Internationale Datentransfers stehen aktuell wieder verstärkt im Fokus – insbesondere im Zusammenhang mit dem EU-U.S. Data Privacy Framework und der Frage, ob dieses noch eine tragfähige Grundlage für Datentransfers in die USA bietet. Passend dazu hat der EDSA im Juni 2025 Leitlinien zu Art. 48 DSGVO veröffentlicht. Diese legen dar, wie mit Anfragen von Gerichten oder Behörden aus Drittstaaten zur Offenlegung oder Übermittlung von Personendaten umzugehen ist. Dies ist insbesondere für internationale Unternehmen ein relevantes Thema. Der Beitrag stellt den Inhalt der Leitlinien kurz vor.
Der Inhalt im Überblick
Worum geht es in Artikel 48 DSGVO?
Art. 48 DSGVO (Kapitel V der DSGVO) regelt den internationalen Datentransfer ins EU-Ausland.
Gemäß Art. 48 DSGVO dürfen hoheitliche Akte staatlicher Stellen aus Drittstaaten (insbesondere Urteile und Verwaltungsakte), die die Übermittlung von personenbezogenen Daten in das EU-Ausland zum Inhalt haben, nur dann anerkannt und vollstreckt werden, wenn sie auf einem völkerrechtlichen Abkommen beruhen.
Hintergrund dieser Regelung ist es, personenbezogene Daten in der EU vor dem Zugriff staatlicher Stellen aus dem außereuropäischen Ausland zu schützen – insbesondere dann, wenn diese Stellen versuchen, durch direkte Kontaktaufnahme mit dem Verantwortlichen an diese Daten zu gelangen. Eine Übermittlung von Daten an solche Stellen soll nur dann legitim sein, wenn im Drittstaat ein durch Abkommen gesichertes, hinreichendes Datenschutzniveau besteht.
Mit Art. 48 DSGVO soll gegenüber Drittstaaten und Verantwortlichen klargestellt werden, dass ein solches Verhalten nicht toleriert wird und bei jeder Übermittlung personenbezogener Daten europäischer Bürger die Mindeststandards der DSGVO einzuhalten sind. Ob dies Stellen in Drittstaaten, bei denen dies nicht gewährleistet ist, von einer Direktanfrage abschreckt, ist ungewiss. Hier könnte man sich abstrakt die Frage stellen: Ist der Datenhonigtopf süß oder sind die etwaigen diplomatischen Folgen bitter genug?
Internationale Abkommen zur Offenlegung und Übermittlung von Daten
Ohne ein solches Abkommen kann sich der Adressat der hoheitlichen Anordnung jedenfalls nicht allein auf das Gerichtsurteil oder den sonstigen hoheitlichen Akt stützen, um die internationale Übermittlung der Daten zu erwirken.
Zwar gibt es Abkommen, auf deren Grundlage eine Offenlegung oder Übermittlung an Hoheitsträger in Drittstaaten zulässig ist. Diese betreffen indes oft spezielle Konstellationen. Ein Beispiel für ein solches Abkommen ist das Abkommen zwischen den USA und der EU über die Verwendung von Fluggastdatensätzen und deren Übermittlung an das United States Department of Homeland Security vom 14.12.2011.
Ersichtlich regeln solche Abkommen eher spezielle Fälle und sind für viele Datenanfragen daher nicht einschlägig.
Prüfschema für die Übermittlung und Offenlegung ohne Abkommen
In der Regel muss der Verantwortliche daher prüfen, ob er gemäß anderen Bestimmungen in Kapitel V der DSGVO Daten übermitteln kann. Selbst wenn in der EU keine Befolgungspflicht für die angeforderte Übermittlung besteht bzw. die Anordnung nicht vollstreckbar ist, kann es in seinem Interesse liegen, der Anordnung nachzukommen.
Möchte der Verantwortliche der Anordnung der Stelle des Drittstaats nachkommen, bietet sich das folgende Prüfschema an:
1. Rechtsgrundlage für die Verarbeitung (gemäß Artikel 6 DSGVO), z. B.:
- Art. 6 Abs. 1 lit. c (gesetzliche Pflicht auf Basis eines Abkommens),
- Art. 6 Abs. 1 lit. e (öffentliche Aufgabe),
- Art. 6 Abs. 1 lit. f (berechtigtes Interesse – nur in Ausnahmefällen).
2. Rechtsgrundlage für den Drittlandtransfer (gemäß Kapitel V DSGVO), z. B.:
- Angemessenheitsbeschluss (Art. 45),
- geeignete Garantien wie Standardvertragsklauseln (Art. 46),
- Ausnahmetatbestände bei Einzelfällen (Art. 49).
Kann der Verantwortliche der Anordnung nach Maßgabe von Kapitel V nicht rechtskonform nachkommen, ist es ratsam, die Stelle des Drittstaats an die zuständige innerstaatliche Stelle zu verweisen. Alles Andere bringt nur Ärger.
Art. 48 DSGVO – kein Hexenwerk aber auch nicht trivial
Insbesondere international agierende Unternehmen sollten ihre Prozesse für den Umgang mit Drittlandanfragen anhand der Leitlinien des EDSA zu Art. 48 DSGVO überprüfen. Bei Bedarf sind Leitlinien oder Vorlagen zur Bewertung solcher Anfragen erstellen. Dies gilt insbesondere, wenn sie häufig mit solchen konfrontiert sind. Bei der Gestaltung des Prozesses zu deren Behandlung bietet es sich an, sich am Prozess zur Bearbeitung innerstaatlicher Anfragen von Behörden zu orientieren. Im Kern kommt bei Auskunftsanfragen von Stellen in Drittländern nur die Prüfung von Kapitel V DSGVO hinzu.
