Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht
Blog für IT- | Medien- | Datenschutz- und Arbeitsrecht

Rechtsüberblick 01/20: Data Breaches bei Buchbinder & Microsoft / Untätigkeit irischer Datenschutzaufsicht / KG Berlin: FB-Datenschutzbestimmungen rechtswidrig / BVerfG definiert Verhältnis zum EuGH neu / Twexit des LfDI BaWü

Liebe Leserinnen und Leser,

herzlich willkommen zum ersten Rechtsüberblick des Jahres 2020. Damit schließt er sich nahtlos an den Rechtsüberblick aus – ähm – September 2019 an. Im Zuge des Umzugs zu MÖHRLE HAPP LUTHER ist der Überblick ein wenig in den Hintergrund geraten. Nun aber ist er hier, im Februar 2020 schauen wir auf das zurück, was so in den letzten Monaten im Bereich des IT- und Datenschutzrechts los gewesen ist. (Spoiler: Viel!).

Dabei sind diesmal diese Themen:

  1. Datenlecks bei Buchbinder & Microsoft – Gelegenheit zur Rückbesinnung auf Meldepflichten aufgrund der DSGVO
  2. Untätigkeit der irischen Datenschutzaufsicht bei Rechtsaufsicht über IT-Giganten wird zunehmend kritisch gesehen
  3. KG Berlin bestätigt Urteil: Facebook begeht in vielen Fällen Datenschutzverstöße
  4. BVerfG definiert Verhältnis zum Europäischen Gerichtshof neu
  5. Landesdatenschutzbeauftragter Baden-Württemberg zieht sich aus Twitter zurück

Viel Spaß und möglichen Erkenntnisgewinn wünschen wir beim Lesen des Rechtsüberblicks 01/20.

Datenlecks bei Buchbinder und Microsoft – eine Rückbesinnung auf Meldepflichten nach der DSGVO

Beginnen wir mit einer Gemeinsamkeit der Unternehmen Microsoft und Buchbinder: Beide hatten im Dezember 2019 einen Data Breach zu beklagen, also eine Schutzlücke in ihrer IT-Sicherheitsstruktur, die unbefugten Zugriff auf ihre Geschäftsdaten ermöglichte.

Bei der Autovermietung Buchbinder standen wochenlang drei Millionen Datensätze von Kunden ungeschützt im Netz. Vollkommen schutzlos konnten Unternehmensdaten und personenbezogene Daten im Umfang von 10 Terabyte frei heruntergeladen werden, wie unter anderem golem.de berichtete. Für das Unternehmen stehen nun hohe Bußgelder im Raum.

Bei Microsoft war ebenfalls eine Datenbank des Kundensupports ungeschützt im Internet erreichbar (golem.de berichtete auch hier). Daten aus 14 Geschäftsjahren, sowohl Kundendaten als auch Prozessgestaltungen waren öffentlich abrufbar; inklusive der Parkhaussteuerung des Microsoft-Hauptsitzes.

Diese zwei Fälle sind Grund genug, sich noch einmal mit den Meldepflichten der DSGVO auseinander zu setzen. Meldepflichten entstehen dann, wenn eine Verletzung des Schutzes personenbezogener Daten auftrat. Was das ist, verrät uns Art. 4 Nr. 12 DSGVO:

„Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;“

Tritt eine solche Verletzung ein, so ist gemäß Art. 33 DSGVO grundsätzlich die zuständige Aufsichtsbehörde zu informieren. Aber : Führt die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, muss keine Meldung erfolgen. Hier ist eine einzelfallbezogene Risikobeurteilung notwendig und es dürfte kaum zu empfehlen sein, hier großzügig alle Risiken zu negieren.

Hat der Datenschutzverstoß voraussichtlich ein hohes Risiko für persönliche Rechte und Freiheiten zur Folge, so muss der Verantwortliche nach Art. 34 DSGVO neben der Aufsichtsbehörde auch die von dem Verstoß betroffene Person informieren.

Für eine Datenpanne bedeutet das: Es muss (fast) immer die zuständige Aufsichtsbehörde informiert werden – wenn nicht ausnahmsweise die Datenpanne nicht zu einem Risiko führt, siehe oben. Und das innerhalb von 72 Stunden. Die betroffene Person hingegen muss nur informiert werden, wenn für sie voraussichtlich hohe Risiken entstehen. Geschieht das nicht, so kann allein für die unterbliebene ein beträchtliches Bußgeld anfallen (vgl. Art. 83 IV DSGVO). Auch bei der Frage, wie hoch das Bußgeld für den Data Breach selber ausfällt, wird das (Miss-)Achten der Meldepflicht eine Rolle (vgl. Art. 83 II lit. hDSGVO).

Wann zusätzlich zu den Aufsichtsbehörden auch die betroffene Person informiert werden muss, lässt sich anhand der Fälle Buchbinder und Microsoft gut darstellen:

In beiden Fällen wurden Email-Adressen, IP-Adressen und sonstige Kontaktdaten der Kunden öffentlich zugänglich gemacht, daneben Daten über Rechnungen und Vertragsdaten, Geburtsdaten. Während bei Buchbinder neben Führerscheindaten und Bankdaten auch Informationen zu Unfällen und Verletztungen öffentlich zugänglich waren, waren bei Microsoft Standorte der Kunden einsehbar.

Entsteht hieraus ein Risiko für die betroffene Person, welches eine Meldung nach Art. 34 DSGVO erforderlich machen würde? Ganz fernliegend ist das nicht. So könnten etwa Betrüger unter Zuhilfenahme der bekannten Daten betroffene Personen dazu verleiten, den Betrügern zu vertrauen. Dann benötigt es nur eine unaufmerksame Sekunde und die Aufforderung, einen „noch offenen“ Betrag zu bezahlen et voilá, ein Schaden ist entstanden.

Ein Risiko für das Vermögen der betroffenen Person besteht, aber auch ein Identitätsdiebstahl ist mit den Daten möglich. Und das im großen Stil, wenn man sich die Fülle der Datensätze ansieht, die in den Data Breaches an die Öffentlichkeit kamen.

Eine Informationspflicht auch gegenüber den Betroffenen wegen Art. 34 DSGVO ist daher naheliegend.

Bei der Rückbesinnung auf diese Meldepflichten muss immer eines klar sein: Data Breaches können vorkommen. Eine perfekte Absicherung ist unmöglich. Früher oder später wird das eigene Unternehmen mit einem solchen Datenschutzverstoß konfrontiert sein.

Wie kann man sich bestmöglich darauf vorbereiten? Nun, zum einem natürlich mit einer möglichst guten Sicherung der IT-Infrastruktur und einer Aufmerksamkeitsschulung der MitarbeiterInnen.

Dennoch ist es ratsam, sich auch auf den Ernstfall vorzubereiten: Denn die 72 Stunden, die man für die Meldung bei der Aufsichtsbehörde Zeit hat, sind im Zweifel eine sehr knapp bemessene Zeit. Empfehlenswert ist daher, schon vorher Prozesse zur Meldung implementiert zu haben und im Falle des Data Breach unmittelbar ein händelbares Konzept zur Verfügung haben.

Wissenswertes zu den Meldepflichten ist auch im Praxisleitfaden für KMU festgehalten, eine herzliche Empfehlung zum Lesen.

Untätigkeit der irischen Datenschutzaufsicht bei Rechtsaufsicht über IT-Giganten wird zunehmend kritisch gesehen

Die DSGVO hatte ein großes Ziel: Internetgroßkonzerne wie Facebook und Google an die Kette nehmen. Diese Giganten (teilweise auch als die vier „apokalyptischen Reiter“ bezeichnet: Facebook, Google, Amazon, Twitter) sollten an echte europäische Datenschutzstandards gebunden werden. Datenschutz sollte nicht länger ein „nice to have, but not really necessary“-Feld der Compliance in Unternehmen werden. Mit Bußgeldern bis zu 20.000.000 Euro oder 4% des weltweiten Jahresumsatzes kann deshalb seit Mai 2018 belegt werden, wer den Datenschutz immer noch nicht ernst nimmt (vgl. Art. 83 V DSGVO).

Eine solche Summe nimmt selbst Tech-Gigant Facebook nicht aus der Portokasse. Musste er aber bisher auch nicht. Denn bisher hat die für die Aufsicht zuständige irische Datenschutzbehörde (Irish Data Protection Commissioner) kein einziges Bußgeld verhängt – nicht nur nicht gegenüber Facebook, sondern generell.

Die Situation, dass die für mehrere Tech-Riesen zuständige irische Aufsichtsbehörde noch keinen Grund hatte, ein Bußgeld zu verhängen, ist so absurd, dass inzwischen ein Liveticker im Internet in Echtzeit die brisanten Entwicklungen verfolgt.

Die „geringe“ Zahl der Bußgelder des irischen Datenschutzbeauftragen überrascht im ersten Moment. Schließlich meldet Irland, in der Republik seien die zweitmeisten Meldungen wegen Datenschutzverstößen pro Kopf in der Europäischen Union eingegangen.

In einem zweiten Gedankengang verwundert dies jedoch überhaupt nicht. Irland ist EU-Sitz vieler Technologiekonzerne, etwa von Google, Facebook, Microsoft und Twitter. Im innereuropäischen Standortwettbewerb möchte man diese wohl möglichst nicht mit solchen Lästigkeiten wie Bußgeldern vergraulen.

Kritik an der Handhabung der Aufsichtsbefugnisse durch die irische Datenschutzaufsicht blieb natürlich nicht aus, etwa von der italienischen Organisation Federprivacy in der Irish Times.

Es ist dem Datenschutz nicht dienlich, dass sich die irische Datenschutzbehörde noch nicht bewegt hat und ihrer Verantwortung unter der DSGVO bislang nicht (wirklich) nachgekommen ist. Stattdessen beruft sich die Behörde im soeben verlinkten Artikel der Irish Times darauf, dass der Verständigungsprozess mit 27 26 anderen Aufsichtsbehörden der Mitgliedsstaaten nunmal schwierig sei:

“The investigation of cross-border issues is highly complex and takes time to complete, highlighted by the fact that there have been very few decisions with fines issued under the GDPR in relation to cross-border investigations across all 28 EU supervisory authorities since the application of the GDPR in May 2018”

Der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Ulrich Kerber, kritisierte in einem Interview mit der Welt die geringe Durchschlagkraft des Datenschutzes in Irland, sah die Verantwortlichkeit aber nicht bei seinem irischen Kollegen, sondern vor allem aber bei der irischen Regierung:

„Dort ist es noch zu keiner einzigen Entscheidung gekommen. Das ist kein Vorwurf gegen die dortigen Datenschützer, ihnen fehlt schlicht die Durchschlagskraft. Die irische Regierung stattet die Kollegen mit zu wenigen Mitteln aus und hat ein schwieriges Verwaltungsverfahren vorgegeben.“

Zu hoffen bleibt, dass zukünftig die Durchsetzung der DSGVO auch in Irland effektiv erfolgen wird und dass der Liveticker eventuell mal sogar auf 1 hochspringen wird.

KG Berlin bestätigt Urteil: Facebook begeht in vielen Fällen Datenschutzverstöße

Das KG Berlin (5 U 9/18) bestätigte Ende Dezember ein Urteil des LG Berlin (16 O 341/15), das Facebook diverse Datenschutzverstöße attestierte.

Ausgangspunkt war eine Klage des Bundesverbands für Verbraucherzentralen gegen das Soziale Netzwerk auf Grundlage des Gesetzes gegen Unlauteren Wettbewerbs (UWG).

Nach dem UWG können Verbraucherschutzverbände gegen Unternehmen vorgehen, die verbraucherschützende Gesetze missachten und sich so einen Wettbewerbsvorteil verschaffen.

Moment, da klingelt was? Genau, das UWG war neben der DSGVO häufig Thema im vergangenen Jahr: Denn zwischen Juristen besteht Uneinigkeit, ob Datenschutzverstöße über das UWG überhaupt geahndet werden können. Die hitzige Diskussion hierüber kann in diversen Blog-Artikeln gerne noch einmal nachvollzogen werden, etwa hier: Entfaltet die DSGVO eine Sperrwirkung gegenüber dem UWG? Das KG Berlin hat sich in der Bestätigung des Urteils des LGs der Ansicht angeschlossen, die DSGVO entfalte keine Sperrwirkung. Um die Diskussion soll es in diesem Rechtsüberblick nun aber nicht vertieft gehen.

Was wurde denn Facebook nun konkret untersagt, was erklärte die Rechtsprechung für unwirksam? (Anmerkung: Die Entscheidung erging noch auf Grundlage der Datenschutzrichtlinie. Diese wurde von der DSGVO abgelöst. Im Folgenden denken wir das Urteil auf die aktuelle Rechtslage um und nehmen auf die aktuell geltenden Normen der DSGVO Bezug.)

Impressum muss dort zu finden sein, wo man es erwartet

Zunächst ist es unwirksam, das Impressum in der Sektion „Erklärung der Rechte und Pflichten“ zu platzieren und damit gewissermaßen zu verstecken. Denn nach § 5 TMG muss das Impressum leicht erkennbar, unmittelbar erreichbar und ständig verfügbar sein. Wenn das Impressum aber nur dort aufzufinden ist, wo man es nicht vermuten würde, dann ist es gewiss nicht leicht erkennbar.

Privacy by Default muss beachtet werden

Zweitens waren in den Voreinstellungen von Facebook diverse Datenschutzoptionen derart konfiguriert, dass datensammelnde Dienste des Konzerns standardmäßig aktiviert waren. Dies ist ebenso unzulässig. Art. 25 Abs. 2 DSGVO gebietet es, bei mehreren verfügbaren Datenschutzoptionen die datenschutzfreundlichste zu wählen, sog. privacy by default. Der Betroffene muss aktiv eine datenschutzunfreundliche Option anwählen.

Dies ist auch nicht durch die Einwilligung gedeckt, die sich Facebook vorher von seinem Nutzer geben ließ. Schließlich konnte man die Voreinstellungen nicht einsehen, geschweige denn ändern. Auch den Einwand, der Nutzer erkläre durch Weiternutzung konkludent seine Einwilligung, verwarf das Gericht. Damit spiegelt die Rechtsprechung das, was wir unter einer datenschutzrechtlichen Einwilligung verstehen (Art. 4 Nr. 11 DSGVO):

„Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;“

Eine Bestätigung des Nutzers, dass er die Datenschutzbestimmungen gelesen hat, ist unwirksam

Ferner war es unwirksam, den Nutzer durch Haken bestätigen zu lassen, er habe die Datenschutzerklärung gelesen. Eine solche Erklärung musste sich an den gesetzlichen Maßstäben für wirksame AGB-Klauseln messen lassen. AGB-Klauseln, die eine solche Lesebestätigung verlangen, können nach § 309 Nr. 12 b) BGB unwirksam sein. Hierzu führte das LG Berlin im erstinstanzlichen Urteil aus:

„Denn mit der schlichten Unterstellung, der Nutzer habe die Regelungen der Beklagten tatsächlich (vollständig) gelesen – obwohl dies nach allgemeiner Lebenserfahrung im Zweifel nicht geschehen ist – kann die Beklagte eine umfassende Unterrichtung des Nutzers von ihrer Datennutzung behaupten. Das wiederum kann für die Frage einer „informierten Einwilligung“ in die entsprechende Datennutzung gemäß [Art. 6 I a), 7 DSGVO] […] von Bedeutung sein.“

Eine Erlaubnis für eigene kommerzielle Nutzung von Profilbild und Namen ist unwirksam

Auch die Erlaubnis zur Nutzung von Namen und Profilbild für eigene kommerzielle Zwecke, die sich Facebook erteilen ließ, wurde für unwirksam erklärt. Es sei schlicht nicht erkennbar, was Facebook damit überhaupt meine und wozu der Nutzer alles einwillige.

Man darf seinen Service auch dann als kostenlos bezeichnen, wenn „als Gegenzug“ für die Nutzung personenbezogene Daten gewonnen werden

Das Gericht hat hingegen den Satz „Facebook ist und bleibt kostenlos“ nicht beanstandet. Dem Verbraucher wird nicht vorgegaukelt, dass Facebook kostenlos sei. Denn Facebook wäre nur dann nicht kostenlos, wenn eine pekuniäre Gegenleistung vom Verbraucher gezahlt werden müsste. Das ist aber nicht der Fall. Dass der Nutzer de facto mit seinen Daten bezahlt, ist hier unerheblich; eine Bezahlung mit Daten sei im allgemeinen Verständnis nicht als kostenpflichtig zu bezeichnen. Also führe Facebook den Verbraucher nicht in die Irre.

Fazit

Insgesamt wurden damit 14 der 26 angegriffenen Klauseln durch die Gerichte vernichtet. Ein Anlass, anhand des Urteils sich noch einmal datenschutzrechtliche Grundsätze vor Augen zu führen, ist das Urteil allemal.

Bundesverfassungsgericht definiert Verhältnis zum Europäischen Gerichtshof neu

Ein wenig früher, am 6. November 2019, sorgte das Bundesverfassungsgericht (BVerfG) für einen wahren Paukenschlag. Mit dem Beschluss 1 BvR 267/17 hat Karlsruhe eine neuen Landmarke gesetzt. Der Beschluss bezieht zu dem schwierigen Verhältnis, in dem BVerfG und EuGH stehen, Stellung.

Zur Einordnung: Jahrzehntelang wurde das Verhältnis von EuGH und BVerfG durch die sog. „Solange-Rechtsprechung“ ausgestaltet. Darunter sind zwei Entscheidungen des BVerfG zu verstehen:

In der „Solange I“-Entscheidung (1974) sagte das BVerfG (BvL 52/71 – openjur):

„Solange der Integrationsprozess der Gemeinschaft nicht so weit fortgeschritten ist, dass das Gemeinschaftsrecht auch einen […] formulierten Grundrechtskatalog enthält, der dem Grundrechtskatalog des Grundgesetzes adäquat ist, ist […] die Vorlage […] an das BVerfG im Normenkontrollverfahren zulässig und geboten, […], weil und soweit sie mit einem der Grundrechte des Grundgesetzes kollidiert.“

Das BVerfG sah also, dass auf EG-Ebene kein mit dem Grundgesetz vergleichbarer Grundrechtsschutz bestand. Da es aber nicht sein konnte, dass die EG einfach tun und walten konnte, wie sie wollte, zog das BVerfG (wie auch andere Verfassungsgerichte in Europa) hier eine Grenze und behielt sich vor, selbst über die Grundrechtseinhaltung zu wachen.

In der „Solange II“-Entscheidung (1986) reagierte das BVerfG (2 BvR 197/83 – openjur) dann auf die zunehmende Grundrechtssicherung durch den EuGH:

„Solange die Europäischen Gemeinschaften, insbesondere die Rechtsprechung des Gerichtshofs der Gemeinschaften einen wirksamen Schutz der Grundrechte gegenüber der Hoheitsgewalt der Gemeinschaften generell gewährleisten, der dem vom Grundgesetz als unabdingbar gebotenen Grundrechtsschutz im wesentlichen gleichzuachten ist, zumal den Wesensgehalt der Grundrechte generell verbürgt, wird das Bundesverfassungsgericht seine Gerichtsbarkeit […] nicht mehr ausüben und dieses Recht mithin nicht mehr am Maßstab der Grundrechte des Grundgesetzes überprüfen;“

Kurzum nahm sich das BVerfG zurück und sagte: Solange in Europa wirksam Grundrechte bestehen und durch den EuGH abgesichert werden, sind wir für Überprüfung von Unionsrechtsakten nicht mehr zuständig.

Auf dieser Linie blieb das BVerfG bis zum 6. November 2019. Dann erließ es folgenden Beschluss:

Das BVerfG wird Rechtsakte, die auf dem Unionsrecht beruhen, anhand europäischer Grundrechte (wohlgemerkt: Europäische Grundrechte, nicht die des Grundgesetzes) prüfen, solange der einzelne Bürger nicht eine Verletzung seiner Grundrechte vor dem EuGH rügen kann.

Denn diese Möglichkeit besteht nämlich nicht: Verletzt ein Urteil deutsche Grundrechte, so kann sich der Betroffene mit einer Verfassungsbeschwerde nach Karlsruhe wenden. Wenn das Urteil hingegen europäische Grundrechte verletzt, so ist der Betroffene darauf angewiesen, dass das entscheidende Gericht den Fall dem EuGH vorlegt. Er selbst kann hingegen nicht Beschwerde in Luxemburg einreichen.

Zu wirksamen Grundrechten gehört auch immer die Möglichkeit, die eigenen Grundrechte auch gerichtlich zu verteidigen. Und hier sah das BVerfG eine Schutzlücke. Denn ein Rechtsbehelf wie die Verfassungsbeschwerde existiert im Europarecht nicht.

Das BVerfG hat (wahrscheinlich bewusst) auf die Verwendung einer Solange-Formulierung verzichtet. Ob das Urteil gleichermaßen mit der gleichen Tragweite wie die Solange I & II Entscheidungen aufgenommen werden wird, bleibt abzuwarten.

Jedenfalls eröffnet sich das Bundesverfassungsgericht eine neue Stellung im Spielfeld europäischer Gerichte. Da der Rechtsbereich, der durch Unionsrecht ganz oder teilweise determiniert wird, immer weiter anwächst, verschafft sich das BVerfG so ein verbleibendes Mitspracherecht.

Da dies auch auf und vor allem auf das Datenschutzrecht zutrifft, dürften wir nun auch mit spannenden Entscheidungen aus Karlsruhe in der Zukunft rechnen.

„Twexit“. Zum Austritt des LfDI BaWü aus Twitter

Ende Januar mussten wir Adieu sagen, ein gut bekannter und lieb gewonnener Freund verließ die Bühne. Hoffentlich werden wir uns eines Tages wiedersehen. Wie bitte? Nein, es ging nicht um den Austritt des Vereinigten Königreichs aus der Europäischen Union zum 31.01.2020 sondern um den „Twexit“, den Austritt des Landesdatenschutzbeauftragten Baden-Württembergs, Stefan Brink, aus Twitter.

Nach einer Entscheidung des Bundesverwaltungsgerichts (6 C 15.18) hat Stefan Brink mitgeteilt, dass die Datenschutzaufsicht, die er auch über Social Media Plattformen wie Twitter hat, nicht mit einem Account auf der Plattform vereinbar sei. Kurzum: Wer das Netzwerk beaufsichtigt, könne nicht Teil des Netzwerks sein.

Damit verabschiedete sich leider am 31.01.2020 ein anregender Diskussionspartner aus dem #teamdatenschutz, welches regelmäßig über Entscheidungen und Sachfragen zur DSGVO auf dem Netzwerk diskutiert.

Schreibe einen Kommentar

Die Datenverarbeitung im Zusammenhang mit der Nutzung der Kommentierungsfunktion erfolgt auf Grundlage von Art. 6 I b) und Art. 6 I f) DSGVO wie in den Informationen zur Datenverarbeitung dargelegt.

Diercks Digital Recht

 

Nina Diercks (M.Litt, University of Aberdeen) arbeitet seit 2010 als Rechtsanwältin. Sie führt die Anwaltskanzlei Diercks in Hamburg. Die Anwältin berät und vertritt Unternehmen bundesweit, ist jedoch ausschließlich im IT-| Medien-| Datenschutz und Arbeitsrecht tätig. Daneben steht die Nina Diercks gern und oft als Referentin auf der Bühne sowie als Interviewpartnerin und Gastautorin zur Verfügung. Dazu hat sie im Jahr 2010 diesen Blog (früher: Social Media Recht Blog) ins Leben gerufen. Mehr

Anmeldung zum Blog-Newsletter

LinkedIn

Wenn Sie an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, dann folgen Sie mir gerne auch auf LinkedIn oder stellen Sie mir eine Vernetzungsanfrage.

Bluesky

Wenn Sie nicht nur an weiteren Informationen zum IT-| Datenschutz-| und Arbeitsrecht interessiert sind, sondern auch persönliche Meinungen zu Themen wie Politik, HR, Sport oder auch einfach mal Nonsense von mir lesen möchten, dann folgen Sie mir gerne auch auf Bluesky.