Der Europäische Datenschutzausschuss (EDSA) hat am 3. Dezember 2024 einen Vernehmlassungsentwurf der Leitlinien 02/2024 zu Artikel 48 DSGVO veröffentlicht (siehe dazu hier). Artikel 48 DSGVO legt fest, dass eine Datenübermittlung auf Anordnung eines Gerichts oder einer Behörde eines Drittstaats nur auf der Grundlage eines Rechtshilfeabkommens oder eines anderen Übereinkommens erfolgen darf. Andere Gründe für eine Übermittlung aus Kapitel V DSGVO bleiben jedoch unberührt.
Die Leitlinien behandeln vorrangig eine mögliche Übermittlung durch EU Unternehmen an drittstaatliche Behörden und Gerichte. Während Übermittlungen im Rahmen von Rechtshilfeabkommen in der Regel zwischen Behörden stattfinden, weist der EDSA darauf hin, dass solche Übermittlungen auch durch Unternehmen erfolgen können:
«[…] there has been a recent tendency to negotiate international agreements to also provide for direct requests from law enforcement authorities in third countries for access to personal data processed by private entities in the EU.» (EDSA, Entwurf Leitlinien 02/2024, Seite 5, Fussnote 3).
Die Stellungnahme des EDSA ist dahingehend begrüßenswert, als sie klarstellt, dass Artikel 48 nicht als sogenanntes blocking statute fungiert. Das bedeutet, dass Übermittlungen an drittstaatliche Gerichte und Behörden auch außerhalb eines Rechtshilfeabkommens auf eine Übermittlungsgrundlage aus Kapitel V DSGVO gestützt werden können.
Prüfungsschema des EDSA
Problematisch erweist sich jedoch das Prüfungsschema, das der EDSA vorsieht. Der EDSA vertritt die Auffassung, dass Artikel 48 DSGVO im Fall eines Rechtshilfeabkommens keinen Erlaubnistatbestand für eine Übermittlung in den Drittstaat darstellt und dass ein anderer Übermittlungsgrund aus Kapitel V DSGVO erforderlich sei:
“Unlike the other provisions of Chapter V, Article 48 is not a ground for transfer. The provision itself contains no data protection safeguards but clarifies that decisions or judgments from third country authorities cannot be recognised or enforced in the EU/EEA unless an international agreement provides for this. Therefore, before responding to a request from a third country authority falling under Article 48, the controller or processor in the EU/EEA must identify an applicable ground for the transfer elsewhere in Chapter V.” (EDSA, Entwurf Leitlinien 02/2024, Rn. 29)
Als möglichen Erlaubnistatbestand führt der EDSA eine Datenübermittlung aufgrund geeigneter Garantien gemäß Artikel 46 Absatz 2 Buchstabe a) DSGVO, ein rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen, an. Gleichzeitig weist der EDSA jedoch darauf hin, dass das übermittelnde EU-Unternehmen in diesem Fall prüfen und sicherstellen müsse, dass das Rechtshilfeabkommen auch die notwendigen geeigneten Garantien beinhaltet. Wie bei der Verwendung von Standardvertragsklauseln müsse das übermittelnde Unternehmen also auch im Rahmen von Rechtshilfeabkommen prüfen, ob die Datenschutzgrundsätze, wie durchsetzbare Rechte und wirksame Rechtsbehelfe, unabhängige Aufsicht und Beschränkungen von Weiterübermittlungen vorgesehen sind.
Sollte dies nicht gegeben sein, müsse das übermittelnde EU-Unternehmen einen anderen Übermittlungsgrund, wie zum Beispiel Artikel 49 DSGVO identifizieren. Artikel 49 DSGVO sei jedoch eng auszulegen. Konsequenterweise bedeutet dies, dass ein EU-Unternehmen in Ermangelung einer Grundlage für die Übermittlung gegebenenfalls aus datenschutzrechtlichen Gründen nicht in der Lage wäre, eine unter einem gültigen Rechtshilfeabkommen gestellte Anfrage zu beantworten, obwohl das Unternehmen gemäss mitgliedsstaatlichem Recht dazu verpflichtet wäre.
Artikel 48 DSGVO als symbolischer Programmsatz
Aufgrund des unklaren Wortlauts wird der Regelungsgehalt des Artikels 48 DSGVO in der Literatur unterschiedlich beurteilt. Einige Vertreter sehen in Artikel 48 DSGVO nur einen „Programmsatz mit symbolischer Bedeutung“, der klarstellt, dass eine Entscheidung eines Drittlandes grundsätzlich keine Basis für eine Datenübermittlung darstellt (Taeger/Gabel/Gabel, 4. Aufl. 2022, DS-GVO Art. 48 Rn. 3; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2. Aufl. 2925, Datenschutzrecht Art. 48, Rn. 1; Ehmann/Selmayr/Zerdick, 3. Aufl. 2024, DS-GVO Art. 48 Rn. 6; BeckOK DatenschutzR/Jungkind, 50. Ed. 1.2.2024, DS-GVO Art. 48 Rn. 3). Unklarheit besteht hier jedoch in der Rechtsfolge dieser Ansicht. Lediglich Zerdick und Spieker weisen darauf hin, dass ein anderer Übermittlungsgrund aus Kapitel V DSGVO vorliegen müsse. Dies hätte wie oben ausgeführt zur Folge, dass Unternehmen gültige Anfragen gegebenenfalls aus datenschutzrechtlichen Gründen nicht beantworten können und damit gegen das für sie geltende mitgliedstaatliche Recht verstoßen würden.
Die anderen Vertreter dieser Ansicht halten fest, dass die Befugnis zur Datenübermittlung aus dem Rechtsakt an sich und nicht aus Artikel 48 DSGVO folge. Inwieweit Artikel 48 DSGVO also dennoch eine Erlaubnis darstellt, das jeweilige Abkommen als Übermittlungsgrundlage außerhalb der DSGVO zugrunde zu legen, lassen sie offen.
Artikel 48 DSGVO als Erlaubnisnorm
Weitere Vertreter der Literatur vertreten die Ansicht, dass Artikel 48 DSGVO trotz des unklaren Wortlauts eine Datenübermittlung aufgrund eines internationalen Abkommens ermöglicht und insofern einen Erlaubnistatbestand darstellt (Sydow/Marsch DS-GVO/BDSG/Towfigh/Ulrich, 3. Aufl. 2022, DS GVO Art. 48 Rn. 10; Kühling/Buchner/Schröder, 4. Aufl. 2024, DS-GVO Art. 48 Rn. 12; Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 48 Rn. 2). Dieser Ansicht ist zuzustimmen.
Artikel 48 DSGVO enthält, wie auch die Fallgruppen des Artikels 49 DSGVO, eine Ausnahme von dem Prinzip, dass die übermittelnde Stelle die Angemessenheit des Datenschutzniveaus im Einzelfall ermitteln oder herstellen muss. Dies ist sachgerecht, da sich die Übermittlung auf ein Rechtshilfeabkommen, also geltendes mitgliedstaatliches Recht stützt. Ein übermittelndes Unternehmen muss sich darauf verlassen können, dass dieses Recht mit anderen Vorschriften, wie Datenschutzrecht oder Grundrechten, konform ist und nicht eventuellen Bußgeldern ausgesetzt sein. In seiner Wirkung hat Artikel 48 DSGVO deshalb den Charakter einer Erlaubnisnorm.
Wie Erwägungsgrund 102 DSGVO verdeutlicht, liegt die Verantwortung für ein angemessenes Schutzniveau bei den Mitgliedstaaten und nicht bei den Unternehmen: „Die Mitgliedstaaten können völkerrechtliche Übereinkünfte schließen, die die Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen beinhalten, sofern sich diese Übereinkünfte weder auf diese Verordnung noch auf andere Bestimmungen des Unionsrechts auswirken und ein angemessenes Schutzniveau für die Grundrechte der betroffenen Personen umfassen.“
Lex specialis
Artikel 48 DSGVO enthält eine gegenüber den anderen Vorschriften des Kapitels V DSGVO speziellere Regelung, weshalb er lex specialis ist (Kühling/Buchner/Schröder, 4. Aufl. 2024, DS-GVO Art. 48 Rn. 23). Anders als beispielsweise Artikel 49 DSGVO, enthält Artikel 48 DSGVO keinen Vorbehalt hinsichtlich eines Angemessenheitsbeschlusses oder geeigneter Garantien. Im Fall extraterritorialer Behördenanfragen, für die eine internationale Übereinkunft besteht, sollte daher auch dann auf das Rechtshilfeabkommen verwiesen werden, wenn andere Übermittlungsgründe aus der DSGVO vorliegen. Auch der EDSA hält entsprechend fest: „Besteht eine internationale Übereinkunft wie etwa ein Rechtshilfeabkommen, sollten die Unternehmen in der EU direkte Anfragen generell ablehnen und die ersuchende Behörde des Drittstaates auf das bestehende Rechtshilfeabkommen oder die entsprechende Übereinkunft verweisen.“ (EDSA, Leitlinien 2/2018, S. 6.)
Fazit
Die Auslegung des Artikels 48 DSGVO durch den EDSA führt zu Unsicherheiten und ist im Ergebnis nicht überzeugend. Selbstverständlich muss jedes Unternehmen prüfen, ob es das geltende Recht einhält, also auch im Rahmen eines Rechtshilfeabkommens im Einklang mit den Verfahrensvorschriften handelt. Es kann jedoch nicht von übermittelnden Unternehmen gefordert werden, dass sie ein solches Abkommen, also für sie geltendes mitgliedstaatliches Recht, auf seine Zulässigkeit prüfen müssen. Im Sinne der Rechtssicherheit dürfen Unternehmen auch nicht der Möglichkeit ausgesetzt sein, dass sie für die Befolgung des mitgliedstaatlichen Rechts mit Bußgeldern belegt werden können. Der EDSA sollte seinen Entwurf deshalb entsprechend anpassen, um einen Konflikt zwischen Datenschutzrecht und mitgliedsstaatlichen Rechtsvorschriften zu vermeiden.
Englische Fassung: Data Transfers under Article 48 GDPR – Analysis of the Draft EDPB Guidelines
On December 3, 2024, the European Data Protection Board (EDPB) published a consultation draft of its Guidelines 02/2024 on Article 48 GDPR (see here). Article 48 GDPR stipulates that a data transfer based on a court or authority order from a third country may only be recognized or enforceable if based on an international agreement in force between the requesting third country and the Union or a Member State. Other grounds for transfer under Chapter V GDPR remain unaffected.
The guidelines primarily address potential transfers by EU companies to third-country authorities and courts. While transfers under mutual legal assistance treaties typically occur between authorities, the EDPB points out that such transfers can also be made by companies:
“[…] there has been a recent tendency to negotiate international agreements to also provide for direct requests from law enforcement authorities in third countries for access to personal data processed by private entities in the EU.”
(EDPB, Draft Guidelines 02/2024, page 5, footnote 3)
The EDPB’s clarification that Article 48 GDPR does not function as a so-called blocking statute is welcome. This means that transfers to third-country courts and authorities can also be based on a transfer ground from Chapter V GDPR outside of a mutual legal assistance treaty.
EDPB’s Assessment Framework
However, the assessment framework proposed by the EDPB is problematic. The EDPB states that Article 48 GDPR does not constitute a legal basis for transfers to third countries on the strength of a mutual legal assistance treaty. Instead, EDPB says that another transfer ground from Chapter V GDPR is required:
“Unlike the other provisions of Chapter V, Article 48 is not a ground for transfer. The provision itself contains no data protection safeguards but clarifies that decisions or judgments from third country authorities cannot be recognised or enforced in the EU/EEA unless an international agreement provides for this. Therefore, before responding to a request from a third country authority falling under Article 48, the controller or processor in the EU/EEA must identify an applicable ground for the transfer elsewhere in Chapter V.”
(EDPB, Draft Guidelines 02/2024, para. 29)
As a possible legal basis, the EDPB refers to data transfers based on appropriate safeguards under Article 46(2)(a) GDPR — a legally binding and enforceable document between authorities or public bodies. At the same time, the EDPB emphasizes that the transferring EU company must verify and ensure that the mutual legal assistance treaty includes the necessary appropriate safeguards. Similar to using standard contractual clauses, the transferring company must assess whether the treaty provides for data protection principles such as enforceable rights, effective remedies, independent oversight, and restrictions on onward transfers.
If these conditions are not met, the transferring EU company must identify another transfer ground, such as Article 49 GDPR. However, EDPB states that Article 49 GDPR must be interpreted narrowly. Consequently, under the EDPB’s interpretation, an EU company might be unable to respond to a valid request under a mutual legal assistance treaty for data protection reasons, even if required to do so under applicable Member State law.
Article 48 GDPR as a Symbolic Statement
Due to its ambiguous wording, the legal nature of Article 48 GDPR is interpreted differently in the literature. Some commentators view Article 48 GDPR merely as a “symbolic statement” clarifying that a third-country decision does not generally serve as a basis for data transfers (Taeger/Gabel/Gabel, 4th ed., 2022, DS-GVO Art. 48 para. 3; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2nd ed., 2025, Datenschutzrecht Art. 48 para. 1; Ehmann/Selmayr/Zerdick, 3rd ed., 2024, DS-GVO Art. 48 para. 6; BeckOK DatenschutzR/Jungkind, 50th ed., Feb. 1, 2024, DS-GVO Art. 48 para. 3). However, the legal consequence of this view remains unclear. Only Zerdick and Spieker point out that another transfer ground from Chapter V GDPR is necessary. As outlined above, this could lead to companies being unable to respond to valid requests due to data protection concerns, potentially violating applicable Member State laws.
Other commentators argue that the authority to transfer data stems from the legal act itself and not from Article 48 GDPR. However, they leave open whether Article 48 GDPR could still allow the respective agreement to serve as a transfer basis outside the GDPR.
Article 48 GDPR as a Legal Basis
Other commentators argue that Article 48 GDPR, despite its ambiguous wording, permits data transfers based on an international agreement, thus constituting a legal basis (Sydow/Marsch DS-GVO/BDSG/Towfigh/Ulrich, 3rd ed., 2022, DS-GVO Art. 48 para. 10; Kühling/Buchner/Schröder, 4th ed., 2024, DS-GVO Art. 48 para. 12; Gola/Heckmann/Klug, 3rd ed., 2022, DS-GVO Art. 48 para. 2). This view is persuasive.
Article 48 GDPR, like the scenarios under Article 49 GDPR, provides an exception to the principle that the transferring entity must individually establish or ensure the adequacy of the data protection level. This is appropriate, as the transfer is based on a mutual legal assistance treaty, i.e., applicable Member State law. Transferring companies must be able to rely on the treaty’s compliance with other regulations, such as data protection laws or fundamental rights, without being exposed to potential fines. Article 48 GDPR, therefore, has the character of a legal basis.
Recital 102 GDPR underscores that responsibility for an adequate level of protection lies with the Member States, not companies:
“Member States may conclude international agreements which involve the transfer of personal data to third countries or international organisations, as far as such agreements do not affect this Regulation or any other provisions of Union law and include an appropriate level of protection for the fundamental rights of the data subjects..”
Lex Specialis
Article 48 GDPR contains a more specific provision compared to other rules in Chapter V GDPR, making it lex specialis (Kühling/Buchner/Schröder, 4th ed., 2024, DS-GVO Art. 48 para. 23). Unlike, for instance, Article 49 GDPR, Article 48 GDPR does not require an adequacy decision or appropriate safeguards. In the case of extraterritorial authority requests covered by an international agreement, reference should, therefore, be made to the mutual legal assistance treaty, even when other GDPR transfer grounds are available. Similarly, the EDPB states:
“In situations where there is an international agreement, such as a mutual legal assistance treaty (MLAT), EU companies should generally refuse direct requests and refer the requesting third country authority to existing MLAT or agreement.”
(EDPB, Guidelines 2/2018, p. 5)
Conclusion
The EDPB’s interpretation of Article 48 GDPR leads to uncertainties and is ultimately unconvincing. While companies must ensure compliance with applicable law, including adherence to procedural requirements under a mutual legal assistance treaty, they cannot be required to second guess the validity of the treaty, i.e. Member State law applicable to them. For legal certainty, companies must not be exposed to the risk of fines for complying with Member State laws.
The EDPB should amend its draft to avoid conflicts between data protection laws and Member State legal provisions.