Der Umgang mit personenbezogenen Daten in Bezug auf Arbeitnehmer, die im Ausland für ein in der EU ansässiges Unternehmen tätig sind, war bisher eine komplexe Angelegenheit. Gemäß den strengen Kriterien der Datenschutz-Grundverordnung (DSGVO) müssen personenbezogene Daten bei Übermittlungen in sogenannte Drittländer ein vergleichbares Datenschutzniveau wie in der EU aufweisen. Dieses Konzept findet sich im Kapitel V der DSGVO. Eine Möglichkeit, ein angemessenes Datenschutzniveau zu gewährleisten, sind vertragliche Regelungen wie Standardvertragsklauseln. Es bestand jedoch Unsicherheit darüber, wie Arbeitnehmer personenbezogene Daten während einer Geschäftsreise oder eines längeren Aufenthalts im Ausland verarbeiten können.

Früher scheiterte der Abschluss von Standardvertragsklauseln zwischen dem in der EU ansässigen Unternehmen und dem Mitarbeiter, der im Ausland auf personenbezogene Daten zugreifen wollte, aufgrund der Kontrollmöglichkeiten des Arbeitnehmers. Die Arbeitnehmer konnten keine geeigneten Maßnahmen ergreifen, um das erforderliche Datenschutzniveau gemäß DSGVO zu gewährleisten. Daher konnten Datenaustauschregelungen zwischen dem in der EU ansässigen Unternehmen und seinen im Ausland tätigen Mitarbeitern in der Regel nicht vereinbart werden. Das Arbeiten aus dem außereuropäischen Ausland konnte vom Arbeitgeber normalerweise nicht gestattet werden.

Neue Einschätzung des Europäischen Datenschutzausschusses (EDSA)

Der Europäische Datenschutzausschuss (EDSA), ein unabhängiges europäisches Gremium, hat in seinen 2023 veröffentlichten Leitlinien "Adopted 1 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR" (abrufbar unter https://edpb.europa.eu/system/files/2023-02/edpb_guidelines_05-2021_interplay_between_the_application_of_art3-chapter_v_of_the_gdpr_v2_en_0.pdf) eine klare Stellungnahme zu diesem Thema abgegeben. Diese Leitlinien erläutern insbesondere, wann eine "Übermittlung" personenbezogener Daten im Sinne von Kapitel V der DSGVO vorliegt.

Der EDSA ist dafür verantwortlich, sicherzustellen, dass die Bestimmungen der DSGVO einheitlich angewandt werden und die Zusammenarbeit der nationalen Datenschutzbehörden im Europäischen Wirtschaftsraum gewährleistet ist.

Gemäß den Leitlinien des EDSA wird nicht von einer "Übermittlung" personenbezogener Daten ausgegangen, wenn sich ein Mitarbeiter vorübergehend in einem Drittland befindet und dort auf die Unternehmensinfrastruktur des in der EU ansässigen Arbeitgebers zugreift, wobei personenbezogene Daten nur auf dem Bildschirm des Mitarbeiters im Drittland angezeigt werden. Daher sind gemäß diesen Ausführungen keine Maßnahmen gemäß Kapitel V der DSGVO (z. B. Standardvertragsklauseln) erforderlich, wenn ein Mitarbeiter in einem Drittland tätig ist. Damit ist die datenschutzrechtliche Frage beantwortet, ob Mitarbeiter eines in der EU ansässigen Unternehmens im Ausland arbeiten dürfen, ohne dass der Arbeitgeber gegenüber den Datenschutzaufsichtsbehörden oder dem Verantwortlichen angreifbar wird.

Begleitende Maßnahmen und Datensicherheit

Unabhängig von den Leitlinien des EDSA sollten dennoch Maßnahmen ergriffen werden, um sicherzustellen, dass Behörden in Drittländern keinen Zugriff auf personenbezogene Daten des in der EU ansässigen Unternehmens erhalten. Hierzu kann beispielsweise sichergestellt werden, dass keine personenbezogenen Daten auf dem mitgeführten mobilen Endgerät gespeichert sind und diese nur über eine verschlüsselte VPN-Verbindung von einem im Ausland arbeitenden Mitarbeiter auf dem Server des Arbeitgebers abgerufen werden können. Darüber hinaus sollten geeignete Sicherheitsmaßnahmen wie sichere Passwörter und Verschlüsselung des Endgeräts implementiert werden, um einen unbefugten Zugriff auf die Daten zu verhindern.

Es ist auch wichtig, dass der aus dem Ausland arbeitende Mitarbeiter ähnliche Maßnahmen wie beim Arbeiten im Home-Office ergreift, um zu verhindern, dass unberechtigte Dritte Zugriff auf die personenbezogenen Daten erhalten. Dies kann während eines Urlaubs mit Familienangehörigen im gleichen Hotelzimmer eine Herausforderung darstellen. Der Arbeitnehmer muss sicherstellen, dass andere Familienmitglieder im Hotelzimmer keinen Zugriff auf die geschützten personenbezogenen Daten haben.
Unabhängig von diesen gesetzlichen Bestimmungen sollte insbesondere bei Auftragsverarbeitern gemäß Artikel 28 der DSGVO sichergestellt werden, dass das Arbeiten aus Drittländern für die Mitarbeiter nicht untersagt ist.

Datenschutzgerechtes Arbeiten aus dem Ausland

Unter Berücksichtigung der genannten Maßnahmen und einer sorgfältigen Überprüfung der bestehenden Verträge gibt es grundsätzlich keine Bedenken mehr, die das Arbeiten aus dem außereuropäischen Ausland betrifft. Bei Unsicherheiten empfiehlt sich eine enge Abstimmung zwischen Mitarbeiter, Arbeitgeber, dem Datenschutzbeauftragten und einem auf IT-Recht spezialisierten Anwalt, insbesondere im Hinblick auf konkret geplante Auslandsaufenthalte.

Das Bayerische Landesamt für Datenschutzaufsicht hat einen Online-Test für Unternehmen und andere Verantwortliche online gestellt, mit dem eine weitere Sensibilisierung auf die Regelungen zur Datenschutzgrundverordnung im Mai 2018 geschaffen wird:

https://www.lda.bayern.de/tool/start.html

Das OLG Koblenz und das OLG Hamm sind sich einig. Es muss eine aktive Verlinkung zur Online-Streitbeilegungsplattform erfolgen.
 
Nach der ODR-Verordnung (EU) Nr. 524/2013 besteht für in der Europäischen Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, seit dem 09.01.2016 die gesetzliche Verpflichtung, Verbraucher über die Existenz der Online-Streitbeilegungsplattform (ODR-Plattform) auf der Website zu informieren. Hierzu muss eine „Verlinkung“ zur ODR-Plattform erfolgen. Das OLG Hamm  bestätigt die Auffassung des OLG Koblenz, dass diese Verlinkung aktiv erfolgen muss. Erforderlich ist also, dass ein Klick auf die Verlinkung zur automatischen Weiterleitung auf die ODR-Plattform führt.
 
Wird in einem Online-Angebot kein klickbarer Link, sondern lediglich die Internetadresse zur ODR-Plattform wiedergegeben, droht eine Abmahnung durch Mitbewerber oder Wettbewerbsvereine. Das OLG Hamm schließt sich damit der Rechtsprechung des OLG Koblenz an (Urteil vom 25.1.2017, Az. 9 W 426/16). Auch wenn die Streitwerte bei einem Verstoß gegen diese Verpflichtung mit 2.500 bis 4.000 EUR für wettbewerbsrechtliche Verfahren recht gering angesetzt werden, entstehen durch einen einfach zu beseitigenden Mangel nicht ganz unerhebliche Kosten.
 
Die Verlinkung der ODR-Plattform (http://ec.europa.eu/consumers/odr) sollte im Impressum oder abgesetzt in den Allgemeinen Geschäftsbedingungen erfolgen.

Das Bayerische Landesamt für Datenschutzaufsicht hat einen Fragebogen zur Umsetzung der Datenschutzgrundverordnung („DSGVO“) veröffentlicht. Dieser Fragebogen hilft bei der Analyse des notwendigen Anpassungsbedarfs der Datenverarbeitungsprozesse nach der DSGVO. Sinnvoll ist es sich bereits jetzt hiermit auseinanderzusetzen, damit im Zeitpunkt der Anwendbarkeit der DSGVO die notwendigen Prozesse bereits abgeschlossen sind.
 
Sollte dann ein derartiger Fragebogen dann tatsächlich eintrudeln, kann man die aufgeworfenen Fragen guten Gewissens und zügig beantworten, ohne Sorge bereits bußgeldbewehrte Verstöße auf dem eigenen Konto verbuchen zu müssen. Der Fragebogen zeigt auf, was die jeweils zuständige Datenschutzbehörden ab dem 25. Mai 2018 ggf. wissen möchte:
 
https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf

Der IDO Interessenverband für das Rechts- und Finanzconsulting deutscher Online-Unternehmen e.V. hat sich in der vergangenen Zeit besonders intensiv mit der Abmahnung von insbesondere eBay-Händler und kleineren Online-Händlern hervorgetan. Mit sehr deutlichen Worten verneinte das LG Berlin (Urt. v. 04.04.2017, 103 O 91/16) die Aktivlegitimation des IDO entsprechende Abmahnungen aussprechen zu dürfen.

Das Landgericht Berlin führte hierzu aus, dass es dem IDO an der notwendigen personellen Ausstattung fehle, um seine vorgeschobenen Aufgaben wahrzunehmen, die ihm die Durchführung von Abmahnprozessen gesetzlich erlaubt.
Die Entscheidung ist noch nicht rechtskräftig, es bleibt daher abzuwarten, wie sich die Berufungsinstanz hierzu äußert. Die Entscheidung ist mit Blick auf die klaren Worte des Gerichts jedoch bemerkenswert.

Ebenfalls von einer Abmahnung durch den IDO betroffen? Melden Sie sich gerne.

Update:
Der Bundesgerichtshof (BGH) hat am 26.01.2023 zugunsten des Verbands entschieden. Der IDO dürfe abmahnen. Dabei spielt die Mitgliederanzahl keine Rolle für die Abmahnbefugnis, wie das Urteil des BGH feststellt. Selbst eine Vielzahl von Abmahnungen deutet nicht zwangsläufig auf einen Rechtsmissbrauch hin.

Die Frage, ob der IDO-Verband ab sofort ungehindert abmahnen darf, stellt sich vor dem Hintergrund, dass das Verfahren zur Befugnisfrage vor Inkrafttreten der Änderung des UWG begann. Die alte Fassung des Gesetzes war bis zum 30.11.2021 gültig. In allen Verfahren, die zu diesem Zeitpunkt bereits vor Gericht waren, muss die Frage der Abmahnbefugnis also geklärt werden.
Es ist jedoch zu beachten, dass es mittlerweile neue Anhaltspunkte für ein rechtsmissbräuchliches Vorgehen des Verbandes gibt, die dem BGH bei seiner Entscheidung noch nicht vorlagen. Zudem bezieht sich das Urteil ausschließlich auf Unterlassungsansprüche. Verfahren bezüglich Vertragsstrafen bleiben davon unberührt, ebenso wie die Anfechtbarkeit von Unterlassungserklärungen.

Daher ist die Frage, ob der IDO-Verband in den laufenden Verfahren abmahnen durfte und auch zukünftig darf, immer noch nicht abschließend durch das BGH-Urteil geklärt.
Mit der neuen Fassung des UWG, die seit dem 1.12.2021 in Kraft ist, ist eine Eintragung in Listen des Bundesjustizamts erforderlich, um die Legitimation des Verbands zu gewährleisten. Der IDO-Verband ist jedoch nach wie vor nicht in der Liste der qualifizierten Wirtschaftsverbände aufgeführt (hier aufrufbar). Somit fehlt ihm gemäß der Gesetzesänderung ab dem 01.12.2021 die Abmahnbefugnis.

Auch in diesem Jahr treten weitere wichtige Gesetzesänderungen in Kraft. Auf das Gesetz über die alternative Streitbeilegung in Verbrauchersachen (Verbraucherstreitbeilegungsgesetz - VSBG) möchte ich Ihre Aufmerksamkeit lenken.

1. Das Verbraucherstreitbeilegungsgesetz sieht vor, dass Unternehmen ab dem 01.02.2017 grundsätzlich verpflichtet sind, Verbraucher einfach und verständlich zu informieren, ob sie an einem Schlichtungsverfahren teilnehmen.
   
   Die Informationspflichten nach dem Verbraucherstreitbeilegungsgesetz treffen grundsätzlich alle Unternehmen, die Verträge mit Verbrauchern schließen und eine Webseite unterhalten oder Allgemeine Geschäftsbedingungen (AGB) verwenden. Die Information, ob das Unternehmen an einem alternativen Streitbeilegungsverfahren teilnimmt und welche konkreten Verbraucherschlichtungsstellen ggf. bei einer Streitigkeit zuständig wären, sind dem Verbraucher leicht zugänglich, klar und verständlich mitzuteilen. Sie müssen auf der Webseite des Unternehmens erscheinen und zusammen mit dessen AGB gegeben werden.
   
   Ausgenommen von der allgemeinen Informationspflicht sind jedoch Kleinunternehmer mit zehn oder weniger Beschäftigten, sofern sie nicht zur Schlichtung verpflichtet sind. Eine derartige Verpflichtung könnte sich aus der Beteiligung an Verbänden ergeben, die eine Streitbeilegung obligatorisch vorsehen.
   
   
2. Neben dieser allgemeinen Informationspflicht sieht das Gesetz aber auch konkrete Informationspflichten für den Fall vor, dass eine Streitigkeit zwischen einem Unternehmen und einem Verbraucher über einen Verbrauchervertrag bereits entstanden ist und nicht beigelegt werden konnte. Voraussetzung ist, dass die Vergleichsbemühungen also endgültig gescheitert sind. Diese Informationspflichten treffen Unternehmen unabhängig von ihrer Beschäftigtenzahl. Das Unternehmen muss den Verbraucher in diesem Fall über seine Teilnahmebereitschaft oder -verpflichtung an dem Schlichtungsverfahren informieren und wiederum konkrete Angaben zur zuständigen Verbraucherstreitbeilegungsstelle machen.
   
   Die Verpflichtung zur Verbraucherinformation nach Entstehen einer Streitigkeit besteht ausweislich der Gesetzesbegründung auch, wenn das Unternehmen die Teilnahme an einem Schlichtungsverfahren ablehnt. Nach dem Wortlaut des § 37 VSBG ist das Unternehmen in diesem Fall verpflichtet, die Verbraucherschlichtungsstelle zu benennen, die zuständig wäre, wenn es an einem Streitbeilegungsverfahren teilnehmen würde. Selbst wenn die Information für den Verbraucher völlig wertlos ist.
   
   Für Ihre Rechtssicherheit schlage ich Ihnen daher vor, dass Sie den Verbraucher bei gescheiterten Vergleichsbemühungen per E-Mail – ein mündlicher Hinweis genügt nicht – wie folgt informieren:
   
   (Bsp.) „Bei Streitigkeiten mit uns wäre die Streitbeilegungsstelle Online-Schlichter, Zentrum für Europäischen Verbraucherschutz e.V., Bahnhofsplatz 3, 77694 Kehl, Telefon: 07851 / 991480, E-Mail: mail@online-schlichter.de, www.online-schlichter.de zuständig. Eine Teilnahme an dem Streitbeilegungsverfahren lehnen wir allerdings ab.“ Eine Liste der Schlichtungsstellen ist zum Beispiel hier zu finden.
   
   Um sicherzustellen, dass Sie den Hinweis nicht vergessen, rate ich Ihnen zur Aufnahme dieses Hinweises in die Signatur Ihrer E-Mails, die durch das Beschwerdemanagement verschicken werden.
   

 

Nach Art. 14 Abs. 2 der ODR-Verordnung (EU) Nr. 524/2013 besteht für in der Europäischen Union niedergelassene Unternehmer, die Online-Kaufverträge oder Online-Dienstleistungsverträge eingehen, seit dem 09.01.2016 die gesetzliche Verpflichtung, Verbraucher über die Existenz der so genannten OS-Plattform auf der Website zu informieren. Die Verlinkung der ODR-Plattform (http://ec.europa.eu/consumers/odr) im Impressum oder abgesetzt in den Allgemeinen Geschäftsbedingungen ist hierbei  ausreichend.
 
Verletzt ein Unternehmer diese Verpflichtung, ist eine Abmahnung von Konkurrenten oder Verbänden im Sinne des § 8 UWG gerechtfertigt. Gegenstandswerte von 10.000 EUR für derartige Abmahnung sind von den Gericht als angemessen anerkannt.

In regelmäßigen Abständen werden Unternehmer von Softwareherstellern zur Aufklärung von Softwarelizenznutzungen aufgefordert. Diese Software-Audits werden nicht nur für Individualsoftware, sondern zunehmend nun auch von Herstellern für Standartsoftware vorgenommen. Bei einem Lizenz-Audit durch den Softwareanbieter können hohe Nachzahlungen bis hin zu strafrechtlichen Konsequenzen entstehen, wenn die Software nicht entsprechend ihrer Nutzungsberechtigung eingesetzt wird. Selbst bei ordnungsgemäßer Lizenzierung der verwendeten Software ist ein Audit regelmäßig aufwendig und teuer.

Weitgehend unbekannt ist jedoch der rechtliche Umstand, dass in der Regel keine besondere Mitwirkungspflicht des Unternehmers für eine Anfrage durch die Softwarehersteller besteht. Die Teilnahme an dem Software-Audit ist in der Vielzahl der Fälle fakultativ und kann damit ohne rechtliche oder tatsächliche Konsequenzen verweigert werden.

1. Gesetzliche Grundlagen
Das deutsche Recht kennt grundsätzlich keine Pflicht des Softwarenutzers, an einem Software-Audit teilnehmen zu müssen. Vereinzelt finden sich gesetzliche Grundlagen, die nur auf den ersten Blick anwendbar scheinen. Tatsächlich aber setzen diese voraus, dass bereits hinreichend konkrete Anhaltspunkte einer Lizenzvertragsverletzung bestehen. Eine Ausforschung des Softwarenutzers ist nicht möglich. Gesetzliche Grundlagen können damit für ein regelmäßiges Software-Audit nicht herangezogen werden, das gerade den Zweck einer anlassunabhängigen Prüfung des Lizenzbestands verfolgt.

2. Vertragliche Grundlagen
Im Kenntnis der Schwierigkeiten der gesetzlichen Grundlage versuchen die Softwarehersteller, eine Teilnahmepflicht an einem Software-Audit durch vertragliche Klauseln (Audit-Klauseln) in den Allgemeinen Geschäftsbedingungen (AGB) zu vereinbaren. Diese Klauseln sind jedoch regelmäßig unwirksam und können nicht zuverlässig als verpflichtende Grundlage zur Teilnahme an einem Software-Audit dienen.

Bei der rechtlichen Bewertung der Audit-Klauseln ist zwischen den Vertriebsformen des Distributoren- oder des Direktvertriebs zu unterscheiden. Ein Direktvertrieb wird regelmäßig bei Individualsoftware vorgenommen, also bei Software, die für die konkreten Nutzungsanforderungen eines Unternehmens oder eines Nutzers geschrieben wurde. Software hingegen, die einem unbestimmten Personenkreis ohne Anpassung an die individuellen Anforderungen zugänglich ist, wird als Standardsoftware bezeichnet. Prominenteste Beispiele für Standardsoftware sind die Mirosoftprodukte Word, Excel & Co.

Erfolgt der Einkauf von Software über Distributoren, fehlt es meist an einer direkten vertraglichen Beziehung zwischen dem Softwarehersteller und dem Softwarenutzer, die ein Software-Audit ermöglicht. Dies gilt in den überwiegenden Fällen auch, wenn der Softwarehersteller vor der Installation der Software die Zustimmung zu einem Lizenzvertrag fordert, der eine vertragliche Grundlage für ein Software-Audit enthält. Anders als von den Softwareherstellern gewollt, sind diese Klauseln regelmäßig rechtlich unwirksam.

Vielfach bestehen ebenso rechtliche Bedenken gegen die vereinbarten Audit-Klauseln für Software, die im Rahmen eines Direktvertriebs von dem Softwarehersteller erworben wurde. Diese Klauseln werden selten zwischen den Parteien ausgehandelt. Vielmehr greift der Softwarehersteller auf seine vorformulierten AGB zurück und fügt sie dem Lizenzvertrag bei. Nach dem deutschen Recht unterliegen diese AGB-Klauseln einer Prüfung, möchte der Softwarehersteller hieraus Rechte herleiten. Viele vereinbarte Audit-Klauseln verletzen die im deutschen AGB-Recht verankerten Rechtsgrundsätze. So wird nicht selten der Betriebsablauf durch ein vereinbarten Software-Audit erheblich beeinträchtigt, Betriebs- und Geschäftsgeheimnisse können nicht ausreichend geschützt werden, oder datenschutzrechtliche und persönlichkeitsrechtserhebliche Grundsätze werden beeinträchtigt oder gar verletzt.

3. Fazit
Auch wenn die rechtlichen Möglichkeiten der Softwarehersteller beschränkt sind, sollte dies nicht als Freifahrtschein verstanden werden. Regelmäßig werden in der Beratungspraxis Fälle bekannt, die zu dem notwendigen Verdacht der Unterlizenzierung führen und damit die gesetzlichen Auskunftsansprüche rechtfertigen. Auch ist die Formulierung wirksamer vertraglichen Audit-Klauseln keineswegs unmöglich, sodass im Einzelfall auch diese das von den Softwareherstellern gewünschte Ergebnis liefern.

Lassen Sie Ihre Rechte und Pflichten prüfen, um einen souveränen Umgang mit anstehenden Software-Audits sicherstellen zu können.


Auch veröffentlich auf:
http://www.stade.ihk24.de/blob/stdihk24/servicemarken/downloads/3476064/6dc157979d0d6baa4eaa65fc9a108a07/WEW-September_2016-data.pdf

Die EU-Kommission und die US-Regierung haben die Regelung zum Datenaustausch zwischen der EU und den USA, das „Privacy Shield“ in Kraft gesetzt.

Vor rund neun Monaten, am 06.10.2015 hat der EuGH dem Datentransfer zwischen Europa und den USA auf der Grundlage des Safe Habor-Abkommens den Boden entzogen. Das Safe Habor-Abkommen sei in vielen Punkten nicht ausreichend, um das notwendige europäische Datenschutzniveau für den transatlantischen Datenaustausch zu gewährleisten. Während den deutschen Unternehmen zunächst eine Schonungsphase zur Umstellung ihres Datenaustausches gewährt wurde, verhängten Anfang des Jahres Datenschutzbehörden bereits Bußgelder, da verschiedene Unternehmen nach dem Kippen des Safe Habor-Abkommens durch den EuGH die vertragliche Grundlage zu ihrem Datentransfer nicht hinreichend umstellten. Als Alternative blieben lediglich die EU-Standardvertragsklauseln und die Binding Corporate Rules, wobei Erstere in einem gegenwärtigen gerichtlichen Verfahren ebenfalls einer Prüfung unterzogen sind.

Seit dem Richterspruch zum Safe Habor-Abkommen wurde mit Hochdruck an einer neuen vertraglichen Grundlage gearbeitet, die einen Datenaustausch zwischen Europa und den USA ermöglicht. Diese Grundlage ist nunmehr mit dem Privacy Shield gefunden.

Ab dem 01.08.2016 werden in den USA Zertifizierungen nach den Privacy Shield-Regeln entgegengenommen. Das US-Handelsministerium wird auf seiner Webseite eine Liste veröffentlichen, in der die zertifizierten US-Unternehmen aufgeführt sind. Datenschutzrechtlich verantwortliche Unternehmen aus der Europäischen Union können anhand dieser Liste prüfen, ob das entsprechend gewählte US-Unternehmen eine Privacy Shield-Zertifizierung besitzt. In diesem Fall können personenbezogene Daten an Unternehmen in den USA übermitteln werden, wenn eine Datenübermittlung nach den allgemeinen Regeln des Bundesdatenschutzgesetzes zulässig ist.

Erfreulich beseitigt das Privacy Shield die rechtlichen Unsicherheiten nach der Safe Harbor-Entscheidung. Doch ist das Privacy Shield bei den Datenschützern nicht unumstritten. Nach den Kritikern ändere auch das neue Abkommen ungeachtet der ausgehandelten Neuerungen im Vergleich zum Safe Harbor-Abkommen nichts an der Überwachungspraxis der USA, die Anlass der Safe Habor-Entscheidung des EuGH war. Ob das Privacy Shield nun die von der Wirtschaft erhoffte „solide“, oder doch nur eine vorübergehende Rechtsgrundlage bildet, wird sich zeigen. Es wird jedoch erwartet, dass auch das Privacy Shield alsbald einer gerichtlichen Prüfung unterzogen wird.