Der Europäische Datenschutzausschuss (EDSA) hat nach einer öffentlichen Konsultation die finale Fassung der Leitlinien für Datenübermittlungen an Behörden in Drittländern verabschiedet. In seinen Leitlinien geht der EDSA näher auf Artikel 48 DSGVO ein und stellt klar, wie Organisationen am besten beurteilen können, unter welchen Bedingungen sie rechtmäßig auf Ersuchen um Übermittlung personenbezogener Daten von Behörden aus Drittländern (d. h. Nicht-EU-Ländern) reagieren können. Die Leitlinien sind vor allem für international agierende Unternehmen relevant.
Anwendungsbereich der Leitlinien zu Artikel 48 DSGVO
Artikel 48 DSGVO regelt die Bedingungen, unter denen ein Verantwortlicher oder Auftragsverarbeiter in der EU verpflichtet werden kann, personenbezogene Daten auf Anordnung einer Behörde eines Drittstaats offenzulegen. Zentrale Botschaft: Solche Anordnungen sind nur dann rechtlich wirksam, wenn sie auf einem völkerrechtlichen Abkommen beruhen, beispielsweise einem bilateralen oder multilateralen Rechtshilfeabkommen. Ohne ein solches Abkommen sind Urteile oder Verwaltungsentscheidungen aus Drittländern innerhalb der EU grundsätzlich nicht durchsetzbar.
Die am 4. Juni 2025 finalisierten Leitlinien 02/2024 des EDSA zielen darauf ab, die praktische Bedeutung von Artikel 48 zu verdeutlichen. Sie sollen Verantwortlichen in der EU dabei helfen, Drittstaatsanfragen rechtskonform zu beantworten. Besonders im Fokus stehen dabei:
- Direkte Anfragen von Drittlandsbehörden an private EU-Unternehmen.
- Das Verhältnis von Artikel 48 zu den allgemeinen Regeln für internationale Datentransfers in Kapitel V DSGVO.
- Empfehlungen zur internen Handhabung solcher Anfragen.
Nicht erfasst werden Fälle, in denen beispielsweise eine Muttergesellschaft in einem Drittstaat die Daten von ihrer EU-Tochter anfordert, um eine behördliche Anordnung zu erfüllen, obwohl auch dies einen internationalen Datentransfer darstellt. Diese Fälle sind zwar nicht direkt von Artikel 48 umfasst, unterliegen aber ebenfalls den strengen Vorgaben von Kapitel V DSGVO.
Zweistufiger Prüfmechanismus („Two-Step-Test“) bei Drittlandanfragen
Die Leitlinien des EDSA sehen für die Bewertung von Anfragen aus Drittstaaten zur Herausgabe personenbezogener Daten eine zweistufige Prüfung vor, um die Anforderungen der DSGVO systematisch zu erfüllen. Dieser sogenannte “Two-Step-Test” dient als praktisches Instrument zur strukturierten rechtlichen Einordnung solcher Anfragen:
Schritt 1: Prüfung der Rechtsgrundlage nach Artikel 6 DSGVO
Zunächst ist zu klären, ob im konkreten Fall überhaupt eine Rechtsgrundlage für die Verarbeitung personenbezogener Daten vorliegt. Dabei reicht eine bloße Anfrage oder behördliche Anordnung aus einem Drittland nicht aus. Vielmehr muss eine Rechtsgrundlage gemäß Artikel 6 Absatz 1 DSGVO gegeben sein, etwa:
- Eine rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO), die aus einem anwendbaren internationalen Abkommen hervorgeht.
- Eine Aufgabe im öffentlichen Interesse (Art. 6 Abs. 1 lit. e DSGVO), wenn nationale oder Unionsvorschriften eine solche Kooperation zulassen.
- In seltenen Ausnahmefällen auch ein berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), wobei eine strenge Interessenabwägung durchzuführen ist.
Schritt 2: Vorliegen eines zulässigen Übermittlungsmechanismus nach Kapitel V DSGVO
Ist die Verarbeitung nach Artikel 6 zulässig, so bedarf es zusätzlich eines Transfers nach den Regelungen des Kapitel V. Mögliche Grundlagen sind:
- Ein Angemessenheitsbeschluss der EU-Kommission (Art. 45 DSGVO), der ein äquivalentes Datenschutzniveau im Drittstaat anerkennt.
- Geeignete Garantien, insbesondere durch Standarddatenschutzklauseln, verbindliche interne Datenschutzvorschriften (BCR) oder andere Instrumente gemäß Artikel 46 DSGVO.
- In Ausnahmefällen auch eine Einwilligung oder andere Ausnahmen nach Artikel 49 DSGVO, die jedoch eng auszulegen sind.
Fehlt entweder die Rechtsgrundlage nach Artikel 6 DSGVO oder ein zulässiger Transfermechanismus nach Kapitel V, so ist die Offenlegung der Daten unzulässig. Dies verdeutlicht auch die schematische Darstellung im Annex der Leitlinien (S. 13), die eine Schritt-für-Schritt-Abfrage vorsieht. Unternehmen sind daher gut beraten, interne Verfahren zu etablieren, die diesen Zwei-Stufen-Mechanismus abbilden und dokumentieren. So kann im Ernstfall nachvollziehbar dargelegt werden, wie die datenschutzrechtliche Bewertung erfolgt ist.
Was ist neu in Version 2.0 der Leitlinien zu Artikel 48 DSGVO?
Die finale Version 2.0 berücksichtigt Rückmeldungen aus der öffentlichen Konsultation. Sie bringt insbesondere folgende Klarstellungen:
- Verarbeiter müssen unverzüglich den Verantwortlichen informieren, wenn sie eine Drittstaatsanfrage erhalten. Ausnahme: Dies ist ihnen gesetzlich untersagt.
- Konzerninterne Datenanforderungen aus einem Drittstaat (z. B. über Muttergesellschaften) fallen nicht unter Artikel 48, wohl aber unter die allgemeinen Kapitel-V-Regeln.
- Legitime Interessen (Art. 6 Abs. 1 lit. f) können nur ausnahmsweise als Rechtsgrundlage herangezogen werden. Insbesondere nicht zur präventiven Speicherung für potenzielle Ermittlungszwecke.
Ergänzend klärt der EDSA, dass der Begriff „Urteil” oder „Entscheidung” im Sinne von Artikel 48 DSGVO nicht anhand formaler oder begrifflicher Kriterien des Drittstaatsrechts bewertet werden darf. Ausschlaggebend ist einzig und allein, ob es sich bei dem zugrunde liegenden Vorgang um eine offizielle, hoheitlich erlassene Maßnahme einer ausländischen Behörde handelt, die gegenüber einem Verantwortlichen oder Auftragsverarbeiter in der EU eine Verpflichtung zur Übermittlung personenbezogener Daten begründen soll. Dabei ist nicht entscheidend, wie die Maßnahme im Herkunftsstaat bezeichnet oder qualifiziert wird, sondern ihr rechtsverbindlicher und vollstreckungsähnlicher Charakter sowie ihr Ziel der Datenerhebung. Der Schutzmechanismus von Artikel 48 DSGVO greift somit auch dann, wenn eine behördliche Anordnung beispielsweise nicht als „Urteil” oder „Entscheidung” betitelt ist, jedoch faktisch eine verpflichtende Datenweitergabe bezweckt.
Internationale Verträge als Dreh- und Angelpunkt
Internationale Abkommen bilden das zentrale Bindeglied zwischen der europäischen Datenschutzordnung und den Rechtsansprüchen aus Drittländern. Artikel 48 DSGVO formuliert eindeutig, dass die Durchsetzbarkeit ausländischer Urteile oder Verwaltungsakte, die eine Offenlegung personenbezogener Daten durch in der EU ansässige Stellen anstreben, nur dann möglich ist, wenn ein entsprechendes völkerrechtliches Abkommen besteht. Ohne ein solches Abkommen fehlt es sowohl an einer Rechtsgrundlage für die Verarbeitung gemäß Artikel 6 DSGVO als auch an einem übertragungsrechtlichen Anknüpfungspunkt im Sinne von Kapitel V DSGVO.
In seinen Leitlinien unterstreicht der EDSA, dass solche Abkommen nicht nur formal existieren, sondern auch inhaltlich konkrete datenschutzrechtliche Sicherungen vorsehen müssen. Dazu zählen Bestimmungen zur Zweckbindung, Verhältnismäßigkeit und Beschränkung der Weiterverarbeitung sowie wirksame Aufsichts- und Rechtsbehelfssysteme im Drittland. Die Vereinbarung muss explizit regeln, in welchen Fällen und unter welchen Bedingungen eine private Stelle in der EU personenbezogene Daten unmittelbar an eine ausländische staatliche Stelle übermitteln darf.
Ein solches Abkommen kann als geeignete Garantie im Sinne von Artikel 46 Absatz 2 lit. a DSGVO dienen, sofern es sich um ein „rechtlich bindendes und durchsetzbares Instrument zwischen öffentlichen Stellen” handelt.
In den Leitlinien wird besonders das Zweite Zusatzprotokoll zur Cybercrime-Konvention (CETS Nr. 224) hervorgehoben. Dieses ist zwar zum Zeitpunkt der Veröffentlichung noch nicht in Kraft, zeigt aber beispielhaft auf, wie zukünftige Abkommen ausgestaltet sein können. Es ermöglicht unter engen Voraussetzungen den direkten Zugang von Drittstaatsbehörden zu Daten europäischer Unternehmen, setzt dabei aber klare prozedurale, materielle und verfahrensrechtliche Grenzen.
Für Unternehmen ergibt sich daraus die Verpflichtung, vor jeder Datenoffenlegung gegenüber Drittlandsbehörden zu prüfen, ob ein entsprechendes Abkommen existiert, das nicht nur formal anwendbar, sondern auch materiell einschlägig und konkret genug ist. Dabei sollen sie gegebenenfalls Rücksprache mit den zuständigen nationalen Ministerien (z. B. Justiz-, Innen- oder Außenministerium) oder den Datenschutzaufsichtsbehörden halten.
Einordnung und Bedeutung von Artikel 48 DSGVO für Unternehmen
Die Leitlinien zu Artikel 48 DSGVO sind für Unternehmen in der Europäischen Union von großer Bedeutung und hochrelevant. Sie betreffen nicht nur theoretische Rechtsfragen, sondern haben auch unmittelbare praktische Auswirkungen auf die Compliance-Praxis von Unternehmen, die in einem internationalen Umfeld tätig sind. Die Kernbotschaft lautet: Drittlandsanfragen zur Herausgabe personenbezogener Daten können nicht mehr informell oder pragmatisch beantwortet werden. Vielmehr ist ein strukturierter, dokumentierter und rechtlich belastbarer Umgang zwingend erforderlich.
Dies ergibt sich insbesondere daraus, dass die Leitlinien des EDSA verbindlich klarstellen, dass selbst behördliche Anordnungen aus Drittstaaten (etwa von Strafverfolgungs-, Aufsichts- oder Sicherheitsbehörden) keineswegs automatisch zu einer Pflicht zur Datenoffenlegung führen. Jedes Unternehmen muss vielmehr prüfen, ob eine geeignete Rechtsgrundlage im Sinne von Artikel 6 DSGVO besteht und ob die Voraussetzungen für eine rechtmäßige Datenübermittlung in ein Drittland gemäß Kapitel V DSGVO erfüllt sind. Diese Prüfung muss nicht nur formal, sondern auch materiell-rechtlich streng erfolgen, insbesondere im Hinblick auf die in den Leitlinien geforderte Interessenabwägung, Verhältnismäßigkeit und Datenminimierung.
Lese-Tipp: Transfer Impact Assessment mit CNIL-Leitfaden sicher durchführen
Handlungspflichten für die Unternehmenspraxis
Unternehmen sollten zunächst prüfen, ob ihre Datenschutzrichtlinien, internen Weisungen und Incident-Response-Pläne den Anforderungen der neuen Leitlinien gerecht werden. Insbesondere muss geregelt sein, wie mit Anfragen von Drittlandsbehörden umgegangen wird, wer im Unternehmen zuständig ist und welche Kriterien zur Prüfung herangezogen werden. Es empfiehlt sich, zentrale Anlaufstellen (z. B. den Datenschutzbeauftragten oder die Rechtsabteilung) zu benennen und ein standardisiertes Verfahren zur Bearbeitung solcher Anfragen einzuführen.
Darüber hinaus müssen Mitarbeitende, insbesondere in den Abteilungen Compliance, IT und Recht, über die Bedeutung von Artikel 48 DSGVO und die neuen Leitlinien geschult werden. Nur durch Sensibilisierung und regelmäßige Schulungen kann sichergestellt werden, dass fehlerhafte oder vorschnelle Datenweitergaben vermieden werden.
Besonders herausfordernd ist die Situation für international aufgestellte Unternehmensgruppen. Hier besteht häufig ein Spannungsverhältnis zwischen den Erwartungen der Muttergesellschaft (z. B. in den USA) und den rechtlichen Bindungen der europäischen Tochterunternehmen. Umso wichtiger ist es, konzernweite Richtlinien zu schaffen, die den Anforderungen der DSGVO sowie den operativen Realitäten gerecht werden. In kritischen Fällen kann auch eine Vorabkonsultation mit der zuständigen Aufsichtsbehörde sinnvoll sein.
Unternehmen sind zudem gehalten, jede Anfrage aus Drittstaaten zu dokumentieren, den Prüfprozess schriftlich festzuhalten und die Ablehnung oder Genehmigung einer Offenlegung nachvollziehbar zu begründen. Diese Dokumentation ist auch im Sinne der Rechenschaftspflicht (Accountability) gemäß Artikel 5 Absatz 2 DSGVO zwingend erforderlich.
Insgesamt verdeutlichen die Leitlinien, dass der Schutz personenbezogener Daten in grenzüberschreitenden Szenarien nur durch proaktive Compliance, rechtssichere Prozesse und internationale Abstimmung gewährleistet werden kann.
Mit den finalen Leitlinien steht fest: Unternehmen in der EU dürfen Drittlandsanfragen nicht länger lediglich als Compliance-Risiken betrachten. Sie sind vielmehr rechtlich verpflichtet, strukturierte Prüfmechanismen zu etablieren und ihre internen Prozesse daran auszurichten.
Quelle: Guidelines 02/2024 on Article 48 GDPR – Version 2.0
Sie sind unsicher, wie Sie Anfragen von Drittstaatsbehörden rechtssicher bewerten oder internationale Datenflüsse DSGVO-konform gestalten sollen? Unsere Datenschutzexperten unterstützen Sie mit individueller Beratung und operativer Umsetzung. Darüber hinaus bietet unsere Software Ailance integrierte Werkzeuge zur Bewertung von Datenübermittlungen, automatisierten Dokumentation sowie zur Verwaltung von Transfer Impact Assessments (TIA). Vereinbaren Sie direkt ein unverbindliches Erstgespräch!
German 
English 
Italian 
French