Der Europäische Datenschutzausschuss (EDSA) hat am 05.06.2025 die endgültige Fassung seiner Leitlinien zum Datentransfer an Drittstaatenbehörden nach Art. 48 Datenschutzgrundverordnung (DSGVO) veröffentlicht. Damit reagiert der Ausschuss auf zahlreiche Rückmeldungen aus der öffentlichen Konsultation und konkretisiert die rechtlichen Anforderungen für solche Datentransfers. Im Fokus steht die Frage, unter welchen Voraussetzungen Organisationen berechtigt sind, auf entsprechende Auskunfts- oder Übermittlungsersuchen aus dem außereuropäischen Ausland zu reagieren, insbesondere wenn kein völkerrechtliches Abkommen besteht.
Unzulässige Übermittlung personenbezogener Daten an Drittländer
Art. 48 DSGVO bestimmt, dass Urteile und behördliche Entscheidungen eines Drittstaates per se keine Grundlage für eine Datenübermittlung an Dritte darstellen. Anderes gilt, sofern eine internationale Übereinkunft, wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedsstaat besteht, und das Urteil hierauf gestützt wird. Der EDSA betont nun in seinen Leitlinien (abrufbar hier), dass in jedem Einzelfall sorgfältig zu prüfen, ob eine rechtmäßige Übermittlung personenbezogener Daten überhaupt in Betracht kommt und wenn ja, auf welcher Rechtsgrundlage.
Abkommen als Rechtsgrundlage
Der EDSA erklärt, dass ein internationales Abkommen sowohl die rechtliche Basis als auch die Rechtsgrundlage für den Datentransfer darstellen kann. Eine solche Übereinkunft ist beispielsweise ein Abkommen über Rechtshilfe (Mutual Legal Assistance Treaty, MLAT). Er weist aber auch darauf hin, dass unabhängig davon, ob so ein Abkommen existiert, weiterhin die Vorgaben der DSGVO, insbesondere Art. 6 DSGVO und Kapitel V, zu beachten sind.
Ein internationales Abkommen könne aber beispielsweise die Datenverarbeitung aufgrund der Erfüllung rechtlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) rechtfertigen oder aufgrund der Wahrnehmung einer Aufgabe erforderlich machen, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde (Art. 6 Abs. 1 lit. e DSGVO). Allein die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) reiche regelmäßig nicht aus. Generell erklärt der EDSA aber auch, dass selbst im Falle eines MLAT es regelmäßig geboten ist eine Direktanfrage abzulehnen und auf den Weg über die nationale zuständige Behörde zu verweisen.
Kein internationales Abkommen – was dann?
In der Praxis fehlt es teilweise an einem internationalen Vertrag. Der EDSA weist darauf hin, dass es unter strengen Voraussetzungen dennoch Möglichkeiten geben kann, personenbezogene Daten zu übermitteln. Hier würden alternative Rechtsgrundlagen oder Transfermechanismen wie Art. 49 DSGVO in Betracht kommen. Beispielsweise kann eine Einwilligung der betroffenen Person zur Datenverarbeitung vorliegen oder diese aus wichtigen Gründen des öffentlichen Interesses notwendig sein. Der EDSA unterstreicht jedoch, dass solche Ausnahmen eng auszulegen sind und stets eine Einzelfallabwägung erfordern.
Neuerungen und Klarstellungen durch die überarbeitete Version
Im Vergleich zur vorherigen Fassung hat der EDSA erklärt, dass sich die generelle Aussage der Leitlinie zum Datentransfer an Drittstaatenbehörden nach Art. 48 DSGVO nicht ändere. Allerdings habe er einige Klarstellungen vorgenommen, die im Konsultationsverfahren aufgekommen seien. So werde laut der Pressemitteilung des EDSA nun etwa explizit auf Konstellationen eingegangen, in denen das Übermittlungsersuchen an einen Auftragsverarbeiter adressiert ist. Auch Fälle, in denen ein Mutterunternehmen mit Sitz in einem Drittstaat von diesem zur Datenübermittlung aufgefordert wird und dieser sich dann an seine europäische Tochtergesellschaft wenden muss, werden rechtlich eingeordnet.
Fazit
Für Unternehmen kann sich bei Anfragen von ausländischen Behörden ein Dilemma ergeben. Das gilt umso mehr, wenn der Mutterkonzern im Drittstaat sitzt und diesem gegenüber Pflichten zu erfüllen hat. Die Leitlinien des EDSA zum Datentransfer an Drittstaatenbehörden nach Art. 48 DSGVO sind hier ein erster Anhaltspunkt für eine datenschutzkonforme und rechtssichere Lösung. Konkret sollte insbesondere sichergestellt sein, dass solche Anfragen nicht automatisiert oder ohne sorgfältige Prüfung beantwortet werden. Verantwortliche müssen jede Datenweitergabe auf eine konkrete Rechtsgrundlage stützen und sorgfältig dokumentieren.
