Wann liegt Auftragsverarbeitung vor, wann nicht?
PSP Case Study zur DSGVO: Praxisfall 7
DSGVO: Praktischer Fall
Die Lohnbuchhaltung eines Unternehmens wird an einen Steuerberater ausgelagert, der aber für das Unternehmen zugleich Steuererklärungen erstellt und einreicht.
Alternativ: Die Personalverwaltung eines Tochterunternehmens wird an eine zentrale Abteilung der Konzernmutter ausgelagert und in diesem Rahmen werden einzelne Fälle auch arbeitsrechtlich begutachtet.
Wo Auftragsverarbeitung aufhört und der Status als Verantwortlicher anfängt, war in den Grenzbereichen auch schon unter „altem Recht“ nie eindeutig – dasselbe gilt übrigens auch für die Abgrenzung zu mehreren „gemeinsam Verantwortlichen“ (dazu Fall 16). Der Fall, in dem zwei Verantwortliche Daten einander übermitteln, weil ein Unternehmen bestimmte Tätigkeiten outgesourct hat, wurde früher als „Funktionsverlagerung“ von der Auftragsverarbeitung abgegrenzt, wobei es diesen Begriff allerdings im Bundesdatenschutzgesetz selbst nie gab. Die Aufsichtsbehörden behelfen sich seit jeher mit Listen „typischer“ Auftragsverarbeitungstätigkeiten und „typischer“ Fälle, in denen der Verarbeitende der Verantwortliche ist. Dabei ist es wichtig zu beachten, dass, würde kein Fall der Auftragsverarbeitung vorliegen, aber dennoch eine Auftragsverarbeitungsvereinbarung abgeschlossen worden sein, keine wesentlichen datenschutzrechtlichen Probleme entstehen würden. Aber der Auftragnehmer wäre nun einmal hinsichtlich der Datenverarbeitung strikt weisungsunterworfen, was eventuell mit seinem Selbstverständnis (als Freiberufler), mit dem einschlägigen Berufsrecht (Aufbewahrungspflichten etc.) oder mit anderen Anforderungen nicht zu vereinbaren ist. Der umgekehrte Fall, dass jemand Auftragsverarbeiter ist, aber keine Auftragsverarbeitungsvereinbarung abgeschlossen hat, ist datenschutzrechtlich wesentlich problematischer. Der letztgenannte Fall führt nämlich auf jeden Fall zu einem Problem des verantwortlichen „Auftraggebers“, die Vorgaben des Art. 28 DSGVO verletzt zu haben, aber auch – zumindest wenn kein Legitimationsgrund für eine Übermittlung vorliegt – zu einem Problem des Auftragsverarbeiters, der aber kein solcher sein will/soll (s. dazu auch Fall 27).
Keine eigene Legitimationsgrundlage für die Weitergabe notwendig
Der wesentliche Grund, warum man eine Auftragsverarbeitungssituation zielgerichtet anstreben würde, ist, dass zumindest nach landläufiger Ansicht für die Weitergabe von Daten an einen weisungsgebundenen Auftragsverarbeiter keine datenschutzrechtliche Legitimationsgrundlage erforderlich ist. Verantwortlicher und Auftragsverarbeiter werden als eine Art Einheit angesehen und der Datenaustausch zwischen ihnen ist zumeist unproblematisch möglich. Allerdings gibt es – wie bei jeder Einzelfrage innerhalb der DSGVO – auch hierzu abweichende Ansichten. Entsprechend wird argumentiert, dass die Weitergabe von personenbezogenen Daten an einen Auftragsverarbeiter „natürlich“ einen Verarbeitungsvorgang darstellt, zu dem „natürlich“ eine Legitimationsgrundlage gegeben sein muss. In der Praxis sei das meist Art. 6 Abs. 1 S. 1 lit. f) DSGVO. Dann würde sich aber in jedem einzelnen Fall der Auftragsverarbeitung – neben der Interessenabwägung als solcher – die Frage stellen, ob die Datenweitergabe an den Auftragsverarbeiter (und damit die Auftragsverarbeitung selbst) „erforderlich“ ist, und außerdem hätte der Betroffene auch noch ein Widerspruchsrecht gegen die Auftragsverarbeitung (Art. 21 Abs. 1 DSGVO). Wenn aber an die Verarbeitung durch einen datenschutzrechtlich weisungsgebundenen Auftragsverarbeiter dieselben Legitimationsanforderungen gestellt werden wie an die Übermittlung an sonstige Dritte, dann wäre kaum zu erklären, warum bzw. wofür es das Institut der Auftragsverarbeitung überhaupt gibt. Nur um dem Verantwortlichen „einfach so“ noch mehr Pflichten (Art. 28 Abs. 1 DSGVO) aufzuerlegen?
Der Thüringer Landesbeauftragte für Datenschutz knüpft dagegen in seinem Tätigkeitsbericht 2018 die datenschutzrechtliche Legitimation der Verarbeitungshandlungen des Auftragsverarbeiters an die Legitimation des Verantwortlichen an:
„Für die Weitergabe von personenbezogenen Daten an den Auftragsverarbeiter und die Verarbeitung durch den Auftragsverarbeiter bedarf es insofern keiner weiteren gesetzlichen Rechtsgrundlage im Sinne des Art. 6 bis 10 der DS-GVO als derjenigen, auf die der Verantwortliche seine Verarbeitung stützt.“
Das bedeutet allerdings im Umkehrschluss, dass wenn der Verantwortliche die Daten nicht rechtmäßig verarbeitet, der Auftragsverarbeiter diese auch nicht rechtmäßig verarbeiten kann. Nun kann aber der Auftragsverarbeiter in aller Regel gar nicht selbst prüfen, ob der Verantwortliche über eine taugliche datenschutzrechtliche Legitimationsgrundlage verfügt, da er verschiedene Aspekte der Verarbeitung – etwa die Erhebung und den weiteren Kontext – oft nicht kennt. Es wäre daher interessant zu sehen, wie ein Verantwortlicher reagiert, wenn ihm der Auftragsverarbeiter ins Stammbuch – sprich: in die Auftragsverarbeitungsvereinbarung – schreibt, dass der Verantwortliche das Bestehen einer datenschutzrechtlichen Legitimationsgrundlage versichert.
Wie wird Auftragsverarbeitung definiert?
Datenschutzbehörden neigen traditionell dazu, Auftragsverarbeitungen dort anzunehmen, wo der Auftragnehmer mechanische datenverarbeitende Tätigkeiten im Sinne einer weisungsgebundenen „verlängerten“ Werkbank ausführt. Eine Tätigkeit „ohne eigenen Wertungs- und Entscheidungsspielraum“ forderten auch die Gerichte unter dem – allerdings etwas anders formulierten – vormaligen Bundesdatenschutzgesetz. Neben diesem eingeschränkten „Freiheitsgrad“ des Beauftragten wird häufig weiter angenommen, dass die Datenverarbeitung als solche den Gegenstand der Auftragstätigkeit bilden müsse. Auftragstätigkeiten, die über die reine Datenverarbeitung hinausgehen, können also dazu führen, dass nicht mehr von einer „Auftragsdatenverarbeitung“ (als eigenständigem „Vertragstyp“) gesprochen werden kann. Das bayerische Landesamt für Datenschutzaufsicht führt in seinem Tätigkeitsbericht 2017/2018 dazu aus:
„Auftragsverarbeitung im datenschutzrechtlichen Sinne liegt nach unserer Auffassung nur in Fällen vor, in denen eine Stelle von einer anderen Stelle im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt wird. Die Beauftragung mit fachlichen Dienstleistungen anderer Art, d. h. mit Dienstleistungen, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. bei denen die Datenverarbeitung nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, stellt unserer Meinung nach keine Auftragsverarbeitung im datenschutzrechtlichen Sinne dar“.
Hiernach würde etwa das Waschen von Arbeitskleidung mit aufgesticktem Namen keine Auftragsverarbeitung sein, denn der Vertragsgegenstand ist das Waschen, nicht die Verarbeitung von Daten. Auch das Ausdrucken von Fotos an einem Automaten in einem Drogeriemarkt dürfte danach keine Auftragsverarbeitung sein, denn der Vertragsgegenstand ist nicht die Erhebung von Fotos mit erkennbaren Personen (wie bei der Kameraüberwachung), sondern das Drucken von Fotos. In einem Urteil vom September 2019 hat das Amtsgericht Mannheim diese Sichtweise im Grundsatz bestätigt, als es annahm, dass der Verwalter einer Wohnungseigentümergemeinschaft nicht lediglich eine „datenverarbeitende Hilfsfunktion“ erbringt und daher kein Auftragsverarbeiter sein könne. Aber lässt sich diese Trennlinie so dem Gesetz entnehmen oder ist diese Interpretation einfach nur „vernünftig“?
Art. 28 Abs. 1 DSGVO beginnt mit den Worten „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen“ – heißt das nun, dass der Auftrag auf die reine (Daten-) „Verarbeitung“ beschränkt sein muss oder kann die (Auftrags-) Datenverarbeitung auch nur irgendein Teil eines allgemeineren Auftrags sein? Im erstgenannten Fall wäre der Anwendungsbereich der Auftragsverarbeitung tatsächlich stark beschränkt. Hinzu kommt, dass schon die Definition von „Verarbeitung“ als „Vorgang im Zusammenhang mit personenbezogenen Daten“ sehr vage ist, da hiernach die personenbezogene Daten nicht zwangsläufig das eigentliche Objekt des Vorgangs sein müssen, sondern es nur irgendeinen Zusammenhang zwischen Vorgang und personenbezogenen Daten geben muss. Der „Vorgang“ kann also eigentlich auch ganz andere Informationen als personenbezogenen Daten zum Gegenstand haben. Weil das alles nicht so einfach ist, behalfen sich die Aufsichtsbehörden in der Vergangenheit mit Katalogen. Bestimmte (plakative) Beispielsfälle sind danach Auftragsverarbeitung, andere nicht.
Demgegenüber haben Vertreter der Wirtschaft den Anwendungsbereich bereits 2013 viel weiter gezogen. Eine Auftragsdatenverarbeitung konnte danach auch dann vorliegen, wenn dem Auftragnehmer weitgehende, auch über die reine Unterstützung bei der Datenverarbeitung hinausgehende Aufgaben übertragen werden. Maßgeblich sollte nur sein, dass der Auftraggeber die volle Verantwortung für die gesamte Datenverarbeitung beim Dienstleister übernimmt und der Auftragnehmer keine eigenen Entscheidungen trifft (diese aber vorbereiten darf). Diese Auffassung wird auch unter der DSGVO weiter vertreten: Danach darf es durchaus auch große „weisungsfreie Räume“ (also Eigenverantwortlichkeit) des Beauftragten geben, ohne dass eine Auftragsverarbeitung ausscheidet. Schließlich heißt es auch in Art. 28 Abs. 1 DSGVO nur „Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen“ – und ein „Auftrag“ (im Wortsinne) muss nicht in jedem Aspekt strikt weisungsgebunden oder auf die Verarbeitung personenbezogener Daten beschränkt sein. Dann wäre der Anwendungsbereich der Auftragsverarbeitung immens.
Es gibt daher viele Fälle, in denen unklar ist, ob nun Auftragsverarbeitung begrifflich vorliegt oder nicht. Als Beispiel kann die Administration von Reisebuchungen der Beschäftigten eines Unternehmens durch ein beauftragtes Reisebüro dienen. Das kann eine „beratungsintensive“ Tätigkeit sein oder einfach nur die Zurverfügungstellung einer entsprechenden IT-Plattform. Wo die Grenze liegt, ist schwer abzuschätzen. Das Problem liegt nun aber gerade darin, dass die Grenze durch Vertrag selbst nicht „definierbar“ ist, wie das bayerische Landesamt für Datenschutzaufsicht in seinem Tätigkeitsbericht 2017/2018 festhält (obwohl doch die Frage, ob eine Verarbeitung im Auftrag eines Verantwortlichen erfolgt, gerade ein bestimmtes Vertragsverhältnis voraussetzt):
„Für die Frage, ob ein Verhältnis über eine Auftragsverarbeitung vorliegt, kommt es nicht auf die vertraglichen Vereinbarungen der Parteien an, sondern auf die tatsächlichen Abläufe der Datenverarbeitung.“
Wie schwierig eine inhaltlich „richtige“ Definition ist, zeigt auch die Diskussion um Software-Wartungsverträge, die auch als Auftragsverarbeitungsverhältnisse angesehen werden, obwohl es dort nicht um eine zielgerichtete Verarbeitung der Daten, sondern (nur) um ein „in-Berührung-kommen“ mit personenbezogenen Daten geht (s. Fall 27).
Der Schulfall: Steuerberater
Ein „typischer“ Fall der eigenständigen Verantwortlichkeit ist nach traditioneller Auffassung die Einschaltung eines Berufsgeheimnisträgers, denn dieser erbringt als Angehöriger eines freien Berufs höherwertige Dienstleistungen (Wirtschaftsprüfung, Steuerberatung, Rechtsberatung), die über reine (mechanische) Datenverarbeitung weit hinausgehen. Allerdings hat davon abweichend der Bundesgerichtshof in einem Urteil aus dem Jahr 2016 (zum vormaligen Bundesdatenschutzgesetz) auch einen Arzt schon zum Auftragsverarbeiter „degradiert“. Ein „typischer“ Fall der Auftragsverarbeitung hingegen ist die Auslagerung der Lohnbuchhaltung in ein Rechenzentrum, Stichwort DATEV. Was aber, wenn ein Steuerberater beauftragt wird, (ausschließlich) die Lohnbuchhaltung zu übernehmen? Eigentlich kann es keinen Unterschied zur DATEV geben; die Tätigkeit ist dieselbe. Wenn der Steuerberater wie im eingangs dargestellten Fall aber auch Steuererklärungen erstellt, also als Freiberufler in Anspruch genommen wird, zählt dann der Schwerpunkt der Tätigkeit? Oder führt das Erstellen der Steuererklärungen dazu, dass das Verhältnis als Ganzes in eine eigene Verantwortlichenstellung „umschlägt“? Oder kann die datenschutzrechtliche Stellung des Steuerberaters „gesplittet“ werden, wie das Verwaltungsgericht Bayreuth in der oben genannten Entscheidung vom Mai 2018 angedeutet hat?
Anhand einer dazu veröffentlichten Äußerung des bayerischen Landesamts für Datenschutzaufsicht lässt sich erahnen, wie Aufsichtsbehörden mit dem Thema umgehen (werden). Kurz gesagt ist die Aufsichtsbehörde der Ansicht, Steuerberater unterlägen keinen Weisungen ihrer Mandanten. Die Behörde führt aus:
„Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a DS-GVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz).
Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen.
Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit im Sinne von Art. 6 Abs. 1 Satz 1 lit. f DS-GVO personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.“
Die bayerische Aufsichtsbehörde – Aufsichtsbehörden anderer Bundesländer sehen dies anders – geht also davon aus, dass eine außerhalb des Datenschutzrechts weisungsungebundene Tätigkeit keine datenschutzrechtliche Auftragsverarbeitung darstellt und dass der Steuerberater weisungsfrei tätig ist. Das berücksichtigt jedoch nicht, dass Weisungsgebundenheit ein Graukeil und keine schwarz/weiß-Frage ist. Meist sind Auftragsverhältnisse – wie auch Steuerberaterverträge – zivilrechtlich sog. Geschäftsbesorgungsverträge, für die das BGB u. a. auf § 665 BGB verweist, der davon handelt, dass der Beauftragte unter bestimmten Bedingungen „von den Weisungen des Auftraggebers“ abweichen darf. Und natürlich muss der Steuerberater „Anweisungen“ des Mandanten beachten (bzw. darf sich darauf berufen), diese Anweisungen dokumentieren und, wenn diese rechtswidrig sein sollten, das Mandatsverhältnis kündigen. Der Steuerberater handelt also innerhalb der erteilten Anweisungen (Rahmen) eigenverantwortlich (Ausfüllung) und muss überdies Anweisungen des Mandanten – das hat der Bundesgerichtshof oft entschieden – aus seiner berufsrechtlichen Perspektive hinterfragen und auf Probleme hinweisen. Aber das bedeutet nicht, dass der Steuerberater „weisungsfrei“ handelt. Und wenn man sich den Wortlaut der DSGVO vergegenwärtigt (s. o.), liegt bei der Beauftragung eines Steuerberaters sicherlich begrifflich ein „Auftrag“ vor.
Wenn also die mit der Letztentscheidungskompetenz ausgestatteten Gerichte nicht irgendwann das Dogma aufstellen, dass ein „Auftrag“ eben ein „Auftrag“ ist, gleich wo er sich auf der „Weisungsgebundenheitsskala“ einordnet, dann wird aus der Menge möglicher „Aufträge“ vermutlich immer nur eine Teilmenge eine Auftragsverarbeitung im Sinne der DSGVO darstellen. Und wo die Grenze genau liegt, muss kein Gericht entscheiden, weil es nur über den konkreten Fall entscheidet. So kann einstweilen jeder seine Menge definieren, wie er das für richtig hält, weil der EU-Gesetzgeber es vorgezogen hat, derartige Details der Meinungspluralität der Praxis zu überlassen.
Bemerkenswert ist, dass sich ausgerechnet zur Frage der Einordnung von Steuerberater-Verträgen eine Initiative im (deutschen) Bundesrat zu einer gesetzlichen Klarstellung auf deutscher Ebene gebildet hat. Als gäbe es nicht wichtigere Baustellen, um grundlegende Dinge innerhalb der DSGVO klarzustellen. Aber ganz grundsätzlich stellt sich bei diesem Ansinnen natürlich die Frage, was der deutsche Gesetzgeber – abseits der von der DSGVO ausdrücklich vorgesehenen Öffnungsklauseln – überhaupt regeln darf. Die Verbindlichkeit der hier angestrebten „EU-Auslegungs-Gesetze“ auf nationaler Ebene könnte dann wieder nur der Europäische Gerichtshof verbindlich beurteilen, dessen Entscheidungstendenz als europäisches Gericht bekannt sein dürfte.
Exkurs: Die externe Verarbeitung von Beschäftigtendaten
Aus dem letzten Absatz der Stellungnahme der Bayerischen Aufsichtsbehörde wird übrigens noch eine weitere „Baustelle“ deutlich: Die Aufsichtsbehörde geht davon aus, dass personenbezogene Daten von Arbeitnehmern des Mandanten wie auch personenbezogene Daten von Kunden des Mandanten – wohl solchen, die natürliche Personen sind – vom Steuerberater aufgrund einer Interessenabwägung (Art. 6 Abs. 1 S. 1 lit. f) DSGVO) verarbeitet werden. Der Steuerberater hat also ein berechtigtes Interesse, die Daten zu verarbeiten, welches das Interesse des Arbeitnehmers oder Kunden überwiegt, dass dessen Daten nicht vom Steuerberater ihres Arbeitgebers bzw. Lieferanten verarbeitet werden. Da aber das Interesse des Steuerberaters – als „outgesourcte“ Steuer- bzw. Lohnbuchhaltungsabteilung – nur ein vom Interesse seines Mandanten selbst abgeleitetes Interesse ist, stellt sich die Frage, ob nicht die Legitimationsgrundlagen, welche die Datenverarbeitung beim Mandanten selbst „tragen“, auch die Datenverarbeitung durch den Steuerberater legitimieren. In Fall 1 wurde dies für die unternehmensbezogenen Kontaktdaten des Beschäftigten und deren Verarbeitung durch dritte Unternehmen thematisiert, hier geht es nun um Stammdaten des Beschäftigten bzw. sogar um „Personalaktendaten“. Die „Kontakt-/Werbedaten“ des Beschäftigten werden in Fall 22 thematisiert.
Dieser Gedanke würde unabhängig davon gelten, ob eine Auftragsverarbeitungssituation vorliegt oder eine Übermittlung an einen anderen (selbstständigen) Verantwortlichen. Rechtsgrundlage für die Verarbeitung von Arbeitnehmerdaten ist § 26 BDSG. Dass nur der Arbeitgeber sich auf diese Rechtsgrundlage berufen darf, steht nicht im Gesetz, wird aber von Juristen wie selbstverständlich so „hineingelesen“. Solange die Verarbeitung der personenbezogenen Daten „für Zwecke des Beschäftigungsverhältnisses verarbeitet werden“, was bei der Lohnbuchhaltung der Fall ist, müsste § 26 BDSG eigentlich auch die weitere Verarbeitung durch den Steuerberater legitimieren können. Schon die Übermittlung an den Steuerberater ist für die Durchführung des Beschäftigungsverhältnisses (Lohnabrechnung) „erforderlich“, wenn sich der Arbeitgeber entscheidet, diese Funktion an den Steuerberater „outzusourcen“, und dasselbe gilt für die Verarbeitung beim Steuerberater. Das könnte sogar für die Übermittlung an eine zentral in den USA betriebene HR-Abteilung eines US-Konzern mit Tochtergesellschaften in der EU gelten – oder ist das für die Durchführung des Beschäftigungsverhältnisses nicht „erforderlich“ (§ 26 Abs. 1 S. 1 BDSG) und dem US-Konzern der Aufbau einer eigenen HR-Abteilung in der EU „zumutbar“?
Für die Verarbeitung der personenbezogenen Daten des Kunden, mit dem der Mandant des Steuerberaters einen (Liefer-) Vertrag geschlossen hat, gilt hingegen Art. 6 Abs. 1 S. 1 lit. b) DSGVO. Auch hier muss die Datenverarbeitung nur zur Erfüllung eines Vertrags mit dem Betroffenen „erforderlich“ sein – es ist nicht notwendig, dass dieser Vertrag gerade mit dem Verantwortlichen besteht. Sofern also die Datenverarbeitung durch den Steuerberater im Rahmen der Buchhaltung für die Vertragserfüllung „erforderlich“ ist, müsste sich auch der Steuerberater hierauf berufen können.
Diese Sichtweise – der Steuerberater „teilt“ die Legitimationsgrundlage seines Mandanten, die dieser gegenüber dem Betroffenen geltend machen kann – vertritt, wie oben zitiert, der Thüringer Landesbeauftragte für Datenschutz im Fall der Auftragsverarbeitung. Ob diese Sichtweise auch auf Datenübermittlungen an (selbstständig) Verantwortliche übertragen werden kann, ist offen. Es ist aber nicht unwichtig: Kann der Steuerberater sich „nur“ auf eine Interessenabwägung berufen, so könnte der Betroffene der Verarbeitung widersprechen (Art. 21 DSGVO). In der Praxis würde dies eine Menge (Prüf-)Arbeit auslösen bis hin zur Einschränkung der Verarbeitung (Art. 18 DSGVO). Kann sich der Steuerberater auch – neben dem ursprünglichen Verantwortlichen – auf die Legitimationsgrundlage (Anstellungs-)Vertrag berufen, besteht diese Möglichkeit des Betroffenen nicht.
Es wird also noch in vielen Fallgestaltungen viele Diskussionen über die „richtige“ datenschutzrechtliche Legitimationsgrundlage geben. Und wenn man die Entscheidung des Bundesgerichtshofs vom Juli 2018 in Sachen Facebook-Account liest, könnte es sogar viele Fälle von „beides ist richtig“ geben (s. dazu Fall 8), was allerdings nur solange nützlich ist, wie die Konsequenzen der unterschiedlichen Legitimationsgrundlagen nicht auseinanderlaufen.