Zusammenfassung
Im vierten Kapitel wurden die rechtlichen Rahmenbedingungen des Identitätsmanagements in der Cloud dargelegt. Im Rahmen des sechsten Kapitels geht es nunmehr darum, diese zu konkretisieren. Es stellt sich insbesondere die Frage, zu welchen konkreten Maßnahmen die zuvor erörterten Rechtsgrundlagen die am Identitätsmanagement Beteiligten verpflichten. Zur Beantwortung dieser Frage werden zunächst die generellen Anforderungen an Cloud-Anbieter und Nutzer näher erläutert. Dies betrifft insbesondere die sich aus TMG und BDSG ergebenden Pflichten. Sodann wird auf branchenspezifische Anforderungen für die Kreditwirtschaft, die Sozialversicherungs- und Berufsgeheimnisträger eingegangen.
Notes
- 1.
- 2.
- 3.
Siehe Borges, in: Borges, Internet-Auktion, S. 402; Koch, NJW 2004, 801, 806; Libertus, MMR 2005, 507, 511; Wagner, in: MüKo-BGB, § 823 Rn. 48 a.E.; Weller, NJW 2007, 960, 961; differenzierend Hossenfelder, S. 93 f.
- 4.
- 5.
Djeffal, MMR 2015, 716, 719.
- 6.
- 7.
Siehe unten 5.
- 8.
- 9.
- 10.
- 11.
Siehe etwa bei Amazon Web Services https://aws.amazon.com/iam/details/mfa/ (zuletzt abgerufen am 12.12.2017). Teilweise bieten aber auch große Internetdienste, wie etwa eBay, die Nutzung sicherer Authentifizierungssysteme nicht einmal optional an, siehe http://pages.ebay.de/help/account/securing-account.html (zuletzt abgerufen am 12.12.2017).
- 12.
Jandt/Schaar/Schulz, in: Roßnagel, Recht der Telemediendienste, § 13 TMG Rn. 109; Schmitz, in: Hoeren/Sieber/Holznagel, Teil 16.2. F. III. Rn. 241; wohl auch: Müller-Broich, Telemediengesetz, § 13 TMG Rn. 7.
- 13.
Gerlach, CR 2015, 581, 582.
- 14.
Djeffal, MMR 2015, 715, 718 ff.; Gerlach, CR 2015, 581, 583; Höltge, ITRB 2016, 47. Im Ergebnis auch Schreibauer/Spittka, ITRB 2015, 240, 243; wohl auch Schmidt, ITRB 2016, 116, 117.
- 15.
BT-Drs. 18/4096, S. 34.
- 16.
Vgl. die Untersuchung in Kap. 5, die nahelegt, dass in verschiedenen Szenarien verschiedene Authentifizierungssysteme eingesetzt werden sollten.
- 17.
- 18.
Vgl. Djeffal, MMR 2015, 715, 720.
- 19.
BT-Drs. 18/4096, S. 34 f.
- 20.
So zu erforderlichen Authentisierungssystemen nach § 9 BDSG: Borges, Identitätsnachweis, S. 186; ders., Heilberufe, S. 75 (zur Parallelvorschrift des § 78a SGB X); Brennscheidt, S. 91. Allgemein zur Datensicherung nach § 9 BDSG: Ernestus, in: Simitis, § 9 BDSG Rn. 27; Däubler, in: D/K/W/W, § 9 BDSG Rn. 25.
- 21.
So auch Schmidt, ITRB 2016, 116, 117. Vgl. zu § 9 BDSG: Borges, Identitätsnachweis, S. 186; Borges et al., Identitätsdiebstahl, S. 298; Brennscheidt, S. 91.
- 22.
So im Ergebnis auch Schmidt, ITRB 2016, 116, 117.
- 23.
Abrufbar unter: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/technischerichtlinien_node.html (zuletzt abgerufen am 13.12.2017). Zur Authentisierung und Authentifizierung bei Nutzung von eID-Karten: https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03124/index_htm.html; https://www.bsi.bund.de/DE/Publikationen/TechnischeRichtlinien/tr03130/tr-03130.html (jeweils zuletzt abgerufen am 13.12.2017).
- 24.
BT-Drs. 18/4096, S. 35.
- 25.
Siehe etwa BSI, IT-Grundschutzkataloge, M 4.133, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04133.html; BSI, IT-Grundschutzkataloge, M 4.392, abrufbar unter: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m04/m04392.html (jeweils zuletzt abgerufen am 13.12.2017).
- 26.
BT-Drs. 18/4096, S. 34.
- 27.
Siehe dazu unten 2.2.1.3.
- 28.
Siehe Kompetenzzemtrum Trusted Cloud, Arbeitspapier Nr. 9 – Schutzklassen in der Datenschutz-Zertifizierung, S. 13 ff., abrufbar unter: http://www.aktionsprogramm-cloud-computing.de/media/content/150402_Arbpapier_Nr_9_Schutzklassen_Datenschutz_gesamt_RZ_Ansicht_EZ.pdf (zuletzt abgerufen am 13.12.2017).
- 29.
Siehe Kompetenzzemtrum Trusted Cloud, Arbeitspapier Nr. 9 – Schutzklassen in der Datenschutz-Zertifizierung (Fn. 28), S. 13 ff.
- 30.
Vgl. Kompetenzzemtrum Trusted Cloud, Arbeitspapier Nr. 9 – Schutzklassen in der Datenschutz-Zertifizierung (Fn. 28), S. 13 ff.
- 31.
Gerlach, CR 2015, 581.
- 32.
Borges et al., Identitätsdiebstahl, S. 299.
- 33.
- 34.
Siehe unten 5.
- 35.
- 36.
Insoweit wäre zu fragen, ob § 13 Abs. 7 TMG nicht nur einen Mindest- sondern auch einen Höchststandard in Bezug auf das erforderliche Sicherheitsniveau statuieren möchte. Grundsätzlich können deliktische Verkehrspflichten im Einzelfall höhere Anforderungen aufstellen als spezialgesetzliche Normen, vgl. dazu Borges, Identitätsnachweis, S. 143 f.
- 37.
- 38.
Laue/Stiemerling, DuD 2010, 692, 695.
- 39.
So etwa Borges, in: Borges, Internet-Auktion, S. 403 zu Internet-Auktionshäusern.
- 40.
BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing, S. 43.
- 41.
LG Karlsruhe, Urt. v. 14.06.2013, 6 O 310/12, BeckRS 2013, 10817 Rn. 53.
- 42.
Kramer/Meints, in: Hoeren/Sieber/Holznagel, Teil 16.5 F. I. 4. Rn. 61; Schmidl, NJW 2010, 476; Schultze-Melling, CR 2005, 73, 74; vgl. zum Umfang der korrespondierenden deliktischen Verkehrspflicht auch Borges, Identitätsnachweis, S. 194; Werner, S. 147.
- 43.
Hossenfelder, S. 83.
- 44.
Gaycken/Karger, MMR 2011, 3, 8; Hennrich, CR 2011, 546, 548.
- 45.
Rath/von Barby, in: Umnuß, Kapitel 7 B. I. Rn. 9.
- 46.
Roth-Neuschild, ITRB 2013, 213, 216.
- 47.
Borges, NJW 2012, 2385, 2388; ders., Identitätsnachweis, S. 198 f.; ders., in: Borges, Internet-Auktion, S. 401; Borges et al., Identitätsdiebstahl, S. 295; Berger, in: Jauernig, Anm zu §§ 675 k-675m BGB Rn 3; Maihold, in: Schimansky/Bunte/Lwowski, 2. Abschnitt § 55 III. 4. Rn. 55.
- 48.
Borges, Identitätsnachweis, S. 200; ders., in: Borges, Internet-Auktion, S. 401; Borges et al., Identitätsdiebstahl, S. 297.
- 49.
Vgl. hierzu Borges, Identitätsnachweis, S. 199 f.
- 50.
Borges, in: Borges, Internet-Auktion, S. 401.
- 51.
BGH, NJW 2008, 3714, 3715 Rn. 17; OLG Brandenburg, MMR 2006, 107, 108; Borges, Identitätsnachweis, S. 195; ders., in: Borges, Internet-Auktion, S. 399; Dieselhorst, ITRB 2009, 52.
- 52.
Borges, in: Borges, Internet-Auktion, S. 399; vgl. zur Haftung für die Verletzung sonstiger Rechtsgüter auch BGH, MMR 2013, 185, 187; NJW 2004, 3102, 3105; Heckmann, jurisPR-ITR 11/2012 Anm. 3; Rössel, CR 2013, 229; Sesing, in: Borges, Internet-Auktion, S. 343.
- 53.
- 54.
LG Köln, MMR 2007, 337.
- 55.
Hossenfelder, S. 180; vgl. hinsichtlich der Nutzung von Online-Banking auch Borges, Identitätsnachweis, S. 160; zu bestehenden Verkehrspflichten des Nutzers ebenso Borges et al., Identitätsdiebstahl, S. 272; Borges, in: Borges, Internet-Auktion, S. 405; Werner, S. 145.
- 56.
Borges, Identitätsnachweis, S. 161; Borges et al., Identitätsdiebstahl, S. 274; Hossenfelder, S. 180; hinsichtlich der Pflicht zur Aktualisierung einschränkend Dienstbach/Mühlenbrock, K&R 2008, 151, 154.
- 57.
Borges, in: Borges, Internet-Auktion, S. 406; Werner, S. 163; a.A. Bunte, AGB-Banken, 4. Teil V. B. Nr. 7 Rn. 79; Hossenfelder, S. 180, die eine Errichtungspflicht grundsätzlich bejahen.
- 58.
So etwa bei LG Frankfurt, Urt. v. 26.09.2005 – 2/25 O 614/03; LG Berlin, Urt. v. 11.08.2009 – 37 O 4/09; AG Frankfurt, Urt.l v. 16.01.2007 – 30 C 1774/06; vgl. hierzu auch Bunte, 4. Teil II. B. I. 2. Rn. 70; Haertlein, in: MüKo-HGB, Recht des Zahlungsverkehrs, E. II. 3. Rn. E 60; vgl. zu diesem Aspekt außerdem sogleich unten.
- 59.
Vgl. hierzu BGH, GRUR 2009, 597, 598, Rn. 18; Borges, NJW 2005, 3313, 3315; Haase/Hawellek, Heise Online-Recht, Kapitel VI. 2.4 Rn. 11; Leistner, GRUR-Beil. 2010, 1, 6.
- 60.
So i. E. auch KG Berlin, Urt. v. 20.06.2013 – 8 U 233/12.
- 61.
BGH, NJW 2004, 3623; LG Berlin, NJW-RR 2011, 352, 353; AG Frankfurt, BKR 2003, 514, 517; vgl. auch Lochter/Schindler, MMR 2006, 292, 296 Rn. 33: „Dass das Notieren der PIN auf der Karte oder das Mitführen einer Notiz im Klartext grob fahrlässig ist, versteht sich von selbst“.
- 62.
So auch für den bankrechtlichen Sektor Maihold, in: Schimansky/Bunte/Lwowski,2. Abschnitt 9. Kapitel § 55 VI. 4. Rn. 130; Spindler, BB 2004, 2766, 2767; ähnlich BGH, CR 2001, 77, 78; strenger Casper, in: MüKo-BGB, § 675 l Rn. 14, der eine Art „Kodierung“ fordert.
- 63.
Vgl. hierzu überblicksartig Bunte, 3. B. I. 2. Nr. 6 IV. Rn. 70 ff.; Haertlein, in: MüKo-HGB, Recht des Zahlungsverkehrs, E. II. 3. Rn. E 56 ff.; Maihold, in: Schimanski/Bunte/Lwowski, § 54 VI. 4. Rn. 73 ff.
- 64.
So etwa LG Halle, Urt. v. 27.10.2000 – 14 O 97/00; AG Charlottenburg, Urt. v. 16.12.2002 – 202 C 177/02; Haertlein, in: MüKo-HGB, Recht des Zahlungsverkehrs, E. II. 3. Rn. E 61.
- 65.
Siehe 5.
- 66.
Siehe BGHZ 180, 134.
- 67.
- 68.
Gleichfalls skeptisch Borges et al., Identitätsdiebstahl, S. 230.
- 69.
Vgl. zum bankrechtlichen Kontext Borges, Identitätsnachweis, S. 159; zu Online-Handelsplattformen Borges et al., Identitätsdiebstahl, S. 228.
- 70.
Vgl. oben 2.1.2.2.
- 71.
Vgl. hierzu Stadler, in: Jauernig, § 309 BGB Rn. 8 f.; Schulte-Nölke, in: Schulze u. a., § 309 BGB Rn. 24 f.
- 72.
BGH, NJW 2002, 673, 674; NJW 1990, 761, 764.
- 73.
Wurmnest, in: MüKo-BGB, § 307 Rn. 72.
- 74.
BGH, NJW-RR 2005, 1496, 1505.
- 75.
BGH, DNotZ 2013, 354, 365 f.; NJW-RR 1989, 953, 956; NJW 1985, 3016, 3018; vgl. auch Mueller/Bohne, § 6 Nr. 1; Wurmnest, in: MüKo-BGB, § 309 Nr. 7 Rn 30.
- 76.
OLG Hamm, Urt. v. 09.12.2004 – 21 U 58/04.
- 77.
- 78.
- 79.
Borges, in: Borges/Meents, § 7 Rn. 124; Brennscheidt, S. 87; Kremer, ITRB 2014, 60, 62. Vgl. auch Fallgruppen der internationalen Auftragsdatenverarbeitung, Handreichung des Düsseldorfer Kreises zur rechtlichen Bewertung, 19.04.2007, S. 15.
- 80.
Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 1; Karg, in: Wolff/Brink, § 9 BDSG Rn. 1; Plath, in: Plath, § 9 BDSG Rn. 1.
- 81.
Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 1; Wedde, in: D/K/W/W, § 9 BDSG Rn. 29.
- 82.
Ernestus, in: Simitis, § 9 BDSG Rn. 23.
- 83.
Vgl. hierzu oben 2.1.1.
- 84.
Wedde, in: D/K/W/W, § 9 Rn. 19.
- 85.
Schultze-Melling, in: Taeger/Gabel, § 9 BDSG Rn. 25; vgl. auch Kompetenzzemtrum Trusted Cloud, Arbeitspapier Nr. 9 – Schutzklassen in der Datenschutz-Zertifizierung (Fn. 28), S. 13 f.
- 86.
Ernestus, in: Simitis, § 9 BDSG Rn. 27.
- 87.
Karg, in: Wolff/Brink, § 9 BDSG Rn. 105.
- 88.
Vgl. oben 2.1.1.1.1.2.
- 89.
Ernestus, in: Simitis, § 9 BDSG Rn. 38.
- 90.
So auch Ernestus, in: Simitis, § 9 BDSG Rn. 40.
- 91.
Ernestus, in: Simitis, § 9 BDSG Rn. 20; Karg, in: Wolff/Brink, § 9 BDSG Rn. 68 f.; Wedde, in: D/K/W/W, § 9 BDSG Rn 17.
- 92.
Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 19; Kramer/Meints, in: Hoeren/Sieber/Holznagel, Teil 16.5 Datensicherheit Rn. 69.
- 93.
Plath, in: Plath, § 9 BDSG Rn. 12.
- 94.
Ernestus, in: Simitis, § 9 BDSG Rn. 22.
- 95.
Wedde, in: D/K/W/W, § 9 BDSG Rn. 47.
- 96.
Wedde, in: D/K/W/W, § 9 BDSG Rn. 47.
- 97.
Ernestus, in: Simitis, § 9 BDSG Rn. 97 ff.; Wedde, in: D/K/W/W, § 9 BDSG Rn. 47.
- 98.
Eine gesetzliche Ausnahme gilt insoweit für die Bestellung des Datenschutzbeauftragten, wenn höchstens 9 Personen mit der Datenverarbeitung befasst sind, vgl. § 4f BDSG.
- 99.
Vgl. etwa die modulare, nicht abschließende Darstellung von Sicherheitsmaßnahmen im IT-Grundschutz-Katalog des BSI, abrufbar unter https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/kataloge.html (zuletzt abgerufen am 13.12.2017) sowie das Schutzklassenkonzept der Trusted Cloud Zertifizierung: Kompetenzzemtrum Trusted Cloud, Arbeitspapier Nr. 9 – Schutzklassen in der Datenschutz-Zertifizierung (Fn. 28), S. 13 f.
- 100.
Karg, in: Wolff/Brink, § 9 BDSG Rn. 70.
- 101.
Borges, Identitätsmissbrauch, S. 186; ders., Heilberufe S. 70 ff.; Borges et al., S. 206 f.; Brennscheidt, S. 91; Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 23; Plath, in: Plath, § 9 BDSG Rn. 35.
- 102.
Borges, Identitätsmissbrauch, S. 187.
- 103.
Ernestus, in: Simitis, § 9 BDSG Rn. 96 ff; Gola/Klug/Körffer, in: Gola/Schomerus,§ 9 BDSG Rn. 23; Plath, in: Plath, § 9 BDSG Rn. 35.
- 104.
Siehe bereits Borges, Heilberufe, S. 83.
- 105.
Siehe 2.2.1.1.
- 106.
Siehe 2.1.1.1.1.1.
- 107.
Lotz/Wendler, CR 2016, 31, 35 möchten die Möglichkeit der Einwilligung auch auf die technisch-organisatorischen Maßnahmen ausdehnen. Diese Ansicht hat jedoch für die hier untersuchte Konstellation nur geringe Relevanz: Selbst wenn ihr gefolgt werden sollte, dürfte eine Abbedingung des § 9 BDSG in der Praxis keine merklichen Auswirkungen haben. Zum einen wäre es meist unwirtschaftlich, die Daten der Einwilligenden und der Ablehnenden unterschiedlich zu behandeln. Zum anderen wäre eine solche Einwilligung in AGB regelmäßig als unangemessene Benachteiligung sowie als überraschende Klausel zu bewerten (a.A. wohl Lotz/Wendler, CR 2016, 31, 35).
- 108.
Vgl. hierzu oben 2.1.1.
- 109.
BGH, NJW 2008, 3775, 3777; NJW-RR 2003, 1459, 1460; NJW 1987, 372, 373; Borges, Identitätsnachweis, S. 142.
- 110.
BGH, NJW-RR 2003, 1459, 1460; NJW 1987, 372, 373; Borges, Identitätsnachweis, S. 143; Förster, in: BeckOK-BGB, § 823 Rn. 339; Hager, in: Staudinger, § 823 Rn. E 34.
- 111.
- 112.
Gola/Klug/Körffer, in: Gola/Schomerus, § 11 BDSG Rn. 20; Spindler/Nink, in: Spindler/Schuster, § 11 BDSG Rn. 18; Thüsing/Granetzny, in: Thüsing, § 16 IV. 2. Rn. 29.
- 113.
Borges/Brennscheidt, in: Borges/Schwenk, Identitätsschutz, S. 65 f.; Brennscheidt, S. 103 f.
- 114.
Spoerr, in: Wolff/Brink, § 11 BDSG Rn. 94.
- 115.
Spoerr, in: Wolff/Brink, § 11 BDSG Rn. 94.
- 116.
Borges, DuD 2012, 165, 166.
- 117.
Borges, DuD 2012, 165, 166; ders., in: Borges/Meents, § 7 Rn. 77 ff.; Golland, DSB 2014, 213; Schröder/Haag, ZD 2011, 147, 149; Selzer, DuD 2013, 215, 218 f.; Weichert, DuD 2010, 679, 683.
- 118.
Borges, DuD 2012, 165, 166.
- 119.
Warius, in: Herzog/Achtelik, § 9 GWG Rn. 122.
- 120.
Wolfgarten, in: Boos/Fischer/Schulte-Mattler, § 25b KWG Rn. 69.
- 121.
Siehe dazu IBM, Cloud Computing for Banking, S. 4, abrufbar unter: http://www-935.ibm.com/services/multimedia/Cloud_Computing_for_Banking__Janvier_2013.pdf (zuletzt abgerufen am 13.12.2017).
- 122.
Siehe nur LG Nürnberg-Fürth, Urt. v. 28.04.2008, 10 O 11391/07, BeckRS 2008, 26304; Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 342; Borges et al., S. 296; Karper, DuD 2006, 215, 217; Kind/Werner, CR 2006, 353, 357.
- 123.
- 124.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 342; Kind/Werner, CR 2006, 353, 358; Recknagel, S. 195 f.
- 125.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 342.
- 126.
In diese Richtung Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 347.
- 127.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 347.
- 128.
KG, MMR 2011, 338, 339; siehe dazu Borges, NJW 2012, 2385, 2388.
- 129.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 343; Schulte am Hülse/Klabunde, MMR 2010, 84, 88; Spindler, Verantwortlichkeit von IT-Herstellern, Nutzern und Intermediären, Studie im Auftrag des BSI, S. 214; Willershausen, in: jurisPR-BKR, 10/2011, Anm. 4.
- 130.
Köbrich, VuR 2015, 9.
- 131.
Siehe Fn. 99.
- 132.
Hannemann/Schneider/Weigl, AT 7.2 Tz. 2; Hellstern, in: Luz/Neus/Schaber/Schneider/Wagner/Weber, § 25a Rn. 104.
- 133.
- 134.
Vgl. hierzu oben 2.2.1.1.
- 135.
So wohl Rammos/Vonhoff, CR 2013, 265, 269.
- 136.
So aber Bieresborn, in: v. Wulffen/Schütz, § 78a SGB X Rn 7.
- 137.
Borges, Heilberufe, S. 83.
- 138.
- 139.
Kroschwald/Wicker, CR 2012, 758, 763.
- 140.
- 141.
Vgl. das Beispiel im Gesetzesentwurf der Bundesregierung, Begründung, S. 37. Dieses wird zwar zur Änderung der Bundesrechtsanwaltsordnung (neuer § 43e BRAO) angeführt. Dieser wurde allerdings parallel zu § 203 StGB ausgestaltet und stellt ebenso auf eine „Erforderlichkeit“ der Auslagerung ab. Insofern ist anzunehmen, dass diese Wertung des Gesetzesgebers auch auf die Änderung bei § 203 StGB übertragbar ist.
- 142.
- 143.
Schliesky, NVwZ 2003, 1322, 1325 f.; vgl. auch Petersen, LKV 2010, 344, 345.
- 144.
Kment, MMR 2012, 220, 221.
- 145.
Roßnagel, NJW 2013, 2710, 2714.
- 146.
Der Landesbeauftragte für den Datenschutz Niedersachsen (Hrsg.), Datenschutzgerechtes eGovernment, 2002, S. 67.
- 147.
Siehe oben 2.2.1.3.
- 148.
Vgl. zur Digitalisierung der Grundbücher in Polen MMR-Aktuell 2010, 311222.
- 149.
Bernhardt/Heckmann, in: jurisPK-Internetrecht, Kapitel 6 A. II. 2. Rn. 25; vgl. auch Püls, DNotZ-Sonderheft 2012, 120, 130.
- 150.
Bund-Länder-Kommission für Datenverarbeitung und Rationalisierung in der Justiz, CR 2009, S5, S11; sogar eher auf eine inhaltliche Beeinflussung abstellend Bernhardt/Heckmann, in: jurisPK-Internetrecht, Kapitel 6 A. II. 2. Rn. 30.
- 151.
Bernhardt/Heckmann, in: jurisPK-Internetrecht, Kapitel 6 A. II. 2. Rn. 26.
- 152.
Bund-Länder-Kommission für Datenverarbeitung und Rationalisierung in der Justiz,CR 2009, S5, S11.
- 153.
Vgl. oben 3.1.2.
- 154.
- 155.
- 156.
Ausgegangen wird hier vom Verbraucherbegriff des § 13 BGB. Danach ist Verbraucher jede natürliche Person, die ein Rechtsgeschäft zu Zwecken abschließt, die überwiegend weder ihrer gewerblichen noch ihrer selbständigen beruflichen Tätigkeit zugerechnet werden können.
- 157.
- 158.
Siehe zur Ermittlung des Schutzbedarfs von Daten oben 2.1.1.1.1.3.
- 159.
- 160.
Siehe oben 2.1.1.1.1.2.
- 161.
Siehe oben 2.1.1.1.1.2.
- 162.
- 163.
Siehe oben 2.1.1.1.1.2.
- 164.
- 165.
- 166.
- 167.
- 168.
Ellenberger, in: Palandt, § 172 BGB Rn. 18.
- 169.
BGH, NJW 2011, 2421, 2422; Borges, Identitätsnachweis, S. 133; ders., NJW 2011, 2400, 2401 ff.; ders., in: Derleder/Knops/Bamberger, § 11 Rn. 294; Ellenberger, in: Palandt, § 172 BGB Rn. 18; Linardatos, BKR 2015, 96, 98.
- 170.
Siehe zu abweichenden Ansichten in der Literatur Schilken, in: Staudinger, § 167 BGB Rn. 31.
- 171.
BGH, NJW 2011, 2421, 2422; ähnlich bereits BGH, NJW 2002, 2325, 2327; NJW 2007, 987, 988.
- 172.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 293.
- 173.
BGH, NJW 2011, 2421, 2422; ähnlich bereits BGH, NJW 2006, 1971, 1972; NJW 2007, 987, 989.
- 174.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 296.
- 175.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 297; ders., NJW 2011, 2400, 2401; ders., in: Borges, Internet-Auktion, S. 390 f. Siehe auch Canaris, S. 491.
- 176.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 298.
- 177.
BGH, NJW 2011, 2421, 2422; OLG Köln, NJW 2006, 1676, 1677; LG Bonn, MMR 2002, 255, 257; LG Bonn, CR 2004, 218 220. Siehe auch Herresthal, K&R 2008, 705, 706; Kuhn, S. 217 f.; Rieder, S. 309.
- 178.
LG Darmstadt, BKR 2014, 480, 482.
- 179.
BGH, NJW 2011, 2421, 2422.
- 180.
LG Aachen, CR 2007, 605; AG Saarbrücken, BeckRS 2008, 07470; Herresthal, K&R 2008, 705, 708; Hoffmann, in: Leible/Sosnitza, Rn. 177.
- 181.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 298; ders., NJW 2011, 2400, 2402; ders., in: Borges, Internet-Auktion, S. 390 f.
- 182.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 300; ders., in: Borges, Internet-Auktion, S. 390 f.
- 183.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 302; ders., NJW 2011, 2400, 2401 f.; ders., in: Borges, Internet-Auktion, S. 392.
- 184.
OLG Schleswig, CR 2011, 52; Brückner, S. 91; Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 304; Borges et al., S. 256; Herresthal, K&R 2008, 705, 708; Müller-Brockhausen, S. 157.
- 185.
BGH, NJW 2011, 2421, 2423 Rn. 19.
- 186.
BGH, NJW 2011, 2421, 2423 Rn. 20.
- 187.
LG Darmstadt, BKR 2014, 480, 482.
- 188.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 303.
- 189.
- 190.
Siehe Borges, in: Borges, Internet-Auktion, S. 411.
- 191.
BGH, MMR 2004, 812, 814; BKR 2012, 128, 129; OLG Frankfurt, MMR 2009, 856; LG Würzburg, BKR 2011, 526, 527; AG Hannover, CR 1997, 742, 743; AG Osnabrück, NJW 1998, 688; vgl. hierzu auch Borges, Identitätsnachweis, S. 234.
- 192.
Vgl. hierzu BGH, NJW 2013, 1092, 1095; Bacher, in: BeckOK-ZPO, § 284 ZPO Rn. 98; Prütting, in: MüKo-ZPO, § 286 ZPO Rn. 65.
- 193.
OLG Köln, MMR 2002, 813, 814; OLG Hamm, NJW 2007, 611; OLG Bremen, MMR 2012, 593, 594; siehe auch Biallaß, ZUM 2007, 397, 398; Borges, NJW 2005, 3313, 3317; ders., in: Borges, Internet-Auktion, S. 412 f.; ders., Identitätsnachweis, S. 239; Borges et al., S. 310 f.; Hartmann, in: Baumbach/Lauterbach/Albers/Hartmann, Anh. § 286 ZPO Rn. 101; Hecht, K&R 2009, 462, 464; Heiderhoff, in: Heiderhoff/Zmij, S. 97, 105 f.; Hoffmann, NJW 2004, 2569, 2571; Neubauer/Steinmetz, in: Hoeren/Sieber/Holznagel, Teil, 14 B. V. 1. Rn. 59; Noack/Kremer, AnwBl 2004, 602, 604; Roßnagel/Hornung, DöV 2009, 301, 303, Fn. 22; Wiebe, in: Spindler/Wiebe, Kap. 4 Rn. 61.
- 194.
Borges, in: Borges, Internet-Auktion, S. 411; Casper, in: MüKo-BGB, § 675w Rn. 20; Köbrich, VuR 2015, 9, 12; Maihold, in: Schimansky/Bunte/Lwowski, § 55 Rn. 85.
- 195.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 392.
- 196.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 382.
- 197.
Borges, in: Borges, Internet-Auktion, S. 411; ders., Identitätsnachweis, S. 237; für das eTAN- und mTAN-Verfahren ebenso LG Köln, NJW 2014, 3735, 3736 (mTAN); MüKo-BGB-Casper, § 675w Rn. 20; strenger Maihold, in: Schimansky/Bunte/Lwowski, § 55 Rn. 85; für das mTAN, SmartTAn plus und SmartTAN optic-Verfahren Köbrich, VuR 2015, 9, 12.
- 198.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 391.
- 199.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 391.
- 200.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 393.
- 201.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 393.
- 202.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 394; vgl. Borges, Identitätsnachweis, S. 242 zum Anscheinsbeweis bei der Verwendung der elektronischen Signatur sowie Borges, NJW 2010, 3334, 3338 zum Anscheinsbeweis bei der Verwendung des elektronischen Identitätsnachweises.
- 203.
Borges, in: Derleder/Knops/Bamberger, § 11 Rn. 394; Borges, Identitätsnachweis, S. 242; ders., NJW 2010, 3334, 3338.
Literatur
Bamberger, Heinz Georg/Roth, Herbert: Beck’scher Online-Kommentar BGB, 41. Edition, Stand: 01.11.2016, München 2016.
Baumbach, Adolf/Lauterbach, Wolfgang/Albers, Jan/Hartmann, Peter: Zivilprozessordnung, 74. Aufl., München 2016.
Biallaß, Isabelle Désirée: Anmerkung zu OLG Hamm, Urteil vom 16. November 2006 – 28 U 84/06, ZUM 2007, 397–399.
Boos, Karl-Heinz/Fischer, Reinfrid/Schulte-Mattler, Hermann: Kreditwesengesetz, 5. Aufl., München 2016.
Borges, Georg/Meents, Jan Geert: Cloud Computing. Rechtshandbuch, München 2016.
Borges, Georg/Schwenk, Jörg/Stuckenberg, Carl-Friedrich/Wegener Christoph: Identitätsdiebstahl und Identitätsmissbrauch im Internet. Rechtliche und technische Aspekte, Berlin 2011.
Borges, Georg: Cloud Computing und Datenschutz. Zertifizierung als Ausweg aus einem Dilemma, DuD 2012, 165–169.
Borges, Georg: Der neue Personalausweis und der elektronische Identitätsnachweis, NJW 2010, 3334–3339.
Borges, Georg: Haftung für Identitätsmissbrauch im Online-Banking, NJW 2012, 2385–2389.
Borges, Georg: Rechtliche Aspekte der Internetportale für Heilberufe. Zugang, Beweis, Datensicherung, Baden-Baden 2007.
Borges, Georg: Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, Baden-Baden 2011.
Borges, Georg: Rechtsfragen der Internet-Auktion, 2. Aufl., Baden-Baden 2014.
Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313–3117.
Borges, Georg: Rechtsscheinhaftung im Internet, NJW 2011, 2400–2403.
Brennscheidt, Kirstin: Cloud Computing und Datenschutz, Baden-Baden 2013.
BSI, Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing, abrufbar unter: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile&v=6 (zuletzt abgerufen am 13.12.2017).
Bunte, Herrmann-Josef, AGB-Banken, 4. Aufl., München 2015.
Däubler, Wolfgang/Klebe, Thomas/Wedde, Peter/Weichert, Thilo: BDSG, 5. Aufl., Frankfurt am Main 2016.
Derleder, Peter/Knops, Kai-Oliver/Bamberger, Heinz Georg, Deutsches und europäisches Bank- und Kapitalmarktrecht, 3. Aufl., Berlin Heidelberg 2017.
Dienstbach, Paul H./Mühlenbrock, Tobias: Haftungsfragen bei Phishing-Angriffen. Zugleich Kommentar zu LG Köln, K&R 2008, 151–155.
Dieselhorst, Jochen: Beweislast für Schutzmaßnahmen gegen Rechtsverletzungen, ITRB 2009, 52.
Gaycken, Sandro/Karger, Michael: Entnetzung statt Vernetzung. Paradigmenwechsel bei der IT-Sicherheit, MMR 2011, 3–8.
Gerlach, Carsten: Sicherheitsanforderungen für Telemediendienste – der neue § 13 Abs. 7 TMG, CR 2015, 581–589.
Gola, Peter/Schomerus, Rudolf: Bundesdatenschutzgesetz, 12. Aufl., München 2015.
Habersack, Mathias: Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 5, 6. Aufl., München 2013.
Hannemann, Ralf/Schneider, Andreas/Weigl, Thomas: MaRisk, 4. Aufl., Stuttgart 2013.
Hecht, Florian: Verantwortlichkeit für Benutzerkonten im Internet. Zugleich Kommentar zu BGH, Urteil vom 11.03.2009 – I ZR 114/06, K&R 2009, 401 ff., K&R 2009, 462–464.
Heckmann, Dirk: juris Praxiskommentar Internetrecht, 4. Aufl., Saarbrücken 2014.
Heiderhoff, Bettina/Zmij, Grzegorz: Law of E-Commerce in Poland and Germany, München 2005.
Heidrich, Joerg/Forgó, Nikolaus/Feldmann, Thorsten: Heise Online Recht, Hannover 2009.
Hennrich, Thorsten: Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546–552.
Herresthal, Carsten: Haftung bei Account-Überlassung und Account-Missbrauch im Bürgerlichen Recht, K&R 2008, 705–711.
Herzog, Felix/Achtelik, Olaf: Geldwäschegesetz, 2. Aufl., München 2014.
Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd: Handbuch Multimedia-Recht, Loseblatt, 43. Aufl., Stand: Juli 2016, München 2016.
Hoffmann, Helmut: Die Entwicklung des Internet-Rechts bis Mitte 2004, NJW 2004, 2569–2576.
Hossenfelder, Martin: Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen, Baden-Baden 2013.
Jandt, Silke/Nebel, Maxi: Die elektronische Zukunft der Anwaltstätigkeit. Rechtsprobleme beim Outsourcing von Scan-Dienstleistungen, NJW 2013, 1570–1575.
Jauernig, Othmar: BGB, 16. Aufl., München 2015.
Karper, Irene: Sorgfaltspflichten beim Online-Banking — Der Bankkunde als Netzwerkprofi? Zur möglichen Neubewertung des Haftungsmaßstabs, DuD 2006, 215–219.
Kind, Michael/Werner, Dennis: Rechte und Pflichten im Umgang mit PIN und TAN, CR 2006, 353–360.
Kment, Martin: Verwaltungsrechtliche Instrumente zur Ordnung des virtuellen Raums. Potenziale und Chancen durch E-Government, MMR 2012, 220–225.
Köbrich, Thomas: Pishing 2.0 – Ein Überblick über die zivilrechtlichen Streitstände, VuR 2015, 9–14.
Koch, Robert: Haftung für die Weiterverbreitung von Viren durch E-Mails, NJW 2004, 801–807.
Kremer, Sascha: Leistungsketten in der Auftragsdatenverarbeitung. Anforderungen an die Einbeziehung von (Unter-)Unterauftragnehmern nach dem BDSG, ITRB 2014, 60–66.
Kroschwald, Steffen/Wicker, Magda: Kanzleien und Praxen in der Cloud – Strafbarkeit nach § 203 StGB, CR 2012, 758–764.
Krüger, Wolfgang: Münchener Kommentar zum Bürgerlichen Gesetzbuch, Band 2, 7. Aufl., München 2016.
Laue, Philip/Stiemerling, Oliver: Identitäts- und Zugriffsmanagement für Cloud Computing Anwendungen. Technisch-organisatorische Probleme, Rechtliche Risiken und Lösungsansätze, DuD 2010, 692–697.
Leible, Stefan/Sosnitza, Olaf: Versteigerungen im Internet, 2004.
Leistner, Matthias: Störerhaftung und mittelbare Schutzrechtsverletzung, GRUR-Beil. 2010, 1–32.
Libertus, Michael: Zivilrechtliche Haftung und strafrechtliche Verantwortlichkeit bei unbeabsichtigter Verbreitung von Computerviren, MMR 2005, 507–512.
Linardatos, Dimitrios: Die Rechtscheinhaftung im Zahlungsdiensterecht– Zugleich eine Anm. zu LG Darmstadt, Urt. v. 28.08.2014 – 28 O 36/14, BKR 2015, 96–100.
Lochter, Manfred/Schindler, Werner: Missbrauch von PIN-gestützten Transaktionen mit ec- und Kreditkarten aus Gutachtersicht, MMR 2006, 292–297.
Luz, Günther/Neus, Werner/Schaber, Mathias/Schneider, Peter/Wagner, Claus-Peter/Weber, Max: KWG, 3. Aufl., Stuttgart 2015.
Mueller, Ulf/Bohne, Michael: Providerverträge, München 2005.
Müller-Brockhausen, Michael: Haftung für den Missbrauch von Zugangsdaten im Internet, Baden-Baden 2014.
Müller-Broich, Jan D. : Telemediengesetz, Baden-Baden 2012.
Noack, Ulrich/Kremer, Sascha: Online-Auktionen: „ebay-Recht“ als Herausforderung für den Anwalt, AnwBl 2004, 602–604.
Palandt, Otto: Bürgerliches Gesetzbuch, 75. Aufl., München 2016.
Petersen, Christin: Einheitlicher Ansprechpartner und Datenschutz, LKV 2010, 344–349.
Plath, Kai-Uwe: BDSG, 2. Aufl., Köln 2016.
Püls, Joachim: Die digitale Verschwiegenheitspflicht: Datenschutz und Datensicherheit im Notariat, DNotZ-Sonderheft 2012, 120–132.
Rammos, Thanos/Vonhoff, Hans: Cloud Computing und Sozialdatenschutz. Rechtliche Rahmenbedingungen für den Einsatz von Cloud Computing-Diensten im Sozialleistungssektor, CR 2013, 265–272.
Rauscher, Thomas/Krüger, Wolfgang: Münchener Kommentar zur Zivilprozessordnung mit Gerichtsverfassungsgesetz und Nebengesetzen, 4. Aufl., München 2013.
Redeker, Helmut: Cloud Computing in der öffentlichen Hand und § 203 StGB. Öffentlich-rechtliche Datenverarbeitung in der Cloud: strafrechtliche Fragen und Lösungsmöglichkeiten, ITRB 2014, 232–234.
Rössel, Markus: Filterpflichten in der Cloud. Vom Wortfilter der Sharehoster zum Crawler für Linkportale, CR 2013, 229–236.
Roßnagel, Alexander: Auf dem Weg zur elektronischen Verwaltung – Das E-Government-Gesetz, NJW 2013, 2710–2716.
Roßnagel, Alexander: Recht der Telemediendienste, München 2013.
Roth-Neuschild, Birgit: Cloud Way out. Exit-Strategien bei Nutzung von Cloud Services, ITRB 2013, 213–217.
Schimansky, Herbert/Bunte, Hermann-Josef/Lwowski, Hans Jürgen: Bankrechts-Handbuch, 4. Aufl., München 2011.
Schliesky, Utz: Auswirkungen des E-Government auf Verfahrensrecht und kommunale Verwaltungsstrukturen, NVwZ 2003, 1322–1328.
Schmidl, Michael: Aspekte des Rechts der IT-Sicherheit, NJW 2010, 476–481.
Schmidt, Karsten: Münchener Kommentar zum Handelsgesetzbuch, 3. Aufl., München 2014.
Schreibauer, Marcus/Spittka, Jan: IT-Sicherheitsgesetz: neue Anforderungen für Unternehmen, ITRB 2015, 240–245.
Schröder, Christian/Haag, Nils Christian: Neue Anforderungen an Cloud Computing für die Praxis, ZD 2011, 147.
Schultze-Melling, Jyn: IT-Sicherheit in der anwaltlichen Beratung. Rechtliche, praktische und wirtschaftliche Aspekte eines effektiven Information Security-Managements, CR 2005, 73–80.
Schulze, Reiner (Schriftleitung): BGB, 9. Aufl., Baden-Baden 2016.
Schütze, Bernd: SGB X. Sozialverwaltungsverfahren und Sozialdatenschutz, 8. Aufl., München 2014.
Selzer, Annika: Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing. Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, DuD 2013, 215–219.
Simitis, Spiros: BDSG, 8. Aufl., Baden-Baden 2014.
Spindler, Gerald: Haftungsrisiken und Beweislast bei ec-Karten. Urteilsanmerkung zu BGH, Urteil vom 05.10.2004 – XI ZR 210/03, BB 2004, 2766–2769.
Spindler, Gerald/Schuster, Fabian: Recht der elektronischen Medien, 3. Aufl., München 2015.
v. Staudinger, J.: Buch 1: Allgemeiner Teil 5, §§ 164–240 (Allgemeiner Teil 5), Neubearbeitung 2014, Berlin 2014.
Taeger, Jürgen/Gabel, Detlev: Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG, 2. Aufl., Frankfurt a.M. 2013.
Thüsing, Gregor: Beschäftigtendatenschutz und Compliance, 2. Aufl., München 2014.
Umnuß, Karsten: Corporate Compliance Checklisten. Rechtliche Risiken im Unternehmen erkennen und vermeiden, 2. Aufl., München 2012.
Vorwerk, Volkert/Wolf, Christian: Beck’scher Online-Kommentar ZPO, 23. Edition, Stand: 01.12.2016, München 2016.
Weichert, Thilo: Cloud Computing und Datenschutz, DuD 2010, 679–687.
Weller, Marc-Philippe: Die Haftung von Fußballvereinen für Randale und Rassismus, NJW 2007, 960–964.
Werner, Dennis: Verkehrspflichten privater IT-Nutzer in Bezug auf die Verbreitung von Schadsoftware, Baden-Baden 2010.
Wolff, Heinrich Amadeus/Brink, Stefan: Datenschutzrecht in Bund und Ländern, München 2013.
Author information
Authors and Affiliations
Corresponding author
Editor information
Editors and Affiliations
Rights and permissions
Copyright information
© 2018 Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature
About this chapter
Cite this chapter
Kriegesmann, T., Schneidereit, P. (2018). Konkretisierung rechtlicher Anforderungen an das Identitätsmanagement im Cloud Computing. In: Borges, G., Werners, B. (eds) Identitätsmanagement im Cloud Computing. Springer, Berlin, Heidelberg. https://doi.org/10.1007/978-3-662-55584-2_6
Download citation
DOI: https://doi.org/10.1007/978-3-662-55584-2_6
Published:
Publisher Name: Springer, Berlin, Heidelberg
Print ISBN: 978-3-662-55583-5
Online ISBN: 978-3-662-55584-2
eBook Packages: Social Science and Law (German Language)