04 / 2019...dienste. wird beispielsweise nach dem namen eines wis-senschaftlers gesucht und tauchen...
Post on 10-Jul-2020
1 Views
Preview:
TRANSCRIPT
Google weiß, was Du letzten Sommer getan hastDas OLG Dresden zum „Recht auf Vergessenwerden“ gegenüber
Suchmaschinenbetreibern
Kuschelkurs hat ausgedientIm Fall Knuddels wurde das erste Bußgeld aufgrund von Verstößen gegen die
DSGVO verhängt
Im Auftrag des VerantwortlichenZu den Voraussetzungen und Anforderungen an eine Auftragsverarbeitung nach
Art. 28 DSGVO
04 / 2019April 2019
DFN-Infobrief Recht 04 / 2019 | Seite 2
Google weiß, was Du letzten Sommer getan hast
Das OLG Dresden zum „Recht auf Vergessenwerden“ gegenüber Suchmaschinenbetreibern
von Johannes Baur
Suchmaschinen leisten für die Nutzbarkeit des Internets auch für Angehörige von Hoch-
schulen und Forschungseinrichtungen einen unverzichtbaren Beitrag. Wenn ehrverlet-
zende Inhalte im Internet verbreitet und durch die Suchmaschinen leicht aufgefunden
werden können, ist dies allerdings weniger erfreulich. Um unerwünschten Einträgen in
den Ergebnislisten der Suchdienste zu begegnen, kann sich der Betroffene grundsätz-
lich auf das „Recht auf Vergessenwerden“ in der EU-Datenschutz-Grundverordnung
(DSGVO) berufen. In einem jüngeren Beschluss vom 7. Januar 2019 (Az. 4 W 1149/18)
knüpft das Oberlandesgericht (OLG) Dresden hieran aber bestimmte Anforderungen.
unerwünschten Inhalte auf, so stellen sich viele Betroffene die
Frage, ob nicht das Auffinden der entsprechenden Seiten mit-
tels einer Sperrung durch den Suchmaschinenbetreiber unter-
bunden werden kann. Rechtlich steht hier mit Art. 17 DSGVO
ein Instrument zur Verfügung. Die Norm regelt das „Recht auf
Vergessenwerden“. Demnach kann die von der Datenverarbei-
tung betroffene Person unter bestimmten Voraussetzungen
von dem Verantwortlichen verlangen, dass die sie betref-
fenden personenbezogenen Daten gelöscht werden. Verant-
wortlicher kann dabei grundsätzlich auch der Betreiber einer
Suchmaschine sein. 1Ein Löschungsanspruch besteht grund-
sätzlich dann, wenn für die Speicherung keine Rechtsgrund-
lage (mehr) besteht. Besonders bedeutsam ist der Widerruf
einer vorher erteilten Einwilligung oder wenn die Daten für
die Zwecke, für die sie erhoben wurden, nicht mehr erforder-
lich sind. Ist dies nicht der Fall, so kann der Betroffene Wider-
spruch gegen die Datenverarbeitung einlegen, wenn die Daten
für Direktwerbung genutzt werden oder wenn die Daten auf-
grund eines öffentlichen oder berechtigten Interesses des
Verantwortlichen erhoben wurden und der Verantwortliche
1 Hierzu bereits Thinius, DFN Infobrief Recht 07/2014, „Google, du
musst mich vergessen!“, auch wenn der EuGH hier im Ergebnis den
Löschungsanspruch dennoch ablehnt.
I. Das „Recht auf Vergessenwerden“ in der DSGVO
„Das Internet vergisst nicht!“ Mit diesen oder ähnlichen Wor-
ten wird oft vor den Folgen der Veröffentlichung personenbe-
zogener Daten im Internet gewarnt. Und tatsächlich können
zahlreiche Opfer von Diffamierungen bezeugen, dass die freie
Abrufbarkeit unliebsamer Informationen im Netz die Wie-
derherstellung des guten Rufs erheblich erschwert. Die Ver-
breitung von Falschinformationen kann nicht nur persönlich
verletzend, sondern auch geschäftsschädigend sein. Private
und wirtschaftliche Existenzen können bedroht werden. Aber
selbst dann, wenn personenbezogene Informationen der Wahr-
heit entsprechen, können die Betroffenen ein Interesse daran
haben, dass diese Daten nicht unbegrenzt zum Abruf bereitge-
halten werden. Dies gilt auch für Beschäftigte an Hochschulen
und Forschungseinrichtungen. Die Auffindbarkeit von veral-
teten, unbedeutenden oder gar falschen Informationen über
Wissenschaftler kann ihrer Reputation schaden.
Auffindbar sind die Daten meistens über Suchmaschinen-
dienste. Wird beispielsweise nach dem Namen eines Wis-
senschaftlers gesucht und tauchen in der Ergebnisliste die
DFN-Infobrief Recht 04 / 2019 | Seite 3
keine zwingenden schutzwürdigen Gründe für die Verarbei-
tung nachweisen kann. Unabhängig von einem Widerspruch
besteht ein Löschungsanspruch schließlich auch dann, wenn
die Daten unrechtmäßig erhoben wurden. Regelmäßig werden
Suchmaschinenbetreiber die Daten von Dritten auf den aufzu-
findenden Webseiten aufgrund eines berechtigten Interesses
erheben, womit bei Fehlen eines zwingenden schutzwürdigen
Interesses für die Verarbeitung grundsätzlich ein Widerspruch
des Betroffenen möglich ist.
Eine wichtige Einschränkung erfährt das Recht auf Verges-
senwerden jedoch durch Art. 17 Abs. 3 lit. a DSGVO. Demnach
müssen die Daten nicht gelöscht werden, wenn deren Verar-
beitung zur Ausübung des Rechts auf freie Meinungsäußerung
und Information erforderlich ist. Im Ergebnis ist daher eine
Interessensabwägung vorzunehmen.
II. Links in Suchmaschinen auf ehrverletzende Inhalte
Zu der Frage, wann Suchmaschinenbetreiber zur Sperrung von
Suchergebnissen verpflichtet werden können, hat sich das
OLG Dresden geäußert. Dem vom OLG Dresden zu beurteilen-
den Fall lag der Antrag eines Internetblog-Betreibers zugrunde.
Auf seiner Webseite informiert dieser über Unternehmen und
Kapitalanlagemöglichkeiten. Seine Aktivitäten stießen jedoch
offenbar nicht bei allen auf Gegenliebe. Der Betreiber einer
weiteren Webseite nahm auf das Online-Angebot des Antrag-
stellers Bezug und warnte auf seiner Webseite ausdrücklich
vor diesem. Dabei warf er ihm betrügerische Absichten vor.
Der Antragsteller würde sich für das Schreiben von Artikeln
bezahlen lassen. Unternehmen würden vom Antragsteller
damit erpresst, dass bei Ausbleiben einer Zahlung negative
Rezensionen erfolgen würden. Zudem arbeite er in betrüge-
rischer Absicht mit einem Rechtsanwalt zusammen, um sich
Anteile an Kostenvorschüssen zu sichern. Die Webseite mit
diesen Behauptungen tauchte auch in der Ergebnisliste einer
Suchmaschine auf, wenn nach dem Namen des Antragstellers
gesucht wurde. Der Antragsteller wandte sich daher gegen
den Suchmaschinenbetreiber und forderte, dass bei Eingabe
seines Namens nicht auf die ihm unliebsame Webseite ver-
linkt wird. Der Betreiber der Suchmaschine wies dieses Ansin-
nen hingegen zurück. Die Wahrheit oder Unwahrheit der auf
der Webseite geäußerten Tatsachen ließe sich für ihn nicht
überprüfen. Zudem verlinke er lediglich auf frei zugängliche
Inhalte eines Dritten. Daraufhin stellte der Antragsteller vor
dem Landgericht (LG) Leipzig einen Antrag auf einstweilige
Verfügung, welcher jedoch zurückgewiesen wurde. Auch die
sofortige Beschwerde vor dem LG blieb ohne Erfolg. Daraufhin
wendete sich der Antragsteller an das OLG Dresden. Dieses ließ
die Beschwerde zwar zu, hielt sie jedoch für unbegründet.
III. Die Bedeutung der Meinungs- und Informationszugangsfreiheit
Das OLG Dresden machte zunächst klar, dass der Anspruch aus
Art. 17 Abs. 1 DSGVO grundsätzlich auch gegenüber Suchma-
schinenbetreibern besteht. Erfasst sei ausdrücklich auch das
Entfernen von Links aus der Suchergebnisliste. Eine solche
Löschung sei auch dann möglich, wenn die Inhalte auf die ver-
linkt wird, rechtmäßig sind. Insoweit folgt das Gericht der Linie
des EuGH.
Beachtenswert ist jedoch die Ausnahme des
Art. 17 Abs. 3 lit. a DSGVO, nach welcher ein angemessener
Ausgleich zwischen dem Interesse des Betroffenen an der
Löschung und den Grundrechten und Interessen des Verant-
wortlichen und Dritten zu erfolgen habe. In Rede stehen hier
die Grundrechte auf Meinungsfreiheit und Informationszu-
gangsfreiheit (Art. 10 EMRK). Es sei demnach zu prüfen, ob die
Inhalte, auf welche die Suchmaschine verlinkt, erkenntlich
unwahre Tatsachen enthalten oder die Grenze der Schmähkri-
tik überschreiten. Ist dies nicht der Fall, so müsse das Interesse
des Verantwortlichen und der Allgemeinheit an der freien Auf-
rufbarkeit von Informationen überwiegen.
Grundsätzlich spreche nichts gegen eine Auseinandersetzung
mit den Tätigkeiten des Antragstellers. Ob die getätigten Aus-
sagen der Wahrheit entsprechen, sei vom Suchmaschinenbe-
treiber nicht überprüfbar. Eine kritische Auseinandersetzung
müsse aber sachlich bleiben und dürfe nicht in eine „Schmäh-
kritik“ ausarten. Eine solche ließe sich hingegen nur dann
annehmen, wenn keine Auseinandersetzung mehr in der Sache
erfolge, sondern die Diffamierung der Person im Vordergrund
stehe. Eine Kritik an der Person könne dabei aber grundsätz-
lich auch ausfallend, überzogen und im Einzelfall ungerecht
sein, solange die Auseinandersetzung in der Sache erkennbar
bleibt. Das OLG Dresden kommt zu dem Schluss, dass die hier
getätigten Aussagen auf der Webseite zwar ehrverletzend
seien, sich aber dennoch mit der Sache beschäftigten. Im Zen-
DFN-Infobrief Recht 04 / 2019 | Seite 4
trum stünde die Aktivität des Antragstellers als Blogbetreiber
und seine angeblichen Geschäfte zur Finanzierung der Seite.
Kritik an seiner Vorgehensweise habe der Antragsteller auch
dann hinzunehmen, wenn sie scharf formuliert ist.
Suchmaschinenbetreiber seien darüber hinaus in einer beson-
deren Situation. Da die Erstellung von Suchergebnissen auto-
matisiert erfolgt, könne eine Kontrolle der Inhalte nur sehr
eingeschränkt erwartet werden. Sind die Behauptungen nicht
evident falsch, müsse eine nähere Überprüfung von Seiten des
Suchmaschinenbetreibers nicht erfolgen. Die Inhalte stamm-
ten eben nicht vom Betreiber der Suchmaschine, sondern von
den Betreibern der Webseite. Allein durch die Verlinkung in
den Suchergebnissen mache sich der Suchmaschinenbetrei-
ber diese nicht zu eigen. Die Dienstleistung der Suchmaschi-
nen sei für die Nutzung des Internets essentiell. Die Nutzer
sollten frei auf alle verfügbaren Informationen zugreifen kön-
nen. Aus diesen Gründen müssten die Interessen des Betrof-
fenen hinter der Meinungs- und Informationszugangsfreiheit
der Internetnutzer zurückstehen.
IV. Fazit für Hochschulen und Forschungseinrichtungen
Auch die im Betrieb der Hochschulen und Forschungseinrich-
tungen tätigen Personen sind mit ihren Veröffentlichungen
oder Äußerungen dem öffentlichen Diskurs ausgesetzt. Nicht
selten werden sie dabei auch Kritik erfahren. Eine solche muss
in ihrer Form nicht zwingend sozialadäquat sein. Insbeson-
dere bei ehrverletzenden Veröffentlichungen auf fremden
Webseiten wird ein Bedürfnis der Betroffenen bestehen, die
Aufrufbarkeit dieser Inhalte zu unterbinden. Erster Ansprech-
partner sollte dabei aber immer der Betreiber der konkreten
Webseite sein. Handelt es sich nicht um eigene Inhalte des
Webseitenbetreibers, so kann dieser im Rahmen der Störerhaf-
tung grundsätzlich auch für fremde Inhalte haftbar gemacht
werden, sobald er Kenntnis von der Rechtsverletzung hat. Die
Störerhaftung ist für WLAN-Betreiber zwar abgeschafft, für
Webseitenbetreiber aber weiterhin anwendbar.
Sollen die Links zur unerwünschten Webseite auch aus den
Ergebnislisten der Suchmaschinen verschwinden, so ist grund-
sätzlich ein Vorgehen gegen den Suchmaschinenbetreiber
möglich. Das Urteil des OLG Dresden macht aber deutlich,
dass hieran besondere Anforderungen zu stellen sind. Wird
nicht die Grenze der Schmähkritik erreicht und sind die Tatsa-
chen nicht erweislich unwahr, so wird man eine Löschung der
Ergebnisse nicht erzwingen können. Gehen die Äußerungen
aber soweit, dass keine Auseinandersetzung mehr in der Sache
stattfindet und nur noch die Diffamierung des Betroffenen im
Vordergrund steht oder gelingt der Nachweis der Unwahrheit
der behaupteten Tatsachen, kann ein Vorgehen gegen den
Suchmaschinenbetreiber eine gangbare Option darstellen. In
diesem Fall ist es ratsam, sich zur Klärung des Sachverhalts an
das Justiziariat zu wenden.
DFN-Infobrief Recht 04 / 2019 | Seite 5
Kuschelkurs hat ausgedient
Im Fall Knuddels wurde das erste Bußgeld aufgrund von Verstößen gegen die DSGVO verhängt
von Steffen Uphues
Am 21.11.2018 war es soweit: Die Bußgeldstelle des Landesbeauftragten für Datenschutz
und Informationsfreiheit (LfDI) Baden-Württemberg erließ gegen den Betreiber des sozi-
alen Netzwerks Knuddels einen Bußgeldbescheid. Damit machte nach Aussagen des LfDI
Baden-Württemberg zum ersten Mal in Deutschland eine Aufsichtsbehörde von ihrem Recht
aus Art. 58 Abs. 2 lit. i i. V. m. Art. 83 Datenschutz-Grundverordnung (DSGVO) Gebrauch.
§ 40 Abs. 1 BDSG den Landesbehörden zugewiesen. Demnach
sind für die Aufsicht grundsätzlich die LfDIs der jeweiligen
Länder verantwortlich. Sofern ein Verfahren mehrere Bundes-
länder betrifft, findet nach § 40 Abs. 2 BDSG das Begriffsver-
ständnis aus Art. 4 Nr. 16 DSGVO entsprechende Anwendung.
Grundsätzlich ist danach ausschlaggebend, in welchem Bun-
desland sich der Hauptverwaltungsort des Verantwortlichen
befindet. Etwas anderes gilt, sofern die zuständigen Personen
eines anderen Niederlassungsorts befugt sind, eigenständig
und unabhängig vom Hauptverwaltungsort über die Mittel
und Zwecke der relevanten Datenverarbeitung zu entschei-
den und hiervon auch Gebrauch gemacht haben. Sodann gilt
dieser Niederlassungsort als entscheidend. Die Zuständigkeit
des Bundesbeauftragten für Datenschutz und Informations-
freiheit (BfDI) richtet sich nach §§ 9, 19 BDSG.
Während Art. 57 DSGVO den Aufsichtsbehörden zahlreiche Auf-
gaben zuweist, sind in Art. 58 DSGVO diverse Befugnisse nor-
miert. Diese sind untergliedert in Untersuchungsbefugnisse
(Abs. 1), Abhilfebefugnisse (Abs. 2) sowie Genehmigungsbe-
fugnisse (Abs. 3). Nach Erwägungsgrund 129 der DSGVO sollen
diese in allen Mitgliedstaaten gleichermaßen geltenden Befug-
nisse sicherstellen, dass die Vorschriften der Verordnung ein-
heitlich auf Einhaltung und Durchsetzung überprüft werden.
In vielen Konstellationen ist den jeweiligen Personen nicht
bewusst, dass Verantwortliche gegen Vorschriften der DSGVO
verstoßen und sie hiervon betroffen sind. Die Untersuchungs-
befugnisse aus Abs. 1 stehen den Aufsichtsbehörden aus
I. Hintergrund
Im konkreten Fall verpflichtete der LfDI Baden-Württemberg
den Betreiber von Knuddels aufgrund eines Verstoßes gegen
die in Art. 32 DSGVO normierten Vorschriften zur Datensicher-
heit zu einer Zahlung von 20.000 €. Dabei erwähnte er explizit
das kooperative Verhalten des sozialen Netzwerks, welches
sich nach Bekanntwerden eines Hackerangriffs an die Behörde
gewandt hatte und in der Folge in der Zusammenarbeit bemüht
war, die internen Vorkehrungen zur Sicherheit der Nutzerda-
ten erheblich zu verbessern. Dies könnte eine Blaupause für
Unternehmen und Einrichtungen sein, gegen die aufgrund von
Verstößen gegen die DSGVO ebenfalls ein Bußgeldverfahren
eröffnet wird. Der Beitrag thematisiert zunächst die verschie-
denen Befugnisse der Aufsichtsbehörden und insbesondere
die Regelungen zur Geldbuße. Daran anschließend wird der
Knuddels-Fall dargestellt und geschildert, welche Lehren Ver-
antwortliche (gemeint sind für die Datenverarbeitung Verant-
wortliche i. S. v. Art. 4 Nr. 7 DSGVO) daraus ziehen können.
II. Zuständigkeit und Befugnisse der Aufsichtsbehörden
Die Vorschriften aus Art. 55, 56 DSGVO normieren die Zustän-
digkeit der für die Umsetzung der Verordnung entscheidenden
Aufsichtsbehörden, vorbehaltlich einer weiteren Ausgestal-
tung durch nationale Gesetze. In Deutschland ist die Zustän-
digkeit vom Grundprinzip des Föderalismus geprägt und nach
DFN-Infobrief Recht 04 / 2019 | Seite 6
diesen Gründen „von Amts wegen“ zu. Dies meint, dass das
Tätigwerden der Aufsichtsbehörden – um einen effektiven
Grundrechtsschutz der Betroffenen zu ermöglichen – keinerlei
Mitwirkung der betroffenen Person bedarf. Verantwortliche
einer Datenverarbeitung sind im Zuge einer Untersuchung ins-
besondere verpflichtet, der Aufsichtsbehörde alle relevanten
Informationen zur Verfügung zu stellen (lit. a). Daneben kann
diese unter anderem Datenschutzüberprüfungen anstellen
(lit. b), was eine Kontrolle aller Vorgänge rund um die Daten-
verarbeitung von personenbezogenen Daten ermöglicht.
Um bereits erfolgte Verstöße gegen die DSGVO zu sanktionie-
ren oder um im Hinblick auf bevorstehende Verstöße präventiv
einzugreifen, stehen den Aufsichtsbehörden in Abs. 2 zahlrei-
che Abhilfebefugnisse zu. So kann etwa bei bevorstehenden
Tätigkeiten des Verantwortlichen, welche voraussichtlich als
Verstoß zu werten sind, eine Warnung ausgesprochen werden
(lit. a). Bei bereits erfolgten Verstößen reichen die Maßnah-
men von einer (sehr milden) Verwarnung (lit. b) bis hin zu einer
Beschränkung/Untersagung (lit. f) bzw. Löschungsanordnung
(lit. g) im Zusammenhang mit rechtswidrigen Datenverarbei-
tungen. Nach lit. i kann der Verantwortliche darüber hinaus
– zusätzlich oder statt der Anwendung anderer Maßnahmen –
mit einer Geldbuße nach Art. 83 DSGVO belegt werden.
Art. 83 DSGVO regelt die Bedingungen für die Verhängung von
Geldbußen. Anders als die bislang in der europäischen Daten-
schutz-Richtlinie in Art. 24 abstrakt formulierten Vorgaben,1
verfolgen die detaillierten Ausführungen in Art. 83 DSGVO
das Ziel, unionsweit einen einheitlichen Standard bezüglich
der Sanktion von Verstößen zu erreichen. Die präzisen Formu-
lierungen der Norm decken sich mit den in Erwägungsgrund
11 der DSGVO festgehaltenen Absichten. Für eine Konkreti-
sierung bezüglich der Höhe der Geldbuße sorgen die Ausfüh-
rungen in Art. 83 Abs. 4-6 DSGVO. Diese Absätze bestimmen,
welche unterschiedlichen Höchstgrenzen bei den jeweiligen
Verstößen festgelegt sind.
Das Verhängen von Bußgeldern kann aus verschiedenen – sich
gegenseitig nicht ausschließenden – Motiven erfolgen. Zum
einen kommt der Aspekt der Generalprävention in Betracht,
1 „Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle
Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und
legen insbesondere die Sanktionen fest, die bei Verstößen gegen die
zur Umsetzung dieser Richtlinie erlassenden Vorschriften anzuwen-
den sind.“
welcher den Schutz der Allgemeinheit verfolgt. Eine posi-
tive Generalprävention besteht dabei darin, den Bürgern das
Gefühl zu vermitteln, die bestehenden Regelungen kommen
auch tatsächlich zur Anwendung. Gerade in der momentanen
Situation, in der ein effektiver und wirkungsvoller Schutz per-
sonenbezogener Daten von vielen angezweifelt wird, kann
durch das Verhängen einer Geldbuße vermittelt werden,
dass die zuständigen Aufsichtsbehörden sich der Sensibilität
des Themas bewusst und gewillt sind, von ihren Befugnisse
zum Erreichen eines höheren Datenschutzniveaus vollends
Gebrauch zu machen. Die negative Generalprävention meint,
dass das Auferlegen von Sanktionen wie einer Geldbuße
andere Verantwortliche dazu herausfordern kann, sich ihrer-
seits rechtskonform zu verhalten, um nicht dieselbe Maß-
nahme zu erleiden. Im Rahmen der Spezialprävention steht der
einzelne (Verantwortliche) im Mittelpunkt. Die positive Spezi-
alprävention soll Anreize zur Verbesserung des Verhaltens bie-
ten. An dieser Stelle ist eine Kompromissbereitschaft (auch)
auf Seiten der Aufsichtsbehörde gefragt. So sollte mit Blick auf
die Verhältnismäßigkeit der Geldstrafe (Art. 83 Abs. 1 DSGVO)
darüber nachgedacht werden, ob anstelle einer Geldbuße
auch eine mildere Maßnahme wie etwa eine Verwarnung in
Betracht kommt. Bei der negativen Spezialprävention ist hin-
gegen die persönliche Abschreckungswirkung im Fokus. Hier
können empfindliche Geldbußen ein geeignetes Mittel sein,
um den Verantwortlichen von einem wiederholten Verstoß
gegen die Vorschriften abzuhalten.
Die Verhängung einer Geldbuße als Abhilfemaßnahme kommt
gegenüber Behörden und sonstigen öffentlichen Stellen grund-
sätzlich nicht in Betracht. Zwar ist es nach Art. 83 Abs. 7 DSGVO
jedem Mitgliedstaat gestattet, festzulegen, ob und in welchem
Umfang diesbezüglich Geldbußen verhängt werden können. In
Deutschland wurde von dieser Öffnungsklausel jedoch kein
Gebrauch gemacht. Vielmehr stellt § 43 Abs. 3 BDSG klar, dass
gegen Behörden und sonstige öffentliche Stellen im Sinne
von § 2 Abs. 1 BDSG keine Geldbußen verhängt werden. Etwas
anderes gilt nur für die Konstellation des § 2 Abs. 5 BDSG, in der
öffentliche Stellen als öffentlich-rechtliche Unternehmen am
Wettbewerb teilnehmen.
III. Der Fall Knuddels
Das soziale Netzwerk Knuddels wurde 1999 ins Leben gerufen
und bietet seinen Nutzern die Möglichkeit, miteinander zu
DFN-Infobrief Recht 04 / 2019 | Seite 7
chatten. Hiervon machen trotz vieler Konkurrenzdienste, wel-
che über größere Netzwerkeffekte und in der Folge über mehr
Nutzer verfügen, laut eigenen Angaben des sozialen Netz-
werks immer noch etwa zwei Millionen Personen Gebrauch.
In der Folge eines Hackerangriffs im Juli 2018 wurden 1.872.000
Pseudonyme und Passwörter im Internet veröffentlicht. Hinzu
kamen über 800.000 Mail-Adressen, wobei hiervon lediglich
320.000 verifiziert waren. Nachdem das Unternehmen mit Sitz
in Karlsruhe dies bemerkt hatte, meldete es den Vorgang der
zuständigen Aufsichtsbehörde, dem LfDI Baden-Württemberg.
Daneben wurden die Nutzer, den Vorgaben der DSGVO ent-
sprechend, ebenfalls über die Vorfälle in Kenntnis gesetzt.
Im Laufe des Verfahrens hat sich Knuddels nach den Anga-
ben der Aufsichtsbehörde kooperativ und einsichtig gezeigt.
Durch die Offenlegung interner Datenverarbeitungsprozesse
hat sich herausgestellt, dass das Unternehmen die Passwörter
zwar seit 2012 als Hashwerte2 , daneben aber ebenfalls immer
noch im Klartext speicherte. Hierin lag ein Verstoß gegen
Art. 32 Abs. 1 lit. a DSGVO, da dieses Vorgehen den Anforderun-
gen hinsichtlich der Pseudonymisierung und Verschlüsselung
von personenbezogenen Daten nicht gerecht wurde. Beim
Abspeichern im Klartext besteht in Folge eines Hackerangriffs
die Möglichkeit, direkt auf die Passwörter zuzugreifen. Fina-
ler Auslöser des Datenlecks war nach Angaben von Knuddels
letztendlich wohl ein „Backupserver, auf dem nicht die neu-
este Betriebssystemversion installiert war“. Die ungehashte
Version der Daten wurde mittlerweile gelöscht.
Die Aufsichtsbehörde verhängte am Ende des Verfahrens
aufgrund des Verstoßes gegen die in Art. 32 DSGVO vorge-
schriebene Datensicherheit gegen den Betreiber des sozialen
Netzwerks ein Bußgeld in Höhe von 20.000 €. Bezüglich der Höhe
des Betrags fanden verschiedene Aspekte Berücksichtigung.
Zunächst einmal lag der Höchstwert nach Art. 83 Abs. 4 lit. a bei
10.000.000 € bzw. bei 2 % des gesamten Jahresumsatzes des vor-
angegangenen Geschäftsjahres. Sodann hatte die Aufsichtsbe-
hörde – wie in jedem Verfahren – die individuellen Umstände
dieses Falls anhand der Kriterien aus Art. 83 Abs. 2 DSGVO zu
berücksichtigen. Daneben muss die Entscheidung über das
Verhängen einer Geldbuße und über die Höhe einer solchen
nach Art. 83 Abs. 1 DSGVO stets verhältnismäßig sein. Der LfDI
2 Hashing bezeichnet ein Verfahren, bei dem Daten zerlegt und in
eine Datenstruktur eingepflegt werden. Die hierdurch entstehenden
Hashwerte ermöglichen es, einzelne Elemente schneller zu finden
und helfen bei der Ver- und Entschlüsselung von Daten.
Baden-Württemberg machte in seiner Stellungnahme deut-
lich, dass er zum einen die generelle finanzielle Belastung für
das Unternehmen berücksichtige. Ebenso eindeutig ließ er
verlauten, dass die zügige und sorgfältige Umsetzung seiner
Empfehlungen und Vorgaben durch Knuddels Eingang in die
Überlegung zur Höhe der Geldbuße gefunden hat. Wenngleich
das Unternehmen durch das Speichern im Klartext den techni-
schen Standards in erheblichem Maße nicht Genüge getragen
hat, so ist in die Gewichtung mit aufzunehmen, dass Knud-
dels nach den Informationen des LfDI Baden-Württemberg
gewichtige finanzielle Maßnahmen zur Verbesserung ihres
IT-Sicherheitssystems ergriffen hat. Im Jahr 2016 erzielte das
Unternehmen einen Umsatzerlös von etwa 1.700.000 €. Die
Geldbuße entspricht somit etwa 1,2 % des Jahresumsatzes.
IV. Fazit und Konsequenzen für die Praxis in wissenschaftlichen Einrichtungen
Die Entscheidung des LfDI Baden-Württemberg im Fall Knud-
dels und die zugrundeliegende Erörterung zeigt auf, in wel-
chem Spannungsfeld sich die Aufsichtsbehörden bewegen.
Die Abhilfebefugnisse aus Art. 58 Abs. 2 DSGVO haben teilweise
kooperativen Charakter, so etwa vor allem die Warnung (lit. a)
oder die Verwarnung (lit. b). Auf dem anderen Ende der Skala
steht eben die Geldbuße (lit. i), welche erhebliche Folgen für
den Verantwortlichen mit sich bringen kann.
Als Konsequenz aus dem beschriebenen Verfahren lässt sich
ziehen, dass die internen Abläufe der Datenverarbeitung
regelmäßig auf ihre Vereinbarkeit mit den aktuellen techni-
schen Standards überprüft werden sollten. Das Unternehmen
Knuddels hatte im Jahr 2012 auf eine Speicherung der Pass-
wörter als Hash umgestellt. Die Passwörter verblieben jedoch
zugleich im Klartext, um sich einer Funktion zu bedienen, die
Nutzer daran hinderte, ihr Passwort über das soziale Netzwerk
zu versenden. Diese Speicherung hätte so nicht mehr erfol-
gen dürfen, weshalb es folgerichtig und notwendig erscheint,
dass dieser Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO eine Geld-
buße nach sich zog und nicht mit einer milderen Maßnahme
bedacht wurde.
Während Knuddels an dieser Stelle einen Fehler begangen hat,
den es strengstens zu vermeiden gilt, ist das Verhalten nach
Bekanntwerden des Hackerangriffs vorbildlich und sollte auch
für Hochschuleinrichtungen, welche in das Visier von Auf-
DFN-Infobrief Recht 04 / 2019 | Seite 8
sichtsbehörden geraten, ein Beispiel sein. Um eine möglichst
milde und erträgliche Maßnahme auferlegt zu bekommen
und ebenso aus Gründen der Datensicherheit sollte folgen-
des beachtet werden: Die eigenen Prozesse sind auf fehler-
haftes Verhalten in Bezug auf die technischen Standards zur
Datensicherheit zu überprüfen. In der Folge sollte eine offene
Kommunikation mit der zuständigen Aufsichtsbehörde erfol-
gen. Daneben muss bei Verstößen – schon um den Vorschrif-
ten der DSGVO gerecht zu werden – neben der Meldung an
die Aufsichtsbehörde auch eine Information der betroffenen
Personen erfolgen. Des Weiteren sollten die Vorgaben und
Empfehlungen der Aufsichtsbehörde beachtet und effektiv
umgesetzt werden. Womöglich sind diesbezügliche auch nicht
unerhebliche finanzielle Investitionen in die Infrastruktur
erforderlich. Zwar ist zu beachten, dass öffentliche Stellen
wie bereits erwähnt nach § 43 Abs. 3 BDSG grundsätzlich keine
Adressaten von Bußgeldern sind. Dennoch gilt: Am besten lässt
man es gar nicht erst zu einem Verstoß kommen. Schließlich
droht neben den Maßnahmen der zuständigen Aufsichtsbe-
hörde auch ein Reputationsverlust, sofern ein Verstoß durch
Pressemitteilungen an die Öffentlichkeit gelangt.
DFN-Infobrief Recht 04 / 2019 | Seite 9
Im Auftrag des Verantwortlichen
Zu den Voraussetzungen und Anforderungen an eine Auftragsverarbeitung nach
Art. 28 DSGVO
von Matthias Mörike
Im Dezember 2018 verhängte der Hamburger Datenschutzschutzbeauftragte gegen eine
dort ansässige Beratungsfirma ein Bußgeld in Höhe von 5000 Euro. Grund dafür war, dass die
Beratungsfirma zwar Kundendaten von einem externen Dienstleister verarbeiten ließ, aber
keine Auftragsverarbeitung vereinbart hatte. Der Fall zeigt, dass das Thema Auftragsverar-
beitung zunehmend im Fokus der Behörden steht. Die externe Verarbeitung von personen-
bezogenen Daten ist gleichzeitig ein relevantes Thema für Wissenschaftsreinrichtungen. Im
Folgenden sollen daher die Voraussetzungen und Anforderungen näher erläutert werden.
I. Grundlagen und Abgrenzung
Es kann viele Gründe für den Wunsch geben, personenbezo-
gene Daten nicht selbst, sondern durch einen Dritten verar-
beiten zu lassen. Mangelnde personelle Ressourcen, fehlendes
Know-How oder gesteigerte Effizienz sind nur einige davon.
Die Datenschutz-Grundverordnung (DSGVO) trägt diesem
Wunsch Rechnung: Ein Verantwortlicher kann alle Verarbei-
tungen, zu denen er selbst berechtigt ist, auch durch einen
Auftragsverarbeiter durchführen lassen - sofern alle Anfor-
derungen nach Art. 28 DSGVO erfüllt sind. Der Auftragsverar-
beiter gilt dann als „verlängerter Arm“ des Verantwortlichen.
Der Auftraggeber bleibt Verantwortlicher. Man sollte daher
nicht dem Trugschluss unterliegen, dass eine Auslagerung
der Datenverarbeitung auch die Auslagerung der juristischen
Verantwortlichkeit bedeutet. Die DSGVO sieht als Kooperati-
onsmodell neben der Auftragsverarbeitung auch die Möglich-
keit der gemeinsamen Verantwortlichkeit vor, was nach alter
Rechtslage in Deutschland nicht der Fall war. Die Abgrenzung
der beiden Möglichkeiten ist insofern ein neuer und wichtiger
Aspekt, der sogleich näher beleuchtet wird.
II. Alte Rechtslage
Die Auftragsverarbeitung ist kein neues Instrument. Schon
nach alter Rechtslage vor Geltung der DSGVO bestand die
Möglichkeit, Daten im Auftrag von externen Personen durch-
führen zu lassen (beispielsweise nach § 11 BDSG a. F.). Im Ver-
gleich zur alten Rechtslage wurden die Verantwortlichkeiten
des Auftraggebers und des Auftragnehmers präzisiert, aus-
gedehnt und zum Teil auch bewusst überlappend normiert.
Durch doppelte Verantwortlichkeiten soll die tatsächliche
Einhaltung aller Datenschutzvorschriften gestärkt werden. Da
nunmehr auch das neue Kooperationsmodell der gemeinsa-
men Verantwortlichkeit besteht, sollten bestehende Auftrags-
verarbeitungsverträge sorgfältig geprüft und gegebenenfalls
angepasst werden.
III. Voraussetzungen der Auftragsverarbeitung
Ob eine Auftragsverarbeitung vorliegt, liegt nicht allein im
Ermessen der Parteien. Mit anderen Worten liegt nicht allein
deshalb eine Auftragsverarbeitung vor, weil die Parteien
DFN-Infobrief Recht 04 / 2019 | Seite 10
ihren Vertrag damit überschrieben haben. Vielmehr wird die
Frage, ob eine Auftragsverarbeitung vorliegt, objektiv danach
beurteilt, was die Parteien konkret vereinbart haben und wie
sie konkret zusammenarbeiten. Entscheidend ist dabei die
Bestimmung über Zweck und Mittel der Datenverarbeitung:
Eine Auftragsverarbeitung liegt nur vor, wenn der Auftraggeber
selbst über Zweck und Mittel der Datenverarbeitung entschei-
det, dem Auftragsverarbeiter also alle Weisungen in Bezug auf
die Verarbeitung erteilen kann und auch tatsächlich erteilt.
Werden die Bestimmungen nicht einseitig, sondern gemein-
sam festgelegt, liegt keine Auftragsdatenverarbeitung, son-
dern eine gemeinsame Datenverarbeitung vor, die sich nach
Art. 26 DSGVO richtet. Dass dies gerade unter der DSGVO leicht
geschehen kann, hat das Urteil des Europäischen Gerichtshofs
beim Betrieb einer Facebook-Fanpage gezeigt.1 In der prakti-
schen Handhabung ist zu empfehlen, dass zunächst die tech-
nischen Gegebenheiten genau untersucht und die geplanten
Verarbeitungsvorgänge genau beschrieben werden. Auf dieser
Grundlage kann dann eine juristische Prüfung dahingehend
erfolgen, ob eine Auftragsverarbeitung möglich ist und beja-
hendenfalls welche Vereinbarungen vorgenommen werden
müssen.
Der Verantwortliche benötigt wie immer für die Verarbeitung
der personenbezogenen Daten eine Rechtsgrundlage nach
Art. 6 DSGVO (beispielsweise eine Einwilligung). Das gilt auch
für die Verarbeitung, die er im Auftrag durchführen lässt. Hier
wird die Tätigkeit des Verarbeiters dem Verantwortlichen sozu-
sagen zugerechnet, sodass zu fragen ist, ob der Verantwortli-
che sich auf eine Rechtsgrundlage stützen kann, wenn er die
Verarbeitung selbst vornehmen würde. Es bedarf dann keiner
weiteren Rechtsgrundlage aus Art. 6 DSGVO, um die Daten an
den Auftragsverarbeiter zu übermitteln bzw. diesem offenzule-
gen. Sofern eine Rechtsgrundlage für die Verarbeitung besteht
und alle Voraussetzungen des Art. 28 DSGVO vorliegen, ist die
Auftragsverarbeitung rechtmäßig. Selbstverständlich darf die
Verarbeitung im Rahmen des Auftrags nicht weiter gehen als
die Rechtsgrundlage es dem Verantwortlichen gestattet. Liegt
beispielsweise als Rechtsgrundlage eine Einwilligung vor, dür-
fen mittels der Auftragsverarbeitung nur solche Daten verar-
beitet werden, auf die sich die Einwilligung bezieht.
1 Siehe Baur, Auch aus kleiner Kraft folgt große Verantwortung, DFN-
Infobrief 08/2018.
IV. Vertrag
Die Weisungsgebundenheit ist ein zentrales Element einer
Auftragsdatenverarbeitung. Sie sollte unbedingt im Vertrag
zwischen Verantwortlichem und Auftragsverarbeiter festge-
schrieben werden. Insbesondere größere Auftragsverarbeiter
sehen häufig nicht die Notwendigkeit, sich den Weisungen
des Auftraggebers zu unterwerfen. Das ist aber unbedingt
erforderlich, anderenfalls liegt in aller Regel eine gemeinsame
Verantwortlichkeit nach Art. 26 DSGVO vor, die ganz andere
Pflichten mit sich bringt. Auch kann, wie eingangs erwähnt,
eine Sanktion der Aufsichtsbehörde erfolgen, wenn kein Ver-
trag geschlossen wurde. Darüber hinaus muss der Vertrag
zwingend die in Art. 28 Abs. 3 DSGVO aufgelisteten Elemente
enthalten, wie beispielsweise die Pflicht, nur nach dokumen-
tierter Weisung des Verantwortlichen zu handeln (lit. a) oder
die Pflicht, technische und organisatorische Schutzmaßnah-
men zu treffen (lit. c). Einige Aufsichtsbehörden haben dafür
Checklisten2 und Mustervorlagen3 erstellt, die eine gute Ori-
entierung geben. Nach Abs. 9 muss der Vertrag schriftlich oder
im elektronischen Format vorliegen. Dies ist wichtig, um die
Regelkonformität der Auftragsdatenverarbeitung auch gegen-
über der Aufsichtsbehörde nachweisen zu können.
V. Pflichten des Verantwortlichen
Den Verantwortlichen trifft die Pflicht, den Verarbeiter sorg-
fältig auszuwählen (Art. 28 Abs. 1 DSGVO). Dabei kann er seine
Entscheidung gem. Art. 28 Abs. 5 DSGVO auch auf Zertifikate
und Verhaltensregeln des Auftragnehmers stützen. Entschei-
dend ist, dass der Auftragsverarbeiter dafür Gewähr bietet,
die Verarbeitung im Einklang mit der DSGVO vorzunehmen.
Nur so ist zu rechtfertigen, dass der Verantwortliche die Daten
nicht selbst verarbeitet, sondern einen Dritten einbezieht und
dadurch ein erhöhtes datenschutzrechtliches Risiko schafft.
Der Verantwortliche muss den Auftragsverarbeiter allerdings
auch während der laufenden Verarbeitung kontrollieren.
Dafür muss der Auftragsverarbeiter dem Verantwortlichen alle
nötigen Informationen zur Verfügung stellen, um nachzuwei-
sen, dass er seine Pflichten erfüllt. Daneben muss er Überprü-
fungen durch den Verantwortlichen oder einen beauftragten
Prüfer dulden, die diese auch im Rahmen von Inspektionen
2 https://www.datenschutz-bayern.de/technik/orient/oh_auftrags-
verarbeitung.pdf
3 https://www.lda.bayern.de/media/muster_adv.pdf
DFN-Infobrief Recht 04 / 2019 | Seite 11
vor Ort durchführen können. Möchte der Auftragsverarbeiter
weitere Unterauftragnehmer einsetzen, ist dies grundsätzlich
möglich, bedarf aber der Genehmigung des Verantwortlichen
(Art. 28 Abs. 2 DSGVO). Außerdem müssen die Voraussetzungen
der Auftragsdatenverarbeitung auch im Verhältnis zum Sub-
unternehmer bestehen.
VI. Auftragsverarbeiter mit Sitz im Ausland
Die DSGVO gestattet auch, Auftragsverarbeiter in Anspruch
zu nehmen, die ihren Sitz im Ausland haben. Sofern der Sitz in
einem EU-Staat ist, gelten keine Besonderheiten, da dort die
DSGVO ebenfalls gilt. Soll ein Auftragsverarbeiter genutzt wer-
den, der seinen Sitz in einem Nicht-EU-Staat (Drittland) hat, so
gelten für die Übermittlung an den Auftragsverarbeiter zusätz-
lich die Bestimmungen der Art. 44 ff. DSGVO. Demnach muss
für das Drittland entweder ein Angemessenheitsbeschluss
der EU-Kommission (Art. 45 DSGVO) vorliegen oder es wurden
geeignete Garantien im Sinne des Art. 46 DSGVO zwischen dem
Verantwortlichen und dem Auftragsverarbeiter vereinbart.
Als dritte Option können noch ausnahmsweise die Erlaubnis-
gründe aus Art. 49 DSGVO, beispielsweise eine Einwilligung
des Betroffenen, einschlägig sein.
Hinsichtlich des Vereinigten Königreichs ist zu beachten, wie
sich die rechtliche Ausgestaltung der Beziehungen zur EU ent-
wickeln wird. Im Extremfall, ohne jegliches Abkommen, gilt
das Vereinigte Königreich dann auch als Drittland.
Hinsichtlich der USA stellt sich die Lage derzeit als schwierig
dar. Gem. Art. 28 DSGVO dürfen nur solche Auftragsverarbeiter
eingesetzt werden, die garantieren können, dass sie im Ein-
klang mit den Bestimmungen der DSGVO handeln. Auftragsver-
arbeiter, die ihren Sitz in den USA haben, können dem Zugriff
US-amerikanischer Behörden unterliegen. Speziell Microsoft
wehrte sich vor kurzem gegen ein solches Herausgabeverlan-
gen einer staatlichen US-Behörde. Microsofts Hauptargument
lautete, dass die angeforderten Daten nicht in den USA, son-
dern in Irland gespeichert waren. Einen solchen Zugriff auf
Daten außerhalb der USA sah der Patriot Act, der Grundlage
für das Herausgabeverlangen war, nicht vor. Bevor der Fall
vom Supreme Court entschieden werden konnte, änderte
sich durch den Cloud Act allerdings die Rechtslage in den USA.
Demnach sind Daten immer dann an eine US-Behörde her-
auszugeben, wenn das aufgeforderte Unternehmen diese im
Besitz oder sonst unter Kontrolle hat. Die Tatsache, dass die
Daten nicht in den USA gespeichert sind, spielt dann keine
Rolle mehr. Problematisch daran ist, dass die entsprechen-
den Vorschriften des Cloud Act4 derzeit nicht im Einklang
mit Art. 48 DSGVO stehen. Dieser regelt genau den Fall, wann
ausländische Behörden auf Daten bei Auftragsverarbeitern
zugreifen dürfen. Voraussetzung ist unter anderem, dass eine
in Kraft befindliche internationale Übereinkunft vorliegt. Der
Cloud Act sieht zwar vor, dass die USA mit anderen Regierun-
gen sogenannte Executive Agreements abschließen. Allerdings
wurde ein solches bisher nicht mit der EU abgeschlossen und
zudem bestehen erhebliche Zweifel, ob ein solches Agreement
überhaupt eine Übereinkunft im Sinne des Art. 48 DSGVO dar-
stellen kann. Es besteht zwar die Möglichkeit, dass Daten-
übermittlungen von Auftragsverarbeitern an US-Behörden im
Einzelfall auch über andere Rechtsgrundlagen, beispielsweise
Art. 49 Abs. 1 lit. e) DSGVO, stattfinden können und dann mit
der DSGVO in Einklang stehen würden. Diese Optionen sind
im Moment jedoch ebenfalls nicht rechtssicher. Daher kön-
nen Auftragsverarbeiter mit Sitz in den USA derzeit nicht ohne
Risiko beauftragt werden.
Die Tatsache, dass sich das Unternehmen an die im Privacy-
Shield-Abkommen festgelegten Bestimmungen hält, ändert an
diesem Problem nichts. Dieses Abkommen ist wichtig, wenn es
um die Zulässigkeit von Datenübermittlungen an Unterneh-
men in Drittländer geht und ist derzeit eine gültige Rechts-
grundlage für Datenübermittlungen in die USA. Es ändert
jedoch nicht die Anforderungen an den Auftragsverarbeiter,
welche auch Art. 48 DSGVO umfassen.
Verschiedene datenverarbeitende Unternehmen mit Sitz in
den USA versuchen derzeit, Geschäftsmodelle zu etablieren,
die möglicherweise nicht den Bestimmungen des Cloud Acts
unterfallen, womit keine Konflikte mit Art. 48 DSGVO mehr
bestehen würden. Ein solches Modell ist beispielsweise ein
sogenannter „Datentreuhänder“. In diesem Fall kooperieren
Unternehmen mit Sitz in den USA mit Unternehmen mit Sitz
in der EU und lassen durch diese die Datenverarbeitungen
vornehmen. Ziel ist es, dass der US-Partner keine Kontrolle
über die Daten hat, sodass die Vorgaben des Cloud Acts nicht
vorliegen dürften. Auch hier besteht allerdings ein rechtli-
ches Restrisiko, da nicht abzusehen ist, wie US-amerikanische
4 https://www.congress.gov/bill/115th-congress/senate-bill/2383/
text
DFN-Infobrief Recht 04 / 2019 | Seite 12
Gerichte die entsprechenden Bestimmungen des Cloud Acts
auslegen werden („provider’s possession, custody, or control“).
Es ist nicht völlig fernliegend, dass Gerichte den Begriff „con-
trol“ auch dahingehend auslegen, dass Datentreuhändermo-
delle erfasst sind. In jedem Fall ist der Verantwortliche davon
abhängig, wie das Datentreuhändermodell konkret vertrag-
lich ausgestaltet ist. Diesem Risiko sollte sich der Verantwort-
liche jedenfalls bewusst sein.
Im Ergebnis ist damit nach jetziger Rechtslage eine Auftrags-
verarbeitung mit einem Unternehmen, welches seinen Sitz in
den USA hat, nicht ohne ein rechtliches Restrisiko möglich.
VII. Fazit und Konsequenzen für die Hochschulpraxis
Die Auftragsverarbeitung ist ein wichtiges Instrument, um
Datenverarbeitungen auszulagern. Die DSGVO sieht einige
Anforderungen vor, denen sowohl bestehende als auch
zukünftige Vereinbarungen genügen müssen. Insbesondere
ist darauf zu achten, dass die technischen Gegebenheiten und
Vereinbarungen keine gemeinsame Verantwortung bedeuten.
Dafür müssen die technische Umgebung und die die geplanten
Verarbeitungen genau dargestellt werden, um eine korrekte
juristische Prüfung vornehmen zu können. Bei Auftragsverar-
beitern mit Sitz in einem Nicht-EU-Land sind zusätzliche Vor-
schriften zu beachten. Ein gewisses Risiko besteht derzeit bei
Auftragsverarbeiter mit Sitz in den USA. Hier muss die weitere
Entwicklung beobachtet und das bestehende Risiko sorgfältig
abgewogen werden.
DFN-Infobrief Recht 04 / 2019 | Seite 13
Impressum
Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende
mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz.
Herausgeber
Verein zur Förderung eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, D-10178 Berlin
E-Mail: DFN-Verein@dfn.de
Redaktion
Forschungsstelle Recht im DFN
Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und
Medienrecht (ITM), Zivilrechtliche Abteilung
Unter Leitung von Prof. Dr. Thomas Hoeren
Leonardo-Campus 9
D-48149 Münster
E-Mail: recht@dfn.de
Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins
und mit vollständiger Quellenangabe.
top related