Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA; die frü­he­re Arti­kel-29-Daten­schutz­grup­pe) hat am 23. Novem­ber 2018 den lang­erwar­te­ten Ent­wurf der Leit­li­ni­en zum räum­li­chen Anwen­dungs­be­reich der DSGVO ver­öf­fent­licht (Gui­de­li­nes 3/2018 on the ter­ri­to­ri­al scope of the GDPR (Arti­cle 3) – ver­si­on for public con­sul­ta­ti­on; vor­erst nur in eng­li­scher Spra­che).

Gesamtwürdigung

Das Papier des EDSA ver­steht den räum­li­chen Anwen­dungs­be­reich nicht so weit, wie es zu befürch­ten war. Bspw. hält der EDSA fest,

  • dass der ausser­eu­ro­päi­sche Ver­ant­wort­li­che nicht schon des­halb unter die DSGVO fällt, weil er einen euro­päi­schen Auf­trags­ver­ar­bei­ter ein­setzt;
  • dass die Ein­stel­lung von Mit­ar­bei­tern und die Daten­be­ar­bei­tung im Rah­men des Arbeits­ver­hält­nis­ses kei­ne Ange­bots­aus­rich­tung und typi­scher­wei­se auch kei­ne Ver­hal­tens­be­ob­ach­tung dar­stellt;
  • dass die Ver­hal­tens­be­ob­ach­tung die Absicht vor­aus­setzt, die erho­be­nen Daten in einer bestimm­ten Wei­se ein­zu­set­zen, die in ihrer Inten­si­tät wohl einem Pro­filing ver­gleich­bar sein muss.

Der EDSA bemüht sich offen­bar, eine Balan­ce zwi­schen dem Schutz der betrof­fe­nen Per­so­nen im EWR einer­seits und einer Aus­höh­lung der Vor­aus­set­zun­gen von Art. 3 DSGVO ande­rer­seits zu fin­den, und es scheint, dass die DSGVO vor allem auf typi­sche Fäl­le Anwen­dung fin­den soll. Vie­le Fra­gen blei­ben aber offen, was ver­mut­lich damit zu tun hat, dass eine erste Fas­sung des Papiers noch­mals dis­ku­tiert wur­de und dass dabei eini­ge Aus­füh­run­gen und Hin­wei­se gestri­chen wor­den sein dürf­ten. Unklar ist bspw., ob auch all­ge­mein-inter­na­tio­na­le Ange­bo­te (d.h. Ange­bo­te mit inter­na­tio­na­ler Aus­rich­tung, aber ohne Bezug spe­zi­fisch zum EWR) erfasst sind und ob auch Ange­bo­te gegen­über Bestands­kun­den eine Ange­bots­aus­rich­tung dar­stel­len kön­nen. Man wird hier die Recht­spre­chung abwar­ten müs­sen.

Das Papier liegt nun zur öffent­li­chen Stel­lung­nah­me auf, bevor eine fina­le Fas­sung ver­ab­schie­det wird.

Art. 3 DSGVO

Der räum­li­che Anwen­dungs­be­reich der DSGVO ist in Art. 3 gere­gelt:

(1) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten, soweit die­se im Rah­men der Tätig­kei­ten einer Nie­der­las­sung eines Ver­ant­wort­li­chen oder eines Auf­trags­ver­ar­bei­ters in der Uni­on erfolgt, unab­hän­gig davon, ob die Ver­ar­bei­tung in der Uni­on statt­fin­det.

(2) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten von betrof­fe­nen Per­so­nen, die sich in der Uni­on befin­den, durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ter, wenn die Daten­ver­ar­bei­tung im Zusam­men­hang damit steht

a) betrof­fe­nen Per­so­nen in der Uni­on Waren oder Dienst­lei­stun­gen anzu­bie­ten, unab­hän­gig davon, ob von die­sen betrof­fe­nen Per­so­nen eine Zah­lung zu lei­sten ist;

b) das Ver­hal­ten betrof­fe­ner Per­so­nen zu beob­ach­ten, soweit ihr Ver­hal­ten in der Uni­on erfolgt.

(3) Die­se Ver­ord­nung fin­det Anwen­dung auf die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten durch einen nicht in der Uni­on nie­der­ge­las­se­nen Ver­ant­wort­li­chen an einem Ort, der auf­grund Völ­ker­rechts dem Recht eines Mit­glied­staats unter­liegt.

Zum Niederlassungsprinzip

Begriff der Niederlassung

Wenig Über­ra­schen­des fin­det sich zur Defi­ni­ti­on der “Nie­der­las­sung” i.S.v. Art. 3 Abs. 1 DSGVO. Der EDSA ver­weist hier auf Erw­Gr 22 und die Recht­spre­chung des EuGH, insb. den Welt­im­mo-Ent­scheid, bei dem der EuGH den Nie­der­las­sungs­be­griff funk­tio­nal und sehr weit ver­stan­den hat. Mass­ge­bend sind die Festig­keit (“degree of sta­bi­li­ty”) der als Nie­der­las­sung in Fra­ge kom­men­den Struk­tur und die effek­ti­ve Tätig­keit in EWR-Gebiet. Im Extrem­fall kön­ne bereits die Anwe­sen­heit eines ein­zi­gen Mit­ar­bei­ters oder Ver­tre­ters auf dem Gebiet des EWR aus­rei­chen, sofern die­ser Mit­ar­bei­ter oder Ver­tre­ter “with a suf­fi­ci­ent degree of sta­bi­li­ty” tätig wird. Ein zufäl­li­ger, flüch­ti­ger oder sonst­wie nicht auf Dau­er ange­leg­ter Auf­ent­halt dürf­te daher nicht genü­gen. Der EDSA nennt als Bei­spiel eine ope­ra­ti­ve Zweig­nie­der­las­sung mit Büro­räum­lich­kei­ten; hier sind die Kri­te­ri­en der Festig­keit und der effek­ti­ven Aus­übung einer Tätig­keit gege­ben. Eben­falls genannt wird eine Toch­ter­ge­sell­schaft.

Dem­ge­gen­über ist ein Auf­trags­ver­ar­bei­ter kei­ne Nie­der­las­sung des Ver­ant­wort­li­chen nur auf­grund der Auf­trags­be­zie­hung. Auch ver­ar­bei­tet der Ver­ant­wort­li­che Per­so­nen­da­ten nicht “im Zusam­men­hang mit der Nie­der­las­sung des Auf­trags­ver­ar­bei­ters” im EWR. Ein ausser­eu­ro­päi­scher Ver­ant­wort­li­cher fällt dem­nach nicht schon des­halb in den Anwen­dungs­be­reich der DSGVO, weil er einen im EWR nie­der­ge­las­se­nen Auf­trags­ver­ar­bei­ter ver­wen­det. Der euro­päi­sche Auf­trags­ver­ar­bei­ter fällt aber natür­lich sei­ner­seits unter die DSGVO.

Verarbeitung “im Zusammenhang” mit der Niederlassung

Nach Art. 3 Abs. 1 fin­det die DSGVO nur Anwen­dung auf Daten­ver­ar­bei­tun­gen, die mit der Tätig­keit der Nie­der­las­sung “im Zusam­men­hang” ste­hen. Ein ausser­eu­ro­päi­sches Unter­neh­men fällt daher nicht stets mit allen Ver­ar­bei­tungs­tä­tig­kei­ten unter die DSGVO, nur weil es über eine Nie­der­las­sung im EWR ver­fügt. Der EDSA legt die­se Anfor­de­rung aber eben­falls weit aus. Es ist nicht erfor­der­lich, dass sich die Nie­der­las­sung selbst an der frag­li­chen Daten­be­ar­bei­ters des Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­ters ausser­halb des EWR betei­ligt. Es genügt viel­mehr – hier ver­weist der EDSA auf den Ent­scheid des EuGH i.S. Goog­le Spain -, dass die Tätig­keit der Nie­der­las­sung und die Daten­ver­ar­bei­tung im kon­kre­ten Ein­zel­falls als untrenn­bar ver­bun­den erschei­nen (“inex­tri­ca­bly lin­ked”). Eine sol­che Ver­bin­dung kann etwa dann bestehen, wenn eine Nie­der­las­sung durch ihre Tätig­keit dazu bestimmt ist, Umsatz für das nicht­eu­ro­päi­sche Haupt­un­ter­neh­men zu gene­rie­ren (z.B. bei einem Sales Office im EWR), auch wenn sich die­se Nie­der­las­sung selbst nicht an der Daten­ver­ar­bei­tung betei­ligt. Damit bestä­tigt der EDSA eben­falls den Goog­le Spain-Ent­scheid. Ein Bei­spiel sei ein chi­ne­si­scher Web­shop, des­sen deut­sche Nie­der­las­sung die euro­päi­schen Wer­be­ak­ti­vi­tä­ten des Shops lei­tet.

Dabei spielt es kei­ne Rol­le, ob dabei Per­so­nen­da­ten von Per­so­nen im EWR bear­bei­tet wer­den oder wo die Bear­bei­tung statt­fin­det. Eine fran­zö­si­sche Gesell­schaft, deren Mobi­le App aus­schliess­lich in Nord­afri­ka ver­füg­bar ist, unter­steht daher der DSGVO, eben­so wie ein schwe­di­sches Unter­neh­men, das für eine Daten­ver­ar­bei­tung ver­ant­wort­lich ist, die in Sin­ga­pur statt­fin­det. Umge­kehrt unter­steht der ausser­eu­ro­päi­sche Auf­trags­ver­ar­bei­ter eines euro­päi­schen Auf­trags­ver­ar­bei­ters nicht der DSGVO, ist aber nach Art. 28 Abs. 3 DSGVO – und ggf. Art. 44 ff. DSGVO – ver­trag­lich ein­zu­bin­den.

Angebotsausrichtung

Wenn eine Nie­der­las­sung im EWR fehlt bzw. wenn die frag­li­che Ver­ar­bei­tung kei­nen aus­rei­chen­den Zusam­men­hang mit einer sol­chen Nie­der­las­sung auf­weist, kann die Ange­bots­aus­rich­tung i.S.v. Art. 3 Abs. 2 lit. a die Anwen­dung der DSGVO aus­lö­sen. Was unter “Waren oder Dienst­lei­stun­gen” zu ver­ste­hen ist, führt der EDSA nicht näher aus. Er stellt aber klar, dass die Bear­bei­tung von Mit­ar­bei­ter­da­ten durch ein nicht im EWR nie­der­ge­las­se­nes Unter­neh­men nicht unter Art. 3 Abs. 2 lit. a DSGVO fällt, auch nicht wenn die Mit­ar­bei­ter des ausser­eu­ro­päi­schen Unter­neh­mens in einem EWR-Staat ansäs­sig sind:

In this case, […] the pro­ces­sing […] does not takes place in the con­text of an offer of goods or ser­vices. Inde­ed human resour­ces manage­ment, inclu­ding sala­ry pay­ment by a third-coun­try com­pa­ny can­not be con­si­de­red as an offer of ser­vice wit­hin the mea­ning of Art 3(2)a. The pro­ces­sing at sta­ke does not rela­te to the offer of goods or ser­vices to data sub­jects in the Uni­on (nor to the moni­to­ring of beha­viour) and, as a con­se­quence, is not sub­ject to the pro­vi­si­ons of the GDPR, as per Arti­cle 3.

Ein Ange­bot ist sodann nur erfasst, wenn die offen­sicht­li­che Absicht besteht, Per­so­nen im EWR Waren oder Dienst­lei­stun­gen anzu­bie­ten. Dafür sind objek­ti­ve Indi­zi­en zu wür­di­gen, wofür der EDSA auf Erw­Gr 23 und die Recht­spre­chung des EuGH ver­weist, v.a. den Ent­scheid Alpen­hofDer EDSA nennt fol­gen­de Indi­zi­en, die – je nach Umstän­den für sich genom­men oder auch nur im Ver­bund – auf eine Ange­bots­aus­rich­tung schlie­ssen las­sen:

  • Die aus­drück­li­che Anga­be eines Mit­glied­staats im Zusam­men­hang mit einem Ange­bot;
  • Aus­ga­ben für die Pla­zie­rung eines Ange­bots in den Ergeb­nis­sen einer Such­ma­schi­ne, um Per­so­nen im EWR anzu­spre­chen;
  • auf die EU aus­ge­rich­te­te Wer­be­kam­pa­gnen;
  • die inter­na­tio­na­le Natur eines Ange­bots, bspw. bestimm­te tou­ri­sti­sche Akti­vi­tä­ten;
  • die Anga­be eige­ner Adres­sen oder Tele­fon­num­mern zur Kon­takt­auf­nah­me aus dem EWR;
  • die Ver­wen­dung von aus Sicht des Anbie­ters aus­län­di­schen Top-Level-Domains wie z.B. “.de” oder “.eu”;
  • die Anga­be eines Anfahrts­wegs aus dem EWR zum Erfül­lungs­ort;
  • die Anga­be inter­na­tio­na­ler Kund­schaft aus EWR-Staa­ten (“The men­ti­on of an inter­na­tio­nal cli­en­te­le com­po­sed of custo­mers domici­led in various EU Mem­ber
    Sta­tes, in par­ti­cu­lar by pre­sen­ta­ti­on of accounts writ­ten by such custo­mers”);
  • die Ver­wen­dung einer aus Sicht des Anbie­ters frem­den Spra­che oder Wäh­rung, beson­ders einer Spra­che oder Wäh­rung, die in einem oder meh­re­ren EWR-Staa­ten gebräuch­lich sind;
  • das Ange­bot einer Lie­fe­rung in einen EWR-Staat.

Nicht genü­gend wäre etwa das Ange­bot einer Uni­ver­si­tät (der EDSA nennt das Bei­spiel einer Uni­ver­si­tät in Zürich), die Master­kur­se anbie­tet und dafür aus­rei­chen­de Deutsch- und Eng­lisch­kennt­nis­se ver­langt:

A Swiss Uni­ver­si­ty in Zurich is laun­ching its Master degree selec­tion pro­cess, by making avail­ab­le an online plat­form whe­re can­di­da­tes can upload their CV and cover let­ter, tog­e­ther with their con­tact details. The selec­tion pro­cess is open to any stu­dent with a suf­fi­ci­ent level of Ger­man and Eng­lish and hol­ding a Bache­lor degree. The Uni­ver­si­ty does not spe­ci­fi­cal­ly adver­ti­se to stu­dents in EU Uni­ver­si­ties, and only takes pay­ment in Swiss cur­ren­cy.

As the­re is no distinc­tion or spe­ci­fi­ca­ti­on for stu­dents from the Uni­on in the app­li­ca­ti­on and selec­tion pro­cess for this Master degree, it can­not be estab­lished that the Swiss Uni­ver­si­ty has the inten­ti­on to tar­get stu­dents from a par­ti­cu­lar EU mem­ber sta­tes. The suf­fi­ci­ent level of Ger­man and Eng­lish is a gene­ral requi­re­ment that app­lies to any app­li­cant whe­ther a Swiss resi­dent, a per­son in the Uni­on or a stu­dent from a third coun­try. Wit­hout other fac­tors to indi­ca­te the spe­ci­fic tar­ge­ting of stu­dents in EU mem­ber sta­tes, it the­re­fo­re can­not be estab­lished that the pro­ces­sing in questi­on rela­tes to the offer of an edu­ca­ti­on ser­vice to data sub­ject in the Uni­on, and such pro­ces­sing will the­re­fo­re not be sub­ject to the GDPR pro­vi­si­ons.

Dabei müs­sen sich die betrof­fe­nen Per­so­nen, an die sich das Ange­bot aus­rich­tet, phy­sisch im EWR auf­hal­ten, und zwar zu dem Zeit­punkt, zu dem das Ange­bot erfolgt:

The requi­re­ment that the data sub­ject be loca­ted in the Uni­on must be asses­sed at the moment when the rele­vant trig­ger activi­ty takes place, i.e. at the moment of offe­ring of goods or ser­vices or the moment when the beha­viour is being moni­to­red, regard­less of the dura­ti­on of the offer made or moni­to­ring under­ta­ken.

Sodann fal­len im Fall einer Ange­bots­aus­rich­tung alle Daten­ver­ar­bei­tun­gen unter die DSGVO, die mit dem Ange­bot einen Zusam­men­hang auf­wei­sen. Laut EDSA genügt auch ein “indi­rek­ter” Zusam­men­hang, was aber nicht näher erläu­tert wird.

Ins­ge­samt ent­steht der Ein­druck, dass der EDSA all­ge­mein-inter­na­tio­na­le Ange­bo­te nicht aus­rei­chen lässt, d.h. Ange­bo­te, die sich zwar an ein inter­na­tio­na­les Publi­kum rich­ten, aber ohne einen beson­de­ren Bezug zum Gebiet des EWR (bspw. eine Web­site in eng­li­scher Spra­che und mit einer .com-Domain). So klar hält der EDSA das nicht fest; er nennt als Indiz für die Ange­bots­aus­rich­tung aber “The men­ti­on of an inter­na­tio­nal cli­en­te­le com­po­sed of custo­mers domici­led in various EU Mem­berSta­tes”. Auch das Bei­spiel der Uni­ver­si­tät deu­tet auf die­ses Ver­ständ­nis hin.

Verhaltensbeobachtung

Ein Ver­ant­wort­li­cher oder Auf­trags­ver­ar­bei­ter ohne Nie­der­las­sung im EWR kann fer­ner auch dann unter die DSGVO fal­len, wenn er das Ver­hal­ten betrof­fe­ner Per­so­nen im EWR beob­ach­tet. Der EDSA hält zunächst fest, dass trotz Erw­Gr 24 nicht nur Ver­hal­ten “im Inter­net” erfasst wird, son­dern auch ein Tracking auf ande­re Wei­se:

While Reci­tal 24 exclu­si­ve­ly rela­tes to the moni­to­ring of a beha­viour through the tracking of a per­son on the inter­net, the EDPB con­si­ders that tracking through other types of net­work or tech­no­lo­gy invol­ving per­so­nal data pro­ces­sing should also be taken into account in deter­mi­ning whe­ther a pro­ces­sing activi­ty amounts to a beha­viou­ral moni­to­ring, for examp­le through weara­ble and other smart devices.

Dabei geht es dem EDSA aber um Vor­gän­ge in der Nähe eines Tracking oder Pro­filing:

As oppo­sed to the pro­vi­si­on of Arti­cle 3(2)(a), neit­her Arti­cle 3(2)(b) nor Reci­tal 24 intro­du­ce a necessa­ry degree of “inten­ti­on to tar­get” on the part of the data con­trol­ler or pro­ces­sor to deter­mi­ne whe­ther the moni­to­ring activi­ty would trig­ger the app­li­ca­ti­on of the GDPR to the pro­ces­sing activi­ties. Howe­ver, the use of the word “moni­to­ring” implies that the con­trol­ler has a spe­ci­fic pur­po­se in mind for the collec­tion and sub­se­quent reu­se of the rele­vant data about an individual’s beha­viour wit­hin the EU. The EDPB does not con­si­der that any online collec­tion or ana­ly­sis of per­so­nal data of indi­vi­du­als in the EU would auto­ma­ti­cal­ly count as “moni­to­ring”. It will be necessa­ry to con­si­der the controller’s pur­po­se for pro­ces­sing the data and, in par­ti­cu­lar, any sub­se­quent beha­viou­ral ana­ly­sis or pro­filing tech­ni­ques invol­ving that data. The EDPB takes into account the word­ing of Reci­tal 24, which indi­ca­tes that to deter­mi­ne whe­ther pro­ces­sing invol­ves moni­to­ring of a data sub­ject beha­viour, the tracking of natu­ral per­sons on the Inter­net, inclu­ding the poten­ti­al sub­se­quent use of pro­filing tech­ni­ques, is a key con­si­de­ra­ti­on.

Der EDSA nennt sodann fol­gen­de Bei­spie­le, bei denen eine Ver­hal­tens­be­ob­ach­tung mög­lich ist:

  • per­so­na­li­sier­te Wer­bung;
  • Geo­lo­ka­li­sie­rung, beson­ders für Mar­ke­ting­zwecke;
  • Online-Tracking über Coo­kies oder ähn­li­che Tech­no­lo­gi­en wie Fin­ger­prin­ting;
  • per­so­na­li­sier­te Ernäh­rungs­be­ra­tung und Gesund­heits­ana­ly­se online;
  • Video­über­wa­chung;
  • Markt­for­schung und ande­re Ver­hal­tens­ana­ly­sen gestützt auf indi­vi­du­el­le Pro­fi­le;
  • Über­wa­chung oder regel­mä­ssi­ge Bericht­erstat­tung über den Gesund­heits­zu­stand.

Damit klärt der EDSA kei­nes­wegs alle offe­nen Fra­gen. Er ent­zieht aber immer­hin der ver­brei­te­ten Auf­fas­sung den Boden, die Ver­wen­dung z.B. von Coo­kies füh­re per se zu einer Ver­hal­tens­be­ob­ach­tung. Erfor­der­lich ist viel­mehr

  1. die Erhe­bung von Daten von Per­so­nen im EWR über deren eben­falls im EWR erfol­gen­des Ver­hal­ten,
  2. mit der Absicht,
  3. die­se Daten zu erhe­ben, um sie in einer bestimm­ten, geplan­ten Wei­se wei­ter­zu­ver­wen­den, die eine bestimm­te Inten­si­tät erreicht, ins­be­son­de­re ein Pro­filing.

Zum EU-Vertreter

Der EDSA äussert sich auch zum EU-Ver­tre­ter und hält hier­zu u.a. fol­gen­des fest:

  • Der Ver­tre­ter ist kei­ne Nie­der­las­sung des Ver­ant­wort­li­chen.
  • Beim Ver­tre­ter kann es sich um eine natür­li­che oder eine juri­sti­sche im EWR nie­der­ge­las­se­ne Per­son han­deln, z.B. eine Anwalts­kanz­lei, einen Bera­ter, eine pri­va­te Gesell­schaft etc. Bei juri­sti­schen Per­so­nen sei es emp­feh­lens­wert, eine Kon­takt­per­son zu bezeich­nen, z.B. im Ver­trag mit dem Ver­tre­ter.
  • Der Ver­tre­ter muss in einem Staat nie­der­ge­las­sen sein, in dem sich die von der rele­van­ten Tätig­keit betrof­fe­nen Per­so­nen auf­hal­ten (Angebotsadressaten/beobachtete Per­so­nen) (Art. 27 Abs. 3 DSGVO). Wenn dies auf meh­re­re Staa­ten zutrifft, die Mehr­heit der betrof­fe­nen Per­so­nen aber in einem ein­zi­gen Staat ansäs­sig sind, soll­te der Ver­tre­ter der Emp­feh­lung des EDSA zufol­ge in die­sem Staat bestellt wer­den. Er müs­se für betrof­fe­ne Per­so­nen jedoch gut erreich­bar sein.
  • Ein Ver­tre­ter kann meh­re­re Unter­neh­men ver­tre­ten. Er kann aber nicht gleich­zei­tig die Funk­ti­on eines Daten­schutz­ver­ant­wort­li­chen (DPO) für das­sel­be Unter­neh­men wahr­neh­men.
  • Die Auf­ga­be des Ver­tre­ters besteht dar­in, die Kom­mu­ni­ka­ti­on zwi­schen dem ausser­eu­ro­päi­schen Unter­neh­men und den betrof­fe­nen Per­so­nen oder den Behör­den zu erleich­tern. Er muss daher in der Lage sein, mit die­sen effek­tiv zu kom­mu­ni­zie­ren, was u.a. ent­spre­chen­de Sprach­kennt­nis­se vor­aus­setzt.

Weitere Punkte

Der EDSA hält wei­ter fest:

  • Für Unter­neh­men ohne Nie­der­las­sung im EWR ist der One-Stop-Mecha­nis­mus nach Art. 56 DSGVO nicht anwend­bar.
  • Wenn die DSGVO anwend­bar ist, ist sie es grund­sätz­lich ins­ge­samt, d.h. alle Bestim­mun­gen (und nicht bspw. nur die Grund­sät­ze der Ver­ar­bei­tung) fin­den Anwen­dung;
  • Unter­neh­men ausser­halb des EWR müs­sen das Recht der Mit­glied­staa­ten beach­ten, das eige­ne kol­li­si­ons­recht­li­che Bestim­mun­gen vor­se­hen kann.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.