Rechtliche Grundlagen föderierter elektronischer Identitäten

Transkript

1 Rechtliche Grundlagen föderierter elektronischer Identitäten Verfasser Matr.-Nr.: Angestrebter akademischer Grad Doctor iuris (Dr. iur.) Betreuer ao. Univ.-Prof. Mag. DDr. Erich Schweighofer Inhalt 1 Einleitung Motivation und Forschungsgegenstand Stand der Forschung Wissenschaftliche Problemstellung und Forschungsfragen Ausgewählte Literatur Zeitplan

2 1 Einleitung Inhalt der geplanten Dissertation ist eine umfassende rechtswissenschaftliche Untersuchung der juristischen Grundlagen von Identity Federation in Österreich. Identity Federation ist die organisationsübergreifende Nutzung bestehender elektronischer Identitäten. Der Begriff Federation bezeichnet eine Gruppe von Organisationen, die zu diesem Zweck Vertrauens-, Organisations- und Rechtsbeziehungen eingehen, sodass die Authentifizierung eines Nutzers und dessen Attribute über Organisationsgrenzen hinweg anerkannt werden und vom Nutzer verwendet werden können. Durch die Etablierung von Federations könnten bedeutende gegenwärtige Probleme im Zusammenhang mit elektronischen Identitäten im Internet gelöst werden. Der Aufbau einer Federation hat umfangreiche rechtliche Implikationen und betrifft eine Vielzahl von Rechtsgebieten. In Österreich ist das Thema Identity Federation rechtswissenschaftlich noch unbearbeitet. Ziel des Dissertationsvorhabens ist daher die umfassende Aufarbeitung der rechtlichen Grundlagen des Themas in Bezug auf Österreich bevor Federations in Österreich im Detail konzipiert und technisch implementiert werden. Dies wird in Kooperation mit dem österreichischen Unternehmen CRYPTAS it-security GmbH auf Grundlage eines Federation-Konzeptes durchgeführt, das CRYPTAS ausgehend vom internationalen Forschungsstand ausgearbeitet hat und unter Berücksichtigung der Ergebnisse der geplanten Dissertation weiterentwickeln wird. 2 Motivation und Forschungsgegenstand Derzeitige Praxis und deren Probleme In der Konzeption des Internets sind per se keine Mittel zur Identifizierung von Personen vorgesehen, mit deren Hilfe festgestellt werden kann, wer der Nutzer eines Service ist bzw. mit wem man online interagiert. Stattdessen erfolgt die Identifizierung auf der Ebene der zur Kommunikation benutzten Geräte. Diese, nicht aber deren Nutzer, sind im Internet eindeutig identifizierbar. Im Alltag, bei der zwischenmenschlichen Kommunikation unter Anwesenden, ist es zwar ebenfalls nicht üblich, dass sich das Gegenüber beim Zusammentreffen zunächst aktiv identifiziert, es stehen uns aber Mittel zur Verfügung, die Identität oder relevante Eigenschaften des Gegenübers mit ausreichender Sicherheit abzuschätzen. Das bedeutendste dieser Mittel ist das Wiedererkennen einer Person anhand ihres Aussehens und weiterer Merkmale, wie zum Beispiel der Stimme. Bei fremden Personen schätzen wir anhand der Umstände und ihres Auftretens ab, ob sie tatsächlich sind, wer sie zu sein vorgeben. Auch dies ist selbstverständlich mit Unsicherheiten verbunden, jedoch ist es aufgrund der eben beschriebenen Möglichkeiten unter Anwesenden deutlich schwieriger als im Internet, sich als jemand anderer auszugeben. Aufgrund der heutigen Bedeutung des Internets werden auch für dieses Mittel der Identifizierung und Authentifizierung benötigt, um mit der jeweils notwendigen Sicherheit feststellen zu können, wer der Nutzer eines Service ist bzw. mit wem man interagiert, und Mittel, mit denen Nutzer bestimmte Angaben über sich mit der jeweils notwendigen Sicherheit bzw. Glaubwürdigkeit machen können. Derzeit dient dazu in der Regel ein Benutzerkonto, das der Nutzer bei jedem einzelnen Service Provider unter Angabe von selbstbehaupteten Attributen einmalig anlegt. Die laufende Identifizierung und Authentifizierung erfolgt danach mittels Benutzername und Passwort. Bei einem Benutzerkonto 2

3 handelt es sich um eine digitale Identität, auch als elektronische Identität (eid) bezeichnet. Digitale Identitäten können definiert werden als Sammlungen von digitalen Informationen, die zu einem Individuum oder einer Organisation gehören. (Hansen und Meints 2006, 543) Sie sind digitale Repräsentationen eines Teils der gesamten Identität einer Person (Teilidentitäten). Die einzelnen gespeicherten Informationen über einen Nutzer, die zusammen eine solche elektronische Identität bilden, werden als Attribute bezeichnet. Der gegenwärtige Umgang mit elektronischen Identitäten in Internet weist wesentliche Probleme auf, die potenziell die zukünftige Entwicklung der Internetnutzung beeinträchtigen. Zu nennen sind zunächst Datensicherheitsprobleme wie insbesondere die zunehmende Kriminalität im Internet. Die Unsicherheit des oben beschriebenen Benutzerkontensystems mit schlichtem Passwortschutz wird von Kriminellen häufig gezielt ausgenützt. Das derzeitige System der redundanten Speicherung von Nutzerdaten auf den Servern aller zu nutzenden Service Provider vervielfacht zudem die Angriffsfläche für das unrechtmäßige Erlangen personenbezogener Daten und führt zu erheblichen Datenschutzproblemen. Vielen Service Providern müssen darüber hinaus vor der Service-Nutzung mehr Daten bekannt gegeben werden, als für diese eigentlich erforderlich sind. Ein weiteres Problem: Dem Special Eurobarometer 359 zufolge machen sich 70% der Europäer Sorgen, dass persönliche Daten für andere Zwecke verwendet werden als jene, für die sie gesammelt wurden. Auch wenn dies datenschutzrechtlich im Allgemeinen nicht zulässig ist, macht es das derzeitige System den Nutzern sehr schwer, dies zu kontrollieren. Aufgrund der schieren Anzahl elektronischer Identitäten kann der durchschnittliche Nutzer nicht mehr überblicken, wer welche Daten über ihn gespeichert hat. Die unüberblickbare Vielzahl von Benutzerkonten macht es für die Nutzer auch immer aufwändiger, die Daten in den einzelnen Benutzerkonten konsistent und aktuell zu halten und sich die Passwörter zu merken. Viele Nutzer verwenden daher für verschiedene Benutzerkonten identische Passwörter, was wiederum ein großes Datensicherheitsrisiko ist. Nicht zuletzt ist die gesamte Entwicklung der Internetnutzung und der Möglichkeiten, die das Internet bietet, insgesamt durch die gegenwärtige Situation eingeschränkt, weil bestimmte Vorgänge und Transaktionen im Internet heute nicht möglich sind. Dies sind insbesondere Fälle, in denen heute das Vorzeigen eines physischen Ausweises verlangt wird. Damit hängt zusammen, dass derzeit Nutzer Angaben über sich zwar behaupten, nicht aber qualifiziert belegen können. Wären diese und die übrigen geschilderten Probleme gelöst, könnte der gesellschaftliche Nutzen des Internets noch wesentlich gesteigert werden, indem noch mehr Vorgänge und Transaktionen des täglichen Lebens durch Verlagerung ins Internet vereinfacht werden. Identity Federation: Forschungsgegenstand und Begriffsbestimmung Die geschilderte Situation umfassend verbessern könnte die Umsetzung des von Wissenschaft und Praxis entwickelten Konzeptes der Identity Federation. Kern dieses Konzeptes ist, dass der Nutzer nicht bei den genutzten Service Providern oder zumindest nicht bei allen eine elektronische Identität (ein Nutzerkonto) anlegt. Vielmehr veranlasst er, dass ihn Organisation A, bei der er bereits eine elektronische Identität angelegt hat, gegenüber Organisation B, deren Service er nutzen möchte, identifiziert, und dass Organisation A an Organisation B die von dieser benötigten Attribute des Nutzers übermittelt. Voraussetzung dafür ist, dass Organisation A und B dies zulassen, weil sie in einem diesbezüglichen Vertrauens- und Vertragsverhältnis stehen. Organisation A kann beispielsweise 3

4 ein Service Provider sein, dessen Service(s) der Nutzer bereits verwendet, oder aber ein eigenständiger Identity Provider, dessen Hauptzweck die Authentifizierung von Nutzern sowie die Abwicklung des eben geschilderten Procedere ist und der ein besonderes Vertrauen seitens der Nutzer und der übrigen Teilnehmer einer Federation genießt. Abbildung 1 Schematische Darstellung der Funktionsweise eines Identity Providers Elektronische Identitäten und Identity Federation die organisationsübergreifende Nutzung bestehender digitaler Identitäten im Allgemeinen sowie das eingangs erwähnte, von CRYPTAS entwickelte privatwirtschaftlich-kollaborative Federation-Konzept sind der Forschungsgegenstand der geplanten Dissertation. 4

5 3 Stand der Forschung Soweit ersichtlich ist das Themengebiet Identity Federation in Österreich rechtswissenschaftlich weitgehend unbearbeitet. Die Dissertation knüpft allerdings an die Ergebnisse zahlreicher internationaler Initiativen und wissenschaftlicher Forschungsprojekte im Themenkreis elektronische Identitäten und Identity Federation an und überträgt deren Ergebnissen in einen neuen Kontext, jenen der österreichischen Rechtsordnung. Unter diesen internationalen Initiativen ist die Kantara Initiative wohl die bedeutendste. Ihr Ziel ist die Förderung der Kooperation und Entwicklung von Konzepten im Themengebiet Identity Federation und deren tatsächliche Umsetzung auf dem Markt. Auch rechtliche Aspekte werden im Rahmen der Kantara Initiative untersucht, nicht jedoch in Bezug auf Österreich. Zu erwähnen sind darüber hinaus der weit verbreitete Standard OpenID und insbesondere die sehr junge Initiative National Strategy for Trusted Identities in Cyberspace (NSTIC) der US-Regierung, die viele der oben erwähnten derzeitigen Probleme lösen sowie durch erhöhte Sicherheit neue Geschäftsmodelle im Internet ermöglichen will und dabei den privatwirtschaftlichen Sektor wesentlich einbezieht. In der europäischen Forschungslandschaft sind in den letzten Jahren zahlreiche Forschungsprojekte zum Themenkreis elektronische Identitäten und Identity Federation initiiert und zum Teil bereits abgeschlossen worden. Diese schufen und schaffen zwar wesentliche Grundlagen, beziehen sich aber nicht direkt auf Identity Federation bzw. primär auf technische Aspekte oder auf staatlich dominierte Federations und E-Government (z.b. STORK, SPOCS). Die geplante Dissertation setzt somit auf einer breiten wissenschaftlichen Basis auf und schafft im Kontext der österreichischen Rechtsordnung neue wissenschaftliche Erkenntnisse. 4 Wissenschaftliche Problemstellung und Forschungsfragen Die rechtlichen Aspekte des Themengebiets Identity Federation können in zwei Bereiche gegliedert werden. Den ersten Bereich bildet der gegebene gesetzliche Rahmen, in welchen eine Federation in Österreich eingebettet wäre, im Folgenden als äußerer Rechtsrahmen bezeichnet. Hierbei ist zunächst die geltende Rechtslage aufzuarbeiten und in der Folge insbesondere zu untersuchen, ob das projektgegenständliche Federation-Konzept den gesetzlichen Bestimmungen in Österreich entspricht. Zentrales Thema ist dabei der Datenschutz. Der zweite Bereich betrifft den inneren Rechtsrahmen einer Federation, d.h. die Rechtsbeziehungen der einzelnen Teilnehmer untereinander sowie zu einer allenfalls vorhandenen zentralen Organisationseinheit. Diesbezüglich ist die bedeutendste Frage, ob es notwendig ist, dass alle unmittelbar miteinander interagierenden Teilnehmer untereinander bilaterale Verträge abschließen, oder dies durch verbindliche Regeln einer zentralen Organisationseinheit ersetzt werden kann, zu deren Einhaltung sich alle Teilnehmer verpflichten. Im Folgenden werden die zu bearbeitenden Forschungsfragen in den beiden genannten Bereichen angeführt. 5

6 Der äußere Rechtsrahmen einer Federation: 1. Datenschutz: 1.1. Ist der Datenaustausch innerhalb einer Federation mit dem österreichischen Datenschutzrecht vereinbar? 1.2. Wie kann eine Federation datenschutzrechtskonform gestaltet werden? 1.3. Allenfalls: Welcher Änderungen bedürfte das österreichische bzw. europäische Datenschutzrecht, damit Federations gesetzeskonform realisiert werden könnten? 1.4. Unter welchen datenschutzrechtlichen Voraussetzungen können bestehende elektronische Identitäten bzw. die diesen Identitäten zugeordneten Nutzer in eine Federation eingebracht werden? Hauptzweck einer Federation ist die kontrollierte und gezielte Weitergabe von Identitätsdaten der Nutzer zwischen den einzelnen Teilnehmern einer Federation. Eine solche Weitergabe von personenbezogenen Daten ist nur unter den strengen Voraussetzungen des Datenschutzgesetzes zulässig. Die Vereinbarkeit mit dem Datenschutzgesetz erscheint insbesondere deswegen möglich, weil die Datenweitergabe innerhalb einer Federation in der Regel in Erfüllung eines Vertragsverhältnisses mit dem Nutzer stattfindet und stets vom Nutzer veranlasst wird, nämlich immer dann, wenn dieser ein bestimmtes Service nutzen bzw. eine bestimmte Transaktion durchführen möchte. Unter Zugrundelegung des Detailkonzeptes einer Federation bzw. mehrerer denkbarer Varianten eines solchen ist eine datenschutzrechtliche Evaluierung der einzelnen möglichen Speicherungs- und Übertragungsvorgänge personenbezogener Daten vorzunehmen. 2. Datenherausgabepflichten: 2.1. Welchen öffentlich-rechtlichen und allenfalls privatrechtlichen Pflichten zur Herausgabe der gespeicherten Daten unterliegen die Teilnehmer einer Federation? 2.2. Welche Pflichten zur Datenspeicherung bestehen? Innerhalb einer Federation sind bei verschiedenen Teilnehmern Daten über die Nutzer gespeichert. Zu untersuchen ist, unter welchen Umständen solche Daten an die Strafverfolgungsbehörden oder sonstige Dritte herausgegeben werden müssen und ob im Hinblick auf die neue Regelung zur Vorratsdatenspeicherung eine Pflicht besteht, bestimmte Daten für einen festgelegten Zeitraum zum Zwecke einer möglichen Herausgabe nicht zu löschen. 3. Haftung nach außen: 3.1. Welcher Haftung unterliegen die einzelnen Teilnehmer einer Federation gegenüber den Nutzern und sonstigen Dritten? 3.2. Welcher Haftung unterliegt eine allfällige zentrale Organisationseinheit einer Federation gegenüber den Nutzern und sonstigen Dritten? Insbesondere durch unzulässige Weitergabe oder Veröffentlichung von Daten, Datenverlust und falsche Angaben über Nutzer kann innerhalb einer Federation ein Schaden verursacht werden. Zu untersuchen ist, welche Teilnehmer der Federation nach allgemeinen Regeln für einen solchen Schaden nach außen hin haften, welche Haftungen darüber hinaus entstehen können und wie sich die Teilnehmer hinsichtlich dieser Haftungen versichern können. Hierbei ist relevant, dass der Nutzer mit einem oder mehreren der Teilnehmer einer Federation in einem Vertragsverhältnis steht. 6

7 4. Kartellrecht: 4.1. Welche Einschränkungen können sich aus dem Kartellrecht für eine Federation ergeben? Insbesondere mit dem Erreichen einer bestimmten Größe einer Federation könnte diese in die Anwendung der Bestimmungen des Kartellgesetzes und der Artikel 101 und 102 AEUV fallen. Soweit ersichtlich sind Federations nicht von einer der Gruppenfreistellungsverordnungen erfasst. Eine Freistellung erscheint jedoch möglich, weil die Verbraucher am Nutzen einer Federation maßgeblich partizipieren und diese zur Förderung des technischen und wirtschaftlichen Fortschritts beiträgt. Zur Wettbewerbsrechtskonformität kann auch beitragen, wenn eine Federation offen organisiert ist und per se keine potenziellen Teilnehmer ausschließt. 5. Gewerberecht: 5.1. Sind einzelne Rollen innerhalb einer Federation reglementierten Gewerben zuzuordnen? 5.2. Allenfalls: Welche Einschränkungen ergeben sich daraus? 6. Sonstige (öffentlich-rechtliche) Bestimmungen: 6.1. Welchen bisher nicht genannten (öffentlich-rechtlichen) Bestimmungen unterliegt eine Federation? 6.2. Allenfalls: Welche Einschränkungen ergeben sich daraus? Der innere Rechtsrahmen einer Federation: 7. Vergleichbare Konzepte auf anderer Ebene: 7.1. Auf welcher rechtlichen Basis stehen dem öffentlichen Bereich zuzuordnende Federations in Österreich, wie etwa der Portalverbund der öffentlichen Verwaltung? 7.2. Welche weiteren vergleichbaren, organisationsübergreifenden Netzwerke (z.b. Zahlungssysteme, Mobilfunk-Abrechnungssysteme) gibt es und wie sind diese rechtlich organisiert? 7.3. Was kann aus solchen bestehenden, mit Federations vergleichbaren Konstrukten für die rechtliche Organisation privater Federations abgeleitet werden? 8. Organisationsstruktur einer Federation: 8.1. Ist eine zentrale Organisationseinheit einer Federation notwendig und wenn ja, welche Rechtsform ist dafür geeignet? 8.2. Reicht die bestehende Rechtslage aus, um funktionierende Federations mit verbindlichen internen Regeln zu schaffen oder wäre ein neues Rechtskonstrukt für Federations notwendig? Eine Federation benötigt ein umfassendes internes Regelwerk, an das alle Teilnehmer gebunden sind. Dieses regelt Datenweitergabe, Datensicherheit, Datenschutz, Haftung, Verrechnung und weitere Voraussetzungen für das Funktionieren einer Federation. Ein solches Regelwerk kann entweder durch (standardisierte) bilaterale Verträge zwischen den einzelnen interagierenden Teilnehmern einer Federation oder durch einen (Beitritts-)Vertrag geschaffen werden, den jeder Teilnehmer mit einer zentralen Organisationseinheit abschließt. Zweiteres wäre im Sinne der Skalierbarkeit zu bevorzugen, weil ein System bilateraler Verträge für die einzelnen Teilnehmer mit zunehmender Größe der Federation immer komplexer wird und somit das Wachstum der Federation gehemmt wird. 7

8 9. Interne Haftung: 9.1. Nach welchen allgemeinen Regeln haften die Teilnehmer einer Federation gegenüber anderen Teilnehmern, mit denen sie interagieren? 9.2. Nach welchen allgemeinen Regeln haften die Teilnehmer einer Federation gegenüber einer allfälligen zentralen Organisationseinheit? 9.3. Nach welchen allgemeinen Regeln haftet die allfällige zentrale Organisationseinheit gegenüber einzelnen Teilnehmern der Federation? Gegenstand dieser internen Haftung sind insbesondere Schäden durch Verstöße einzelner Teilnehmer gegen das interne Regelwerk, falsche Angaben oder betrügerisches Handeln seitens der Nutzer und die Weitergabe falscher Angaben über Nutzer zwischen Teilnehmern. 10. Internes Regelwerk: Wie kann basierend auf den Erkenntnissen aus den bisherigen Forschungsfragen das interne Regelwerk einer Federation optimal gestaltet werden? Welchen Mindestinhalt muss ein solches Regelwerk im Einzelnen enthalten? Kann die Haftung der einzelnen Teilnehmer untereinander betragsmäßig begrenzt werden, sodass sie wirtschaftlich bewertet und versichert werden kann? Wie können für die Richtigkeit von Angaben mehrere Qualitätsstufen (Assurance Levels) mit jeweils angemessener Haftung festgelegt werden, die den je nach Einsatzzweck unterschiedlich kritischen Anforderungen an die Identitätsdaten entsprechen? Wie können zwischen den einzelnen Teilnehmern einer Federation Rechtsstreitigkeiten entstehen sowie effizient ausgetragen werden und welche Rolle kann eine zentrale Organisationseinheit dabei spielen? 11. Elektronische Identitäten als Wirtschaftsgut: Welche privatrechtliche Beziehung besteht zwischen elektronischen Identitäten und jener Organisation, die diese Daten gesammelt hat? Unter welchen privatrechtlichen Voraussetzungen können bestehende elektronische Identitäten bzw. die diesen Identitäten zugeordneten Nutzer in eine Federation eingebracht werden? 5 Ausgewählte Literatur Nachfolgend ein Auszug aus der bisher gefundenen einschlägigen Literatur zu den Themen elektronische Identitäten und Identity Federation, allerdings ohne Bezug auf Österreich. Österreichische rechtswissenschaftliche Literatur zum Thema Identity Federation wurde nicht gefunden. Die internationale Literatur wird ergänzt durch allgemeine österreichische Literatur zu den einschlägigen Rechtsgebieten. Brenn, Christoph (1999). Das österreichische Signaturgesetz Unterschriftenersatz in elektronischen Netzwerken. Österreichische Juristen-Zeitung (ÖJZ), 1999: 587. Hansen, Marit und Martin Meints: Digitale Identitäten Überblick und aktuelle Trends. Datenschutz und Datensicherheit 30, 2006:

9 Josang, Audun, Muhammed Al Zomai und Suriadi Suriadi: Usability and privacy in identity management architectures. In: Proceedings of the Fifth Australasian Information Security Workshop (Privacy Enhancing Technologies) (AISW 2007), 30 January - 2 February 2007, Ballarat, Australia, Hrsg.: Ljiljana Brankovic, Paul Coddington, John F. Roddick, Chris Steketee, Jim Warren und Andrew Wendelborn. Australian Computer Society, Inc., 2007: Kubicek, Herbert und Torsten Noack: Mehr Sicherheit im Internet durch elektronischen Identitätsnachweis? Der neue Personalausweis im europäischen Vergleich. Berlin: LIT Verlag, NSTIC: NSTIC Strategy Document The White House, (Zugriff am 02. August 2011). Menzel, Thomas: Elektronische Signaturen. Wien: Verlag Österreich, Olsen, Thomas und Tobias Mahler: Identity management and data protection law: Risk, responsibility and compliance in Circles of Trust Part I. Computer Law & Security Report 23, 2007: Olsen, Thomas und Tobias Mahler: Identity management and data protection law: Risk, responsibility and compliance in Circles of Trust Part II. Computer Law & Security Report 23, 2007: Raepple, Martin: Netzweite Identitäten mit OpenID. Datenschutz und Datensicherheit 33, 2009: Ranneberg, Kai, Denis Royer und Andre Deuker (Hrsg.): The Future of Identity in the Information Society: Challenges and Opportunities. Berlin und Heidelberg: Springer, Scudder, Jonathan und Audun Josang: Personal Federation Control with the Identity Dashboard In: Policies and Research in Identity Management, Hrsg.: Elisabeth de Leeuw, Simone Fischer- Hübner und Lothar Fritsch. Berlin, Heidelberg und New York: Springer, 2010: Sheckler, Victoria: Liberty Alliance Contractual Framework Outline for Circles of Trust Frameworks.pdf (Zugriff am 31. Juli 2011). Strauß, Stefan: The Limits of Control (Governmental) Identity Management from a Privacy Perpective. In: Privacy and Identity Management for Life, Hrsg.: Simone Fischer-Hübner, Penny Duquenoy, Marit Hansen, Roland Leenes und Ge Zhang. Heidelberg, Dordrecht, London und New York: Springer, 2011:

10 6 Zeitplan Im Laufe des Jahres 2011 wurden bisher bereits umfangreiche Vorarbeiten und Erhebungen durchgeführt. Im Folgenden ist nur der Zeitraum ab Erstellung dieses Exposés erfasst. Nr. und Bezeichnung 1. Erhebung 2. Datenschutzrecht 3. eid als Wirtschaftsgut 4. Sonst. öffentliches Recht 5. Haftung 6. Organisationsstruktur 7. Internes Regelwerk 8. Datenherausgabepflichten Okt 11 Nov 11 Dez 11 Jan Feb Mar Apr Mai Jun Jul Aug Nr. und Bezeichnung 1. Erhebung 2. Datenschutzrecht 3. eid als Wirtschaftsgut 4. Sonst. öffentliches Recht 5. Haftung 6. Organisationsstruktur 7. Internes Regelwerk 8. Datenherausgabepflichten Sep Okt Nov Dez Jan Feb Mar Apr Mai Jun Jul Nr. und Bezeichnung 1. Erhebung 2. Datenschutzrecht 3. eid als Wirtschaftsgut 4. Sonst. öffentliches Recht 5. Haftung 6. Organisationsstruktur 7. Internes Regelwerk 8. Datenherausgabepflichten Aug Sep Okt Nov Dez Jan Feb Mär Apr Mai Jun 10