Google weiß, was Du letzten Sommer getan hastDas OLG Dresden zum „Recht auf Vergessenwerden“ gegenüber

Suchmaschinenbetreibern

Kuschelkurs hat ausgedientIm Fall Knuddels wurde das erste Bußgeld aufgrund von Verstößen gegen die

DSGVO verhängt

Im Auftrag des VerantwortlichenZu den Voraussetzungen und Anforderungen an eine Auftragsverarbeitung nach

Art. 28 DSGVO

04 / 2019April 2019

DFN-Infobrief Recht 04 / 2019 | Seite 2

Google weiß, was Du letzten Sommer getan hast

Das OLG Dresden zum „Recht auf Vergessenwerden“ gegenüber Suchmaschinenbetreibern

von Johannes Baur

Suchmaschinen leisten für die Nutzbarkeit des Internets auch für Angehörige von Hoch-

schulen und Forschungseinrichtungen einen unverzichtbaren Beitrag. Wenn ehrverlet-

zende Inhalte im Internet verbreitet und durch die Suchmaschinen leicht aufgefunden

werden können, ist dies allerdings weniger erfreulich. Um unerwünschten Einträgen in

den Ergebnislisten der Suchdienste zu begegnen, kann sich der Betroffene grundsätz-

lich auf das „Recht auf Vergessenwerden“ in der EU-Datenschutz-Grundverordnung

(DSGVO) berufen. In einem jüngeren Beschluss vom 7. Januar 2019 (Az. 4 W 1149/18)

knüpft das Oberlandesgericht (OLG) Dresden hieran aber bestimmte Anforderungen.

unerwünschten Inhalte auf, so stellen sich viele Betroffene die

Frage, ob nicht das Auffinden der entsprechenden Seiten mit-

tels einer Sperrung durch den Suchmaschinenbetreiber unter-

bunden werden kann. Rechtlich steht hier mit Art. 17 DSGVO

ein Instrument zur Verfügung. Die Norm regelt das „Recht auf

Vergessenwerden“. Demnach kann die von der Datenverarbei-

tung betroffene Person unter bestimmten Voraussetzungen

von dem Verantwortlichen verlangen, dass die sie betref-

fenden personenbezogenen Daten gelöscht werden. Verant-

wortlicher kann dabei grundsätzlich auch der Betreiber einer

Suchmaschine sein. 1Ein Löschungsanspruch besteht grund-

sätzlich dann, wenn für die Speicherung keine Rechtsgrund-

lage (mehr) besteht. Besonders bedeutsam ist der Widerruf

einer vorher erteilten Einwilligung oder wenn die Daten für

die Zwecke, für die sie erhoben wurden, nicht mehr erforder-

lich sind. Ist dies nicht der Fall, so kann der Betroffene Wider-

spruch gegen die Datenverarbeitung einlegen, wenn die Daten

für Direktwerbung genutzt werden oder wenn die Daten auf-

grund eines öffentlichen oder berechtigten Interesses des

Verantwortlichen erhoben wurden und der Verantwortliche

1 Hierzu bereits Thinius, DFN Infobrief Recht 07/2014, „Google, du

musst mich vergessen!“, auch wenn der EuGH hier im Ergebnis den

Löschungsanspruch dennoch ablehnt.

I. Das „Recht auf Vergessenwerden“ in der DSGVO

„Das Internet vergisst nicht!“ Mit diesen oder ähnlichen Wor-

ten wird oft vor den Folgen der Veröffentlichung personenbe-

zogener Daten im Internet gewarnt. Und tatsächlich können

zahlreiche Opfer von Diffamierungen bezeugen, dass die freie

Abrufbarkeit unliebsamer Informationen im Netz die Wie-

derherstellung des guten Rufs erheblich erschwert. Die Ver-

breitung von Falschinformationen kann nicht nur persönlich

verletzend, sondern auch geschäftsschädigend sein. Private

und wirtschaftliche Existenzen können bedroht werden. Aber

selbst dann, wenn personenbezogene Informationen der Wahr-

heit entsprechen, können die Betroffenen ein Interesse daran

haben, dass diese Daten nicht unbegrenzt zum Abruf bereitge-

halten werden. Dies gilt auch für Beschäftigte an Hochschulen

und Forschungseinrichtungen. Die Auffindbarkeit von veral-

teten, unbedeutenden oder gar falschen Informationen über

Wissenschaftler kann ihrer Reputation schaden.

Auffindbar sind die Daten meistens über Suchmaschinen-

dienste. Wird beispielsweise nach dem Namen eines Wis-

senschaftlers gesucht und tauchen in der Ergebnisliste die

DFN-Infobrief Recht 04 / 2019 | Seite 3

keine zwingenden schutzwürdigen Gründe für die Verarbei-

tung nachweisen kann. Unabhängig von einem Widerspruch

besteht ein Löschungsanspruch schließlich auch dann, wenn

die Daten unrechtmäßig erhoben wurden. Regelmäßig werden

Suchmaschinenbetreiber die Daten von Dritten auf den aufzu-

findenden Webseiten aufgrund eines berechtigten Interesses

erheben, womit bei Fehlen eines zwingenden schutzwürdigen

Interesses für die Verarbeitung grundsätzlich ein Widerspruch

des Betroffenen möglich ist.

Eine wichtige Einschränkung erfährt das Recht auf Verges-

senwerden jedoch durch Art. 17 Abs. 3 lit. a DSGVO. Demnach

müssen die Daten nicht gelöscht werden, wenn deren Verar-

beitung zur Ausübung des Rechts auf freie Meinungsäußerung

und Information erforderlich ist. Im Ergebnis ist daher eine

Interessensabwägung vorzunehmen.

II. Links in Suchmaschinen auf ehrverletzende Inhalte

Zu der Frage, wann Suchmaschinenbetreiber zur Sperrung von

Suchergebnissen verpflichtet werden können, hat sich das

OLG Dresden geäußert. Dem vom OLG Dresden zu beurteilen-

den Fall lag der Antrag eines Internetblog-Betreibers zugrunde.

Auf seiner Webseite informiert dieser über Unternehmen und

Kapitalanlagemöglichkeiten. Seine Aktivitäten stießen jedoch

offenbar nicht bei allen auf Gegenliebe. Der Betreiber einer

weiteren Webseite nahm auf das Online-Angebot des Antrag-

stellers Bezug und warnte auf seiner Webseite ausdrücklich

vor diesem. Dabei warf er ihm betrügerische Absichten vor.

Der Antragsteller würde sich für das Schreiben von Artikeln

bezahlen lassen. Unternehmen würden vom Antragsteller

damit erpresst, dass bei Ausbleiben einer Zahlung negative

Rezensionen erfolgen würden. Zudem arbeite er in betrüge-

rischer Absicht mit einem Rechtsanwalt zusammen, um sich

Anteile an Kostenvorschüssen zu sichern. Die Webseite mit

diesen Behauptungen tauchte auch in der Ergebnisliste einer

Suchmaschine auf, wenn nach dem Namen des Antragstellers

gesucht wurde. Der Antragsteller wandte sich daher gegen

den Suchmaschinenbetreiber und forderte, dass bei Eingabe

seines Namens nicht auf die ihm unliebsame Webseite ver-

linkt wird. Der Betreiber der Suchmaschine wies dieses Ansin-

nen hingegen zurück. Die Wahrheit oder Unwahrheit der auf

der Webseite geäußerten Tatsachen ließe sich für ihn nicht

überprüfen. Zudem verlinke er lediglich auf frei zugängliche

Inhalte eines Dritten. Daraufhin stellte der Antragsteller vor

dem Landgericht (LG) Leipzig einen Antrag auf einstweilige

Verfügung, welcher jedoch zurückgewiesen wurde. Auch die

sofortige Beschwerde vor dem LG blieb ohne Erfolg. Daraufhin

wendete sich der Antragsteller an das OLG Dresden. Dieses ließ

die Beschwerde zwar zu, hielt sie jedoch für unbegründet.

III. Die Bedeutung der Meinungs- und Informationszugangsfreiheit

Das OLG Dresden machte zunächst klar, dass der Anspruch aus

Art. 17 Abs. 1 DSGVO grundsätzlich auch gegenüber Suchma-

schinenbetreibern besteht. Erfasst sei ausdrücklich auch das

Entfernen von Links aus der Suchergebnisliste. Eine solche

Löschung sei auch dann möglich, wenn die Inhalte auf die ver-

linkt wird, rechtmäßig sind. Insoweit folgt das Gericht der Linie

des EuGH.

Beachtenswert ist jedoch die Ausnahme des

Art.  17  Abs.  3  lit.  a  DSGVO, nach welcher ein angemessener

Ausgleich zwischen dem Interesse des Betroffenen an der

Löschung und den Grundrechten und Interessen des Verant-

wortlichen und Dritten zu erfolgen habe. In Rede stehen hier

die Grundrechte auf Meinungsfreiheit und Informationszu-

gangsfreiheit (Art. 10 EMRK). Es sei demnach zu prüfen, ob die

Inhalte, auf welche die Suchmaschine verlinkt, erkenntlich

unwahre Tatsachen enthalten oder die Grenze der Schmähkri-

tik überschreiten. Ist dies nicht der Fall, so müsse das Interesse

des Verantwortlichen und der Allgemeinheit an der freien Auf-

rufbarkeit von Informationen überwiegen.

Grundsätzlich spreche nichts gegen eine Auseinandersetzung

mit den Tätigkeiten des Antragstellers. Ob die getätigten Aus-

sagen der Wahrheit entsprechen, sei vom Suchmaschinenbe-

treiber nicht überprüfbar. Eine kritische Auseinandersetzung

müsse aber sachlich bleiben und dürfe nicht in eine „Schmäh-

kritik“ ausarten. Eine solche ließe sich hingegen nur dann

annehmen, wenn keine Auseinandersetzung mehr in der Sache

erfolge, sondern die Diffamierung der Person im Vordergrund

stehe. Eine Kritik an der Person könne dabei aber grundsätz-

lich auch ausfallend, überzogen und im Einzelfall ungerecht

sein, solange die Auseinandersetzung in der Sache erkennbar

bleibt. Das OLG Dresden kommt zu dem Schluss, dass die hier

getätigten Aussagen auf der Webseite zwar ehrverletzend

seien, sich aber dennoch mit der Sache beschäftigten. Im Zen-

DFN-Infobrief Recht 04 / 2019 | Seite 4

trum stünde die Aktivität des Antragstellers als Blogbetreiber

und seine angeblichen Geschäfte zur Finanzierung der Seite.

Kritik an seiner Vorgehensweise habe der Antragsteller auch

dann hinzunehmen, wenn sie scharf formuliert ist.

Suchmaschinenbetreiber seien darüber hinaus in einer beson-

deren Situation. Da die Erstellung von Suchergebnissen auto-

matisiert erfolgt, könne eine Kontrolle der Inhalte nur sehr

eingeschränkt erwartet werden. Sind die Behauptungen nicht

evident falsch, müsse eine nähere Überprüfung von Seiten des

Suchmaschinenbetreibers nicht erfolgen. Die Inhalte stamm-

ten eben nicht vom Betreiber der Suchmaschine, sondern von

den Betreibern der Webseite. Allein durch die Verlinkung in

den Suchergebnissen mache sich der Suchmaschinenbetrei-

ber diese nicht zu eigen. Die Dienstleistung der Suchmaschi-

nen sei für die Nutzung des Internets essentiell. Die Nutzer

sollten frei auf alle verfügbaren Informationen zugreifen kön-

nen. Aus diesen Gründen müssten die Interessen des Betrof-

fenen hinter der Meinungs- und Informationszugangsfreiheit

der Internetnutzer zurückstehen.

IV. Fazit für Hochschulen und Forschungseinrichtungen

Auch die im Betrieb der Hochschulen und Forschungseinrich-

tungen tätigen Personen sind mit ihren Veröffentlichungen

oder Äußerungen dem öffentlichen Diskurs ausgesetzt. Nicht

selten werden sie dabei auch Kritik erfahren. Eine solche muss

in ihrer Form nicht zwingend sozialadäquat sein. Insbeson-

dere bei ehrverletzenden Veröffentlichungen auf fremden

Webseiten wird ein Bedürfnis der Betroffenen bestehen, die

Aufrufbarkeit dieser Inhalte zu unterbinden. Erster Ansprech-

partner sollte dabei aber immer der Betreiber der konkreten

Webseite sein. Handelt es sich nicht um eigene Inhalte des

Webseitenbetreibers, so kann dieser im Rahmen der Störerhaf-

tung grundsätzlich auch für fremde Inhalte haftbar gemacht

werden, sobald er Kenntnis von der Rechtsverletzung hat. Die

Störerhaftung ist für WLAN-Betreiber zwar abgeschafft, für

Webseitenbetreiber aber weiterhin anwendbar.

Sollen die Links zur unerwünschten Webseite auch aus den

Ergebnislisten der Suchmaschinen verschwinden, so ist grund-

sätzlich ein Vorgehen gegen den Suchmaschinenbetreiber

möglich. Das Urteil des OLG Dresden macht aber deutlich,

dass hieran besondere Anforderungen zu stellen sind. Wird

nicht die Grenze der Schmähkritik erreicht und sind die Tatsa-

chen nicht erweislich unwahr, so wird man eine Löschung der

Ergebnisse nicht erzwingen können. Gehen die Äußerungen

aber soweit, dass keine Auseinandersetzung mehr in der Sache

stattfindet und nur noch die Diffamierung des Betroffenen im

Vordergrund steht oder gelingt der Nachweis der Unwahrheit

der behaupteten Tatsachen, kann ein Vorgehen gegen den

Suchmaschinenbetreiber eine gangbare Option darstellen. In

diesem Fall ist es ratsam, sich zur Klärung des Sachverhalts an

das Justiziariat zu wenden.

DFN-Infobrief Recht 04 / 2019 | Seite 5

Kuschelkurs hat ausgedient

Im Fall Knuddels wurde das erste Bußgeld aufgrund von Verstößen gegen die DSGVO verhängt

von Steffen Uphues

Am 21.11.2018 war es soweit: Die Bußgeldstelle des Landesbeauftragten für Datenschutz

und Informationsfreiheit (LfDI) Baden-Württemberg erließ gegen den Betreiber des sozi-

alen Netzwerks Knuddels einen Bußgeldbescheid. Damit machte nach Aussagen des LfDI

Baden-Württemberg zum ersten Mal in Deutschland eine Aufsichtsbehörde von ihrem Recht

aus Art. 58 Abs. 2 lit. i i. V. m. Art. 83 Datenschutz-Grundverordnung (DSGVO) Gebrauch.

§ 40 Abs. 1 BDSG den Landesbehörden zugewiesen. Demnach

sind für die Aufsicht grundsätzlich die LfDIs der jeweiligen

Länder verantwortlich. Sofern ein Verfahren mehrere Bundes-

länder betrifft, findet nach § 40 Abs. 2 BDSG das Begriffsver-

ständnis aus Art. 4 Nr. 16 DSGVO entsprechende Anwendung.

Grundsätzlich ist danach ausschlaggebend, in welchem Bun-

desland sich der Hauptverwaltungsort des Verantwortlichen

befindet. Etwas anderes gilt, sofern die zuständigen Personen

eines anderen Niederlassungsorts befugt sind, eigenständig

und unabhängig vom Hauptverwaltungsort über die Mittel

und Zwecke der relevanten Datenverarbeitung zu entschei-

den und hiervon auch Gebrauch gemacht haben. Sodann gilt

dieser Niederlassungsort als entscheidend. Die Zuständigkeit

des Bundesbeauftragten für Datenschutz und Informations-

freiheit (BfDI) richtet sich nach §§ 9, 19 BDSG.

Während Art. 57 DSGVO den Aufsichtsbehörden zahlreiche Auf-

gaben zuweist, sind in Art. 58 DSGVO diverse Befugnisse nor-

miert. Diese sind untergliedert in Untersuchungsbefugnisse

(Abs. 1), Abhilfebefugnisse (Abs. 2) sowie Genehmigungsbe-

fugnisse (Abs. 3). Nach Erwägungsgrund 129 der DSGVO sollen

diese in allen Mitgliedstaaten gleichermaßen geltenden Befug-

nisse sicherstellen, dass die Vorschriften der Verordnung ein-

heitlich auf Einhaltung und Durchsetzung überprüft werden.

In vielen Konstellationen ist den jeweiligen Personen nicht

bewusst, dass Verantwortliche gegen Vorschriften der DSGVO

verstoßen und sie hiervon betroffen sind. Die Untersuchungs-

befugnisse aus Abs. 1 stehen den Aufsichtsbehörden aus

I. Hintergrund

Im konkreten Fall verpflichtete der LfDI Baden-Württemberg

den Betreiber von Knuddels aufgrund eines Verstoßes gegen

die in Art. 32 DSGVO normierten Vorschriften zur Datensicher-

heit zu einer Zahlung von 20.000 €. Dabei erwähnte er explizit

das kooperative Verhalten des sozialen Netzwerks, welches

sich nach Bekanntwerden eines Hackerangriffs an die Behörde

gewandt hatte und in der Folge in der Zusammenarbeit bemüht

war, die internen Vorkehrungen zur Sicherheit der Nutzerda-

ten erheblich zu verbessern. Dies könnte eine Blaupause für

Unternehmen und Einrichtungen sein, gegen die aufgrund von

Verstößen gegen die DSGVO ebenfalls ein Bußgeldverfahren

eröffnet wird. Der Beitrag thematisiert zunächst die verschie-

denen Befugnisse der Aufsichtsbehörden und insbesondere

die Regelungen zur Geldbuße. Daran anschließend wird der

Knuddels-Fall dargestellt und geschildert, welche Lehren Ver-

antwortliche (gemeint sind für die Datenverarbeitung Verant-

wortliche i. S. v. Art. 4 Nr. 7 DSGVO) daraus ziehen können.

II. Zuständigkeit und Befugnisse der Aufsichtsbehörden

Die Vorschriften aus Art. 55, 56 DSGVO normieren die Zustän-

digkeit der für die Umsetzung der Verordnung entscheidenden

Aufsichtsbehörden, vorbehaltlich einer weiteren Ausgestal-

tung durch nationale Gesetze. In Deutschland ist die Zustän-

digkeit vom Grundprinzip des Föderalismus geprägt und nach

DFN-Infobrief Recht 04 / 2019 | Seite 6

diesen Gründen „von Amts wegen“ zu. Dies meint, dass das

Tätigwerden der Aufsichtsbehörden – um einen effektiven

Grundrechtsschutz der Betroffenen zu ermöglichen – keinerlei

Mitwirkung der betroffenen Person bedarf. Verantwortliche

einer Datenverarbeitung sind im Zuge einer Untersuchung ins-

besondere verpflichtet, der Aufsichtsbehörde alle relevanten

Informationen zur Verfügung zu stellen (lit. a). Daneben kann

diese unter anderem Datenschutzüberprüfungen anstellen

(lit. b), was eine Kontrolle aller Vorgänge rund um die Daten-

verarbeitung von personenbezogenen Daten ermöglicht.

Um bereits erfolgte Verstöße gegen die DSGVO zu sanktionie-

ren oder um im Hinblick auf bevorstehende Verstöße präventiv

einzugreifen, stehen den Aufsichtsbehörden in Abs. 2 zahlrei-

che Abhilfebefugnisse zu. So kann etwa bei bevorstehenden

Tätigkeiten des Verantwortlichen, welche voraussichtlich als

Verstoß zu werten sind, eine Warnung ausgesprochen werden

(lit. a). Bei bereits erfolgten Verstößen reichen die Maßnah-

men von einer (sehr milden) Verwarnung (lit. b) bis hin zu einer

Beschränkung/Untersagung (lit. f) bzw. Löschungsanordnung

(lit. g) im Zusammenhang mit rechtswidrigen Datenverarbei-

tungen. Nach lit. i kann der Verantwortliche darüber hinaus

– zusätzlich oder statt der Anwendung anderer Maßnahmen –

mit einer Geldbuße nach Art. 83 DSGVO belegt werden.

Art. 83 DSGVO regelt die Bedingungen für die Verhängung von

Geldbußen. Anders als die bislang in der europäischen Daten-

schutz-Richtlinie in Art. 24 abstrakt formulierten Vorgaben,1

verfolgen die detaillierten Ausführungen in Art. 83 DSGVO

das Ziel, unionsweit einen einheitlichen Standard bezüglich

der Sanktion von Verstößen zu erreichen. Die präzisen Formu-

lierungen der Norm decken sich mit den in Erwägungsgrund

11 der DSGVO festgehaltenen Absichten. Für eine Konkreti-

sierung bezüglich der Höhe der Geldbuße sorgen die Ausfüh-

rungen in Art. 83 Abs. 4-6 DSGVO. Diese Absätze bestimmen,

welche unterschiedlichen Höchstgrenzen bei den jeweiligen

Verstößen festgelegt sind.

Das Verhängen von Bußgeldern kann aus verschiedenen – sich

gegenseitig nicht ausschließenden – Motiven erfolgen. Zum

einen kommt der Aspekt der Generalprävention in Betracht,

1 „Die Mitgliedstaaten ergreifen geeignete Maßnahmen, um die volle

Anwendung der Bestimmungen dieser Richtlinie sicherzustellen, und

legen insbesondere die Sanktionen fest, die bei Verstößen gegen die

zur Umsetzung dieser Richtlinie erlassenden Vorschriften anzuwen-

den sind.“

welcher den Schutz der Allgemeinheit verfolgt. Eine posi-

tive Generalprävention besteht dabei darin, den Bürgern das

Gefühl zu vermitteln, die bestehenden Regelungen kommen

auch tatsächlich zur Anwendung. Gerade in der momentanen

Situation, in der ein effektiver und wirkungsvoller Schutz per-

sonenbezogener Daten von vielen angezweifelt wird, kann

durch das Verhängen einer Geldbuße vermittelt werden,

dass die zuständigen Aufsichtsbehörden sich der Sensibilität

des Themas bewusst und gewillt sind, von ihren Befugnisse

zum Erreichen eines höheren Datenschutzniveaus vollends

Gebrauch zu machen. Die negative Generalprävention meint,

dass das Auferlegen von Sanktionen wie einer Geldbuße

andere Verantwortliche dazu herausfordern kann, sich ihrer-

seits rechtskonform zu verhalten, um nicht dieselbe Maß-

nahme zu erleiden. Im Rahmen der Spezialprävention steht der

einzelne (Verantwortliche) im Mittelpunkt. Die positive Spezi-

alprävention soll Anreize zur Verbesserung des Verhaltens bie-

ten. An dieser Stelle ist eine Kompromissbereitschaft (auch)

auf Seiten der Aufsichtsbehörde gefragt. So sollte mit Blick auf

die Verhältnismäßigkeit der Geldstrafe (Art. 83 Abs. 1 DSGVO)

darüber nachgedacht werden, ob anstelle einer Geldbuße

auch eine mildere Maßnahme wie etwa eine Verwarnung in

Betracht kommt. Bei der negativen Spezialprävention ist hin-

gegen die persönliche Abschreckungswirkung im Fokus. Hier

können empfindliche Geldbußen ein geeignetes Mittel sein,

um den Verantwortlichen von einem wiederholten Verstoß

gegen die Vorschriften abzuhalten.

Die Verhängung einer Geldbuße als Abhilfemaßnahme kommt

gegenüber Behörden und sonstigen öffentlichen Stellen grund-

sätzlich nicht in Betracht. Zwar ist es nach Art. 83 Abs. 7 DSGVO

jedem Mitgliedstaat gestattet, festzulegen, ob und in welchem

Umfang diesbezüglich Geldbußen verhängt werden können. In

Deutschland wurde von dieser Öffnungsklausel jedoch kein

Gebrauch gemacht. Vielmehr stellt § 43 Abs. 3 BDSG klar, dass

gegen Behörden und sonstige öffentliche Stellen im Sinne

von § 2 Abs. 1 BDSG keine Geldbußen verhängt werden. Etwas

anderes gilt nur für die Konstellation des § 2 Abs. 5 BDSG, in der

öffentliche Stellen als öffentlich-rechtliche Unternehmen am

Wettbewerb teilnehmen.

III. Der Fall Knuddels

Das soziale Netzwerk Knuddels wurde 1999 ins Leben gerufen

und bietet seinen Nutzern die Möglichkeit, miteinander zu

DFN-Infobrief Recht 04 / 2019 | Seite 7

chatten. Hiervon machen trotz vieler Konkurrenzdienste, wel-

che über größere Netzwerkeffekte und in der Folge über mehr

Nutzer verfügen, laut eigenen Angaben des sozialen Netz-

werks immer noch etwa zwei Millionen Personen Gebrauch.

In der Folge eines Hackerangriffs im Juli 2018 wurden 1.872.000

Pseudonyme und Passwörter im Internet veröffentlicht. Hinzu

kamen über 800.000 Mail-Adressen, wobei hiervon lediglich

320.000 verifiziert waren. Nachdem das Unternehmen mit Sitz

in Karlsruhe dies bemerkt hatte, meldete es den Vorgang der

zuständigen Aufsichtsbehörde, dem LfDI Baden-Württemberg.

Daneben wurden die Nutzer, den Vorgaben der DSGVO ent-

sprechend, ebenfalls über die Vorfälle in Kenntnis gesetzt.

Im Laufe des Verfahrens hat sich Knuddels nach den Anga-

ben der Aufsichtsbehörde kooperativ und einsichtig gezeigt.

Durch die Offenlegung interner Datenverarbeitungsprozesse

hat sich herausgestellt, dass das Unternehmen die Passwörter

zwar seit 2012 als Hashwerte2 , daneben aber ebenfalls immer

noch im Klartext speicherte. Hierin lag ein Verstoß gegen

Art. 32 Abs. 1 lit. a DSGVO, da dieses Vorgehen den Anforderun-

gen hinsichtlich der Pseudonymisierung und Verschlüsselung

von personenbezogenen Daten nicht gerecht wurde. Beim

Abspeichern im Klartext besteht in Folge eines Hackerangriffs

die Möglichkeit, direkt auf die Passwörter zuzugreifen. Fina-

ler Auslöser des Datenlecks war nach Angaben von Knuddels

letztendlich wohl ein „Backupserver, auf dem nicht die neu-

este Betriebssystemversion installiert war“. Die ungehashte

Version der Daten wurde mittlerweile gelöscht.

Die Aufsichtsbehörde verhängte am Ende des Verfahrens

aufgrund des Verstoßes gegen die in Art. 32 DSGVO vorge-

schriebene Datensicherheit gegen den Betreiber des sozialen

Netzwerks ein Bußgeld in Höhe von 20.000 €. Bezüglich der Höhe

des Betrags fanden verschiedene Aspekte Berücksichtigung.

Zunächst einmal lag der Höchstwert nach Art. 83 Abs. 4 lit. a bei

10.000.000 € bzw. bei 2 % des gesamten Jahresumsatzes des vor-

angegangenen Geschäftsjahres. Sodann hatte die Aufsichtsbe-

hörde – wie in jedem Verfahren – die individuellen Umstände

dieses Falls anhand der Kriterien aus Art. 83 Abs. 2 DSGVO zu

berücksichtigen. Daneben muss die Entscheidung über das

Verhängen einer Geldbuße und über die Höhe einer solchen

nach Art. 83 Abs. 1 DSGVO stets verhältnismäßig sein. Der LfDI

2 Hashing bezeichnet ein Verfahren, bei dem Daten zerlegt und in

eine Datenstruktur eingepflegt werden. Die hierdurch entstehenden

Hashwerte ermöglichen es, einzelne Elemente schneller zu finden

und helfen bei der Ver- und Entschlüsselung von Daten.

Baden-Württemberg machte in seiner Stellungnahme deut-

lich, dass er zum einen die generelle finanzielle Belastung für

das Unternehmen berücksichtige. Ebenso eindeutig ließ er

verlauten, dass die zügige und sorgfältige Umsetzung seiner

Empfehlungen und Vorgaben durch Knuddels Eingang in die

Überlegung zur Höhe der Geldbuße gefunden hat. Wenngleich

das Unternehmen durch das Speichern im Klartext den techni-

schen Standards in erheblichem Maße nicht Genüge getragen

hat, so ist in die Gewichtung mit aufzunehmen, dass Knud-

dels nach den Informationen des LfDI Baden-Württemberg

gewichtige finanzielle Maßnahmen zur Verbesserung ihres

IT-Sicherheitssystems ergriffen hat. Im Jahr 2016 erzielte das

Unternehmen einen Umsatzerlös von etwa 1.700.000 €. Die

Geldbuße entspricht somit etwa 1,2 % des Jahresumsatzes.

IV. Fazit und Konsequenzen für die Praxis in wissenschaftlichen Einrichtungen

Die Entscheidung des LfDI Baden-Württemberg im Fall Knud-

dels und die zugrundeliegende Erörterung zeigt auf, in wel-

chem Spannungsfeld sich die Aufsichtsbehörden bewegen.

Die Abhilfebefugnisse aus Art. 58 Abs. 2 DSGVO haben teilweise

kooperativen Charakter, so etwa vor allem die Warnung (lit. a)

oder die Verwarnung (lit. b). Auf dem anderen Ende der Skala

steht eben die Geldbuße (lit. i), welche erhebliche Folgen für

den Verantwortlichen mit sich bringen kann.

Als Konsequenz aus dem beschriebenen Verfahren lässt sich

ziehen, dass die internen Abläufe der Datenverarbeitung

regelmäßig auf ihre Vereinbarkeit mit den aktuellen techni-

schen Standards überprüft werden sollten. Das Unternehmen

Knuddels hatte im Jahr 2012 auf eine Speicherung der Pass-

wörter als Hash umgestellt. Die Passwörter verblieben jedoch

zugleich im Klartext, um sich einer Funktion zu bedienen, die

Nutzer daran hinderte, ihr Passwort über das soziale Netzwerk

zu versenden. Diese Speicherung hätte so nicht mehr erfol-

gen dürfen, weshalb es folgerichtig und notwendig erscheint,

dass dieser Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO eine Geld-

buße nach sich zog und nicht mit einer milderen Maßnahme

bedacht wurde.

Während Knuddels an dieser Stelle einen Fehler begangen hat,

den es strengstens zu vermeiden gilt, ist das Verhalten nach

Bekanntwerden des Hackerangriffs vorbildlich und sollte auch

für Hochschuleinrichtungen, welche in das Visier von Auf-

DFN-Infobrief Recht 04 / 2019 | Seite 8

sichtsbehörden geraten, ein Beispiel sein. Um eine möglichst

milde und erträgliche Maßnahme auferlegt zu bekommen

und ebenso aus Gründen der Datensicherheit sollte folgen-

des beachtet werden: Die eigenen Prozesse sind auf fehler-

haftes Verhalten in Bezug auf die technischen Standards zur

Datensicherheit zu überprüfen. In der Folge sollte eine offene

Kommunikation mit der zuständigen Aufsichtsbehörde erfol-

gen. Daneben muss bei Verstößen – schon um den Vorschrif-

ten der DSGVO gerecht zu werden – neben der Meldung an

die Aufsichtsbehörde auch eine Information der betroffenen

Personen erfolgen. Des Weiteren sollten die Vorgaben und

Empfehlungen der Aufsichtsbehörde beachtet und effektiv

umgesetzt werden. Womöglich sind diesbezügliche auch nicht

unerhebliche finanzielle Investitionen in die Infrastruktur

erforderlich. Zwar ist zu beachten, dass öffentliche Stellen

wie bereits erwähnt nach § 43 Abs. 3 BDSG grundsätzlich keine

Adressaten von Bußgeldern sind. Dennoch gilt: Am besten lässt

man es gar nicht erst zu einem Verstoß kommen. Schließlich

droht neben den Maßnahmen der zuständigen Aufsichtsbe-

hörde auch ein Reputationsverlust, sofern ein Verstoß durch

Pressemitteilungen an die Öffentlichkeit gelangt.

DFN-Infobrief Recht 04 / 2019 | Seite 9

Im Auftrag des Verantwortlichen

Zu den Voraussetzungen und Anforderungen an eine Auftragsverarbeitung nach

Art. 28 DSGVO

von Matthias Mörike

Im Dezember 2018 verhängte der Hamburger Datenschutzschutzbeauftragte gegen eine

dort ansässige Beratungsfirma ein Bußgeld in Höhe von 5000 Euro. Grund dafür war, dass die

Beratungsfirma zwar Kundendaten von einem externen Dienstleister verarbeiten ließ, aber

keine Auftragsverarbeitung vereinbart hatte. Der Fall zeigt, dass das Thema Auftragsverar-

beitung zunehmend im Fokus der Behörden steht. Die externe Verarbeitung von personen-

bezogenen Daten ist gleichzeitig ein relevantes Thema für Wissenschaftsreinrichtungen. Im

Folgenden sollen daher die Voraussetzungen und Anforderungen näher erläutert werden.

I. Grundlagen und Abgrenzung

Es kann viele Gründe für den Wunsch geben, personenbezo-

gene Daten nicht selbst, sondern durch einen Dritten verar-

beiten zu lassen. Mangelnde personelle Ressourcen, fehlendes

Know-How oder gesteigerte Effizienz sind nur einige davon.

Die Datenschutz-Grundverordnung (DSGVO) trägt diesem

Wunsch Rechnung: Ein Verantwortlicher kann alle Verarbei-

tungen, zu denen er selbst berechtigt ist, auch durch einen

Auftragsverarbeiter durchführen lassen - sofern alle Anfor-

derungen nach Art. 28 DSGVO erfüllt sind. Der Auftragsverar-

beiter gilt dann als „verlängerter Arm“ des Verantwortlichen.

Der Auftraggeber bleibt Verantwortlicher. Man sollte daher

nicht dem Trugschluss unterliegen, dass eine Auslagerung

der Datenverarbeitung auch die Auslagerung der juristischen

Verantwortlichkeit bedeutet. Die DSGVO sieht als Kooperati-

onsmodell neben der Auftragsverarbeitung auch die Möglich-

keit der gemeinsamen Verantwortlichkeit vor, was nach alter

Rechtslage in Deutschland nicht der Fall war. Die Abgrenzung

der beiden Möglichkeiten ist insofern ein neuer und wichtiger

Aspekt, der sogleich näher beleuchtet wird.

II. Alte Rechtslage

Die Auftragsverarbeitung ist kein neues Instrument. Schon

nach alter Rechtslage vor Geltung der DSGVO bestand die

Möglichkeit, Daten im Auftrag von externen Personen durch-

führen zu lassen (beispielsweise nach § 11 BDSG a. F.). Im Ver-

gleich zur alten Rechtslage wurden die Verantwortlichkeiten

des Auftraggebers und des Auftragnehmers präzisiert, aus-

gedehnt und zum Teil auch bewusst überlappend normiert.

Durch doppelte Verantwortlichkeiten soll die tatsächliche

Einhaltung aller Datenschutzvorschriften gestärkt werden. Da

nunmehr auch das neue Kooperationsmodell der gemeinsa-

men Verantwortlichkeit besteht, sollten bestehende Auftrags-

verarbeitungsverträge sorgfältig geprüft und gegebenenfalls

angepasst werden.

III. Voraussetzungen der Auftragsverarbeitung

Ob eine Auftragsverarbeitung vorliegt, liegt nicht allein im

Ermessen der Parteien. Mit anderen Worten liegt nicht allein

deshalb eine Auftragsverarbeitung vor, weil die Parteien

DFN-Infobrief Recht 04 / 2019 | Seite 10

ihren Vertrag damit überschrieben haben. Vielmehr wird die

Frage, ob eine Auftragsverarbeitung vorliegt, objektiv danach

beurteilt, was die Parteien konkret vereinbart haben und wie

sie konkret zusammenarbeiten. Entscheidend ist dabei die

Bestimmung über Zweck und Mittel der Datenverarbeitung:

Eine Auftragsverarbeitung liegt nur vor, wenn der Auftraggeber

selbst über Zweck und Mittel der Datenverarbeitung entschei-

det, dem Auftragsverarbeiter also alle Weisungen in Bezug auf

die Verarbeitung erteilen kann und auch tatsächlich erteilt.

Werden die Bestimmungen nicht einseitig, sondern gemein-

sam festgelegt, liegt keine Auftragsdatenverarbeitung, son-

dern eine gemeinsame Datenverarbeitung vor, die sich nach

Art. 26 DSGVO richtet. Dass dies gerade unter der DSGVO leicht

geschehen kann, hat das Urteil des Europäischen Gerichtshofs

beim Betrieb einer Facebook-Fanpage gezeigt.1 In der prakti-

schen Handhabung ist zu empfehlen, dass zunächst die tech-

nischen Gegebenheiten genau untersucht und die geplanten

Verarbeitungsvorgänge genau beschrieben werden. Auf dieser

Grundlage kann dann eine juristische Prüfung dahingehend

erfolgen, ob eine Auftragsverarbeitung möglich ist und beja-

hendenfalls welche Vereinbarungen vorgenommen werden

müssen.

Der Verantwortliche benötigt wie immer für die Verarbeitung

der personenbezogenen Daten eine Rechtsgrundlage nach

Art. 6 DSGVO (beispielsweise eine Einwilligung). Das gilt auch

für die Verarbeitung, die er im Auftrag durchführen lässt. Hier

wird die Tätigkeit des Verarbeiters dem Verantwortlichen sozu-

sagen zugerechnet, sodass zu fragen ist, ob der Verantwortli-

che sich auf eine Rechtsgrundlage stützen kann, wenn er die

Verarbeitung selbst vornehmen würde. Es bedarf dann keiner

weiteren Rechtsgrundlage aus Art. 6 DSGVO, um die Daten an

den Auftragsverarbeiter zu übermitteln bzw. diesem offenzule-

gen. Sofern eine Rechtsgrundlage für die Verarbeitung besteht

und alle Voraussetzungen des Art. 28 DSGVO vorliegen, ist die

Auftragsverarbeitung rechtmäßig. Selbstverständlich darf die

Verarbeitung im Rahmen des Auftrags nicht weiter gehen als

die Rechtsgrundlage es dem Verantwortlichen gestattet. Liegt

beispielsweise als Rechtsgrundlage eine Einwilligung vor, dür-

fen mittels der Auftragsverarbeitung nur solche Daten verar-

beitet werden, auf die sich die Einwilligung bezieht.

1 Siehe Baur, Auch aus kleiner Kraft folgt große Verantwortung, DFN-

Infobrief 08/2018.

IV. Vertrag

Die Weisungsgebundenheit ist ein zentrales Element einer

Auftragsdatenverarbeitung. Sie sollte unbedingt im Vertrag

zwischen Verantwortlichem und Auftragsverarbeiter festge-

schrieben werden. Insbesondere größere Auftragsverarbeiter

sehen häufig nicht die Notwendigkeit, sich den Weisungen

des Auftraggebers zu unterwerfen. Das ist aber unbedingt

erforderlich, anderenfalls liegt in aller Regel eine gemeinsame

Verantwortlichkeit nach Art. 26 DSGVO vor, die ganz andere

Pflichten mit sich bringt. Auch kann, wie eingangs erwähnt,

eine Sanktion der Aufsichtsbehörde erfolgen, wenn kein Ver-

trag geschlossen wurde. Darüber hinaus muss der Vertrag

zwingend die in Art. 28 Abs. 3 DSGVO aufgelisteten Elemente

enthalten, wie beispielsweise die Pflicht, nur nach dokumen-

tierter Weisung des Verantwortlichen zu handeln (lit. a) oder

die Pflicht, technische und organisatorische Schutzmaßnah-

men zu treffen (lit. c). Einige Aufsichtsbehörden haben dafür

Checklisten2 und Mustervorlagen3 erstellt, die eine gute Ori-

entierung geben. Nach Abs. 9 muss der Vertrag schriftlich oder

im elektronischen Format vorliegen. Dies ist wichtig, um die

Regelkonformität der Auftragsdatenverarbeitung auch gegen-

über der Aufsichtsbehörde nachweisen zu können.

V. Pflichten des Verantwortlichen

Den Verantwortlichen trifft die Pflicht, den Verarbeiter sorg-

fältig auszuwählen (Art. 28 Abs. 1 DSGVO). Dabei kann er seine

Entscheidung gem. Art. 28 Abs. 5 DSGVO auch auf Zertifikate

und Verhaltensregeln des Auftragnehmers stützen. Entschei-

dend ist, dass der Auftragsverarbeiter dafür Gewähr bietet,

die Verarbeitung im Einklang mit der DSGVO vorzunehmen.

Nur so ist zu rechtfertigen, dass der Verantwortliche die Daten

nicht selbst verarbeitet, sondern einen Dritten einbezieht und

dadurch ein erhöhtes datenschutzrechtliches Risiko schafft.

Der Verantwortliche muss den Auftragsverarbeiter allerdings

auch während der laufenden Verarbeitung kontrollieren.

Dafür muss der Auftragsverarbeiter dem Verantwortlichen alle

nötigen Informationen zur Verfügung stellen, um nachzuwei-

sen, dass er seine Pflichten erfüllt. Daneben muss er Überprü-

fungen durch den Verantwortlichen oder einen beauftragten

Prüfer dulden, die diese auch im Rahmen von Inspektionen

2 https://www.datenschutz-bayern.de/technik/orient/oh_auftrags-

verarbeitung.pdf

3 https://www.lda.bayern.de/media/muster_adv.pdf

DFN-Infobrief Recht 04 / 2019 | Seite 11

vor Ort durchführen können. Möchte der Auftragsverarbeiter

weitere Unterauftragnehmer einsetzen, ist dies grundsätzlich

möglich, bedarf aber der Genehmigung des Verantwortlichen

(Art. 28 Abs. 2 DSGVO). Außerdem müssen die Voraussetzungen

der Auftragsdatenverarbeitung auch im Verhältnis zum Sub-

unternehmer bestehen.

VI. Auftragsverarbeiter mit Sitz im Ausland

Die DSGVO gestattet auch, Auftragsverarbeiter in Anspruch

zu nehmen, die ihren Sitz im Ausland haben. Sofern der Sitz in

einem EU-Staat ist, gelten keine Besonderheiten, da dort die

DSGVO ebenfalls gilt. Soll ein Auftragsverarbeiter genutzt wer-

den, der seinen Sitz in einem Nicht-EU-Staat (Drittland) hat, so

gelten für die Übermittlung an den Auftragsverarbeiter zusätz-

lich die Bestimmungen der Art. 44 ff. DSGVO. Demnach muss

für das Drittland entweder ein Angemessenheitsbeschluss

der EU-Kommission (Art. 45 DSGVO) vorliegen oder es wurden

geeignete Garantien im Sinne des Art. 46 DSGVO zwischen dem

Verantwortlichen und dem Auftragsverarbeiter vereinbart.

Als dritte Option können noch ausnahmsweise die Erlaubnis-

gründe aus Art. 49 DSGVO, beispielsweise eine Einwilligung

des Betroffenen, einschlägig sein.

Hinsichtlich des Vereinigten Königreichs ist zu beachten, wie

sich die rechtliche Ausgestaltung der Beziehungen zur EU ent-

wickeln wird. Im Extremfall, ohne jegliches Abkommen, gilt

das Vereinigte Königreich dann auch als Drittland.

Hinsichtlich der USA stellt sich die Lage derzeit als schwierig

dar. Gem. Art. 28 DSGVO dürfen nur solche Auftragsverarbeiter

eingesetzt werden, die garantieren können, dass sie im Ein-

klang mit den Bestimmungen der DSGVO handeln. Auftragsver-

arbeiter, die ihren Sitz in den USA haben, können dem Zugriff

US-amerikanischer Behörden unterliegen. Speziell Microsoft

wehrte sich vor kurzem gegen ein solches Herausgabeverlan-

gen einer staatlichen US-Behörde. Microsofts Hauptargument

lautete, dass die angeforderten Daten nicht in den USA, son-

dern in Irland gespeichert waren. Einen solchen Zugriff auf

Daten außerhalb der USA sah der Patriot Act, der Grundlage

für das Herausgabeverlangen war, nicht vor. Bevor der Fall

vom Supreme Court entschieden werden konnte, änderte

sich durch den Cloud Act allerdings die Rechtslage in den USA.

Demnach sind Daten immer dann an eine US-Behörde her-

auszugeben, wenn das aufgeforderte Unternehmen diese im

Besitz oder sonst unter Kontrolle hat. Die Tatsache, dass die

Daten nicht in den USA gespeichert sind, spielt dann keine

Rolle mehr. Problematisch daran ist, dass die entsprechen-

den Vorschriften des Cloud Act4 derzeit nicht im Einklang

mit Art. 48 DSGVO stehen. Dieser regelt genau den Fall, wann

ausländische Behörden auf Daten bei Auftragsverarbeitern

zugreifen dürfen. Voraussetzung ist unter anderem, dass eine

in Kraft befindliche internationale Übereinkunft vorliegt. Der

Cloud Act sieht zwar vor, dass die USA mit anderen Regierun-

gen sogenannte Executive Agreements abschließen. Allerdings

wurde ein solches bisher nicht mit der EU abgeschlossen und

zudem bestehen erhebliche Zweifel, ob ein solches Agreement

überhaupt eine Übereinkunft im Sinne des Art. 48 DSGVO dar-

stellen kann. Es besteht zwar die Möglichkeit, dass Daten-

übermittlungen von Auftragsverarbeitern an US-Behörden im

Einzelfall auch über andere Rechtsgrundlagen, beispielsweise

Art. 49 Abs. 1 lit. e) DSGVO, stattfinden können und dann mit

der DSGVO in Einklang stehen würden. Diese Optionen sind

im Moment jedoch ebenfalls nicht rechtssicher. Daher kön-

nen Auftragsverarbeiter mit Sitz in den USA derzeit nicht ohne

Risiko beauftragt werden.

Die Tatsache, dass sich das Unternehmen an die im Privacy-

Shield-Abkommen festgelegten Bestimmungen hält, ändert an

diesem Problem nichts. Dieses Abkommen ist wichtig, wenn es

um die Zulässigkeit von Datenübermittlungen an Unterneh-

men in Drittländer geht und ist derzeit eine gültige Rechts-

grundlage für Datenübermittlungen in die USA. Es ändert

jedoch nicht die Anforderungen an den Auftragsverarbeiter,

welche auch Art. 48 DSGVO umfassen.

Verschiedene datenverarbeitende Unternehmen mit Sitz in

den USA versuchen derzeit, Geschäftsmodelle zu etablieren,

die möglicherweise nicht den Bestimmungen des Cloud Acts

unterfallen, womit keine Konflikte mit Art. 48 DSGVO mehr

bestehen würden. Ein solches Modell ist beispielsweise ein

sogenannter „Datentreuhänder“. In diesem Fall kooperieren

Unternehmen mit Sitz in den USA mit Unternehmen mit Sitz

in der EU und lassen durch diese die Datenverarbeitungen

vornehmen. Ziel ist es, dass der US-Partner keine Kontrolle

über die Daten hat, sodass die Vorgaben des Cloud Acts nicht

vorliegen dürften. Auch hier besteht allerdings ein rechtli-

ches Restrisiko, da nicht abzusehen ist, wie US-amerikanische

4 https://www.congress.gov/bill/115th-congress/senate-bill/2383/

text

DFN-Infobrief Recht 04 / 2019 | Seite 12

Gerichte die entsprechenden Bestimmungen des Cloud Acts

auslegen werden („provider’s possession, custody, or control“).

Es ist nicht völlig fernliegend, dass Gerichte den Begriff „con-

trol“ auch dahingehend auslegen, dass Datentreuhändermo-

delle erfasst sind. In jedem Fall ist der Verantwortliche davon

abhängig, wie das Datentreuhändermodell konkret vertrag-

lich ausgestaltet ist. Diesem Risiko sollte sich der Verantwort-

liche jedenfalls bewusst sein.

Im Ergebnis ist damit nach jetziger Rechtslage eine Auftrags-

verarbeitung mit einem Unternehmen, welches seinen Sitz in

den USA hat, nicht ohne ein rechtliches Restrisiko möglich.

VII. Fazit und Konsequenzen für die Hochschulpraxis

Die Auftragsverarbeitung ist ein wichtiges Instrument, um

Datenverarbeitungen auszulagern. Die DSGVO sieht einige

Anforderungen vor, denen sowohl bestehende als auch

zukünftige Vereinbarungen genügen müssen. Insbesondere

ist darauf zu achten, dass die technischen Gegebenheiten und

Vereinbarungen keine gemeinsame Verantwortung bedeuten.

Dafür müssen die technische Umgebung und die die geplanten

Verarbeitungen genau dargestellt werden, um eine korrekte

juristische Prüfung vornehmen zu können. Bei Auftragsverar-

beitern mit Sitz in einem Nicht-EU-Land sind zusätzliche Vor-

schriften zu beachten. Ein gewisses Risiko besteht derzeit bei

Auftragsverarbeiter mit Sitz in den USA. Hier muss die weitere

Entwicklung beobachtet und das bestehende Risiko sorgfältig

abgewogen werden.

DFN-Infobrief Recht 04 / 2019 | Seite 13

Impressum

Der DFN-Infobrief Recht informiert über aktuelle Entwicklungen in Gesetzgebung und Rechtsprechung und daraus resultierende

mögliche Auswirkungen auf die Betriebspraxis im Deutschen Forschungsnetz.

Herausgeber

Verein zur Förderung eines Deutschen Forschungsnetzes e. V.

DFN-Verein

Alexanderplatz 1, D-10178 Berlin

E-Mail: DFN-Verein@dfn.de

Redaktion

Forschungsstelle Recht im DFN

Ein Projekt des DFN-Vereins an der WESTFÄLISCHEN WILHELMS-UNIVERSITÄT, Institut für Informations-, Telekommunikations- und

Medienrecht (ITM), Zivilrechtliche Abteilung

Unter Leitung von Prof. Dr. Thomas Hoeren

Leonardo-Campus 9

D-48149 Münster

E-Mail: recht@dfn.de

Nachdruck sowie Wiedergabe in elektronischer Form, auch auszugsweise, nur mit schriftlicher Genehmigung des DFN-Vereins

und mit vollständiger Quellenangabe.