Skip to content

VG Wiesbaden: Verwendung des Cookie-Consent-Tools Cookiebot verstößt gegen DSGVO - Rechtswidrige Übermittlung personenbezogener Daten in die USA

VG Wiesbaden
Beschluss vom 01.12.2021
6 L 738/21.WI


Das VG Wiesbaden hat entschieden, dass die Verwendung des Cookie-Consent-Tools Cookiebot gegen die DSGVO verstößt, da eine rechtswidrige Übermittlung personenbezogener Daten in die USA erfolgt.

Hochschule RheinMain darf auf ihrer Webseite nicht den Dienst „Cookiebot“ nutzen

Gegenstand des Eilverfahrens vor dem VG Wiesbaden ist das Begehren des Antragstellers, es der Hochschule RheinMain zu untersagen, auf ihrer Webseite www.hs-rm.de den Dienst „Cookiebot“ einzubinden. „Cookiebot“ ermöglicht es, die Einwilligung der Nutzer einer Webseite in die Cookie-Verwendung einzuholen. Der Dienst überwacht die eingesetzten Cookies und blockiert solche Cookies, für die eine Zustimmung nicht erteilt wurde.

Die 6. Kammer des VG Wiesbaden hat mit Beschluss vom 01.12.2021 dem Antrag stattgegeben und der Hochschule RheinMain im Wege der einstweiligen Anordnung untersagt, den Dienst „Cookiebot“ auf ihrer Website zum Zweck des Einholens von Einwilligungen in der Weise einzubinden, dass personenbezogene oder -beziehbare Daten des Antragstellers (einschließlich dessen IP-Adresse) an Server übermittelt werden, die von einem externen Unternehmen betrieben werden.

Die Hochschule sei verpflichtet, die Einbindung des Dienstes „Cookiebot“ auf ihrer Webseite zu beenden, da diese mit der rechtswidrigen Übermittlung personenbezogener Daten der Webseitennutzer und damit insbesondere des Antragstellers einhergehe.

Es lägen personenbezogene Daten vor. Aus einer Kombination eines den Webseiten-Besucher identifizierenden Keys, der im Browser des Nutzers gespeichert werde, und der übermittelten vollständigen IP-Adresse sei der Endnutzer eindeutig identifizierbar.

„Cookiebot“ verarbeite die vollständige IP-Adresse der Endnutzer auf Servern eines Unternehmens, dessen Unternehmenszentrale sich in den USA befinde. Hierdurch entstehe ein Drittland-Bezug, nämlich zu den USA, welcher im Hinblick auf die sog. Schrems II-Entscheidung des Europäischen Gerichtshofs so unzulässig sei. Die Nutzer der Webseite der Hochschule würden nicht um ihre Einwilligung für eine Datenübermittlung in die USA gebeten werden. Es fände auch keine Unterrichtung über die mit der Übermittlung verbundenen möglichen Risiken durch den sog. Cloud-Act statt. Eine solche Datenübermittlung sei auch nicht für das Betreiben der Webseite der Hochschule erforderlich.

Zwar übermittle nicht die Hochschule selbst die Daten in die USA. Sie sei aber dennoch die für die Datenübermittlung verantwortliche Stelle. Sie entscheide durch das Einbinden auf ihrer Webseite darüber, dass die Erhebung und Übermittlung durch den Dienst „Cookiebot“ erfolge. Sie entscheide auch mittelbar über den Zweck der Verarbeitung, da sie in Kenntnis der Zwecke, die der eingebundene Dienst angebe, sich für oder gegen die Verwendung entscheiden könne. Hiergegen spreche auch nicht, dass sie für nachfolgende Vorgänge, wie der Verwendung der Daten durch den Dienst, nicht mehr verantwortlich sei.

Gegen den Beschluss (Az.: 6 L 738/21.WI) kann die Antragsgegnerin binnen zwei Wochen Beschwerde erheben, über die der Hessische Verwaltungsgerichtshof in Kassel zu entscheiden hätte.

Anhang:
Artikel 44 DS-GVO (Verordnung (EU) 2016/679 des Europäische Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG – Datenschutz-Grundverordnung)

Allgemeine Grundsätze der Datenübermittlung
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; […]

Art. 48 DS-GVO – Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung
Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Art 49 DS-GVO – Ausnahmen für bestimmte Fälle
[1] Falls weder ein Angemessenheitsbeschluss nach Artikel 45 Absatz 3 vorliegt noch geeignete Garantien nach Artikel 46, einschließlich verbindlicher interner Datenschutzvorschriften, bestehen, ist eine Übermittlung oder eine Reihe von Übermittlungen personenbezogener Daten an ein Drittland oder an eine internationale Organisation nur unter einer der folgenden Bedingungen zulässig:

a) die betroffene Person hat in die vorgeschlagene Datenübermittlung ausdrücklich eingewilligt, nachdem sie über die für sie bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen ei
nes Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet wurde, […]

Den Volltext der Entscheidung finden Sie hier:

Aus den Entscheidungsgründen:


1. Dem Antragsteller steht ein öffentlich-rechtlicher Unterlassungsanspruch gemäß § 1004 BGB analog i. V. m. Art. 79 Abs. 1 und Art. 5 Abs. 1 lit. a DS-GVO zu.

Gemäß Art. 79 Abs. 1 DS-GVO hat jede betroffene Person das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden. Die Formulierung „aufgrund dieser Verordnung zustehenden Rechte“ stellt keinen Verweis (allein) auf Kapitel 3 der DS-GVO („Rechte der betroffenen Person“) dar. Verletzte Rechte können neben solchen, die dem Betroffenen „durch“ die DS-GVO zustehen, auch die „aufgrund“ der Verordnung zustehenden Rechte sein, mithin auch solche, die durch andere Rechtsakte gewährt werden (vgl. Erwägungsgrund 146, Satz 5). Tatbestandsvoraussetzung ist somit eine Verletzung des Betroffenen durch eine Verarbeitung personenbezogener Daten, die nicht im Einklang mit materiellem Datenschutzrecht erfolgt (vgl. Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 79 Rn. 19; BeckOK DatenschutzR/Mundil, 37. Ed. 1.2.2020, DS-GVO Art. 79 Rn. 4).

Art. 79 DS-GVO entfaltet dementsprechend, entgegen der Ansicht des Antragsgegners, keine Sperrwirkung für weitere gerichtliche Rechtsbehelfe. Denn es handelt sich bei der Aufzählung des „verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs“, der unbeschadet des Art. 79 DS-GVO gelten soll, nicht um eine abschließende Aufzählung der weiteren verfügbaren Rechtsbehelfe. Dies ergibt sich auch nicht aus den Erwägungsgründen 9, 11 und 13 der DS-GVO, in denen von einem „einheitlichen Schutzniveau“ die Rede ist. Denn daraus ergibt sich nicht, dass strengere Regelungen im nationalen Recht keine Gültigkeit haben sollen. Es würde auch dem Effektivitätsgrundsatz des Europarechts sowie dem Recht auf einen „wirksamen“ gerichtlichen Rechtsbehelf nach Art. 79 DS-GVO widersprechen, dem Antragsteller den Rechtsschutz im gerichtlichen Verfahren zu verweigern und ihn stattdessen auf eine Beschwerde bei der Aufsichtsbehörde nach Art. 77 DS-GVO zu verweisen.

2. Die Voraussetzungen des öffentlich-rechtlichen Unterlassungsanspruch sind erfüllt. Der Antragsteller ist durch eine hoheitliche Maßnahme in seinen rechtlich geschützten Interessen beeinträchtigt.

Die Webseite wird nicht durch die Antragsgegnerin privat betrieben. Der Einsatz des Dienstes „C[...]“ erfolgt vielmehr im Rahmen der Öffentlichkeitsarbeit der Hochschule (§ 12 Abs. 5 S. 4, Abs. 6 S. 1 des HHG) und damit als hoheitliche Maßnahme.

Das Recht des Antragstellers auf rechtmäßige Verarbeitung seiner personenbezogenen Daten, das aus Art. 6 Abs. 1 DS-GVO, Art. 7, 8 EU-Grundrechte-Charta (GrCh) folgt, wird durch den Einsatz von „C[...]“ durch die Antragsgegnerin verletzt.

a) Die Antragsgegnerin verarbeitet zur Überzeugung des Gerichtes auf ihrer Webseite www.hs-rm.de unter anderem die ungekürzte IP-Adresse des Antragstellers. Dies erfolgt, indem sie den von dem Unternehmen Cy. A/S angebotenen Dienst „C[...]“ einbindet, der wiederum die vollständige IP-Adresse des Webseiten-Nutzers speichert und verarbeitet. Dass es sich entgegen der Ansicht des Antragsgegners um die vollständige und nicht um eine gekürzte IP-Adresse handelt, ergibt sich aus den Angaben von Cy. selbst (Anlage AS 33, Bl. 668 der Gerichtsakte) sowie aus dem von Ak. für seine Auftraggeber zur Verfügung gestellten Auftragsverarbeitungsvertrag, der in seinem Anhang I, Ziff. 2b die Regelung beinhaltet, dass Ak. personenbezogene Daten verarbeitet, die bei der Erbringung der Dienste für den Kunden in Protokolldateien enthalten sind. Zu den Daten gehörten unter anderem die IP-Adresse der Endbenutzer, die URLs der besuchten Websites mit Zeitstempeln mit zugehöriger IP-Adresse, der geografische Standort basierend auf der IP-Adresse sowie Telemetriedaten (Bl. 659 der Gerichtsakte). Außerdem erklärte auch der Vertreter des Hessischen Datenschutzbeauftragten mit Schriftsatz vom 20.10.2021 nachvollziehbar, dass „die Protokollierung vollständiger IP-Adressen durch Anbieter von Internet-Diensten regelmäßig im Rahmen üblicher Zwecke, wie z.B. dem störungsfreien Betrieb solcher Dienste“, erfolge.

Diesen Angaben ist die Antragsgegnerin auch nicht substantiiert entgegengetreten. Sie behauptet zwar, dass lediglich eine anonymisierte IP-Adresse übermittelt werde, bei der die letzten drei Ziffern auf Null gesetzt würden. Dem steht aber die anderslautende Erklärung von Cy. selbst entgegen. Selbst wenn der Dienst C[...] nur bei erstmaligem Laden die ungekürzte IP-Adresse überträgt, handelt es sich hierbei dennoch um eine datenschutzrechtlich beachtliche Verarbeitung. Bereits das Erheben und Übermitteln personenbezogener Daten stellt gemäß Art. 4 Ziff. 2 DS-GVO eine Verarbeitung dar.

Die ungekürzte IP-Adresse stellt auch ein personenbezogenes Datum dar, denn die IP-Adresse ermöglicht die genaue Identifizierung der Nutzer (vgl. EuGH, Urteil vom 19.10.2016 - C-582/14; BGH, Urteil vom 16.5.2017 - VI ZR 135/13; EuGH, Urteil vom 24. November 2011 - C-70/10, Rn. 51). Zwar wird in der Mitteilung durch Cy. behauptet, dass Ak. keine personenbezogenen Daten der Endnutzer speichere oder verarbeite. Dem steht jedoch entgegen, dass, wie oben dargelegt, die vollständige IP-Adresse der Endnutzer verarbeitet wird.

Der Anbieter Cy. A/S greift für den Dienst „C[...]“ auf die Dienste des Unternehmens Ak. Technologies Inc. zurück, indem er Serverkapazitäten von Ak. verwendet. Dies ergibt sich nicht zuletzt aus der Mitteilung des Unternehmens Cy. an eine Frau A. B. bzw. nach Angaben des Antragstellers an diesen (Anlage AS 33, Bl. 671 der Gerichtsakte). Dabei ist es - entgegen der Ansicht der Antragsgegnerin - völlig unerheblich, wem gegenüber die Angaben gemacht wurden. Anhaltspunkte, dass es sich nicht um eine echte Korrespondenz handelt, gibt es nicht. Demnach verwendet Cy. das Content Delivery Network von Ak., um das C[...]-Einwilligungsskript abzurufen, welches auf einem Ak.-Server liegt.

Indem die verarbeiteten Daten, also auch die personenbezogenen Daten des Antragstellers, auf Servern von Ak. verarbeitet werden, findet u.a. eine Datenübermittlung in ein Drittland, nämlich die USA, nach Art. 44 DS-GVO statt. Dabei kann es dahinstehen, ob konkreter Vertragspartner von Cy. A/S das Unternehmen Ak. Technologies Inc. oder das Unternehmen A. Technologies GmbH ist. Die Unternehmenszentrale befindet sich jedenfalls in Cambridge, Massachusetts, USA (https://www.Ak..com/de/company/facts-figures; zuletzt abgerufen am 23.11.2021). Dabei handelt es sich um eine nicht zulässige Übermittlung nach Art. 48, 49 DS-GVO.

Denn Ak. Technologies Inc. unterliegt als USamerikanisches Unternehmen dem USamerikanischen Cloud-Act, einem USamerikanischen Bundesgesetz vom 6.2.2018. Nach diesem sind US-Anbieter elektronischer Kommunikations- oder Remote-Computing-Dienste dazu verpflichtet, sämtliche in ihrem Besitz, Gewahrsam oder ihrer Kontrolle („posession, custody or control“) befindlichen Daten offenzulegen und zwar unabhängig davon, ob die Daten innerhalb oder außerhalb der USA gespeichert sind (Title 18 U. S. C. § 2713) (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 25).

Gemäß Art. 48 DS-GVO darf eine Übermittlung von personenbezogenen Daten auf der Grundlage einer Entscheidung eines ausländischen Gerichts oder einer ausländischen Verwaltungsbehörde im Grundsatz nur erfolgen, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Europäischen Union oder einem Mitgliedsstaat gestützt werden kann. Da eine solche internationale Übereinkunft zwischen der EU und den USA, die als Rechtsgrundlage für eine Datenübermittlung dienen könnte, nicht existiert (vgl. Kühling/Buchner/Schröder, 3. Aufl. 2020, DS-GVO Art. 48 Rn. 26), findet Art. 49 DS-GVO Anwendung, wonach eine Datenübermittlung an ein Drittland nur unter einer der in Art. 49 Abs. 1 S. 1 lit. a) bis f) und S. 2 DS-GVO genannten Bedingungen zulässig ist.

Keine der in Art. 49 Abs. 1 S. 1 und 2 DS-GVO genannten Bedingungen ist vorliegend erfüllt. Ein Nutzer der Webseite www.hs-rm.de wird unstreitig nicht um seine Einwilligung für die Übermittlung in die USA gebeten und auch nicht über die damit verbundenen möglichen Risiken unterrichtet (Art. 49 Abs. 1 S. 1 lit. a) DS-GVO). Die Übermittlung ist auch nicht aus wichtigen Gründen des öffentlichen Interesses notwendig (Art. 49 Abs. 1 S. 1 lit. d) DS-GVO). Unabhängig davon, ob die Öffentlichkeitsarbeit der Antragsgegnerin ein solches öffentliches Interesse darstellt, ist hierfür jedenfalls eine Datenübermittlung in die USA nicht erforderlich. Die übrigen der möglichen Bedingungen des Art. 49 Abs. 1 S. 1 DS-GVO sind offenkundig ebenfalls nicht einschlägig. Art. 49 Abs. 1 S. 2 DS-GVO findet bereits deshalb keine Anwendung, weil die Datenübermittlung bezüglich unzähliger Webseitennutzer stattfindet, also weder „nicht wiederholt erfolgt“, noch eine begrenzte Zahl von betroffenen Personen betrifft. Darauf, ob die „sonstigen Bestimmungen“ der DS-GVO, insbesondere Art. 5, 6 DS-GVO eingehalten sind, deren Voraussetzungen gemäß Art. 44 DS-GVO bei einer Datenübermittlung an ein Drittland ebenfalls vorliegen müssen, kommt es insoweit nicht mehr an.

Die Antragsgegnerin ist für diese Datenverarbeitung auch verantwortlich i. S. d. Art. 24, Art. 4 Ziff. 7 DS-GVO. Demnach ist Verantwortlicher die Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Dies ist vorliegend der Fall. Indem die Antragsgegnerin sich dafür entscheidet, den Dienst „C[...]“ auf ihrer Webseite einzusetzen, entscheidet sie jedenfalls über die Mittel der Datenverarbeitung. Denn allein indem sie den Dienst auf ihre Webseite einbindet, entscheidet sie darüber, dass die Erhebung und Übermittlung der personenbezogenen Daten der Webseitennutzer, die auch auf den Servern von Ak. stattfinden, erfolgt. Sie entscheidet auch jedenfalls mittelbar über die Zwecke der Verarbeitung. Denn in Kenntnis der Angaben von C. und Ak., die sie spätestens im Laufe des vorliegenden Verfahrens erlangt hat, kann sie sich dafür oder dagegen entscheiden, dass der Dienst auf ihrer Webseite eingesetzt wird und damit eine Datenverarbeitung möglicherweise auch zu den von Cy. bzw. Ak. festgelegten Zwecken stattfindet, bzw. umgekehrt kann sie durch ein Entfernen des Dienstes dafür sorgen, dass die Datenverarbeitung zu diesen Zwecken nicht mehr stattfindet. Sie mag für nachfolgende Vorgänge, etwa die Speicherung und Verwendung durch Ak. nicht mehr mitverantwortlich sein, da es sich hierbei um eine andere Phase der Datenverarbeitung handelt (vgl. EuGH, Urteil vom 29.07.2019 - C-40/17 - Fashion-ID, Rn. 79, 84). Für die Erhebung und Übermittlung an Ak., die unmittelbar durch die Einbindung des Dienstes auf der Webseite der Antragsgegnerin ausgelöst werden, ist sie verantwortlich. Für die Verantwortlichkeit eines Akteurs, insbesondere im Rahmen gemeinsamer Verantwortlichkeit, kommt es dabei nach der Rechtsprechung des EuGH auch nicht darauf an, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat (EuGH, Urt. v. 10.7.2018 - C-25/17 - Zeugen Jehovas, Rn. 69).

b) Darüber hinaus findet eine Verarbeitung personenbeziehbarer Daten auch durch das Setzen eines sog. Cookie-Keys in Zusammenhang mit den übrigen übermittelten Daten statt. Dies ergibt sich aus der anschaulichen Erklärung des Vertreters des Hessischen Datenschutzbeauftragten. Dieser hat den Inhalt eines von C[...] gesetzten Cookies textlich visualisiert:
[... ]
Er erklärte sodann nachvollziehbar, dass es sich bei dem Wert „stamp“ (gelb) vermutlich um eine ID handelt, die den Webseiten-Besucher identifiziert. Hierfür spreche insbesondere, dass der Wert über mehrere Webseiten-Aufrufe konsistent sei, sich jedoch ändere, wenn die vorhandenen Cookies gelöscht werden. Die grün, blau, rot und pink markierten Werte stellten sodann die Auswahl des Webseiten-Nutzers für bestimmte Kategorien von Cookies (grün), die Version des C[...]-Einwilligungsbanners (blau), die Uhrzeit der Betätigung des Banners (rot) sowie die geografische Region, aus der der Webseiten-Nutzer stammt (pink) dar.

Der Vertreter des Hessischen Datenschutzbeauftragten erläutert sodann, dass der Wert „stamp“ (gelb) zwar eine ID bzw. einen „Key“ oder „Fingerprint“ darstelle. Dieser ließe für sich genommen aber noch nicht die Identifizierung einer bestimmten natürlichen Person tatsächlich zu. Eine solche sei jedoch im Zusammenspiel mit der ebenfalls übermittelten IP-Adresse möglich.

Dies trifft zur Überzeugung des erkennenden Gerichts zu. Ausweislich der „Datenschutzrichtlinie“ von C[...] (https://www.C[...].com/de/privacy-policy/, zuletzt abgerufen am 26.11.2021) speichert C[...] auch im Browser des Endnutzers einen „anonymen, zufälligen und verschlüsselten“ Key, durch den die Webseite die Zustimmung des Endbenutzers „bei allen nachfolgenden Seitenanfragen und zukünftigen Endnutzer-Sitzungen für bis zu 12 Monate automatisch lesen und befolgen kann“. Der Key kann demnach eindeutig dem Webseiten-Nutzer und dessen Cookie-Präferenzen zugeordnet werden, anderenfalls könnte der Dienst den Webseiten-Nutzer und seine ehemals angegebenen Cookie-Präferenzen nicht in Verbindung bringen. Gemeinsam mit der ebenfalls übermittelten (siehe oben) ungekürzten IP-Adresse des Webseiten-Nutzers ist dieser durch C[...] damit eindeutig identifizierbar. Der Key mag insofern „anonym“ sein, als er nicht mit dem Namen des Endnutzers in Verbindung gebracht werden kann. Eine Individualisierung mithilfe der übrigen vorhandenen Daten über den Endnutzer schließt dies aber nicht aus, weil der Nutzer aufgrund der Speicherung des Keys identifiziert werden kann, auch wenn sein Name nicht bekannt ist. Mithin handelt es sich um ein personenbeziehbares Datum.

Dabei kommt es nicht darauf an, ob die Antragsgegnerin allein oder gemeinsam mit einer anderen Stelle, etwa den Unternehmen [...]. oder [...]., Verantwortliche ist. Denn gemäß Art. 26 Abs. 3 DS-GVO kann die betroffene Person ihre Rechte im Rahmen der DS-GVO bei einer gemeinsamen Verantwortlichkeit bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

3. Die Beeinträchtigung dauert auch noch an. Denn da der Dienst „C[...]“ nach den Angaben der Antragsgegnerin nach wie vor auf ihrer Webseite eingebunden ist, droht bei jeder Nutzung der Webseite erneut der oben dargestellte Verstoß.

4. Die Rechtsverletzung des Antragstellers kann nur abgestellt werden, indem der Dienst insgesamt von der Webseite genommen wird. Ein nur partielles Abschalten des Dienstes gegenüber dem Antragsteller ist naturgemäß nicht möglich. Daher ist die Antragsgegnerin verpflichtet, den Dienst „C[...]“ von ihrer Webseite zu entfernen.


Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Formular-Optionen