Ist das Datenabkommen zwischen der EU und den USA schon fertig?

Image of Iron Brands

Veröffentlicht am 7. Okt. 2022 und bearbeitet am 16. Jan. 2024 von Iron Brands

Die Datenübermittlung zwischen der EU und den USA ist derzeit eines der meistdiskutierten Themen im Datenschutzrecht. Zahllose Unternehmen und Behörden in ganz Europa sind in irgendeiner Weise auf einen in den USA ansässigen Datenverarbeiter angewiesen. Diese Datenübertragungen bergen jedoch Risiken für den Schutz der Privatsphäre, die nur schwer, wenn überhaupt, zu mindern sind.

Wir haben uns bereits in einem Blog mit Datenübertragungen befasst, der die lange Geschichte hinter den Entscheidungen der Datenschutzbehörde gegen Google Analytics zusammenfasst. Diesmal werden wir die Datenübermittlung jedoch aus einem allgemeineren Blickwinkel betrachten und versuchen, die rechtlichen Fragen, um die es geht, näher zu erläutern.

  1. Wie funktioniert die Datenübermittlung im Rahmen der Datenschutz-Grundverordnung?
    1. Angemessenheitsentscheidungen
    2. Standardvertragsklauseln
    3. Was ist mit anderen Mechanismen?
  2. US-Datenübermittlung. Eine lange Geschichte in Kürze
    1. Schrems I
    2. Schrems II
    3. Die 101 Beschwerden
  3. Ergänzende Maßnahmen für Datenübermittlungen
    1. Verschlüsselung
    2. Proxy-Server
    3. Pseudonymisierung
  4. Der risikobasierte Ansatz
  5. Was nun?
  6. Aktualisierungen
  7. Schlussfolgerungen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Wie funktioniert die Datenübermittlung im Rahmen der Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung enthält eine Vielzahl von Vorschriften zum Schutz der Datenrechte des Einzelnen. Doch was geschieht, wenn Ihre Daten in ein Drittland außerhalb des EWR übermittelt werden?

Die Datenschutz-Grundverordnung enthält ein eigenes Kapitel über Datenübermittlungen, das aus sieben Artikeln (44-50) besteht. Mit diesen Vorschriften soll sichergestellt werden, dass personenbezogene Daten bei der Übermittlung das gleiche Schutzniveau genießen1.

In der Praxis ist eine Datenübermittlung in ein Drittland nur dann rechtmäßig, wenn sie auf einem der in der DS-GVO aufgeführten Mechanismen beruht. Um uns kurz zu fassen, konzentrieren wir uns auf die Mechanismen, die in der Praxis wirklich wichtig sind: Angemessenheitsbeschlüsse und Standardvertragsklauseln.

Angemessenheitsentscheidungen

Angemessenheitsbeschlüsse sind Entscheidungen der Europäischen Kommission, die im Wesentlichen grünes Licht für Datenübermittlungen in ein bestimmtes Land geben2. Bevor eine Angemessenheitsentscheidung getroffen wird, wird das Rechtssystem des betreffenden Landes eingehend geprüft und sichergestellt, dass es ein ausreichendes Schutzniveau bietet3.

Wenn Sie einen Angemessenheitsbeschluss für den von Ihnen benötigten Transfer haben, können Sie sich glücklich schätzen. Angemessenheitsbeschlüsse sind eine einfache und problemlose Möglichkeit, Daten zu übertragen. Sie gelten jedoch nur für eine kleine Zahl von Ländern.

Denken Sie daran, dass Angemessenheitsentscheidungen keine politischen Entscheidungen sind. Das heißt, die Kommission kann ein Land nicht einfach für angemessen erklären, nur weil es ihr gefällt oder weil es ein politischer Verbündeter ist; sie muss sicherstellen, dass Datenübermittlungen in dieses Land tatsächlich sicher sind, und sie muss einige spezifische Kriterien berücksichtigen. Der Europäische Gerichtshof kann eine Angemessenheitsentscheidung für ein Land, das diese Kriterien nicht erfüllt, für ungültig erklären, was im Falle der USA bereits zweimal geschehen ist.

Standardvertragsklauseln

Wenn Sie sich nicht auf einen Angemessenheitsbeschluss verlassen können, benötigen Sie einen anderen Mechanismus für die Datenübermittlung. In Artikel 46 sind sechs davon aufgeführt, aber in der Praxis werden Sie wahrscheinlich Standardvertragsklauseln (SCC)4 verwenden.

SCCs sind eine Reihe von Standardklauseln, die von der Europäischen Kommission entworfen wurden5. Wenn jemand Daten in ein Drittland übermittelt, muss er diese Klauseln in eine rechtsverbindliche Vereinbarung mit dem Empfänger aufnehmen. Die SCC machen also im Idealfall eine Übermittlung sicher, indem sie Datenschutzbestimmungen in einen Vertrag zwischen den Parteien aufnehmen.

Das größte Manko der SCCs ist, dass sie den Empfängerstaat nicht binden. Aus diesem Grund bieten sie wenig oder gar keinen Schutz gegen staatliche Überwachung. Dies bedeutet jedoch nicht, dass SCCs nicht auch für "unsichere" Länder verwendet werden können. In diesem Fall sind "ergänzende Maßnahmen" erforderlich, wie im Falle der Datenübermittlung in die USA.

Mit anderen Worten: Der für die Verarbeitung Verantwortliche muss sicherstellen, dass SCCs in der Praxis einen ausreichenden Schutz bieten, und wenn dies nicht der Fall ist, muss er zusätzliche Maßnahmen ergreifen, um die Daten vertraulich zu behandeln. Wie wir sehen werden, ist dies sehr schwierig, wenn es um staatliche Überwachung geht.

Was ist mit anderen Mechanismen?

Wie bereits erwähnt, sieht die Datenschutz-Grundverordnung neben den SCC und den Angemessenheitsbeschlüssen6 auch andere Übermittlungsinstrumente vor, die jedoch in der Praxis nicht häufig genutzt werden. Verbindliche unternehmensinterne Vorschriften (Binding Corporate Rules, BCR) werden für die Übermittlung von Daten innerhalb von Zweigstellen eines Unternehmens verwendet. Große Unternehmen ziehen es jedoch in der Regel vor, getrennte Unternehmen im EWR zu gründen und sie durch Kapitalbeteiligung zu kontrollieren (man denke an Google Ireland und Meta Ireland). Zertifizierungen und Verhaltenskodizes könnten in Zukunft an Bedeutung gewinnen, sind aber derzeit noch nicht weit verbreitet.

Entscheidend ist, dass all diese Instrumente im Umgang mit "unsicheren" Staaten unter den gleichen Problemen leiden wie SCCs, da sie den Empfängerstaat nicht binden (rechtsverbindliche Instrumente zwischen öffentlichen Einrichtungen sind die Ausnahme, aber private Einrichtungen können sich nicht darauf verlassen).

Data transfers under the GDPR

US-Datenübermittlung. Eine lange Geschichte in Kürze

Um zu verstehen, wo wir in Bezug auf US-Datenübermittlungen heute stehen, müssen wir einen kurzen Blick auf eine jahrzehntelange Geschichte von Rechtsstreitigkeiten werfen.

Schrems I

Von 2000 bis 2015 wurden Datenübertragungen zwischen der EU und den USA durch ein Datenübertragungsabkommen namens Safe Harbor geregelt.

Im Jahr 2013 veröffentlichte der amerikanische Whistleblower Edward Snowden vertrauliche Dokumente über die Aktivitäten der CIA und der NSA. Die Enthüllungen enthielten Aufzeichnungen über Massendatenerhebungen, die in großem Umfang auf ausländische Staatsangehörige abzielten und sich auf Abschnitt 702 des FISA-Gesetzes und Executive Order 12333 stützten.

Kurz nach den Snowden-Enthüllungen reichte der österreichische Staatsbürger Max Schrems bei der irischen Aufsichtsbehörde (DPC) eine Beschwerde gegen Facebook Irland ein. Er machte geltend, dass die Übermittlung seiner personenbezogenen Daten an die Facebook Inc. aufgrund des Ausmaßes und der Allgegenwärtigkeit der staatlichen Überwachung in den USA, wie sie in den Snowden-Akten dokumentiert ist, unsicher und illegal sei.

Im Jahr 2015 landete der Fall vor dem EU-Gerichtshof, der zu Schrems' Gunsten entschied und die Safe-Harbor-Regelung für ungültig erklärte.

Schrems II

Der Fall Schrems ging weiter und wurde ein zweites Mal an den EuGH verwiesen. Im Jahr 2020 entschied der Gerichtshof erneut zu Gunsten von Schrems. Er erklärte das Privacy Shield für ungültig, einen weiteren Rahmen für Datenübermittlungen, der die Safe-Harbor-Regelung zwischen den beiden Schrems-Urteilen ersetzt hatte.

Die Gültigkeit von SCCs als Übermittlungsmechanismus wurde in diesem Fall ebenfalls in Frage gestellt. Der Gerichtshof erklärte SCCs in seinem Urteil nicht für ungültig. Er stellte jedoch fest, dass zusätzliche Maßnahmen erforderlich sind, um Daten vor Überwachungspraktiken in "unsicheren" Ländern wie den USA zu schützen. Mit anderen Worten: Der Gerichtshof "verschonte" die SCCs, machte sie aber auch komplizierter und aufwändiger in der Anwendung.

Insgesamt hat das Urteil in der Rechtssache Schrems II die Datenübermittlung in die USA erheblich erschwert. Unternehmen können sich nicht mehr auf einen Angemessenheitsbeschluss verlassen, nachdem das Privacy Shield für ungültig erklärt wurde, und müssen stattdessen andere Instrumente (in der Regel SCCs) verwenden. Außerdem müssen sie angemessene zusätzliche Maßnahmen ergreifen, um dem Risiko einer staatlichen Überwachung zu begegnen.

Die 101 Beschwerden

Trotz der weit verbreiteten Panik über die Datenübermittlung machten die meisten Unternehmen weiter wie gewohnt und übermittelten Daten in die USA, als ob es Schrems II nicht gäbe.

Doch gleich nach dem Schrems-II-Urteil reichte noyb (eine von Schrems gegründete NRO für den Schutz der Privatsphäre) 101 Beschwerden ein, die sich auf Datenübermittlungen bezogen. Die Beschwerden wurden bei den Datenschutzbehörden mehrerer Mitgliedstaaten eingereicht und richten sich gegen Websites, die die in den USA ansässigen Dienste Google Analytics und Facebook Connect nutzen. Diese Beschwerden sind ein strategischer Versuch, die europäischen Datenschutzbehörden dazu zu bringen, das Schrems-II-Urteil rigoros anzuwenden.

Der Europäische Datenschutzausschuss (kurz für European Data Protection Board, eine europäische Institution, in der alle europäischen Datenschutzbehörden zusammengeschlossen sind) richtete später eine Arbeitsgruppe ein, die das Vorgehen der europäischen Datenschutzbehörden bei den Beschwerden von noyb koordinieren soll. Wie es aussieht, hat die Task Force gute Arbeit geleistet: Drei Datenschutzbehörden haben den Beschwerden gegen Google Analytics bisher stattgegeben, und die niederländische Datenschutzbehörde hat angekündigt, dass sie sich möglicherweise anschließen wird. In einer kürzlich veröffentlichten Pressemitteilung hat die dänische Datenschutzbehörde den gleichen Ansatz verfolgt und die Verwendung von Google Analytics für unrechtmäßig erklärt.

Aber das Problem ist größer als GA. Die Überlegungen, die dazu geführt haben, dass Google Analytics in einigen Mitgliedstaaten verboten wurde, könnten eines Tages zum Verbot vieler anderer Dienste führen, einschließlich Cloud-Diensten, die für die europäische Wirtschaft derzeit praktisch unverzichtbar sind.

Ergänzende Maßnahmen für Datenübermittlungen

Und nun die Eine-Milliarde-Dollar-Frage: Welche zusätzlichen Maßnahmen sind gegen die Überwachung durch die USA wirksam?

Die EDPD hat in ihren Leitlinien für ergänzende Maßnahmen einige Lösungen vorgeschlagen, aber es sind nur wenige, und alle haben erhebliche Einschränkungen. Es sei darauf hingewiesen, dass es sich hierbei nur um allgemeine Vorschläge handelt: Es gibt keine eindeutige Antwort auf diese Frage, da die Schutzmaßnahmen von Fall zu Fall ausgewählt und bewertet werden müssen.

Verschlüsselung

Es muss ein grundlegender Unterschied zwischen der Ende-zu-Ende-Verschlüsselung und anderen Formen der Verschlüsselung gemacht werden.

DieEnde-zu-Ende-Verschlüsselung kann ein wirksamer Schutz sein7. Allerdings schränkt sie auch ein, was mit den Daten gemacht werden kann. Einige Verarbeitungsvorgänge sind bei verschlüsselten Daten schwieriger, und andere erfordern einfach den Zugriff auf einige Daten im Klartext. So muss beispielsweise der Anbieter eines verschlüsselten E-Mail-Dienstes die Adresse des Absenders und des Empfängers im Klartext verarbeiten, um die Post zuzustellen. Diese Informationen sind immer noch personenbezogene Daten im Sinne der Datenschutz-Grundverordnung.

Andererseits ist eine nicht Ende-zu-Ende-Verschlüsselung niemals ein wirksamer Schutz. Wenn der Diensteanbieter im Besitz eines Entschlüsselungsschlüssels8 ist, kann er gemäß FISA verpflichtet werden, diesen zusammen mit den verschlüsselten Daten herauszugeben. Mit anderen Worten: Ihre Daten befinden sich in einem Safe, aber die Unternehmen können gezwungen werden, den Schlüssel herauszugeben. Aus diesem Grund haben die Datenschutzbehörden Österreichs, Frankreichs und Italiens die Datenverschlüsselung von Google Analytics als irrelevant abgetan, als sie sich mit den Beschwerden von noyb befassten.

Um es ganz klar zu sagen: Die Nicht-Ende-zu-Ende-Verschlüsselung ist immer noch eine nützliche Cybersicherheitsmaßnahme, da sie wirksam vor Angriffen schützt. Sie hilft nur nicht gegen Überwachungsgesetze.

Proxy-Server

Die französische Datenschutzbehörde hat Proxy-Server als wirksamen Schutz für die Nutzung von Google Analytics vorgeschlagen. Das sind sie auch, aber sie können nicht für alle Datenübertragungen verwendet werden. Außerdem sind sie aufwändig und teuer in der Umsetzung, wie die französische Datenschutzbehörde selbst einräumt.

Die Idee ist in der Theorie einfach: Anstatt die Daten direkt an Google zu senden, lassen Sie sie über einen Proxy-Server laufen und filtern oder anonymisieren alle personenbezogenen Daten, bevor Sie sie an Google senden.

Der Haken an der Sache: Sie müssen Google Analytics auf Ihrem eigenen Server hosten und betreiben. Das bedeutet, dass Sie den Server warten und die Software manuell auf dem neuesten Stand halten müssen und darüber hinaus einen Code schreiben müssen, um alle personenbezogenen Daten zu anonymisieren. Das ist viel komplizierter und teurer als eine GDPR-konforme Alternative zu bezahlen.

Außerdem erfordert diese Lösung die vollständige Kontrolle über die Infrastruktur. Dies ist keine attraktive Option für die Nutzung von Cloud-Diensten, da der Hauptvorteil von Clouds darin besteht, dass man zunächst einmal keine physische Infrastruktur benötigt.

Pseudonymisierung

Das EDPB schlägt auch die Pseudonymisierung vor 9. Kurz gesagt bedeutet Pseudonymisierung, dass Sie nur Daten übermitteln können, die nicht zur Re-Identifizierung der betroffenen Person verwendet werden können, auch nicht in Kombination mit anderen Daten.

Pseudonymisierung ist keine Anonymisierung im Sinne der Datenschutz-Grundverordnung, kann aber durchaus eine nützliche Datenschutzmaßnahme sein. Es kann auch schwierig sein, sie korrekt umzusetzen. Das Ersetzen von Identifikatoren durch Pseudonyme reicht nicht aus, da Sie möglicherweise viele andere potenziell identifizierende Daten verarbeiten und übertragen müssen. In einigen Fällen ist eine ordnungsgemäße Pseudonymisierung aller von Ihnen übermittelten Daten unmöglich oder macht die Verarbeitung praktisch nutzlos.

Der für die Verarbeitung Verantwortliche muss auch die Verknüpfung von Daten in Betracht ziehen, d. h. die Möglichkeit, dass jemand die betroffene Person durch Kombination der exportierten Daten mit anderen Informationen, über die er möglicherweise verfügt, erneut identifizieren kann. Die Bewertung des Risikos einer Re-Identifizierung ist im Zusammenhang mit staatlicher Überwachung schwierig, da Nachrichtendienste eine Vielzahl von Informationen über eine Vielzahl von Personen sammeln und die Informationen, über die sie verfügen, nicht transparent machen - schließlich ist das ihre Aufgabe.

do you really need google analytics

Der risikobasierte Ansatz

Einige Unternehmen verfolgen bei Datenübertragungen einen risikobasierten Ansatz. Sie behaupten im Wesentlichen, dass eine Übermittlung sicher und rechtmäßig ist, wenn die Wahrscheinlichkeit, dass die übermittelten Daten einer Überwachung unterliegen, gering genug ist.

In Kapitel V der Datenschutz-Grundverordnung wird der Begriff des Risikos jedoch nie erwähnt10, und in der Schrems-II-Entscheidung wird die Wahrscheinlichkeit, dass Daten überwacht werden, nie berücksichtigt. Aus diesem Grund haben der EDSB, der EDSB11 und die österreichischen und italienischen Datenschutzbehörden12 den risikobasierten Ansatz ausdrücklich abgelehnt.

Um es klar zu sagen: Bei der Übermittlung von Daten sollte ein Exporteur prüfen, ob die spezifischen Daten, die er exportiert, überhaupt "problematischen" Überwachungsvorschriften unterliegen. Diese Frage ist für die Bewertung von Datentransfers notwendig und sollte nicht mit dem risikobasierten Ansatz verwechselt werden, den die Datenschutzbehörden derzeit ablehnen.

Die Antwort auf diese Frage wird jedoch für die meisten (wenn nicht sogar für alle) Datenübermittlungen in die USA "ja" lauten, da der Anwendungsbereich des FISA in der Praxis recht weit gefasst zu sein scheint, wie die Snowden-Akten zeigen.

Was nun?

Wie wir gesehen haben, sind Datenübermittlungen derzeit ein ziemliches rechtliches Rätsel. Es gibt nur sehr wenige wirksame Schutzmaßnahmen, und für einige Übermittlungen gibt es überhaupt keine. Gleichzeitig gehen die Behörden bei Datenübertragungen immer strenger vor.

Natürlich geht es dabei um mehr als nur um Google Analytics. Eine strenge Haltung zum Datentransfer könnte die Nutzung vieler in den USA ansässiger Dienstleister, einschließlich cloudbasierter Dienste, die derzeit praktisch unersetzlich sind, illegal machen.

Aus diesem Grund ist die Datenübermittlung ein sehr heikles Thema. Einerseits sollten die Datenschutzgarantien der Datenschutz-Grundverordnung nicht durch Datenübertragungen unterminiert werden. Andererseits ist es unangemessen, die Last der Einhaltung der Vorschriften vollständig auf die Unternehmen abzuwälzen. Unternehmen zu zwingen, GA zugunsten anderer Analysetools aufzugeben, ist eine Sache. Von ihnen zu erwarten, dass sie ohne Oracle oder AWS auskommen, ist eine ganz andere Sache.

Aus diesem Grund muss irgendwann eine politische Lösung gefunden werden. Die Europäische Kommission und die US-Regierung arbeiten derzeit an einem weiteren Datentransferabkommen, und in Kürze wird eine Durchführungsverordnung zu Datentransfers von Präsident Biden erwartet. Allerdings haben die USA ihre Überwachungsgesetze seit dem Schrems-II-Urteil nicht geändert, und ohne solche Änderungen könnte ein neuer Rahmen für die Datenübermittlung ein Schrems-III-Urteil nicht überstehen.

Aktualisierungen

Der neue Rahmen für die Datenübermittlung ist auf dem besten Weg dorthin. US-Präsident Joe Biden veröffentlichte im Oktober 2022 eine Durchführungsverordnung zu Überwachungsmaßnahmen, und die Europäische Kommission veröffentlichte zwei Monate später einen Entwurf für einen Angemessenheitsbeschluss. Der Entwurf muss nun von den EU-Mitgliedstaaten angenommen werden, um in Kraft zu treten. Eine Annahme ist trotz der negativen Stellungnahme des EU-Parlaments sehr wahrscheinlich.

Noyb beabsichtigt, die Entscheidung vor dem EU-Gerichtshof anzufechten, so dass wir mit einem baldigen Schrems-III-Urteil rechnen können. Der neue Rahmen ist komplex, und es ist schwer zu sagen, wie sich die Dinge entwickeln werden, aber es besteht das Risiko, dass der Gerichtshof einen weiteren Datenübertragungsrahmen für ungültig erklärt. Im Moment ist die Zukunft der Datenübermittlung noch ungewiss.

Eine weitere wichtige Entwicklung für den Datentransfer ist, dass Meta derzeit mit dem Risiko eines europaweiten Facebook-Blackouts konfrontiert ist. Im Mai 2023 verhängte die irische Datenschutzbehörde gegen Meta Platforms Ireland ein Bußgeld in Rekordhöhe von 1,2 Milliarden Euro und wies das Unternehmen an, die Datenübermittlung in die USA für seinen Facebook-Dienst einzustellen. Der Europäische Datenschutzausschuss war an dieser wichtigen und umstrittenen Entscheidung direkt beteiligt. Mehr darüber erfahren Sie hier._

Schlussfolgerungen

Auch wenn die Probleme im Zusammenhang mit Datenübertragungen in absehbarer Zukunft weiter bestehen werden, können sich Unternehmen schützen, indem sie EU-Alternativen zu US-Cloud-Diensten nutzen.

Die Datenschutz-Grundverordnung dient dem Schutz der Daten von EU-Bürgern. Die Einhaltung des Gesetzes sollte für jedes Unternehmen eine Priorität sein. Darüber hinaus sind wir der Meinung, dass Unternehmen mehr tun sollten, als sich nur an das Gesetz zu halten.

Das Internet wird ein besserer Ort sein, wenn Unternehmen ihr Geschäft ohne in die Privatsphäre eingreifende Tools wie Google Analytics betreiben. Das ist aus ethischer Sicht das Richtige zu tun. Aus diesem Grund haben wir Simple Analytics entwickelt, eine datenschutzfreundliche Google Analytics-Alternative, die von vornherein ohne Kochfunktion auskommt und keine persönlichen Daten sammelt, aber dennoch die von Ihnen benötigten Informationen liefert.

Wir glauben an die Schaffung eines unabhängigen und besucherfreundlichen Internets. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren.

#1 Art. 44(2) GDPR. [^2]: Art. 45 GDPR. [^3]: Art. 45(2) GDPR. [^4]: Art. 46(2)(c) GDPR [^5]: Technisch gesehen könnte eine Datenschutzbehörde ihre eigenen SCCs entwerfen und sie der Kommission zur Genehmigung vorlegen (Art. 46(2)(d) GDPR). Aber in der Praxis sind mit SCC immer die SCCs der Kommission gemeint [^6]: Art. 46 GDPR [^7]: EDPB-Empfehlungen 01/2020 zu Maßnahmen, die Übermittlungsinstrumente ergänzen, um die Einhaltung des EU-Schutzniveaus für personenbezogene Daten zu gewährleisten, Version 2.0, Abs. 84. [^8]: EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0, par. 81. [^9]: EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, Version 2.0, par. 85. [^10]: Die Datenschutz-Grundverordnung verfolgt bei einigen Compliance-Verpflichtungen einen risikobasierten Ansatz (z. B. bei den Sicherheitsverpflichtungen gemäß Artikel 32 der Datenschutz-Grundverordnung), was jedoch bei Datenübermittlungen nicht der Fall ist [^11]: Gemeinsame Stellungnahme 2/2021 des EDSB und des EDSB zu Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer, Abs. 86 und 87. [^12]: Das Argument wurde vor der französischen CNIL nicht vorgebracht.

GA4 ist komplex. Probieren Sie Simple Analytics

GA4 ist wie im Cockpit eines Flugzeugs zu sitzen ohne Pilotenlizenz

Jetzt kostenlos starten