Auskunftsrecht nach DSGVO

Amateur am Werk

Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.

Das Thema DSGVO lässt mich nicht los. Gestern Abend haben wir über das Auskunftsrecht diskutiert. Wer hat denn ein Recht aus Auskunft? Wie stelle ich sicher, dass die Person, die um Auskunft (oder Korrektur, Löschung, …) anfragt auch tatsächlich die betroffene Person ist?

Das Szenario

Ich frage mich (vielleicht zu Recht), welche Informationen ein Betreiber eines Online-Portals zu mir gespeichert hat. Also frage ich dort an, welche Daten er zu der IP Adresse 178.199.14.53 gespeichert hat. Ein Lookup dieser IP-Adresse zeigt dem Betreiber aber, dasss diese Adresse der «Swisscom (Switzerland) Ltd» gehört. Ist er zur Herausgabe der Informationen berechtigt, obwohl es auch die Daten tausender anderer Swisscom-Kunden betreffen kann (NAT – Network Address Translation, beziehungsweise CGNAT – Corporate Grade NAT, stark vereinfacht: Viele Benutzer teilen sich eine IP-Adresse und der Provider kümmert sich um den Rest).

Und was, wenn ich bösartig werde, mir die Adresse kanzlerin.merkel@gmail.com reserviere und dann diverse Hotels anfrage, welche Daten sie von mir gespeichert haben (Geburtsdatum und Geburtsort könnte ich ja noch von Wikipedia bekommen). Darf das Hotel mir die vollständigen Datensätze inklusive Übernachtungspreise, gebuchte Massagen, Pay-TV, … liefern?

Und was, wenn ich eine solche Anfrage bei einem Psychologen mache? Darf er die Patientenakten einfach so rausgeben?

Was sagt die DSGVO?

In den Gründen für die DSGVO steht folgender Absatz (64):

Der Verantwortliche sollte alle vertretbaren Mittel nutzen, um die Identität einer Auskunft suchenden betroffenen Person zu überprüfen, insbesondere im Rahmen von Online-Diensten und im Fall von Online-Kennungen. Ein Verantwortlicher sollte personenbezogene Daten nicht allein zu dem Zweck speichern, auf mögliche Auskunftsersuchen reagieren zu können.

Ich interpretiere das jetzt mal als: «Nein, Du Depp, Du sollst nicht beliebige Daten an beliebige Personen ohne Prüfung von deren Identität herausgeben.»

Aber was bedeutet das bei Anfragen? Wie kann ich das sicherstellen? Und vor allem: Wie lässt sich das mit dem Grundsatz der «Einfachheit» vereinbaren, mit denen diese Auskunft- und Weissdergeierwas-Begehren gestellt werden können sollen?

Im Artikel 12 Absatz 1 steht am Ende Folgendes:

Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Zunächst mal bringt «erfolgt schriftlich oder in anderer Form» den Logiker in mir an den Rand eines Nervenzusammenbruchs. Der Teil ist so sinnvoll wie «das Auto war blau oder hatte eine andere Farbe».

Aber das Wichtige ist: Wie genau wird die Identität nachgewiesen?

Was müsste ich also prüfen?

Fangen wir mal damit an, dass jemand «nur» nach einer IP-Adresse fragt: Ich müsste ihn nun eigentlich bitten, mir nachzuweisen, dass es sich um «seine» IP-Adresse handelt (die also nicht mit tausenden anderen geteilt wird). Dann bräuchte ich eine (schriftliche?) Bestätigung, dass etwaige Mitunter (zum Beispiel Ehepartner/in, Kinder) mit der Auskunft einverstanden sind. Natürlich brauche ich zur Verfifikation einen Nachweis der Identität.

Was jetzt, wenn eine Person wissen will, welche Daten zu ihr gespeichert sind. Hier kommen wir jetzt zum Nachweis der Identität: Reicht dafür eine Kopie eines offiziellen Ausweisdokumentes oder muss dieses notariell beglaubigt sein?

Wenn die Anfrage zu einer E-Mail Adresse kommt, ist das recht einfach: Auskunft nur auf Mails von der betroffenen E-Mail Adresse. Damit habe ich zumindest die valide Annahme, dass es dieselbe Person ist.

Mich beschleicht immer mehr das Gefühl, dass man hier zuviel über einen Kamm geschert hat:

  • Auskunftsrecht der Benutzer gegenüber Google, Facebook und Co.
  • Auskunftsrecht gegenüber Internetportalen
  • Auskunftsrecht gegenüber klassischem Offline-Business

Dass man das gemacht hat, ist ja auch durchaus sinnvoll: Eine Verordnung für alle ergibt mehr Sinn, als 489 Verordnungen, bei denen ich mich schon auf der Suche nach der richtigen verirre und irgendwo weinend am Strassenrand liege.

Hier entsteht aber unser Problem (als sehr einfach gestrickte Menschen, wie ich einer bin): Wir können nicht ohne Weiteres unterscheiden, was für unseren speziellen Fall gilt und was eben doch «nur» für Anwaltskanzleien, Ärzte, Pharma- / Medizintechnikunternehmen, etc. gilt (solltet Ihr in einer der genannten Branchen arbeiten: Sorry, dass ich Euch aus dem «wir» ausgeschlossen habe … und viel Spass mit der DSGVO).

Oder um das gestern gesagte zu wiederholen: Es scheint alles nicht so grausam zu sein, wie vermutet.

Beim Studium der Texte (ich bin jetzt offiziell Schriftgelehrter. Moment, ich ergänze schnell mein CV) ist mir übrigens noch etwas zum Datenschutzvertreter mit Niederlassung in der EU untergekommen. Über das Thema habe ich die letzten Tage auch intensiv nachgegrübelt.

OT: Wann braucht man einen Datenschutzbeauftragten mit Niederlassung in der EU?

Hierzu steht eine wunderschöne Ausnahme in Artikel 27 Absatz 1a

eine Verarbeitung, die gelegentlich erfolgt, nicht die umfangreiche Verarbeitung besonderer Datenkategorien im Sinne des Artikels 9 Absatz 1 oder die umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10 einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt

Dort (Artikel 9 Absatz 1) steht Folgendes (in den Absätzen danach werden die Ausnahmen aufgeführt. In diesen Ausnahmefällen werden solche kritischen Daten gespeichert und dann braucht man einen Vertreter in der EU):

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Wenn ich das jetzt richtig interpretiere, braucht's im Regelfall für Schweizer Websites keinen Vertreter in der EU.

Blog - 11.05.2018

DSGVO Clusterfuck

Amateur am Werk

Ich habe von Jura soviel Ahnung wie eine Kuh vom Stricken (ok, ein bisschen mehr, da ich schon sehr viele internationale Vertragswerke lesen und beurteilen musste). Meine Analyse ersetzt also nicht die Rechtsberatung, zum Beispiel bei Martin Steiger.

Zunächst mal eine Entwarnung: Es ist wohl alles nicht so schlimm, wie viele vermuten. Bei einigen ist es der Wunsch, einem (ahnungslosen) Kunden eine Beratung zu verkaufen, bei anderen einfach die Angst vor juristischen Dokumenten und Halbwissen aus dem Internet. Bei mir war es das Zweitere, als ich mit dem Artikel angefangen habe. Inzwischen bin ich recht entspannt und auf allfällige Abmahnungen sehr gespannt.Generell ist der Gedanke hinter der DSGVO (DatenSchutz-GrundVerOrdnung) ja ein guter. Man will den Bürger (also mich) davor schützen, dass alle möglichen Leute absichtlich oder versehentlich meine Daten irgendwie speichern, verarbeiten und weitergeben. Wobei ich den Grundverdacht habe, dass damit speziell Google und Facebook in Ihre Grenzen gewiesen werden sollen. Der Grundgedanke ist also ein guter und die Absicht ist gut. Das gilt aber auch, wenn man einen Pinguin vom Hochhaus wirft, weil man hofft, dass er in dieser Situation sicher fliegen lernt.Was ich weniger gut finde, ist, dass es Juristenprosa ist, die ein nicht-Jurist eher schwer versteht, deren Text vier Wochen vor dem Inkrafttreten nochmal geändert wird und die in jedem (EU)-Land unterschiedlich umgesetzt wird. Neben dem sicheren Gefühl, dass die Beschliessenden mehr Ahnung von Rechtstexten als vom Internet haben, komme ich mir ein wenig verarscht vor, wenn man eine Verordnung erlässt, die international gültig ist (in der Schweiz muss ich die Scheisse auch mit machen), aber in jedem Land (in dem ein Onlinenutzer online nutzt) anders gehandhabt wird. Damit müssen sich alle Anbieter von Onlinezeugs beschäftigen … auch in nicht-EU-Ländern.Zum Beispiel melden sich derzeit viele europäische Anwaltskanzleien (man könnte sagen: Der Bodensatz der Juristerei) in der Schweiz für Newsletter an, in der Hoffnung, dann ab dem 25.05. Abmahnungen verschicken zu können. Hat man bereits ein Double-Opt-In (der Benutzer wird also explizit gefragt, ob er sich extremst sicher ist, dass er diesen Newsletter unbedingt haben will), wird der Newsletter dann nicht bestellt, da es ja keine Chance auf eine Abmahnung gibt.Aber genug des Rants. Weil es heute ein Feiertag ist und ich grade Zeit habe, beschäftige ich mich eben jetzt mit dem DSGVO Clusterfuck und diversen Artikeln und Informationen dazu.

Meine Informationsquellen zur DSGVO

Ich starte mal in der Schweiz: Der EDÖB (geil, oder? Das heisst Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter) hat eine Informationsseite zu dem Thema, mit einem sehr schönen PDF, das den Sachverhalt recht gut darstellt (und nur elf Seiten hat).Martin Steiger von Steiger Legal hat viele Publikationen (nicht nur) zum Thema DSGVO, unter anderem «Warum sich Schweizerinnen und Schweizer um die DSGVO kümmern sollten». Was Onlinerecht angeht ist Martin Steiger generell ein Held. Er kann allgemeinverständlich informieren, hat gute Ideen und ist für die Gemeinschaft da.Und zuletzt noch eine Quelle aus Bayern. Es ist bezeichnend, das ausgerechnet Bayern (Bayern!) eine umfangreiche Handreichung für ihre kleinen Unternehmen und Vereine online gestellt hat. Hier kann man sich sehr spezifisch informieren, zum Beispiel als Kfz-Werkstatt oder Beherbergungsbetrieb. Coole Sache.

Und warum bin ich betroffen?

Naja, vermutlich bin ich es nicht. Eine Ausnahme dieser DSGVO sind Datenverarbeitungen «durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten». Ich vermute, dass meine private Homepage (und der private Blog) in den Bereich «persönlicher Tätigkeiten» fällt. Ausserdem bin ich zwar nicht immer natürlich, hoffe aber doch, als «natürliche Person» im juristischen Sinne anerkannt zu werden.Was passiert jetzt aber, wenn ich kommerzielle Angebote verlinke, mit denen ich zwar kein Geld verdiene, die aber im Regelfall selbst Geld verdienen? Eine Buchempfehlung mit dem Link auf Amazon? Eine Hotelempfehlung mit dem Link auf die Homepage des Hotels? Ja, alle diese Themen werden in den kommenden Jahren durch Gerichtsurteile geklärt (Aussage der verantwortlichen Politiker). Aber will ich dann in einem Gerichtsurteil gegen mich erfahren, dass ich es doch anders hätte machen sollen? Will ich mich wirklich mit Abmahnanwälten (wie gesagt: dem Bodensatz der Juristerei) beschäftigen?Aus diesen Gründen und weil ich ja immer wieder gerne was lerne, beschäftige ich mich also mit der Umsetzung.

Was habe ich gemacht?

Ich habe viel gemacht (vielleicht zu viel, aber weniger als ich dachte), aber dabei auch viel gelernt. Die einzelnen Massnahmen seht Ihr hier.

Der Auftragsdatenverarbeitungs(ADV)-Vertrag

Mit meinem Hoster (Cyon) habe ich per 25.05.2018 diesen Vertrag abgeschlossen, da er ja die Daten auf seiner Hardware speichert und auch «verarbeitet» … in einer sehr weiten Auslegung des Begriffs «verarbeiten»: Er erstellt zum Beispiel für mich (automatisiert) Datensicherungen, die dann auch bei mir liegen. Tatsächlich verarbeitet kein Mitarbeiter von Cyon meine benutzerbezogenen Daten (wie zum Beispiel Kommentare).

Cookies

Wer braucht Cookies? Abgesehen von den Chokoly Cookies, die ich beim Schreiben verbraucht habe? (Fast) Jede WordPress-Installation und fast alle anderen Systeme verwenden Cookies, um dem Benutzer das Leben einfacher zu machen. Ich vermute mal, dass wenige damit Unfug treiben … ich wüsste so spontan nicht, wie ich damit Unfug treiben könnte. Aber dennoch solltet Ihr die Zustimmung Eurer Besucher abholen, bevor die Cookies verwendet werden. Das ist zum Beispiel mit dem Plugin Cookie Consent für WordPress möglich.

Kommentarspam

Damit in den Kommentaren nicht ständig Werbung für russische Online-Sexportale (und ähnliche Angebote) erscheint, muss man die Kommentarflut eingrenzen. Wenn man nicht (potentiell tausende) Spamkommentare von Hand löschen will, hat WordPress da von Haus aus das perfekte Werkzeug: AkismetLeider verwendet Akismet Daten, die nach DSGVO nicht mehr übermittelt werden sollten. Es gibt aber eine (ebenfalls kostenlose) Alternative: Antispam BeeUm Antispam Bee DSGVO-konform zu machen, müssen aber noch ein paar Einstellungen deaktiviert werden (sind inzwischen standardmässig deaktiviert):
  • Öffentliche Spamdatenbank berücksichtigen
  • Kommentare aus bestimmten Ländern blockieren
  • Kommentare nur in einer bestimmten Sprache zulassen
Diese Einstellungen übertragen entweder die IP-Adresse oder den Kommentartext an externe Dienste. Deswegen sollten diese im DSGVO-Sinne deaktiviert werden.

Google Analytics / Besucherstatistiken

Ich habe mit Google Analytics abgeschlossen. Die Darstellung ist zwar ausgesprochen sexy, ich bezahle sie aber teuer, indem ich Google ihr «Produkt» liefere, also Informationen über Benutzer, die zu Werbezwecken genutzt (missbraucht?) werden können. Deswegen habe ich auf das freie Open-Source Tool Matomo (ehemals Piwik) umgestellt. Hier wird das Benutzerverhalten auch festgehalten, aber immerhin nicht mit Nutzern anderer Seiten kombiniert und zu Werbezwecken genutzt.Weil Cyon «geile Siäche» sind, wie man hier in der Region so sagt, waren das nur ein paar Klicks:
  • Subdomain anlegen
  • SSL auf der Subdomain aktivieren
  • Matomo über das App-Center von Cyon installieren
  • Matomo aktivieren über ihr eigenes WordPress plugin (WP-Matomo) verbinden. Das wäre aber auch mit einem einfachen Tracking-Code möglich.
Ich schreibe in meinem Blog ja für mich und nicht für Reichweite, Fame oder um die Welt zu verbessern. Deswegen ist es mir recht egal, ob und wer mein Zeug liest. Wichtig ist, dass ich es geschrieben habe. Ich könnte also ohne Probleme auf diese Statistiken verzichten. Für Unternehmen sieht das wiederum ganz anders aus: Das Nutzerverhalten auf der Site zu analysieren kann viel wertvolles für die Optimierung des eigenen Auftritts bringen. Überlegt Euch einfach gut, ob Ihr Google Analytics benutzen (und damit Eure Besucherdaten zur Ware machen) wollt oder ob das Entfernen von Google Analytics (und Umstellung auf Matomo?) nicht besser ist.Wollte ich bei Google bleiben, müsste ich einen abschliessen (Klick im Adminbereich), die Datenspeicherung auf den kürzestmöglichen Zeitraum (derzeit 13 Monate) einschränken (auch im Adminbereich) und im Analytics Code (JavaScript) die IP-Adressen-Anonymisierung aktivieren.

Facebook, Twitter & Co.

Hatte ich hier nie und brauche ich auch nicht. Facebook-Kampagnen oder auch die Interaktionen zwischen meinem Facebook-Profil und meiner Homepage interessieren mich nicht sonderlich. Auch das kann natürlich bei Unternehmen ganz anders aussehen. Wäre ich als Unternehmen in Social Media aktiv, wüsste ich schon gerne, welche Aktionen, Posts, Kampagnen mir Sichtbarkeit bringen (oder sogar einen Verkauf).

Datenschutzerklärung

Ich habe eine Datenschutzerklärung, die ich mir im Wesentlichen bei Martin Steiger und Steiger Legal abgeschaut (und natürlich angepasst) habe. Besonders interessant finde ich, dass Martin Steiger gemeinsam mit einer Kanzlei aus Hamburg einen Service anbietet, über den man für einen sehr überschaubaren Betrag seinen Ansprechpartner für den Datenschutz in der EU «mieten» kann. Grade für Hotels in der Schweiz, die Ihre Kernleistung zwar hier erbringen, deren Website aber zwingend auch in der EU zu Buchungszwecken (und hier werden ja Daten verarbeitet) genutzt werden muss, ist das eine interessante Möglichkeit. Alternativ könnte zum Beispiel auch hotelleriesuisse für ihre Mitglieder einen solchen Service anbieten und finanzieren.

Newsletter

… hab ich (noch) nicht. Bei Newslettern sollte man generell einen externen Anbieter (wie zum Beispiel MailChimp) verwenden. Diese können als Bestellformular direkt in die eigene Seite integriert werden und bieten die gesamte Infrastruktur: Double-Opt-In, Abmeldelink, …). Man sollte nur grob wissen, was man tut und mit MailChimp einen ADV-Vertrag abschliessen (geht genauso wie bei Google online).

Kommentare und Kontaktformular

Das ist in der Datenschutzerklärung abgehandelt. Im Prinzip würde ein «Wenn Du Depp nicht willst, dass ich die Daten habe, dann schicke sie mir nicht unaufgefordert!» reichen. Wer per Kontaktformular Daten an mich senden oder einen Kommentar auf meiner Seite hinterlassen will, der sollte sich bewusst sein, dass ich diese Daten verdammt noch mal speichern muss. Wem das nicht klar ist: Bitte dringend von Kommentaren und Kontaktversuchen absehen!

Avatar / Gravatar bei Kommentaren

Am besten die Anzeige von Avataren deaktivieren (unter Einstellungen / Diskussion), sonst werden Daten, wie die Emailadresse an externe Services übertragen, um diesen Avatar zu suchen und – wenn gefunden – zu laden.

Blog - 10.05.2018

Die Krux mit den Ausschreibungen (im Sektor Informatik)

Seit vielen Jahren arbeite ich im öffentlichen Sektor oder für halbstaatliche Unternehmen und immer wieder habe ich mit Ausschreibungen und Ausschreibungspflicht zu tun … egal ob es darum geht, einen erfahrenen externen Mitarbeiter (weiter) zu beschäftigen oder Hard- und Software zu beschaffen.

Management Summary

Der Text droht lang zu werden, deswegen hier eine kurze Zusammenfassung

Das Konzept Aussschreibungen ist kaputt.

Die Grundideen einer Ausschreibung (sei es WTO oder einfach so) sind gut, ja sogar hervorragend. Leider sind die Beschaffenden häufig mit den gesetzlichen und organisationseigenen Richtlinien überfordert und wissen dementsprechend nicht, was sie (sich an-) tun.

  • Der Beschaffungsprozess ist dokumentiert. Zu jedem Zeitpunkt kann man dem Management gegenüber zeigen, wo man steht, was tatsächlich beschafft werden soll.

  • Die Bietenden wissen genau, was sie liefern müssen (*Räusper*) und können dementsprechend ein präzise zugeschnittenes Angebot erstellen.
  • Alle Anbietenden müssen einen vergleichbaren Funktionsumfang offerieren und damit werden die Angebote einfach vergleichbar.

  • Wegen der Vergleichbarkeit der Angebote kann man sich zum Schluss für den "billigsten" Anbieter entscheiden.

  • Da man – je nach Auftragsvolumen – mehrere Anbieter anschreiben muss oder sogar frei für alle ausschreibt, sinkt das Risiko von Vetternwirtschaft.

Das klingt doch alles sehr gut. Was kann also ein klar denkender Mensch dagegen haben? Naja, nichts. Häufig funktioniert der ganze Prozess aber nicht oder nur unzureichend, weil die Mitarbeiter zuwenig Kenntnisse des Vorgehens und der Vorschriften haben oder die Entscheider sich soweit absichern wollen, dass es nicht mehr zielführend ist.

Ein Kollege (selbst bei der IBM) hat mal folgendes gesagt, was übrigens auch für die anderen "Grossen" im Beratungsgeschäft gilt:

Die Tagessätze der IBM sind so hoch, weil wir natürlich sehr gute Mitarbeiter liefern. Es kommt aber noch die Versicherungsprämie dazu. Wenn man mit uns ein Projekt in den Sand setzt, kann der Manager sagen: "Ich hab die IBM ins Haus geholt. Wenn es mit denen nicht funktioniert, hätte es ja wohl mit keinem funktioniert."

Und genau dieses Prinzip gilt auch für Ausschreibungen. Man versteckt sich hinter einem "Wir haben das ausgeschrieben und haben uns für den besten Anbieter entschieden".

Ab hier müssen Sie nur noch weiterlesen, wenn Sie meine Vorbehalte detailliert verstehen oder meine Ideen für Verbesserungen kennenlernen wollen.

Praktische Probleme

Wo scheitert die gute Idee "Ausschreibung"?

In den letzten 20 Jahren habe ich viele Ausschreibungen sowohl im privaten als auch im öffentlichen Sektor mitgemacht. Meistens habe ich die Ausschreibungen von Kundenseite begleitet, einige Male aber auch auf Lieferantenseite. Dabei sind mir neben den offensichtlichen Vorteilen auch viele Probleme aufgefallen.

Fachleute

Häufig haben wir ein Problem bei den Mitarbeitern und Entscheidern. Ausschreibungen sind Aufgabe der IT-Abteilung oder sogar eines Einkaufs.

Die IT-Abteilung tendiert dazu, statt der Anforderungen eine Lösung zu beschreiben. Damit werden potentielle Lieferanten schon stark eingeschränkt und gute Lösungsansätze können erst gar nicht angeboten werden (schliesslich darf man ja nur das anbieten, was in der Ausschreibung beschrieben ist).

Einem Einkauf (sorry an alle, denen ich Unrecht tue) fehlt im Regelfall sowohl fachliches als auch technisches Wissen, um die Unterlagen zu erstellen und zu bewerten.

Die offensichtliche Idee, den Fachbereichen die Führung zu übergeben scheitert meist daran, dass diejenigen, die ein neues System brauchen und die Bedürfnisse kennen, so stark ins Tagesgeschäft eingebunden sind, dass ihnen die Zeit fehlt.

Wo sind die Fallen?

Aber wenn alles so gut definiert ist, wo sind denn dann die Probleme? Gibt es überhaupt welche?

Leider ja. Viele der Probleme haben nur am Rand mit Ausschreibungen zu tun. Sie treten in jedem Projekt stärker oder schwächer auf. Bei Ausschreibungen tun sie einfach mehr weh.

Wir haben ja keine Zeit

Da stellt man fest, dass in fünf Jahren aus irgendwelchen Gründen (Änderung der Rechtsgrundlagen, keine Unterstützung mehr für die bestehende Lösung, …) ein neues System benötigt wird oder ein bestehendes abgelöst werden muss. Zack, kaum ein Jahr später weiss man, dass man eine Ausschreibung machen muss. Man hat ja noch vier Jahre. Das Budget für die Ausschreibung ist gesprochen und das für die Umsetzung eingeplant.

Ein weiteres halbes Jahr später ist die Organisation für diese Ausschreibung klar (also man hat zumindest mal den Verantwortlichen benannt). Jetzt muss man sich aber schon etwas sputen, da es ja nur noch dreieinhalb Jahre bis zur Einführung sind.

Das nächste halbe Jahr braucht man, um festzustellen, dass von den wirklich betroffenen keiner Zeit hat und man ziemlich genau am Anfang steht. Puh, noch drei Jahre und ein Haufen Arbeit für die Ausschreibung steht noch an. Jetzt lenkt das Management die Ausschreibung in den Taskforce-Modus (da bin ich ja extrem gerne, kann ich doch meine Tarnkleider und das adrette Barrett tragen).

Die betroffenen nehmen sich die Zeit und man kommt zum ersten Mal vorwärts. Nach weiteren sechs Monaten hat man eine Version 0.9 der Spezifikation für die Ausschreibung. Die ist zwar nicht perfekt, aber es war ja auch wenig Zeit. Zweieinhalb jahre bleiben noch für die Ausschreibung, Sichtung der Angebote, die Vertragsunterzeichnung und vor allem: Die Umsetzung! Der Projektleiter schwitzt immer öfter an unangenehmen Stellen.

Jetzt geht es in die Vernehmlassung. Zum Glück sind ja viele beteiligte dabei. Also braucht man drei Monate, um über die Versionen 0.9.1 – 0.9.23 zu einer offensichtlich finalen Version kommt.

Diese "finale" Version müssen jetzt noch ein paar Leute abzeichnen. Da sie eine Leseschwäche haben, braucht jeder sein eigenes Meeting, in dem man ihm oder ihr erklärt, um was es denn geht. Hui, zwei Monate später ist es soweit: Version 1.0 der Ausschreibungsunterlagen. Da sind zwar immer noch Lücken und Fehler drin, aber immerhin haben alle zugestimmt. Man öffnet eine Flasche Champagner und fällt erschossen ins Bett. Noch zwei Jahre und ein Monat.

Also wird das Zeug veröffentlicht, was nur einen knappen Monat dauert. Interessierte Lieferanten haben drei Monate Zeit dafür, die Unterlagen zu verstehen und ein Angebot einzugeben.

Wir haben jetzt einen Monat, um die Angebote auszuwerten und das sieht ja auch ganz gut aus. Einige erscheinen seriöser, andere weniger. Aber wir haben was.

Jetzt kommt der schöne Moment, in dem man sich kurz entspannen kann, um dann festzustellen, dass alle Angebote höher sind als man urspünglich dachte. Es fehlt Budget. Entweder verbrint man die folgenden zwei Monate damit, zu erklären, warum der ursprüngliche Budgetantrag nicht den Angeboten entspricht, oder man verändert die Ausschreibung so, dass es billiger wird (Wir brauchen das ja eh nicht alles.).

Da eine erneute Ausschreibung wieder mindestens sechs Monate dauert und wir ja sowieso zuwenig Zeit haben, entscheidet man sich für mehr Geld. Noch eineinhalb Jahre.

Auswahl, Zuschlag, Einsprachefrist für nicht berücksichtigte Lieferanten. Und Zack, weitere drei Monate später kann man den Vertrag unterzeichnen. Der Lieferant hat jetzt 15 Monate Zeit. Naja, zwölf Monate, wir wollen ja wenigstens noch drei Monate Testen, bevor wir das neue System auf unsere Mitarbeiter loslassen.

Jetzt wird es spannend, da einige der Lücken und Fehler in der Spezifikation leider ab dem ersten Tag der Nutzung klar und umgesetzt sein müssen. Der (billigste) Lieferant verlangt dafür zu Recht Änderungsanträge / -verträge, da das ja nicht im offerierten Umfang enthalten ist. Das Management verlangt eine Erklärung, warum dieses ausgeschriebene Gewerk jetzt doch noch teurer wird als die schon zur Vertragsunterzeichnung viel höheren Kosten. Der Projektleiter verlangt nach Ferien und seiner Ruhe.

Einige Funktionalitäten können erst nach der Einführung geliefert werden (da sich ja so viel verändert hat).

Auch wenn das Ganze überzeichnet ist, wird sich jeder Manager, jeder Ausschreibungsverantwortliche, einfach jeder Beteilgte hier leider wiedererkennen.

Ganz einfach: Neu für Alt

Meist fängt es mit dem Hauptproblem der Informatik an. Viele Projekte (und damit auch Beschaffungen) starten damit, dass jemand entscheidet, dass ein altes System abgelöst werden soll. Und da man keine Zeit hat, muss das neue System genauso funktionieren wie das alte.

Als Projektleiter stehe ich da immer vor der Frage: "Warum zur Hölle soll jemand einen sechs- bis siebenstelligen Betrag dafür ausgeben, dass sich nichts ändert (ausser dass mehr Fehler im System sind, da es ja neu ist)?"

Das ist aber nur der Anfang des Problems: Da wir ja das alte System haben, braucht es keine Fachleute. Die Spezifikation ist ja klar. Die Mitarbeiter, die das alte System entwickelt haben, müssen dieses noch warten. Also setzen wir jemand neues dran, der aus der bestehenden Implementierung die Anforderungen ableitet. Leider geht dabei rund 20% der Funktionalität verloren.

You can't always get what you want.

Bei Ausschreibungen muss man sich bewusst sein, dass man sehr früh – beim Erstellen der Ausschreibungsunterlagen – festlegt, was man am Ende bekommen wird. Je genauer die Spezifikation der Anforderungen ist, umso stärker ist man gebunden, je ungenauer, umso unzuverlässiger sind die Angebote.

Man bekommt das, was man beschrieben hat, zu dem Angebotspreis. Änderungen kosten Geld. Dinge, die Interpretierbar sind, kosten Geld. Dinge, die fehlen, kosten Geld. Das vermittelt dann vielleicht auch einen Eindruck, warum die meisten IT-Projekte teurer als erwartet werden.

Vertrauen ist gut …

Ein Beispiel nicht aus einer Ausschreibung: Wegen einer persönlichen Beziehung bin ich mal durch den ersten Auswahlprozess bei einer Stelle durchgekommen, obwohl mein Profil rein von den Kriterien nicht passte.

BEim gespräch haben wir dann festgestellt, dass ich bei einem Musskriterium "Mindestens fünf Jahre Erfahrung mit x" angegeben habe, dass ich nur drei Jahre Erfahrung damit habe. Das war auch ok, da es diese Produkt erst seit drei Jahren gab. Bei einem anderen Produkt hatte ich keine Erfahrung, obwohl fünf Jahre gefordert waren. Dieses Produkt gab es nich (Kopierfehler bei der Ausschreibung). Ich hatte dann beim eigentlich geforderten Produkt die Erfahrung.

Das Problem ist, dass die Personalvermittler hier häufig die Profile von Kandidaten "fälschen". Der ist gut, da ist das mit der Erfahrung ja nur eine Frage der Zeit. In dem Fall oben gab es 15 Bewerber, die die Qualifikationen hatten, obwohl das unmöglich ist.

Ich möchte hier nicht Lenin zitieren, da ich mit der Grundaussage nicht wirklich einverstanden bin. Vertrauen ist gut, muss aber auch begründet sein. Bei (öffentlichen) Ausschreibungen hat man häufig mit Lieferanten zu tun, die man nicht kennt. Hier ist ein bisschen Kontrolle meist hilfreich.

Leider vertraut man den Lieferanten teils blind ("Die haben das so schriftlich eingereicht. Das muss also stimmen.") und benachteiligt damit die ehrlichen und meist besseren. Natürlich hat man dann auch selbst Probleme damit. Wenn der Lieferant vorgibt, über alle notwendigen Fähigkeiten im bestehenden Mitarbeiterpool zu verfügen, das aber nicht stimmt, kommt es zu Verzögerungen oder technischen Problemen.

Billig ist nicht immer preiswert

Wenn die Ausschreibungsunterlagen eher schwach sind (oft), wird eine Entscheidung letztendlich über den Preis getroffen. Das birgt enorme Risiken:

  • Der billigste Anbieter hat vermutlich bei allen unklaren Anforderungen die billigste Variante berechnet. Die anderen haben mehr oder weniger Risikokosten einkalkuliert.

  • Grade bei grossen Ausschreibungen hat der billigste Anbieter häufig mit einer Entwicklungsabteilung im Ausland (Nearshoring, Outsourcing, Offshoring … setzen Sie einen Euphemismus Ihrer Wahl ein) kalkuliert. Zu kulturellen Unterschieden (ein einfaches Beispiel: Icons) kommen dann auch noch sprachliche Probleme, da die Spezifikation im Regelfall ein bis zwei Übersetzungsschritte durchläuft. Dasselbe gilt übrigens auch für Rückfragen. Bei einer perfekten Spezifikation muss das kein Problem sein. Allerdings wurde eine perfekte Spezifikation bisher noch nicht in freier Wildbahn gesehen.

  • Wenn der billigste Anbieter so knapp kalkuliert hat, dass das Projekt trotz perfekter Spezifikation (siehe oben) nicht umgesetzt werden kann, steht man vor einer schwierigen Entscheidung: Rechtsstreit und möglicherweise Abbruch des Projektes oder Geld nachschiessen. Wenn man an Deadlines gebunden ist oder sonst auf das Ergebnis angewiesen, wird man immer Geld nachschiessen.

Vertrauen und verstehen

Beispiel aus der Praxis: Ich habe mich mal zwei Monate mit einem Rechtsdienst gestritten, weil ich an einen Lieferanten einen Auftrag freihändig (ohne Ausschreibung) vergeben wollte: Ein Lieferant, der über eine Ausschreibung einen zehnjährigen Vertrag mit uns hatte, sollte nach sechs Jahren auf seiner Seite eine Schnittstelle (seiner eigenen Produktionsanlage) ändern, da wir eine neue Schnittstelle definiert haben.

Mein Argument: Die Produktionsanlage und Software gehört dem Lieferanten. Er ist der Einzige, der diese ändern kann. Es gibt keine Rechtsgrundlage für ihn, einem dritten Zugriff darauf zu gewähren. Die Preise sind realistisch.

Argument des Rechtsdienstes: Das sind über 50 kCHF. Dafür muss immer ein kleines Ausschreibungsverfahren durchlaufen werden.

Hier geht es mehr um die internen Strukturen. Die beteiligten müssen einander respektieren, vertrauen und verstehen. Leider läuft es häufig darauf hinaus, dass die Arbeit der internen Beteiligten beim Ausschreibenden wesentlich stärker hinterfragt wird als die eines Lieferanten.

Woran das liegt? Ich habe keine Ahnung. Vielleicht daran, dass alle Beteiligten bis zum Abschluss der Vorbereitungen einer Ausschreibung Input liefern, für den sie verantwortlich gemacht werden. Danach …

Ein Rechtsdienst oder Einkauf muss sich darauf verlassen (können), dass die Eingaben der Beschaffenden korrekt und korrekt begrünndet sind. Andersrum müssen sich die Beschaffenden darauf verlassen können, dass allfällige Einwände begründet sind. Meine Erfahrung (als Beschaffender) ist, dass Aufgrund fehlenden Wissens auf Seiten "Recht" Beschaffungen abgelehnt werden, weil sie nicht dem Standardvorgehen entsprechen. Auf Seiten "Beschaffung" wird dafür dann schnell auf das Standardvorgehen umgestellt, das aber so manipuliert wird, dass das ursprüngliche Ziel erreicht wird (Voraussetzungen für den Lieferanten sinngemäss und leicht überzeichnet: "Der Geschäftsführer muss 47 Jahre alt sein und einen blonden Schnauzbart haben."). Und damit stehen wir alle gemeinsam bei einem Audit vor grossen Erklärungsnöten. Das hilft niemandem und kostet sehr viel Geld (und Nerven, oh so viele Nerven – siehe mein Beispiel).

Wenn alle Beteiligten verstehen, was die Aufgaben der anderen sind und dass diese auch einen guten Job machen wollen, läuft so eine Ausschreibung viel effizienter und schlussendlich auch effektiver.

Lösungsansätze

Wen braucht's?

Wer muss denn wirklich seinen Senf dazu geben? Reicht es nicht, wenn die IT schreibt, was gebraucht wird und der Einkauf auf Basis der von der IT definierten Entscheidungskriterien aussucht, welcher Lieferant liefern darf?

Kurz: Nein.

Etwas länger: Aus der Erfahrung kann ich sagen, dass das nur dann reicht, wenn man in der IT jemanden hat, der Fachwissen, technisches Wissen, Prozesswissen (Einkaufsprozesse) und Zeit hat. Spätestens am Letzten scheitert es im Regelfall. Aber es gibt diese Leute.

Um eine Ausschreibung sauber und erfolgreich durchführen zu können, braucht es die Beteiligung der folgenden Personen / Rollen. Die Mitarbeiter müssen früh eingeplant und hinzugezogen werden. Jeder einzelne braucht für sein Fachgebiet Entscheidungskompetenz. Eine (interne) abstimmung ist natürlich bei jedem nötig. Braucht man aber für jede Entscheidung zwölf Unterschriften, wird man nie fertig.

  • Einen Verantwortlichen Manager (Owner), der das Budget und das Ergebnis nicht nur verantwortet sondern dessen Ziel auch genau die Einführung des neuen Systems ist.

  • Eine Projektleiterin, die schon mehrere Beschaffungen durchgeführt hat und sich mit Anforderungsmanagement und Stakeholdermanagement auskennt.

  • Fachleute, die Ihre Anforderungen kennen. Das kann zwar durchaus ein Teamleiter sein, aber nur dann, wenn er im Team arbeitet.

Zu Requirements Engineers muss ich was sagen: Ich habe mit vielen hervorragenden zusammen gearbeitet … und mit vielen anderen.

Wichtig ist, dass sie die Bedürfnisse der Fachleute erheben (und aufschreiben!) und Vorschläge, Ideen einbringen, unterschiedliche Meinungen zwischen verschiedenen Beteiligten ausdiskutieren.

Wichtig ist weiterhin, dass sie nicht die Bedürfnisse der Fachleute ignorieren, weil sie der Meinung sind, das eh besser zu wissen.

  • Requirements Engineers: Leute, die sich damit auskennen, wie man Anforderungen eindeutig und vollständig erfasst. Grade bei grösseren Projekten kann das ein Projektleiter nicht nebenher machen.

  • IT-Spezialisten, die die technischen Restriktionen des Unternehmens kennen (eingesetzte Datenbanken, Programmiersprachen, Authentisierungsverfahren, …).

  • Einkäufer / Rechtsdienst, die die Unternehmensspezifischen Einkaufsrichtlinien kennen (zum Beispiel: muss der Lieferant seinen Sitz in der Schweiz, eine gewisse Mindestgrösse haben, …)

Abläufe

Wir verlieren meist sehr viel Zeit und damit auch Geld, weil ein Einführungsdatum in ferner Zukunft liegt und man ja viel Zeit hat. "Die Umsetzung braucht doch höchstens zwei Jahre, also kein Grund für Aktionismus."

Sobald man weiss, dass es ein neues System braucht und dieses Ausgeschrieben werden muss, sollte man loslegen. Wenn man zu früh fertig ist (Spoiler: Das ist man nie.), kann man Zeit mit Schulungen der Betroffenen Mitarbeiter, einem Pilotbetrieb, Finetuning verschwenden. das alles fällt meist weg oder wird massiv gekürzt, wenn es dann eng wird.

  • Wenn klar ist, das eine Beschaffung / Ausschreibung gemacht werden muss, muss umgehend ein verantwortlicher Manager definiert werden. Neben der Budgetverantwortung muss dieser auch die Verantwortung für den Erfolg tragen. Die Managementebene muss dabei hoch genug sein, um den Zugriff auf alle benötigten Mitarbeiter (insbesondere Fachverantwortliche) sicherstellen zu können.

  • Einkäufer und Rechtsdienst müssen hinzugezogen werden (insbesondere wenn bei der Beschaffung bereits externe Mitarbeiter benötigt werden).

  • Der Projektleiter für die Ausschreibung und die Umsetzung muss gefunden (intern oder extern) und beauftragt werden.

  • Der Projektleiter muss einen groben, realistischen und verbindlichen Zeitplan aufstellen. Dieser muss vom Management so akzeptiert werden.

    Hier wird oft der Fehler gemacht, rückwärts zu rechnen: "Wir müssen am 31.12.2022 fertig sein, also muss die Ausschreibung am 01.07.2019 rausgehen, wir haben viel Zeit."

    Es sollte eher ein "Für das Aufsetzen der Organisation für die Ausschreibung brauchen wir drei Monate, für die Spezifikation sechs, für die Abstimmung und Genehmigung weitere drei. In einem Jahr geht die Ausschreibung raus."

  • Requirements Engineers müssen – sofern notwendig – gesucht und beauftragt werden. Dabei ist fachspezifisches Wissen von Vorteil, aber nicht zwingend.

  • Die Fachvertreter müssen ausgesucht und eingeplant werden. Es müssen erfahrene Mitarbeiter sein, die das Tagesgeschäft kennen, und sie müssen dem Projekt zum geplanten Anteil zur Verfügung stehen (!). Hier besteht immer das Risiko, dass Fachabteilungen lieber einen neuen Mitarbeiter abstellen, da dieser im Tagesgeschäft nicht so fehlt.

  • IT-Vertreter müssen ausgesucht und eingeplant werden. Neben einem IT-Architekten, der generelle Vorgaben macht, ist grade bei der Ablösung eines bestehenden Systems auch ein Engineer aus diesem Umfeld sehr hilfreich.

Vermeidungsstrategien vermeiden

Es gibt – neben den offiziellen Ausnahmeregelungen – einige Situationen, die gegen ein "sauberes" Ausschreibungsverfahren sprechen:

  • Anpassung eines Systems, das bereits von einem externen Partner entwickelt und gewartet wird (ist meist schon in den offiziellen Regelungen abgedeckt).

    Der Partner hat Detailwissen zum System, das Spezifikationslücken eher erlaubt. Aufgrund einer (hoffentlich) etablierten Kommunikation sind Rückfragen und Klärungen leicht zu machen. Ein Wechsel auf einen neuen Partner bedeutet immer auch Zusatzaufwand im eigenen Haus (neben der Ausschreibung).

  • Entwicklung eines neuen Systems, das in sehr ähnlicher Form bereits im Haus ist und von einem bestimmten Partner geliefert wurde. Vorteile sind analog der Systemanpassung.

  • Lieferant, der Aufgrund früherer Aufträge bereits Wissen in der Domäne hat. Einarbeitungszeit und Risiko von Missverständnissen ist geringer.

All diese Situationen sind legitime Gründe für eine "freie" Vergabe ohne Ausschreibungsverfahren, da man damit (interne) Kosten oder Risiken reduziert. Natürlich stellen solche Ausnahmen auch ein Risiko für Vetternwirtschaft dar, da ein Einkäufer oder Auditor den Wahrheitsgehalt beziehungsweise das Ausmass im Regelfall nicht prüfen kann.

Wer jetzt aber glaubt, das man durch ein Verbot dieser Ausnahmen eine sauberere Vergabe hinbekommt, ist doch etwas blauäugig: Die Mitarbeiter sind nicht dumm – weder die, die einen legitimen Grund für so eine Ausnahme haben, noch die, die ihrem Schwager ein nettes Geschäft zukommen lassen wollen.

Eine Ausschreibung kann sehr gezielt auf die Kompetenzen und Produkte eines Lieferanten zugeschnitten werden. Bei einem Feierabendbier kann leicht die Offerthöhe anderer Lieferanten "rausrutschen". Man kann eine erste Ausschreibung machen, die unter der vorhandenen Grenze für Zwangsausschreibungen liegt und dann weitere Ausschreibungen als "Folgeauftrag" planen.

Wenn wir Ausnahmen zulassen und diese dokumentieren, wissen wir wenigstens, wo mit welcher Begründung Ausnahmen gemacht wurden. Werden die Mitarbeiter in die Vermeidung der Ausschreibungspflicht getrieben, kann man das nur noch sehr schwer nachvollziehen.

Wenn ich jetzt dem Patenonkel meines Kindes einen Auftrag für ein neues Corporate Design und einen neuen Webauftritt über eine Viertelmillion frei zukommen lasse, müssen der Einkauf, Legal und meine Vorgesetzten schon extrem pennen, damit diese Ausnahme durchgewunken wird. Jedem sollte in so einem Fall klar sein, dass es wohl keine spezifische Erfahrung für solch einen Auftrag geben kann, die die freie Vergabe rechtfertigt.

Verantwortung statt Prozesse

Das Vieraugenprrinzip kenne ich seit meinen ersten Programmieraufgaben. Auch im Management kennt man Prozesse, die sicherstellen sollen, dass mehrere Personen draufschauen und es genehmigen.

Bei meinem aktuellen Auftraggeber habe ich das Glück, dass tatsächlich zwei Leute über mir sind, die meine Beschaffungen freigeben müssen und die es auch tatsächlich interessiert, was ich da schon wieder bestelle. Dabei liegt so ziemlich alles, was ich bestelle unter 100 kCHF, das meiste sogar unter 20 kCHF.

Je höher der Betrag wird, umso geringer wird die Verantwortung, weil da ja noch jemand über mir ist, der das freigeben muss … und der versteht ja eh nicht, um was es geht (das ist weniger meine eigene Erfahrung, da ich ja immer ein externer Mitarbeiter war, dem man sehr genau auf die Finger schauen muss – und das ist für mich auch gut so).

Aber jetzt bestellt jemand eine neue Software, die unbedingt vom Schwager geliefert werden muss und begründet das kurz in zwei Sätzen. Der direkte Vorgesetzte denkt sich "Das wird schon passen. Der Mitarbeiter hat sich ja drei Monate damit beschäftigt." Der nächste in der Hierarchie kriegt ständig so Zeug und denkt sich "Sein Vorgesetzter hat das ja freigegeben. Das wird also alles korrekt sein." und so geht es weiter: Eigentlich gibt es im ganzen Ablauf niemanden, der wirklich das Gefühl hat, verantwortlich zu sein.

Und genau das muss sich ändern. Neben mir als Bestellendem muss es weitere Augen geben, die nicht nur schauen, ob ich alle Pflichtfelder im Antrag ausgefüllt habe, sondern auch, ob der Antrag als solcher "sauber" ist und mir Fragen dazu stellen. Ich persönlich bin um jeden Anruf dankbar, bei dem mich jemand fragt: "Wofür brauchen wir das eigentlich?" oder "Warum haben wir das nicht ausgeschrieben?" oder "Gibt's da nicht eine günstigere Alternative?"

Management - 05.05.2017

Es ist neu …

Nach gefühlten 1'273 Jahren habe ich es jetzt endlich geschafft, meine private Seite mal wieder auf einen aktuellen Stand zu bringen – sowohl inhaltlich als auch technisch. Teils war es schwierig, die Pergamentrollen zu restaurieren, um den Inhalt dann übernehmen zu können. Aber der Aufwand hat sich enorm gelohnt: Die Seite bleibt für 100% der Menschheit vollkommen uninteressant, aber ich habe wieder Spass daran. Sollten Sie nicht zu den 100% gehören: Herzlich willkommen im neuen Kleid.

Meine Seite hatte ich bis letztes Jahr auf cmsmadesimple realisiert (kein Link, weil Brrrrrrr). Im vergangenen Jahr habe ich sie dann endlich auf WordPress umgezogen. Weil das alles neben einem enormen Arbeitspensum passiert ist, habe ich es leider nur halbherzig gemacht, nichts aktualisiert, nicht viel nachgedacht.

Und es ist ja immer toll, wenn man nicht viel nachdenkt. Das rächt sich nur ganz selten. Jedenfalls habe ich auf ein kommerzielles Theme gesetzt, dessen letztes Update offensichtlich genau vor meiner Umstellung gemacht wurde. Seitdem:Funkstille, nichts, nada, rien. Da ich im Beruflichen grade an und mit Webdesigns arbeiten durfte, dachte ich mir: Hey, Du hast ja ein Wochenende vor Dir, also geh doch mal ran. Also habe ich mir ein neues Theme (The Ark) von Themeforest gekauft und angefangen.

Jetzt ist es vier Stunden später, ich habe das ganze Wochenende noch vor mir, bin aber leider schon recht zufrieden. Entweder bin ich effizienter geworden, oder das Theme ist wesentlich besser für meine verschrobene Denkweise geeignet als alles bisherige.

Sicher, ich muss noch andere Bilder raussuchen und die eine oder andere Kleinigkeit machen, aber so passt es. Ich kann den Wartungsmodus deaktivieren und die Seite auf die Menschheit loslassen.

Blog - 28.04.2017

Neueste Kommentare

    Kategorien

    Logo BorisBaesler Light

    Copyright 2018 © All Rights Reserved | Datenschutzerklärung | Impressum

    Realisiert durch FremdeFeder GmbH mit dem Theme The Ark (aus Themeforest).