Seit 10.07.2023 gibt es einen neuen Angemessenheitsbeschluss mit den USA - Das EU-US Data Privacy Framework

Somit gibt es eine neue Rechtsgrundlage für die Übertragung personenbezogener Daten aus der EU in die USA.

Damit können also ab sofort personenbezogene Daten aus der EU in die USA fließen, ohne dass Standarddatenschutzklauseln oder TIAs erforderlich sind. Dies gilt jedoch nur, sofern die Organisation, an die die Daten übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Dies müssen Unternehmen in der EU vorab prüfen.

Derzeit gilt also: rein rechtlich können auf Basis des Angemessenheitsbeschlusses personenbezogene Daten in die USA übertragen werden, sofern das Unternehmen hier gelistet ist.

Sind bei Verwendung von Adobe Acrobat Sign datenschutzrelevante Aspekte zu berücksichtigen?

Mit Adobe Acrobat Sign können PDF Dokumente elektronisch signiert und unterschrieben werden. Adobe Systems Software hat seinen Unternehmenssitz in Irland und ist somit auch zur Einhaltung der DSGVO verpflichtet. 

Nach den Informationen auf Adobe’s Webseite werden beim Signaturvorgang Name, E-Mail-Adresse, IP-Adresse und optional Telefonnummer gesammelt und dann zusammen mit der Vereinbarung und der Signatur gespeichert. Dies alles wird von dem Unternehmen kontrolliert, das die zu unterschreibende Vereinbarung gesendet hat. 

Die Signatur und die gesammelten Daten stellen personenbezogene Daten dar. Damit ist Art. 17 DSGVO bezüglich Löschpflichten zu beachten. Es ist davon auszugehen, dass eine Löschpflicht erst besteht, wenn eine etwaige gesetzliche Speicherfrist abgelaufen ist (Art. 17 Abs. 3 lit. b DSGVO) und das Dokument nicht mehr zur Geltendmachung oder Verteidigung von Rechtsansprüchen notwendig ist (Art. 17 Abs. 3 lit. e DSGVO). Das betrifft natürlich immer nur das gesamte Dokument – und nicht die einzelne Unterschrift. Letztere darf nicht gesondert gelöscht werden, weil es damit das ganze Dokument verfälschen würde!

Was ist Azure Key Vault?

Azure Key Vault ist ein von Microsoft angebotener Cloud-Dienst zum Speichern von Geheimnissen, wie Passwörter, Zertifikate oder kryptografischer Schlüssel.

Wie sinnvoll ist für die Microsoft Azure Cloud eine Verschlüsselung, wenn der Schlüssel im Azure Key Vault liegt?

Der Vorteil eines solchen Vorgehens ist, dass alles zentralisiert ist und man nur einen Dienstanbieter nutzt bzw. nutzen muss.

Gegen ein solches Vorgehen sprechen aber gewichtige Argumente:

Aus der Perspektive der IT-Sicherheit ist es niemals eine gute Idee, Daten und Schlüssel an demselben Ort aufzubewahren. Diese Überlegung lässt auch auf Dienstanbieter übertragen: Es ist bereits prinzipiell davon abzuraten, Daten und Schlüssel bei demselben Anbieter zu verwahren.

• Gemäß dem Urteil „Schrems II“ des Europäischen Gerichtshofes sind Verantwortliche, die Daten in die USA exportieren wollen, dazu verpflichtet, die SCC ergänzende Schutzmaßnahmen zu treffen. Eine wirksame Schutzmaßnahme stellt grundsätzlich die Verschlüsselung der Daten vor der Übertragung dar die Verschlüsselung. Wie der EDSA auf S. 28 seiner „Empfehlungen zu Maßnahmen der Ergänzung“ deutlich macht, gilt dies nur wenn der verwendete Schlüssel in der EU verbleibt. Dies meint von einer europäischen bzw. nicht dem amerikanischen Recht unterliegenden Entität verwaltet wird. Dies ist bei Google-Diensten nicht möglich, denn Alphabet Inc. der Mutterkonzern ist ein US-amerikanischer Konzern, sodass US-Geheimdienste auch Zugriff auf Daten verlangen können, die bei europäischen Tochtergesellschaften (auf Servern in Europa) gespeichert sind.

Insgesamt halten wir es daher für ein unnötiges Datenschutzrisiko und im Zweifel als nicht datenschutzkonform, wenn die verschlüsselten Daten in der Microsoft Azure Cloud und der zu ihnen zugehörige Schlüssel in dem Microsoft Azure Key Vault gespeichert werden.

Was ist Calendly?

Calendly ist eine Terminplanungssoftware. Kunden können sich selbst automatisiert verfügbare Termine über eine Website reservieren und sich diese dann in den eigenen Terminkalender integrieren und Erinnerungsmails dazu schicken lassen. Es ist eine Anbindung an den persönlichen Terminkalender notwendig, damit Termine sofort im Terminkalender blockiert werden.

Calendly ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Calendly:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig
        in Textform

LiiDU-Tipp:  Eine deutsche Alternative mit Servern in Deutschland nutzen, z.B. Meetergo

Was ist die Microsoft Copilot Funktion? 

Microsoft Copilot für Microsoft 365 ist KI-gestütztes Produktivitätstool. Es koordiniert große Sprachmodelle (LLMs), Inhalte in Microsoft Graph und die Microsoft 365-Apps. 

Nach eigenen Angaben von Microsoft erfüllt Copilot die bestehenden Datenschutz Datenschutz-, Sicherheits- und Complianceverpflichtungen gegenüber Kommerziellen Microsoft 365-Kunden, einschließlich der Datenschutz-Grundverordnung (DSGVO) und der Datenbegrenzung der Europäischen Union (EU).

Die verarbeiteten Daten werden laut Microsoft auch nicht für Trainingszwecke grundlegender LLM's verwendet. 

Checkliste zum datenschutzkonformen Einsatz:

• Auf Berechtigungen achten, um sicherzustellen, dass jeder Benutzer nur die für ihn gewollt sichtbaren Inhalte sehen und dementsprechende Vorschläge erhalten kann
• Verbieten, dass Microsoft 365-Chaterfahrungen auf öffentliche Webinhalte verweist, die für alle Menschen zugänglich sind.
• Verbieten, dass Plug-Ins verwendet werden, um Microsoft Copilot für Microsoft 365 bei der Bereitstellung relevanterer Informationen zu unterstützen

Um datenschutzrechtlich sicher arbeiten zu können, empfehlen wir folgende Punkte (jederzeit erweiterbar):

• Microsoft Copilot ins Verzeichnis der Verarbeitungstätigkeiten aufnehmen
• Informationspflichten nach Art. 13 und Art. 14 DSGVO bereitstellen (für Mitarbeiter – und für Externe)
• Interessensabwägung nach Art. 6 Abs. 1 lit.f DSGVO durchführen
• Datenschutzfolgenabschätzung durchführen
• Ggf. interne Richtlinien zum Einsatz von Microsoft Copilot definieren und alle Mitarbeiter darüber in Kenntnis setzen

Reicht es für Risikobewertungen für die Verwendung von Microsoft Copilot aus, sich auf die Angaben der Hersteller zu stützen?

Werden Tools in Unternehmen eingesetzt, müssen ggf. Risikobewertungen durchgeführt werden.

Immer dann, wenn eine Form der Datenverarbeitung für die Rechte und Freiheiten einer Person ein hohes oder sehr hohes Risiko zur Folge hat, hat der Verantwortliche vor deren Einführung eine Datenschutz-Folgenabschätzung‎ vorzunehmen und zu ermitteln, welche Folgen eine geplante Verarbeitung für den Schutz der Daten Betroffener hätte.

Bei der Bewertung können und müssen ergänzende Produktdokumentationen bei Datenschutzbewertungen mit einbezogen werden. Anwender müssen sich darauf verlassen können, dass die Hersteller korrekte Angaben machen, da sie sonst einen Verstoß sowohl gegen die DSGVO als auch das UWG begehen würden, wenn falsche Produktangaben auf der Website veröffentlicht werden würden.

Was macht Cloudflare?

Cloudflare ist ein US-amerikanisches Unternehmen, das ein Content Delivery Network, Internetsicherheitsdienste und verteilte DNS-Dienste (Domain Name System) bereitstellt, die sich zwischen dem Besucher und dem Hosting-Anbieter des Cloudflare-Benutzers befinden und als Reverse Proxy für Websites fungieren. Cloudflare legt zudem Kopien von Webseiten auf eigene Server. Diese Server befinden sich verteilt an unterschiedlichen Standorten auf der Welt. Bei Aufruf einer bestimmten Webseite von einem bestimmten Standort aus, wird immer der geeignete Server angesprochen, was den Zugriff auf die Seite beschleunigt. Zudem identifiziert Cloudflare Crawler oder Bots, die möglicherweise Ressourcen und Bandbreite belasten würden.

Problem: US-amerikanischer Dienst!
--> Eigentlich kann der Einsatz nur mit Einwilligung des Nutzers stattfinden
(was aber den Interessen des Berechtigten widersprechend dürfte).

Das schreibt der TÜV-Süd auf seiner Website zur Nutzung  Cloudflare:

"Schutz vor Störungen und Missbrauch sowie Verbesserung der Webseite
Personenbezogene Nutzungsdaten, wie Ihre IP-Adresse sowie die Zeiten Ihrer Aufrufe unseres Internettauftritts, werden über die Webseite zur Ermittlung sowie zur Verfolgung von Störungen oder Missbräuchen unserer Online-Angebote oder Telekommunikationsdienste und -anlagen und zur Performanceverbesserung unseres Internetauftrittes, verarbeitet. Diese Website nutzt Dienste von „Cloudflare“ (Anbieter: Cloudflare, Inc., 101 Townsend St, San Francisco, CA 94107, USA). Cloudflare betreibt ein Content Delivery Network (CDN) und stellt Schutzfunktionen für die Website (Web Application Firewall) zur Verfügung. Der Datentransfer zwischen Ihrem Browser und unseren Servern fließt über die Infrastruktur von Cloudflare und wird dort analysiert, um Angriffe abzuwehren. Cloudflare setzt dazu Cookies ein, um Ihnen den Zugang zu unserer Webseite zu ermöglichen. Die Nutzung von Cloudflare erfolgt im Interesse einer sicheren Nutzung unserer Internetpräsenz und der Abwehr schädlicher Angriffe von außen. Weitere Informationen finden Sie in der Cloudflare-Datenschutzerklärung"

Unter dem Punkt: technisch-notwendige Cookies!

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Was ist „FontAwesome“?

FontAwesome bietet eine Web Icon Library. Um die Icons anzeigen und laden zu können, werden bei FontAwesome (wie bei der der Verlinkung von GoogleFonts) die IP-Adresse beim Aufruf übertragen. Somit werden personenbezogene Daten im Sinne der DSGVO erfasst.

Für die Verarbeitung personenbezogener Daten, die FontAwesome vornimmt, benötigt man eine Rechtsgrundlage nach Art. 6 DSGVO.

--> Einwilligung!

Fällt FontAwesome in die gleiche Kategorie wie Google Fonts?

Antwort:

Ja, wenn Google Fonts dynamisch per Link eingebunden wird, kann man FontAwesome damit vergleichen.

Zum Thema Google-Fonts finden Sie auch in unserem FAQ Bereich auf der Website.

Was ist das Tracking-Tool Google AdWords?

• Google AdWords ist ein Werbesystem des US-amerikanischen Unternehmens Google LLC.
• es wird von vielen Unternehmen für Suchmaschinenmarketing genutzt
• es handelt sich bei Google AdWords um eine Anzeigenschaltung auf den Suchergebnissen von Google
• bei den Ergebnissen wird ein Verweis auf die Internetseite gesetzt
• Preis pro Klick auf die Unternehmenswebsite ist abhängig von Konkurrenzanzeigen
• Messung von Conversions können durchgeführt werden

Welche Alternativen gibt es für Google AdWords?

Google AdWords = größter Anbieter

Es gibt auch Alternativen zu Google AdWords, z.B.:

• Bing Ads
• Amazon Ads
• LinkedIn Ads
• Instagram Ads
• Reddit Ads

Kann Google AdWords datenschutzrechtlich sicher eingesetzt bzw. ohne Setzen eines Cookies implementiert werden?

• Um nachvollziehen zu können, ob Google-Ad-Besucher auch auf einer Website bleiben oder sogar kaufen, ist das Setzen eines Cookies erforderlich
• --> Einwilligung einholen + Informationspflichten nachkommen + AV-Vertrag abschließen

• Conversions sind über Google Ads ohne Cookies aber wohl möglich
• Google Ads steht jedoch in Verbindung mit Google Analytics
• daher sind Anpassungen im Google Analytics Code erforderlich
• Einige Datengruppen werden bei der Veränderung des Codes nicht mehr erfasst (Demographie, neuer/wiederkehrender Nutzer etc.)
• Bestimmte Werbefunktionen müssen ebenfalls deaktiviert werden
• Ungelöstes Problem: § 25 TTDSG, da auch Fingerprinting einer Einwilligung bedarf!

Verstößt Google-Analytics gegen die DSGVO?

Es gibt schon lange Bedenken hinsichtlich Google-Analytics seitens der Datenschutzaufsichtsbehörden in Deutschland, v.a wegen des nahezu unbeschränkten Zugriffs von US-Behörden auf personenbezogene Daten.

Jetzt:

DSB sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da mit dem Statistikprogramm persönliche Nutzerinformationen an die Google-Konzernzentrale in den USA weitergegeben werden.

Google-Analytics vertößt gegen die Schrems II-Entscheidung des EuGH (= Privacy Shield gewährt kein angemessenes Datenschutzniveau).

Die vollständige Entscheidung finden Sie hier

Seit dem 6. März 2024 ist der Google Consent Mode Version 2 (V2) für alle Websitebetreiber, die Google-Dienste wie Google Ads oder Google Analytics 4 (GA4) verwenden, verpflichtend. Der Google Consent Mode v2 ist eine aktualisierte Schnittstelle, die es Websites ermöglicht, Google über die Einwilligung der Nutzer zur Verwendung von Cookies zu informieren. Dies beeinflusst, wie Google seine Tracking-Cookies verwendet.

Der Google Consent Mode V2 bietet zwei Varianten der Einbindung:

Basic Mode:

• Einwilligung erteilt: Google-Tags werden aktiviert und Cookies gesetzt.
• Keine Einwilligung: Google-Tags werden blockiert, jedoch werden IP-Adressen der Nutzer an Google übertragen, die kurz nach Erfassung anonymisiert werden sollen. Trotz Anonymisierung besteht ein Datenschutzrisiko, da unklar ist, ob eine Rechtsgrundlage für diese Art der Verarbeitung besteht.

Advanced Mode:

• Unabhängig von der Einwilligung werden "Pings" an Google gesendet, die Nutzeraktivitäten erfassen, auch bei Ablehnung aller Dienste. Diese Pings erfassen Daten wie Gerätetyp und Nutzerland, die potenziell unter das TTDSG fallen und daher eine Einwilligung für deren Erfassung und Übertragung erfordern würden. Der Einsatz dieses Modus birgt rechtliche Risiken, da eine entsprechende Einwilligung fehlt.

Der Basic Mode ist aus datenschutzrechtlicher Sicht vorzuziehen, da er geringere rechtliche Risiken birgt, allerdings sollte die Übertragung der IP-Adressen klar an die Website-Besucher kommuniziert werden.

Der Advanced Mode sollte aufgrund der hohen rechtlichen Risiken und der Erfordernis einer Einwilligung für die Datenverarbeitung, die nicht standardmäßig eingeholt wird, vermieden werden.

Mehr Infos

Google Optimize ist ein A/B-Testing-Tool

Grundsätzlich: Auch ohne Cookies ist Google Analytics einwilligungspflichtig, insbesondere wegen der Verarbeitung der Analysedaten immer in den USA.

Im Speziellen: Sofern man Google Optimize zur anonymen Auswertung nutzen kann, dann ist das DSGVO-konform. Wenn Voraussetzung aber die Nutzung von Google-Analytics ist (=Standardfall!), dann nur mit Einwilligung der Nutzer.

Voraussetzungen eines rechtskonformen Einsatzes wären damit:

1. Einwilligung der Nutzer
2. Abschluss von Standardvertragsklauseln
3. Aufnahme in die Datenschutzerklärung
4. Daten-Transfer-Folgenabschätzung

Hier finden Sie eine gute Übersicht mit Checkliste

Was ist der Google Tag Manager?

• Google Tag Manager ist ein kostenloses Tag-Management-System (TMS)
• Damit können Code-Schnipsel (z.B. Tracking-Codes und Conversionpixel) auf der eigenen Website und Apps eingebaut werden
• Zugriff auf den Quellcode ist dabei nicht bei jeder kleinen Änderung erforderlich
• einmalig muss jedoch der Google Tag Manager Code in den Quellcode eingebunden werden
• sobald der Google Tag Manager Code einmal im Quellcode erfasst ist, können die einzelnen Tags im TMS angelegt werden --> leichtere und schnellere Anpassung bei Google Analytics, Google Ads etc. möglich
• Mit dem Google Tag Manager können also zentral externe Marketing- und Analyse-Tools verwaltet werden

Kann der Google Tag Manager datenschutzkonform eingesetzt werden?

• Datenschutzkonformer Einsatz nur möglich, wenn die Anforderungen der DSGVO und des TTDSG eingehalten werden
• Der Tag Manager selbst setzt keine Cookies
• Wird aber im Browser der Nutzer ausgeführt --> § 25 TTDSG!
• Wenn nicht technisch notwendig, muss:
  • Einwilligung des Nutzer muss eingeholt werden (über Cookie Consent Tool)
  • AV-Vertrag abgeschlossen werden
  • Hinweis in Datenschutzerklärung transparent gestaltet werden

Was ist Hubspot?

Hubspot ist ein Consumer-Relationship-Management (CRM) Plattform, die nach eigenen Angaben alle notwendigen Tools bezüglich Marketing, Vertrieb, Kundenservice, CMS und Operations umfasst. Die einzelnen Dienste können separat oder als Bundle gebucht werden.

Durch den Einsatz von Hubspot werden – wie generell bei CRM Systemen – eine Vielzahl von persönlichen Daten erhoben. Darunter sind Name, Adresse, Email-Adresse, IP-Adresse etc.

Bei Hubspot handelt es sich um ein US-amerikanisches Unternehmen. Es gelten also auch in Bezug auf Hubspot alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Hubsport bietet zwar ein ausschließliches Hosting auf deutschen Servern an. Dies mindert die Bedenken jedoch nur zum Teil, da die weitreichenden Eingriffsbefugnisse von US-Geheimdiensten auch hinsichtlich Daten auf europäischen Servern gelten.

Was muss alles getan werden, um Hubspot datenschutzkonform nutzen zu können?

• Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung) und: es gibt die Möglichkeit, die Speicherung der Daten auf europäischen Servern zu wählen (nicht in den USA!)
• ein AV-Vertrag zwischen dem Unternehmen und Hubspot ist zwingend abzuschließen
• Eine Aufklärung über die Verarbeitung und Speicherung der Daten muss in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform vorgenommen werden
• Einwilligung nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO aufgrund des Wegfalls des Privacy-Shields sind Standarddatenschutzklauseln zu verwenden

Was ist inSign?

inSign ist ein Tool zur Erstellung einer elektronischen Unterschrift. inSign hat seinen Unternehmenssitz in Deutschland und verwendet deutsche Server. Zudem ist inSign ISO- und TÜV-zertifiziert.

Was ist beim Einsatz von inSign datenschutzrechtlich zu beachten?

• Vertrag zur Auftragsverarbeitung abschließen, Art. 28 DSGVO
• Ggf. Einwilligung von Geschäftspartnern einholen, die den Signaturprozess durchlaufen sollen
• Hinweis in der Datenschutzerklärung auf der Website oder anderweitig in Textform, Art. 13 DSGVO

Was ist jsDelivr?

jsDelivr ist ein Open Source Content Delivery Network (CDN), das verwendet wird, um JavaScript- und CSS-Dateien schnell und effizient zu verteilen. Es wird häufig von Entwicklern verwendet, um sicherzustellen, dass ihre Anwendungen und Websites schnell geladen werden.

Um jsDelivr als CDN datenschutzkonform nach der DSGVO einzusetzen, müssen folgende Voraussetzungen erfüllt sein:

• Einwilligungen der Nutzer in Cookies
• AV-Vertrag abschließen
• Datenschutzerklärungen anpassen

Was ist Keeper?

Keeper ist ein Passwort-Manager-Tool mit Sitz in den USA, Japan und Irland. Keeper ist nach eigener Aussage eine Zero-Knowledge-Sicherheitslösung.

Laut eigenen Angaben von Keeper, kann das Tool datenschutzkonform nach der DSGVO eingesetzt werden:

• Registrierte Privatnutzer aus der EU nutzen automatisch Datenzentrum in der EU
• Geschäftskunden können Datenzentrum frei wählen --> unbedingt Datenzentrum in der EU wählen
• Keeper ist  SOC 2 Typ 2 und ISO 27001 zertifiziert
• Keeper nutzt TLS-Verschlüsselung (Transport Layer Security) und AES-256-Bit-Kodierung (Datenschlüssel und Kodierungsschlüssel sind voneinander getrennt)
• AV-Vertrag abschließen!

Mailchimp ist ein in den USA sitzender Anbieter eines Newsletter-Tools.

Aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und: --> datenschutzrechtliche Einwilligung ist einzuholen

Voraussetzungen für den datenschutzkonformen Einsatz:

• 1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
• 2. Standarddatenschutzklauseln vereinbaren
• 3. Einwilligung bei Newsletter-Registrierung einholen
• 4. Double-Opt-In (eigentlich eine werberechtliche Voraussetzung)

Was ist Matomo?

Matomo hieß vor 2018 Piwik und ist ein Web-Analysetool. Seine Hauptfunktion ist, Bewegungen auf Websites zu analysieren, um aufgrund der gewonnen Erkenntnisse die Website optimieren zu können.

Was ist datenschutzrechtlich zu beachten?

Das Tool kann

• ganz ohne die Erhebung personenbezogener Daten eingesetzt werden(Privacy-Einstellungen), indem, dass die letzten Ziffern der IP-Adresse anonymisiert wird.
• auch komplett ohne Cookies eingesetzt werden (in der Privacy-Einstellung „alle Tracking-Cookies deaktivieren“).
  (Achtung: Matomo nutzt in der Standardeinstellung Cookies. In diesem Fall muss also in jedem Fall ein Cookie-Banner mit Einwilligungsmöglichkeit verwendet werden.)

Werden diese Punkte eingehalten, braucht man – rein datenschutzrechtlich gesehen – keine Einwilligung  (und damit keinen Banner!) Ein Hinweis in der Datenschutzerklärung dürfte optional sein.

Was aber ist TTDSG-rechtlich zu beachten?

Es gibt § 25 TTDSG, wonach die Speicherung von Informationen in der Endeinrichtung des Endnutzers oder der Zugriff auf Informationen, die bereits in der Endeinrichtung gespeichert sind, nur zulässig, wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat.

• gilt also vor allem für Cookies! Allerdings soll nach dem Willen des Gesetzgebers und wohl auch nach dem Wortlaut des
  § 25 TTDSG die Einwilligungspflicht nicht nur für Cookies gelten, sondern für sämtliche Mechanismen, die entweder Informationen auf Nutzerendgeräten speichern oder von diesen auslesen.

Damit wäre eine Einwilligungspflicht für Matomo relevant, da auch bei Deaktivierung von Cookies mit dem sogenannten „Device Fingerprinting“ bestimmte Informationen zum Nutzer nachvollzogen werden kann.

Device Fingerprinting: Vom Nutzer nicht zu erkennende Technologien, die vom verwendeten Endgerät spezifische Informationen (z.B. Gerätetyp, das Betriebssystem) so auslesen und zusammenführen können, dass ein einzigartiger „Geräte-Fingerabdruck“ erstellt wird, der es möglich macht, dieses Gerät und mithin auch darüber ausgeführte Handlungen seitenübergreifend wiederzuerkennen.

Es ist fraglich, ob bei diesem Device Fingerprinting so auf Geräte-Informationen zugegriffen wird, dass bereits deswegen von einer eigenständigen Einwilligungspflicht ausgegangen werden kann.

Es gibt keine Urteile dazu! Mehr dazu finden Sie hier.

Was ist Meetergo?

Meetergo ist eine Conversion- und Terminplanungs-Software.

Ist Meetergo datenschutzkonform einsetzbar?

• Eine solche Anwendung ist als Auftragsverarbeitung nach Art. 28 DSGVO einzuordnen.
• Die entsprechenden Voraussetzungen müssen also vorliegen, v.a. Vertrag zur Auftragsverarbeitung und ausreichende Maßnahmen nach Art. 32 DSGVO  - TOMs.

Meetergo 

• speichert nach eigenen Angaben die Daten auf deutschen Servern in Frankfurt (Datenzentren nach ISO 27001 zertifiziert)
• erfordert beim Einsatz keine zusätzlichen Cookies
• bietet einen Vertrag zur Auftragsverarbeitung an
• verschlüsselt alle Daten mit einer End-zu-End-Verschlüsselung (RSA-2048 und AES-256)
• verwendet bei der Terminbuchungsseite ein SSL-Zertifikat

Fazit:
Meetergo ist datenschutzkonform verwendbar, wenn ein entsprechender Hinweis in der Datenschutzerklärung auf der Website erfolgt.

Meta Platforms Inc. hat seinen Sitz in den USA. Sie ist die Muttergesellschaft der Meta Platforms Ireland Ltd.. Damit können auch dann  personenbezogene in die USA übertragen werden, wenn der eigentliche Vertragspartner ein europäisches Unternehmen ist.

Seit dem Angemessenheitsbeschluss für die Datenübermittlung in die USA und der Zertifizierung des Datenempfängers gemäß des  Datenschutzabkommens EU-USA (Data Privacy Framework), ist eine Verarbeitung personenbezogener Daten in den USA rechtskonform.

Da Meta Platforms Inc. DPF-zertifiziert ist, sind die Tools von Meta (einschließlich Facebook und Instagram) grundsätzlich zulässig.

Aber:

Mit dem Urteil vom 05. Juni 2018 hat der EuGH die gemeinsame Verantwortlichkeit von Facebook und den Betreibern einer Facebook Fanpage bekräftigt. Damit wurde festgestellt, dass auch die Betreiber der Fanpage für die Einhaltung des Datenschutzes zuständig sind und nicht die alleinige Verantwortung an Facebook bzw. Meta abgegeben werden kann.

Folgende Dokumente sind vorzuhalten:

• Information über die Verarbeitungszwecke der Daten
• Einwilligung der Nutzer einholen, wenn Cookies eingesetzt oder die IP-Adressen gespeichert werden
• Information über die Betroffenenrechte
• Vereinbarung mit Meta nach Art. 26 DSGVO (page controller addendum)
• Impressum korrekt (kein Datenschutzthema)

Mehr dazu unter hier

Ausführliche Informationen zu Microsoft Office 365 finden Sie in unserem Blog.

Microsoft-Teams ist – unter Vorbehalt - datenschutzkonform einsetzbar.

Hauptkritikpunkt früher: Microsoft geht intransparent beim Anbieten von datenschutzrechtlich notwendigen Dokumenten (z.B. AV-Verträge) vor. Kritik kam vor allem von der Berliner und der Hessischen Aufsichtsbehörde, die Teams für nicht einsatzfähig erklärte.

Argument nicht valide, da

• Änderungen im AV-Vertrag nur für Zukunft gelten
• Verarbeitung nur für vorher festgelegte Zwecke erfolgt, nämlich: Abrechnungs- und Kontoverwaltung
• Interne Berichterstattung
• Bekämpfung von Betrug und Cyberkriminalität;
• Keine Verarbeitung zur Benutzerprofilierung, zur Werbung oder zu ähnlichen kommerziellen Zwecken!

Bei Übertragung in die USA gibt es Bedingungen, die eingehalten werden müssen:

• Die Nutzung von sogenannten EU-Standardverträgen
• Der Aufbau von internen Unternehmensrichtlinien zur Nutzung von Office 365 innerhalb eines Unternehmens
• Die Einwilligung der Betroffenen als Zustimmung zum transatlantischen Datentransfer

Was ist Miro?

• Miro ist ein Online-Kollaborations-Tool
• Miro bietet die Möglichkeit, im Team an Online-Whiteboards zu arbeiten sowie zahlreiche Tools zu integrieren, wie z.B. Zoom, Google Docs oder auch Microsoft 365 Apps u.v.m.
• Miro wird v.a. von Software-Unternehmen, Designern und Agenturen eingesetzt
• Miro ist ein cloudbasiertes Tool mit Sitz in den USA

Miro ist ein US-amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields derzeit Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Miro:

1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln (inkl. TIA) vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform

Der Einsatz von Paypal als Bezahlmethode ist DSGVO-konform.

PayPal ist in den meisten Fällen verantwortliche Stelle (und kein Auftragsverarbeiter). Sitz ist in Luxemburg, damit gelten die DSGVO-Regelungen unmittelbar – ohne Art. 44 DSGVO bemühen zu müssen.

Als europäische Bank mit Sitz in Luxemburg muss PayPal den Anforderungen des Datenschutzes und der Finanzaufsichtsbehörden nachkommen.

Tipp:
PayPal als Bezahlmethode in die eigene Datenschutzerklärung mitaufnehmen.

Pipedrive ist ein Cloud-basiertes Software-as-a-Service-Unternehmen mit Sitz in den USA. Es gibt eine Webanwendung und eine mobile App zur Nutzung des Kundenbeziehungsmanagement-Tools. Bei der Verwendung von Pipedrive werden personenbezogene Daten der Kunden verarbeitet.

Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den datenschutzkonformen Einsatz von Pipedrive:

    1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)

    2. Standarddatenschutzklauseln vereinbaren

    3. Einwilligung des Betroffenen einholen, § 25 Abs. 1 TTDSG

    4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform

    5. Abschluss eines AV-Vertrags mit Pipedrive

• Kein Telefonzwang (anonyme Nutzung möglich)
• Threema benötigt keine Telefonnummer oder E-Mail-Adresse für die Registrierung.
• Nutzer erhalten eine zufällig generierte Threema-ID, wodurch die Datenminimierung (Art. 5 DSGVO) erfüllt wird.
• Ende-zu-Ende-Verschlüsselung
• Nachrichten, Anrufe und Gruppenchats sind standardmäßig verschlüsselt.
• Serverstandort in der Schweiz
• Threema speichert seine Daten in der Schweiz, was strenge Datenschutzgesetze garantiert.
• Server sind nach ISO-27001 zertifiziert
• Open Source & unabhängige Prüfungen
• Der Quellcode ist öffentlich einsehbar und wurde von Sicherheitsexperten geprüft.
• Regelmäßige Audits bestätigen die Sicherheit von Threema.
• Datensparsame Infrastruktur
• Nachrichten werden nicht auf Servern gespeichert – sobald eine Nachricht zugestellt wurde, wird sie gelöscht.
• Gruppenchats werden dezentral organisiert, sodass keine zentrale Verwaltung der Teilnehmer auf den Servern erfolgt.
• Business- & Behördenlösungen mit DSGVO-Fokus
• Threema bietet spezielle Lösungen für Unternehmen und Behörden (Threema Work), die auf DSGVO-Compliance ausgelegt sind.

Individuelle Datenschutzvereinbarungen (AV-Vertrag nach Art. 28 DSGVO) sind möglich. 

ABER:

• Schweizer Datenschutzgesetze ≠ DSGVO
• Die Schweiz hat eigene Datenschutzgesetze, die aber weitgehend mit der DSGVO kompatibel sind.
• Manche Behörden oder Unternehmen bevorzugen jedoch eine explizit in der EU gehostete Lösung.

Mehr Infos zu Threema

Fazit:

• Threema ist eine der besten DSGVO-konformen Messenger-Lösungen, insbesondere wegen anonymer Nutzung, Schweizer Datenschutzgesetzen und strikter Verschlüsselung.
• Für Unternehmen und Behörden bietet Threema Work eine geprüfte DSGVO-Lösung mit Vertragsoptionen.
• Ein kleiner Nachteil sind die Kosten für Endnutzer
  
• Empfehlung: Wer höchsten Datenschutz und DSGVO-Compliance benötigt, ist mit Threema besser aufgehoben als mit WhatsApp oder Signal.

Salesforce ist US-amerikanischer IT-Konzern, der u.a. eine eine CRM-Plattform anbietet. 

Die DSGVO-Konformität von Salesforce ist schwierig zu beurteilen. Auf einigen Homepages wird Salesforce als DSGVO-konform beschrieben (https://mind-force.de/knowhow/salesforce-dsgvo/#datenschutz-salesforce; https://softwareguide24.de/software/crm/salesforce-1/dsgvo-konform).  Da Salesforce Inc. ein US-Unternehmen ist, stellt sich möglicherweise hier die Drittstaatenproblematik nach Art. 44 ff. DSGVO. Für die Anwendbarkeit von Art. 44 ff. DSGVO ist die Übermittlung an einen Empfänger mit Sitz in einem Drittland ausreichend. „Übermittlung“ ist dabei weit zu verstehen und meint bereits die Offenlegung bzw. Zugänglichmachung der personenbezogenen Daten an einen Empfänger aus einem Drittland (Beck, BeckOK Datenschutzrecht Art. 44 Rn. 15).

Damit ist für den deutschen Nutzer entscheidend, welche Salesforce Entität Empfänger der Daten ist. Liegen die Daten ausschließlich auf europäischen Servern, die von den deutschen oder anderen europäischen Tochtergesellschaften (ohne Zugriffsmöglichkeit des US-Mutterunternehmens) gemanaged werden, läge keine Drittlands-Übermittlung vor.

Hätte die Muttergesellschaft Salesforce Inc. oder eine drittstaatliche Tochtergesellschaft Zugriff auf die Daten, wäre der Anwendungsbereich der Art. 44 ff. DSGVO hingegen eröffnet. Demnach würde sich hier die Unsicherheit entfalten, die das EuGH-Urteil „Schrems II“ hinterlassen hat. Hiernach trifft den Verantwortlichen die Pflicht zu beurteilen, ob die SCC ausreichend wirksame Garantien für eine Drittlandsübermittlung schaffen. Ist dies nicht der Fall muss der Verantwortliche zusätzliche Maßnahmen treffen, die garantieren, dass dem europäischen Datenschutzniveau auch im Drittland Rechnung getragen wird.

Da der EuGH zu dem Schluss gekommen ist, dass das Datenschutzniveau in den USA nicht ausreichend ist, sind bei Übermittlungen in die USA regelmäßig zusätzliche Maßnahmen vom Verantwortlichen zu ergreifen (siehe Dazu Pressemittelung der DSK).

Zu den weiteren Maßnahmen, die ein EU-Exporteur treffen kann, gibt es einen Beispielskatalog in den Empfehlungen des EDSA.

Insgesamt ist der Einsatz von Salesforce also mit einigen Unsicherheiten verbunden. Sollte Salesforce dennoch eingesetzt werden, ist an die folgenden Maßnahmen zu denken:

Voraussetzungen für den datenschutzkonformen Einsatz von Salesforce:

• Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
• Sich bei dem Hersteller erkundigen, ob die Server-Instanzen, auf denen die Daten gespeichert werden sollen, ausgewählt werden können. Wenn Ja, dann europäische Server wählen.
• Standarddatenschutzklauselnvereinbaren
• Einwilligung des Betroffenen einholen (nach § 25 Abs. 1 TTDSG und nach Art. 6 Abs. 1 S. 1 lit. a) DSGVO)
• Entsprechender Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform
• Abschluss  eines AV-Vertragsmit Salesforce

Samdock ist eine cloudbasierte Customer-Relationship-Management-Lösung für kleine und mittlere Vertriebsteams.

• Hosting der CRM Daten erfolgt nach eigenen Angaben in Deutschland
• Das System Samdock ist laut eigenen Angaben von Samdock nach den Grundsätzen der DSGVO entwickelt und einsetzbar

Samdock ist somit unter folgenden Voraussetzungen datenschutzkonform nutzbar:

• Hinweis in der Datenschutzerklärungauf der Website bzw. anderweitig in Textform, Art. 6 und 13 DSGVO
• Ein AV-Vertragmit Samdock muss geschlossen werden
• Ggf. (je nach Anwendung) eine Einwilligung des Betroffenen nach § 25 Abs. 1 TTDSG

Signal und die Datenschutzgrundverordnung

Ende-zu-Ende-Verschlüsselung (E2EE):

• Signal nutzt standardmäßig eine starke Verschlüsselung für Nachrichten, Anrufe und Dateien.
• Kein Dritter (auch nicht Signal selbst) kann die Inhalte einsehen.

Open Source & Transparenz:

• Der Quellcode von Signal ist offen (Open Source), sodass unabhängige Experten den Code prüfen können.
• Das erhöht das Vertrauen in die Sicherheit und Datenschutzmaßnahmen.

Minimale Datenerfassung:

• Signal speichert kaum personenbezogene Daten.
• Es werden keine Nachrichten, Kontakte oder Metadaten dauerhaft gespeichert.
• Signal sammelt nur die Telefonnummer, um das Konto zu erstellen.

Non-Profit & kein Tracking:

• Signal ist eine Non-Profit-Organisation und finanziert sich über Spenden.
• Signal nutzt kein Tracking

Nutzung einer Telefonnummer:

• Signal erfordert jeodch eine Telefonnummer für die Registrierung, was als problematisch im Sinne der Datenminimierung (Art. 5 DSGVO) gesehen werden kann.
• Es gibt jedoch Workarounds, z. B. die Nutzung einer separaten Nummer.

US-Rechtslage – Serverstandort USA

• Signal ist nicht nach dem Data Privacy Framework zertifiziert

Fehlende formale Zertifizierung nach DSGVO:

• Es gibt keine offizielle Bestätigung oder Zertifizierung von Signal nach DSGVO-Kriterien.

Meta-Daten könnten potenziell problematisch sein:

• Obwohl Signal keine Inhalte speichert, könnten Verbindungsdaten (z. B. wann ein Nutzer online ist) unter bestimmten Umständen rekonstruiert werden.

Fazit:

• Signal erfüllt die meisten DSGVO-Anforderungen, insbesondere durch starke Verschlüsselung
• Problematisch ist ggf. die Telefonnummern-Pflicht
• Sitz in den USA: Abschluss von Standardvertragsklauseln nötig
• Unternehmen und Behörden sollten individuell prüfen, ob der Messenger für ihre spezifischen DSGVO-Vorgaben ausreicht.
• Bei Einsatz: Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen

Mehr Infos

Was ist TikTok?

TikTok ist eine Social Media Plattform zum Teilen von Kurz-Videos.

TikTok hat seinen Hauptsitz in China (große Drittland-Problematik)

Laut Datenschutzerklärung von TikTok, werden bei Verwendung der App u.a. folgende personenbezogene Daten verarbeitet:

• Auswertung von Standortinformationen
• Tracking des Nutzerverhaltens
• Erhebung von technischen Daten
• TikTok behält sich vor, personenbezogene Daten innerhalb des Konzern auszutauschen und weiterzugeben
• Etc.

Was ist beim (geschäftlichen) Einsatz von TikTok zu beachten?

• Abwägung der Verantwortlichen nötig, ob Tool zwingend eingesetzt werden muss
• Falls ja: genaue Dokumentation der Gründe für die Verwendung des Tools
• Standarddatenschutzklauseln (inkl. TIA) vereinbaren
• Durchführung einer Datenschutz-Folgenabschätzung (DSFA) 
• Hinweis in Datenschutzerklärung auf Website oder anderweitig in Textform
• Einwilligung des Betroffenen einholen, Art. 6 Abs. 1 lit. a) DSGVO, § 25 Abs. 1 TTDSG
• Abschluss eines AV-Vertrags

--> Einsatz von TikTok ist aus datenschutzrechtlicher Sicht sehr problematisch, heiß diskutiert und sollte nach Möglichkeit unterlassen werden.

Mehr Infos

Die Nutzung von WhatsApp für die Kundenkommunikation ist u.a. wegen folgender Gründe nicht zulässig:

• WhatsApp verarbeitet personenbezogene Metadaten (Standort. Uhrzeit, Profilbilder, Profilnamen, Gerätenamen, Kontakte, etc.), eigentlich braucht man hierfür einen AV-Vertrag;
• WhatsApp greift auf persönliche Daten der Nutzer (z.B. Adressbucheinträge) zu, insbesondere auch von Personen, die nicht bei WhatsApp sind. Name und Telefonnummer sind personenbezogene Daten und bedürften aber vor der Verarbeitung einer ausdrücklichen Zustimmung.
• WhatsApp ist ein in den USA sitzender Anbieter: aufgrund des Wegfalls des Privacy-Shields sind jetzt Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen, das ist aber aufgrund der Komplexität der Informationen, die im Vorfeld gegeben werden müssten, nicht möglich.
• WhatsApp vernachlässigt das „ Auskunftsrecht der betroffenen Person“ (Art. 15 DSGVO)
• etc. ….

Ergebnis:

Es ist mittlerweile allgemeine Rechtsauffassung, dass WhatsApp im geschäftlichen Umfeld nicht datenschutzkonform genutzt werden kann.

Vergleiche auch FAQ-Antwort des BayLDA dazu!

Ist WhatsApp für die Kundenkommunikation datenschutzrechtlich zulässig, wenn der Kunde den Kontakt initiiert?

Wenn der Kunde den Kontakt initiiert, ist die Rechtslage dieselbe.

Begründung:

WhatsApp-Nachricht braucht (in der Regel) einen registrierten Benutzer.

Mögliche Lösung:

WhatsApp allenfalls privat mit privater Nummer nutzen. 

Was ist Webflow?

• Webflow fällt unter die Kategorie Software as a Service (SaaS)
• Mithilfe von Webflow können ohne fundierte Programmierkenntnisse schnell und unkompliziert Webseiten und Online-Shops erstellt werden mittels einer Online-Editor-Plattform
• Webflow bietet zudem einen Hosting Service
• Webflow, Inc. ist ein US-amerikanisches Unternehmen mit Sitz in San Francisco

Webflow ist ein amerikanischer Dienst. Es gelten alle Bedenken, die aufgrund der fehlenden Rechtsgrundlage eines Einsatzes US-amerikanischer Produkte auch sonst gelten. Insbesondere sind aufgrund des Wegfalls des Privacy-Shields bis auf Weiteres Standarddatenschutzklauseln zu verwenden und die datenschutzrechtliche Einwilligung ist einzuholen.

Im Einzelnen:

Voraussetzungen für den minimalen datenschutzkonformen Einsatz von Webflow:

1. Abwägung, ob das Tool nicht durch ein anderes ersetzt werden kann (Vorprüfung)
2. Standarddatenschutzklauseln (inkl. TIA) vereinbaren
3. Einwilligung des Betroffenen einholen
4. Entsprechender Hinweis in der Datenschutzerklärung auf der Website bzw. anderweitig in Textform
5. Vertrag zur Auftragsverarbeitung abschließen

Was ist Cisco Webex?

Webex ist ein Videokonferenz-Tool mit Sitz in den USA. Cisco ist unter dem EU-US Data Privacy Framework zertifiziert.

Webex ist ISO/IEC 27001:2013 zertifiziert und bietet Ende-zu-Ende-Verschlüsselung an. Zudem kann bei Webex eine Benutzerverifizierung durchgeführt werden. Außerdem bietet Webex Sicherheitskontrollen an, wie z. B. Zeitüberschreitung bei Leerlauf, Geräte-PIN und Remote-Löschung von allen Webex-Inhalten.

Um die Vorgaben der DSGVO zu erfüllen, müssen alle wählbaren Sicherheitseinstellungen entsprechend vorgenommen werden, um eine sichere Datenübertragung gewährleisten zu können.

Mehr Infos

Zulässigkeit des Videokonferenz-Tools Cisco Webex am EuGH

In einem aktuellen Beschluss wurde vom EU-Datenschutzbeauftragten Wojciech Wiewiórowski festgestellt, dass die die Installation des Cloud-gestützten Videokonferenzdienstes Cisco Webex, die beim EuGH aktuell verwendet wird, den Anforderungen der Datenschutzgrundverordnung entspricht.

Entscheidend für die positive Entscheidung hinsichtlich der Verwendbarkeit sei laut Wiewiórowski die Tatsache, dass der Europäische Gerichtshof technische und organisatorische Maßnahmen getroffen habe, um die personenbezogenen Daten in einem angemessenen Maß zu schützen.

Dieser Beschluss vom 13.07.2023 stellt jedoch weder eine allgemeine Billigung noch eine Zertifizierung der Einhaltung der Datenschutzbestimmungen der von einer Cisco Webex-Einheit angebotenen Videokonferenzdienste dar. Mehr Infos dazu bei Heise.de

Zoom ist datenschutzkonform einsetzbar.

Dienst wurde erheblich nachgebessert, v.a. nach Kritik des LfDI Baden-Württemberg zur fehlenden Verschlüsselung, der unklaren Beteiligung von Unternehmen aus Drittländern und der üblichen Kritik, dass die Server in den USA stehen.

Jetzt: LfDI Baden-Württemberg hat seine Warnung zurückgezogen.

Empfehlungen:

• Kostenpflichtige und neuste Version verwenden
• Serverstandort in der EU festlegen
• bei Kommunikation mit Externen: Informationen über die Nutzung von Zoom in die Datenschutzerklärung aufnehmen

• Bei Aufzeichnung eines Meetings: Einwilligung einholen
• Warteräume, Stummschaltung, etc. nutzen
• Wenn möglich: Ende-zu-Ende-Verschlüsselung verwenden

IT-Gütesiegel des BSI für Zoom

Zoom erhielt auf der Internationalen Funkausstellung (IFA) in Berlin vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zwei IT-Sicherheitskennzeichen für die Dienste "Zoom Workplace Basic" und "Zoom Workplace Pro". Diese Kennzeichen zeigen, dass die Dienste grundlegende IT-Sicherheitsanforderungen wie Account-Schutz, Update-Management, Authentifizierungsmechanismen und sichere Verschlüsselungstechnologien erfüllen. Das IT-Sicherheitskennzeichen soll Verbraucher bei der Auswahl sicherer digitaler Dienste unterstützen.

Mehr Infos