Artikel 48 DSGVO – Neue EDSA-Leitlinien schaffen Klarheit bei Datenanfragen aus Drittstaaten

Internationale Datentransfers stehen aktuell wieder verstärkt im Fokus – sei es im Zusammenhang mit dem EU-U.S. Data Privacy Framework oder bei zunehmenden Bedenken im Hinblick auf Datenzugriffe durch Behörden aus Ländern wie China. Passend dazu hat der Europäische Datenschutzausschuss (EDSA) am 4. Juni 2025 die finalen Leitlinien zu Artikel 48 DSGVO veröffentlicht. 

Die Leitlinien verdeutlichen, wie mit Anfragen von Gerichten oder Behörden aus Drittstaaten auf Offenlegung oder Übermittlung personenbezogener Daten umzugehen ist – ein Thema, das insbesondere für international agierende Unternehmen relevant ist. 

Worum geht es in Artikel 48 DSGVO? 

Artikel 48 stellt klar: Gerichtsurteile oder Verwaltungsentscheidungen eines Drittlandes sind in der EU nur wirksam, wenn sie auf einem völkerrechtlichen Abkommen (z. B. einem Rechtshilfeabkommen) basieren. Fehlt ein solches Abkommen, darf eine Datenübermittlung nicht allein auf Grundlage der ausländischen Anordnung erfolgen. 

Was bedeutet das in der Praxis? 

Erhält ein EU-Unternehmen eine direkte Anfrage einer Drittlandsbehörde, sind folgende Punkte zu prüfen: 

Zwei-Stufen-Prüfung: 

1. Rechtsgrundlage für die Verarbeitung (gemäß Artikel 6 DSGVO), z. B.: 

• Art. 6 Abs. 1 lit. c (gesetzliche Pflicht auf Basis eines Abkommens), 
• Art. 6 Abs. 1 lit. e (öffentliche Aufgabe), 
• Art. 6 Abs. 1 lit. f (berechtigtes Interesse – nur in Ausnahmefällen). 

2. Rechtsgrundlage für den Drittlandtransfer (gemäß Kapitel V DSGVO), z. B.:

• Angemessenheitsbeschluss (Art. 45), 
• geeignete Garantien wie Standardvertragsklauseln (Art. 46), 
• Ausnahmetatbestände bei Einzelfällen (Art. 49). 

Weitere zentrale Punkte

• Direkte Behördenanfragen sind problematisch, wenn sie nicht über ein internationales Abkommen abgesichert sind. Die Empfehlung: Verweis an die zuständigen nationalen Stellen, insbesondere bei Anfragen im Rahmen von Strafverfolgung oder Regulierung.
• Artikel 48 ist keine eigene Rechtsgrundlage für den Transfer, sondern stellt klar, dass Drittstaatenentscheidungen in der EU nicht automatisch Wirkung entfalten.
• Eine Weitergabe von Daten „auf Nummer sicher“ – vorsorglich – ist unzulässig, wenn keine konkrete Rechtsgrundlage besteht. 

Fazit 

Die neuen EDSA-Leitlinien zu Artikel 48 schaffen dringend benötigte Klarheit für Unternehmen im Umgang mit Datenanfragen aus dem Nicht-EU-Ausland. Wer solche Anfragen erhält, muss stets genau prüfen, ob sowohl eine geeignete Rechtsgrundlage als auch eine zulässige Transfermöglichkeit vorliegt – andernfalls drohen Datenschutzverstöße. 

Tipp: Unternehmen sollten ihre Prozesse für den Umgang mit Drittlandanfragen überprüfen und gegebenenfalls interne Leitlinien oder Vorlagen zur Bewertung solcher Fälle etablieren.