Ausspähen von eMail-Empfängern durch Mail-Tracking, unzulässige Mailweiterleitungen, und mehr …

Ausspähen von eMail-Empfängern durch Mail-Tracking, unzulässige Mailweiterleitungen, und mehr …

Veröffentlichungs-Infos und Updates zum Beitrag: Siehe am Ende des Beitrags.

Ich habe den eMail-Newsletter meines gewerkschaftlichen Fachverbands abonniert. Das in diesen Newsletter genutzte Ausspähen der Abonnenten (Tracking) fiel mir schon seit einiger Zeit negativ auf. Bevor ich nachfolgend auf die technischen Aspekte dieses Trackings eingehe, und weitere Erkenntnisse im Rahmen der nachfolgenden Kommunikation mit meiner Gewerkschaft schildere, erst noch ein paar einleitende Gedanken zu diesem Thema.

Was wird getrackt? Und ist Tracking gerade für eine Gewerkschaft ok?

Das Ausspähen des Benutzerverhaltens ist ein leider weit verbreitetes Übel und wird von Unternehmen mit den gängigen Schlagwörtern aus dem Marketingbereich (Optimierung, Reichweitenanalyse, …) gerechtfertigt. In Bezug auf Unternehmen kann ich für dieses Gebaren noch einen Rest an Verständnis aufbringen.

Bei Organisationen die im weitesten Sinne gesellschaftliche, soziale, kulturelle, personalvertretende oder auch humanitäre Interessen vertreten, sollten meiner Erwartung nach aber auch weitere Aspekte des gegenseitigen Umgangs, des gegenseitigen Miteinanders beherzigt werden. Die ausschließliche Fokussierung auf satzungsgemäße Kernaufgaben, unter Ausklammerung weiterer ethisch moralischer Aspekte, halte ich für nicht vertretbar. Ein solcher Aspekt ist bei der Nutzung digitaler Medien die klare Respektierung der informationellen Selbstbestimmung aller Beteiligten. So wie man bei meinem eigenen Berufsstand (Lehrkräften, Schulen, Ämtern, …) in diesem Bereich höhere interne Maßstäbe erwarten kann als bei klar kommerziell orientierten Unternehmen, so gilt dies in gleichem Maß auch für Personalräte, Gewerkschaften, Hilfsorganisationen, … .

Und unter diesen ethisch moralischen Maßstäben ist das Ausspähen und Erheben von personenbezogenen Angaben, z.B. …

  • ob ich die Mail jemals geöffnet habe,
  • an welchem Datum und um welche Uhrzeit ich die Mail öffne,
  • von welchem Ort / Land der Welt aus ich die Mail öffne,
  • ob ich für das Lesen der Mail ein Mailprogramm und / oder einen Web-Browser verwende,
  • mit welcher konkreten Software ich das mache,
  • ob ich einen der enthaltenen Links angeklickt habe, wiederum mit Angaben
    • zum Datum, zur Uhrzeit, welcher Link in der Mail es war
  • das automatische Berechnen der „Qualität“ von mir als Empfänger, auf Basis der erhobenen und hier gelisteten Infos,

einfach nur verwerflich! Und wenn dieses Ausspionieren dann

  • mit beschönigenden Worten,
  • eventuell sogar noch ohne Angaben des Auftragsdatenverarbeiters (falls ein solcher im Spiel ist),
  • ohne Angaben des Speicherorts (z.B. den Amazon Data Services Ireland)

in der Datenschutzerklärung steht, stellt sich mir die Frage: Kündige ich hier nur den Newsletter, oder verabschiede ich mich von dieser Organisation komplett?

Ach ja – von all dem steht zudem nichts in der Datenschutzerklärung.

Konkretes Beispiel des „gewerkschaftlichen Fachverbands“

Aber zurück zum konkreten Fall, der nach einer Kontaktaufnahme gleich noch weitere datenschutzrechtliche „Abgründe“ offenbart. Die nachfolgende Analyse wird zeigen, …

  • dass im betreffenden Newsletter Abonnenten-Tracking verwendet wird,
  • dass meine Mail-Adresse, und weitere Informationen bei einem weiteren, in der Datenschutz-Erklärung nicht genannten Unternehmen gespeichert wird,
  • dass dieses Unternehmen wiederum seine Server, mit meinen Daten, bei „Amazon Data Services Ireland“ hostet,
  • dass meine direkten Mail-Anfragen/-Rückfragen, und damit meine Mailadresse, mein Klartextnamen, … via Microsoft Office 365 in der Microsoft Cloud verarbeitet werden,
  • und dass Anfragen über das Kontaktformular auf der Website zum Beispiel zu Google-Mail weiterleitet, ohne vorab auf diese Weiterverarbeitung hinzuweisen.

Nachfolgend habe ich die Domain des Tracking-Dienstleister jeweils durch tracker-domain.irgendwo ersetzt. Ebenso wurde die Domain des „gewerkschaftlichen Fachverbands“ durch „gewerkschaft.irgendwo“ ersetzt.

TLDR; – Sofern Sie die technischen Details weniger interessieren, können sie auch direkt zu den Reaktionen bzw. dem Fazit springen.

Grundlage des Trackings in Mails

Wie wird dieses Ausspähen (Tracking) in einer Mail durchgeführt und wie erkennt man ein solches Tracking überhaupt? Beim Surfen im Internet ist der grundsätzliche Vorgang vielen AnwenderInnen hinlänglich bekannt, z.B. durch Schlagworte wie „Cookies“. In eMails sind Cookies nicht so ohne weiteres möglich, deshalb wird dies typischerweise durch enthaltene Bilder, Grafiken oder Hyperlinks realisiert.

Tracking in Form eines eingebetteten Hyperlinks

Im Fall von eingebetteten Links ist es üblich in der Mail nur einen Teil der eigentlichen Information als Werbetext (Teaser) zu platzieren. Interessiert sich der Empfänger für den Rest der Information der dann außerhalb der Mail auf einer Website steht, muss der am Ende des Werbetextes stehende Hyperlink angeklickt werden. Hier der betreffende Teil als Screenshot:

Tracking-Link in einer Mail - wenn man die Maus darüber schweben lässt
Tracking-Link in einer Mail – wenn man die Maus darüber schweben lässt

Lässt man die Maus über einem Link schweben (siehe oben), kann man typischerweise am unteren Fensterrand den Link zur Information sehen (siehe oben). Die diversen Codes (Zahlen & Buchstaben) repräsentieren hier den Personenbezug. Sie sind nämlich pro Mail-Empfänger individuell und werden beim Tracker-Betreiber wieder eindeutig auf eine dort gespeicherte Person abgebildet. Klickt man einen solchen Link an, ist das ganze eingangs aufgeführte Szenario real.

Der Dienstleister hat nun die Information, dass ich die Mail gelesen habe, kann dazu noch Datum / Uhrzeit / meinen Aufenthaltsort / das zugehörige Land / die zum Lesen verwendete Software / das verwendete Betriebssystem, … und welchen Link in der Mail ich angeklickt habe speichern. Aus all diesen Informationen kann und wird dann automatisch meine „Qualität“ als Empfänger berechnet. Ich werde also einem mir nicht bewussten Ranking unterzogen.

Tracking in Form eingebetteter Bilder – häufig sogar nicht sichtbarer Bilder

Im Fall von Bildern werden diese dann nicht mit dem eMail-Text zusammen übertragen, sondern sie werden online auf einem Webserver abgelegt und erneut nur über einen personalisierten Hyperlink ins Internet eingebettet. Lassen sich die EmpfängerInnen die in einer Mail enthaltenen Bilder anzeigen, wird die zugehörige Datei somit live aus dem Internet abgerufen. Bereits durch diesen Vorgang, einfaches Anzeigen der Mail inklusive der Bilder, ist die ganze obige Palette an Informationen beim Tracker gelandet.

Die Einbettung eines solchen Bilds sieht im Quellcode der Mail z.B. so aus:

<img src="https://tracker-domain.irgendwo/stats/mc_202126_11244460_02b5b45c1308-pn5z6b.gif" border="0" alt="" height="1" width="1">

Auch hier gilt: Die diversen Codes (Zahlen & Buchstaben) repräsentieren hier erneut den Personenbezug und werden beim Tracker-Betreiber eindeutig auf eine Person bzw. Mailadresse abgebildet. Werden die Bilder in einer Mail abgerufen, ist das ganze obige Szenario also schon real – und damit der Empfänger die Bilder auch auf jeden Fall anzeigen lässt, wird die Mail so gestaltet, dass man das auch hoffentlich macht.

Das Bild kann entweder eines der Bilder in der Mail sein, es kann aber auch ein durchsichtiges Bild mit einem Bildschirmpixel Höhe und Breite sein. In so einem Fall kann es von den Empfängern nicht einmal „wahrgenommen“ werden! Das obige Beispiel war genau ein derartiges 1-Pixel-Transparent-Bild. Empfänger kontrollieren somit womöglich alle anderen Bilder in der Mail, finden genau dieses Pixel aber nicht! In meinem konkreten Beispiel waren andere Grafiken nämlich durch nicht personalisierte URLs wie diese hier in die Mail eingebettet:

<img src="https://gewerkschaft.irgendwo/newsletter/header.png">

Dieses Vorgehen kann man mit Fug und Recht als Verschleierungstaktik bezeichnen, denn selbst wenn Empfänger die Herkunft der sichtbaren Bilder prüfen, finden sie das transparente Tracking-Pixel nicht!

Analyse des Mail-HTML-Quellcodes – schwieriger als gedacht

Um so ein Tracking-Pixel (auch gerne beschönigend und ebenfalls verschleiernd als „Zählpixel“ bezeichnet) zu erkennen, oder generell einmal den HTML-Coder der Mail zu analysieren, muss man sich den Quellcode der Mail anzeigen lassen. Das funktioniert je nach Mailprogramm unterschiedlich. Beim von mir verwendeten Thunderbird geht das mit der Tastenkombination "Strg" + "U".

Nächste Überraschung, im Gegensatz zu den üblichen Mails ist bei diesem Anbieter der Mailtext Base64-codiert:

Mailtext - hier HTML-Teil - mit Base64-Codierung
Mailtext – hier HTML-Teil – mit Base64-Codierung

Ob es hier wirklich noch technische Gründe gibt den HTML-Code via Base64 zu übertragen entzieht sich meiner Kenntnis, ich gehe aber erst einmal von einer weiteren Verschleierungstaktik aus, denn so ist der Quellcode der Mail erneut nicht direkt einsehbar. Für annähernd 100% der Mailempfänger ist an der Stelle dann Schluss mit der Analyse.

Um das also weiter zu analysieren habe ich die Mail als Text-Datei gespeichert, in einem Text-Editor den Base64-Code des HTML-Teils der Mail gesondert gespeichert, und mit dem base64-Utility meines Linux-Systems decodiert in einer weiteren Datei gespeichert.

Damit kann der Quellcode nun eingesehen werden und das obige Tracking-Pixel erkannt werden:

Tracking-Pixel - ganz ans Ende der Mail gequetscht
Tracking-Pixel – ganz ans Ende der Mail gequetscht

Der Absender des Newsletter ist laut Mail-Adresse der Fachverband … was aber gar nicht stimmt!

Mein „gewerkschaftlicher Fachverband“ nutzt u.a. für den Newsletter und das Tracking nämlich einen externen Dienstleister. Das ist aber so direkt gar nicht erkennbar, denn als Absender-Mailadresse findet sich in der Mail „newsletter@gewerkschaft.irgendwo„, also eine Mailadresse des Fachverbands. Durch ein Add-On im Mailprogramm Thunderbird (den DKIM Verifier, die techn. Details sind hier erst mal irrelevant) fällt aber an dieser Stelle schnell auf, dass der Mailversand von einer ganz anderen Mail-Domain digital unterschrieben wurde – die Mail-Domain verbirgt sich dabei hinter dem verpixelten Bereich nach „Signiert durch:

Mailinfos mit DKIM-Infos des Versenders
Mailinfos mit DKIM-Signatur-Informationen des tatsächlichen eMail-Versender

Diese Information kann man auch in den Mail-Headern sehen. Da man die aber natürlich nicht bei jeder Mail von Hand aufwändig inspiziert, nimmt die DKIM-Signatur als Nebeneffekt eine einwandfreie Warnfunktion ein. Das orangefarbige Icon wird nämlich nur angezeigt wenn eine Diskrepanz zwischen Absender-Maildomain und DKIM-Signatur-Maildomain besteht.

Und wo findet diese ganze Tracking-Verarbeitung statt?

Für datenschutzbewusste Anwender ist es natürlich auch ein spannendes Thema an welcher Stelle des Internets, bzw. auch bei welchem weiteren Dienstleister das alles stattfindet. Dazu kann man den Host- und Domain-Anteil des Tracker-Hyperlinks verwenden und damit eine DNS-Anfrage starten – bequem im Web z.B. via https://www.heise.de/netze/tools/dns/. Das sieht dann so aus:

IP-Adresse des Tracking-Servers im DNS abfragen
IP-Adresse des Tracking-Servers im DNS abfragen

Als Ergebnis erhält man eine, oder in meinem Fall mehrere IP-Adressen. Mit einer IP-Adresse ist dann z.B. über RIPE (https://www.ripe.net/) der nächste Auftragsdatenverarbeiter feststellbar. Der Newsletter- und Tracking-Dienstleister meiner „Gewerkschaft“ nutzt nämlich für seine Server einen weiteren Unterauftragsnehmer und der stellt sich als Amazon Data Services Ireland heraus.

„Großartig“ – in die Verarbeitung meiner Daten sind also schon mal drei Dienstleister in unterschiedlicher Form involviert:

  1. (M)ein „gewerkschaftlicher Fachverband“
  2. Dessen Newsletter- und Tracking-Dienstleister
  3. Und wiederum dessen Unterauftragsnehmer „Amazon Data Services Ireland

Kontaktaufnahme mit dem gewerkschaftlichen Fachverband – oder wie nun auch noch Microsoft Office 365 und Google-Mail ins Spiel kommt

Für mich wurde es nun höchste Zeit meinen Fachverband, in dem ich seit über 20 Jahren Mitglied bin, zu kontaktieren und das einmal zu thematisieren. Einerseits ging es mir um den Hinweis, dass in der Datenschutzerklärung der Newsletter- und Tracking-Dienstleister leider komplett fehlt. Andererseits, und dieser Aspekt ist mir eigentlich wichtiger und zu Beginn dieses Postings erläutert, geht es mir darum die Verantwortlichen zu fragen was man sich eigentlich bei einem solchen Tracking denkt! Ob man wirklich der Meinung ist dies wäre für eine Gewerkschaft ethisch moralisch vertretbar!?

Cloud-Verarbeitung via Microsoft Office 365

Vorab-Bemerkung: Von Juristen weiß ich, dass es grundsätzlich möglich ist personenbezogene Daten via Microsoft Office 365 zu verarbeiten. Allerdings gibt es auch die Aussage, dass es durchaus aufwändig sei den Vertrag zur Datenverarbeitung im Auftrag absolut korrekt abzuschließen. Unabhängig davon stellt sich mir aber eben erneut die Frage ob das, selbst wenn alle Verträge korrekt abgeschlossen sein sollten, tatsächlich sein muss. Außerdem ist diese Information in der Datenschutzerklärung zum betreffenden Zeitpunkt nicht erwähnt.

Wie auch immer, die Rückantwort kam dann prompt per persönlicher Mail, nahm aber nur auf den rechtlichen Aspekt in der Datenschutzerklärung Bezug und informierte mich über die Weiterleitung meiner Anfrage an den externen Datenschutzbeauftragten. Ob man es also als Gewerkschaft nötig hat die Mitglieder auszuspähen wurde in dieser Mail nicht thematisiert.

Interessanter, bzw. für mich noch erschreckender, war aber ein ganz anderer Aspekt der Antwort. Zur Illustration auch hier ein Screenshot aus den allgemeinen Informationen der Mail, um die Ausgabe des schon erwähnten DKIM-AddOns angereichert:

DKIM-Signatur zeigt Microsoft als Absender an
DKIM-Signatur zeigt Microsoft als Absender an

Im Von:-Feld, das hier unkenntlich gemacht ist, steht als Absender die Mailadresse der Gewerkschaft, mit deutscher Domain. Die Signatur stammt aber erneut nicht von der Gewerkschafts-Maildomain, sondern von einem Mailserver der Firma Microsoft! Holla die Waldfee – nun war der Blutdruck aber endgültig im kritischen Bereich. Ich sende also an die ganz normal aussehende DE-Domain der Gewerkschaft, und die Rückantwort kommt von einem Microsoft-Server – dafür gibt es eigentlich nur zwei Möglichkeiten:

  1. Der Mailserver der Domain wird von Microsoft betrieben
  2. Die Gewerkschaft hat einen eigenen Mailserver, bzw. einen Mailserver bei einem anderen Provider, hat die Domain oder einzelne Mail-Accounts aber bei Microsoft Office 365 als gültige Maildomain / Mailabsender verifiziert und dort registriert.

Wie schon im Artikel „Digitale Verantwortungslosigkeit an Schulen: Mailprovider“ gezeigt habe ich als nächstes den MX-Eintrag der Domain abgefragt, was mich zu einem Mailserver führt der erst mal nach meiner Gewerkschaft als Betreiber aussieht – der Name lautet „mail.gewerkschaft.irgendwo“ (Domain-Anteil wieder modifiziert).

Wir sind also bei Option 2. Entweder nutzt die gesamte Gewerkschaft Microsoft Office 365, oder einzelne Mitarbeiter. Da fehlt es mir bei O365 noch etwas an Hintergrundwissen. Mit den mir zur Verfügung stehenden O365-Mitteln hätte ich nur als Admin eine gesamte Domain für alle User bei Microsoft hinterlegen können. Ob das auch mit einem einzelnen Office 365 Account geht entzieht sich leider meiner Kenntnis (für nachweisbare Rückmeldungen zu diesem Thema wäre ich dankbar).

Da eine Mailadresse, sowie der Mailinhalt, ebenfalls personenbezogene Daten darstellen / beinhalten bin ich hier also bei der nächsten Eskalationsstufe angekommen … denn auch dieser Umstand ist in der Datenschutzerklärung der Gewerkschaft in keiner Weise vermerkt.

Außerdem ist es meines Erachtens nach nicht ganz abwegig anzunehmen, dass nicht nur die Mailfunktion von Microsoft Office 365 verwendet wird, sondern in der täglichen Arbeit, z.B. für das Schreiben von Dokumenten oder die Verarbeitung von Mitgliederlisten, auch Word, oder Excel in der Cloud zum Einsatz kommt. Aber das ist wie gesagt nur eine Annahme …

Rückmeldung des zuständigen, externen Datenschutzbeauftragten

Ich mache es ganz kurz – auch der externe Datenschutzbeauftragte hat meine Mail, und damit meine Mailadresse als personenbezogenes Datum, über die Microsoft-Server verarbeitet.

Cloud-Verarbeitung via Google-Mail & GMX

Bis zu diesem Zeitpunkt war meine gesamte Kommunikation noch rein auf den Newsletter und das enthaltene Benutzer-Tracking bezogen. Durch die Nutzung eines weiteren nicht genannten Cloud-Dienstleisters aufgeschreckt, wollte ich es nun genauer wissen – sorry liebe Gewerkschaft. Ich habe ja oben schon geoutet, dass ich nicht bis ins Detail weiß wie man vorgehen muss um Mail-Adressen die zu einer regulären, selbstregistrierten DE-Domain gehören, als Absender in Microsoft Office 365 verwenden kann. Womöglich ist das nur eine Aktion einer einzelnen Person. Um also eine weitere Verifikation durchzuführen, fragte ich deshalb über das allgemein verfügbare Online-Kontaktformular auf der Homepage an.

Die Anfrage wurde intern offenbar weitergeleitet – ob direkt an eine GMail-Adresse oder nicht kann ich ohne interne Quellen nicht sagen. Fakt ist jedoch, dass meine Anfrage bzw. die verwendete Mailadresse (das ist ein personenbezogenes Datum) bei Google-Mail und bei GMX landete, denn ich bekam gleich zwei getrennte Antworten von Personen die diese Mail-Provider nutzen. Das ist eventuell „nur der Fehler eines einzelnen Mitglieds„, ändert aber für mich als Betroffener leider nichts. Hier der Screenshot der Mail via Google …

GMail-Antwort auf Anfrage via Online-Kontaktformular
GMail-Antwort auf Anfrage via Online-Kontaktformular

… den von GMX habe ich gespeichert, kann aber ohne Preisgabe der Mailadresse hier nichts zeigen.

Noch einmal: Für diese beiden Antworten ist eventuell nicht ganz direkt die Gewerkschaft verantwortlich, denn es ist eine weit verbreitete Unsitte Mails an den ach so einfach im Smartphone hinterlegten GMail-Account, oder an andere Sammelkonten weiterzuleiten. Wenn ich das also zu Gunsten der Gewerkschaft ins Feld führe, wäre trotzdem doch einmal eine Mitarbeiter- / Mitglieder-Schulung zum Thema Datenschutz-Compliance eine gute Idee. Letzteres unter der ebenfalls wohlwollenden Annahme, dass überhaupt irgendeine interne Datenschutz-Policy existiert.

Reaktionen

Erfreulicherweise gab es aber auch Reaktionen der Gewerkschaft.

  1. Das Benutzer-Tracking in Mails über die Mailingliste wurde komplett deaktiviert.
  2. Das Abonnement der Mailingliste wurde geändert, und mit einer eigenen Informationsseite zum Datenschutz ausgestattet. Darin wird nun die Nutzung externer Dienstleister deklariert, allerdings leider ohne diese konkret zu benennen.

Fazit

Rund um das personenbezogene User-Tracking einer einzelnen Mail des Newsletters meines gewerkschaftlichen Fachverbands kam ich also zur Erkenntnis, dass meine Daten ohne weitere Kenntlichmachung an folgenden Stellen verarbeitet werden:

  1. Beim gewerkschaftlichen Fachverband,
  2. bei dessen Newsletter- und Tracking-Dienstleister der zu diesem Zeitpunkt in der Datenschutzerklärung nicht genannt wird,
  3. der seinerseits seine Server (auf denen personenbezogene Daten gespeichert sind) im aktuellen Fall bei „Amazon Data Services Ireland“ (als Server-Hoster) hat.
  4. Und als für mich erschreckenden Abschluss werden Mail-Rückfragen bzw. -Anfragen ohne vorherige Information des Anfragenden
    • einerseits ganz offiziell über einen Cloud-Dienstleister wie Microsoft Office 365 verarbeitet, oder
    • organisationsintern an Personen weitergeleitet die dann ihren offenbar privaten GMail-Account für die Kommunikation verwenden.

Wie schon eingangs dargestellt ist das aus meiner Sicht für eine Einrichtung im gewerkschaftlichen Umfeld, die auf Versammlungen z.B. auch sagt, man solle sich vor einem Amtsarztbesuch ggf. erst an eine Verbandsvertretung wenden, ein absolutes Unding.

Und um das noch als klare Forderung an alle eingangs beschriebenen Organisationsformen, nicht nur Gewerkschaften, zu formulieren:

  • Bevor Werkzeuge zum User-Tracking genutzt werden, denken Sie doch bitte unabhängig von den Minimalvorschriften einer EU-DSGVO erst einmal darüber nach ob das über kurz oder lang bei den Abonnenten eventuell bitter aufstößt und damit negative Auswirkungen auf das eigentliche Tätigkeitsfeld hat.
  • Verzichten Sie doch einfach auf Lese- und Klick-Tracking in Mails.
  • Nutzen Sie auf der Web-Site weder Google-Analytics (auch nicht in der Variante mit gekürzter IP-Adresse), Google-Fonts, Google-APIs, sonstige Tracker, … .
  • Versuchen Sie generell irgendwelche Komponenten von Dritten im Webauftritt, in Mailings, … zu vermeiden.
  • Überlegen Sie sich ob Sie tatsächlich internationale Dienstleister als Mailprovider, oder darüber hinaus für weitere Dienstleistungen einsetzen.

Die EU-DSGVO ist eine rechtliche Minimalforderung! Man muss, insbesondere wenn man selbst eine Organisation ist die in einem speziellen Bereich ethisch moralische Ansprüche geltende macht, ihre Möglichkeiten nicht bis zum letzten Buchstaben ausschöpfen. Echtes Datenschutzbewusstsein ist bei Mitgliedern, Fördermitgliedern, möglichen Partnern und Neumitgliedern, in der Öffentlichkeit, … unter Umständen sogar ein Wettbewerbsvorteil gegenüber „Mitbewerbern“. Sehen Sie Datenschutz nicht als eine Belästigung und Behinderung Ihrer Arbeit, sondern als Vorteil!

Und liebe Mail- und Newsletter-EmpfängerInnen: Werdet aktiv! Lasst euch diese Ausspähaktionen insbesondere bei diesen Organisationen nicht gefallen. Beschwert euch!

It’s time to change!

Veröffentlichungs- und Update-Historie:

  • Dieser Beitrag wurde zwar am 22.2.2019 als Entwurf begonnen, aber zur Nachpflege / Ergänzung des gesamten Vorgangs danach noch weiter bearbeitet und erst am 19.3.2019 veröffentlicht.
  • 21.3.2019: Vorbemerkung im Abschnitt „Cloud-Verarbeitung via Microsoft Office 365“ ergänzt, und Abschnitt „Rückmeldung des zuständigen, externen Datenschutzbeauftragten“ ergänzt.
  • 22.3.2019: Den Abschnitt „Reaktionen“ ergänzt.

Schreibe einen Kommentar

Anti-Spam *