals vereinbaren würde, wäre das ein sprichtwörtlicher „Informations-Overkill“. Das will keiner. Nicht die Arztpraxis und auch nicht der Patient. In Gesprächen mit Aufsichtsbehörden gaben diese sich zu dieser Frage in meiner Wahrnehmung bis dato entweder unsicher (bzw. schulterzuckend) oder bedeckt. Umso erfreulicher ist nun, dass erste deutsche Aufsichtsbehörden sich bei den Informationspflichten nun „pragmatisch“ aufstellen. Es ist zu hoffen, dass dies Konsens unter den europäischen Aufsichtsbehörden sein wird. Angeblich soll es ja zur Umsetzung von Informationspflichten seitens der Aufsichtsbehörden der EU noch vor Geltung der DSGVO noch „Guidelines“ geben.

Im Hinblick auf die Erfüllung der Informationspflichten in Arztpraxen hat sich nun erstmals das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) geäußert. Und zwar mit dem hier bereits erwähnten Beitrag „Die Datenschutz-Grundverordnung tritt in Kraft – das müssen selbständige Heilberufler beachten“.

Das ULD führt in dem Beitrag zunächst Grundsätzliches dazu aus, was an Informationen zu erteilen ist. Das ergibt sich ja letztlich unmittelbar aus Art. 13 DSGVO. Interessant sind dann die Ausführungen des ULD zur Ausführung der Informationspflichten:

Diese Informationen müssen den Patienten im zeitlichen Zusammenhang mit der Erhebung der Daten zur Verfügung gestellt werden.

Was das ULD hier im Ergebnis macht, ist eine sog. teleologische Auslegung des Art. 13 DSGVO. Während Art. 13 DSGVO im Wortlaut die Pflicht zur Erteilung der Information „zum Zeitpunkt der Erhebung“ vorsieht, legt das ULD hier offenbar Sinn und Zweck der Informationspflichten bei der Auslegung zugrunde und hält lediglich einen zeitlichen Zusammenhang für erforderlich. Ich halte das für richtig. Sinn und Zweck der Informationspflichten sind die in Art. 5 DSGVO genannte Transparenz und Fairness („Treu und Glauben“). Dieser Zweck erfordert gerade nicht, dass ich am Telefon Informationen zum Datenschutz erteile, die der Betroffene in dem Moment gar nicht in der Fülle erfassen kann (und möchte). Hierfür ist es vollkommen ausreichend, wenn es „im Nachgang“ z.B. über einen Flyer Informationen zum Datenschutz gibt, wenn der Patient dann die Arztpraxis besucht.

Dazu führt das ULD dann aus:

Dies geschieht am einfachsten z.B. mit einem Flyer oder Handzettel, der an die Patienten bei der Aufnahme ausgegeben wird. Es genügt auch, wenn der Zettel nur die wichtigsten Informationen zusammenfasst und im Übrigen auf die Homepage der Praxis verweist, wo sich die Einzelheiten finden lassen.

(…) Ebenso wenig ist es erforderlich, den Patienten die Informationen schon am Telefon vorzulesen, wenn diese anrufen, um einen Termin zu vereinbaren. Nicht ausreichend wäre es andererseits, wenn die Informationen lediglich in der Praxis ausgehängt werden.

Das ist eine nicht nur „mutige“, vor allem aber auch erfreulich praxisnahe Herangehensweise.

Und auch zum Nachweis der Informationspflichten äußert sich das ULD dann noch:

Der oder die Verantwortliche muss die Erfüllung der Informationspflicht nachweisen können. Dazu ist es z.B. ausreichend, wenn den Patienten standardmäßig bei der Aufnahme der Zettel übergeben wird und dies für jeden Patienten im Praxissystem vermerkt wird. Es ist nicht erforderlich, dass die Patienten mit ihrer Unterschrift quittieren, dass sie die Informationen erhalten haben.

Ob es praxisnah ist, dass für jeden Patienten im Arztinformationssystem zu hinterlegen, bezweifele ich. Ich persönlich würde es auch für ausreichend halten, wenn es in der Arztpraxis einen Prozess gibt, der die Ausgabe des Materials an Erstpatienten regelt und dieser Prozess im Rahmen eines Qualitäts- bzw. Datenschutzmanagements (Stichwort: Datenschutzhandbuch – allgemeines Muster dazu gibt es für hier (nur für Datenschutz-Coaching-Mitglieder bzw. Teilnehmer des Onlinekurses für Datenschutzbeauftragte) nicht nur definiert, sondern im Rahmen des Managementsystems auch im Hinblick auf seine Einhaltung evaluiert und überprüft wird.

Wie dem auch sei…es ist jedenfalls erfreulich, dass immer mehr Aufsichtsbehörden jetzt endlich mit praktikablen Umsetzungshinweisen zu Informationspflichten aus der DSGVO an die Öffentlichkeit treten.

Informationspflichten der DSGVO – Ein Bärendienst für den Datenschutz

Die Informationspflichten der DSGVO sind – zumindest in Teilbereichen – ein Bärendienst für den Datenschutz. Da haben die Mütter und Väter der DSGVO meiner bescheidenen Meinung nach etwas sehr über das Ziel hinausgedacht. Oder besser gesagt am Ziel vorbei. Aber…was ist eigentlich ein Bärendienst?

Da zücken wir doch mal den Duden – ja…da bin ich Old-School. Nichts Wikipedia und so. Im Duden steht dazu:

Bärendienst:

in guter Absicht etwas tun, was einem anderen, zu dessen Nutzen es gedacht war, schadet.

Die Informationspflichten der DSGVO in Art. 13 und 15 sind „hardcore“. Ist ja erst einmal auch okay. Denn so kann „Waffengleichheit“ zwischen Betroffenen und Unternehmen oder öffentlichen Stellen, die personenbezogene Daten verarbeiten, geschaffen werden. Das ist erst einmal eine gute Sache. Aber: Wie weit soll das gehen?

Im heutigen Podcast möchte ich anhand des klassischen „Visitenkarte auf der Messe“-Falles mal darstellen, welche fürchterlichen Konsequenzen die Überregulierung der Informationspflichten in der DSGVO in der Praxis haben können. Und da wird sehr deutlich, warum das Ganze gerade für den Datenschutz ein Bärendienst ist. Denn der Datenschutz wird durch die Überregulierung nicht nur als Hemmnis wahrgenommen. Er führt dazu, dass übliche soziale Interaktionen reguliert werden. Auf einer Basis, die auf menschlicher Ebene, schlichtweg zu Unhöflichkeit führen kann. Ja, das mögt ihr anders sehen. Für mich ist das allerdings ganz einfach schlechter Stil. Für die Unternehmen, die eine offene und willkommensfreundliche Unternehmenskultur haben, ist Art. 13 DSGVO eine kleine Katastrophe. Vielleicht. Wir werden es erleben. Und hier ist der Podcast.

Aufzeichnung des Webinars „DSGVO-Coaching: Modul 4 – Die DSGVO-Informationspflichten“

Liebe Coaching-Teilnehmer, hier kommt nun die Aufzeichnung vom DSGVO-Webinar Modul 4 – DSGVO-Informationspflichten. Wie ihr sehen werdet, steckt da ein bisschen Sprengstoff – zumindest aber „Arbeit“ – darin. Viel Spaß …

Aufzeichnung des Webinars „DSGVO-Coaching: Modul 4 – Die DSGVO-Informationspflichten“ Weiterlesen »

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden