• Home
  • Datenschutz
  • Daten­über­mitt­lung nach Arti­kel 48 DSGVO – Ana­ly­se des Ent­wurfs der EDSA-Leitlinien

Daten­über­mitt­lung nach Arti­kel 48 DSGVO – Ana­ly­se des Ent­wurfs der EDSA-Leitlinien

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat am 3. Dezem­ber 2024 einen Ver­nehm­las­sungs­ent­wurf der Leit­li­ni­en 02/2024 zu Arti­kel 48 DSGVO ver­öf­fent­licht (sie­he dazu hier). Arti­kel 48 DSGVO legt fest, dass eine Daten­über­mitt­lung auf Anord­nung eines Gerichts oder einer Behör­de eines Dritt­staats nur auf der Grund­la­ge eines Rechts­hil­fe­ab­kom­mens oder eines ande­ren Über­ein­kom­mens erfol­gen darf. Ande­re Grün­de für eine Über­mitt­lung aus Kapi­tel V DSGVO blei­ben jedoch unberührt.

Die Leit­li­ni­en behan­deln vor­ran­gig eine mög­li­che Über­mitt­lung durch EU Unter­neh­men an dritt­staat­li­che Behör­den und Gerich­te. Wäh­rend Über­mitt­lun­gen im Rah­men von Rechts­hil­fe­ab­kom­men in der Regel zwi­schen Behör­den statt­fin­den, weist der EDSA dar­auf hin, dass sol­che Über­mitt­lun­gen auch durch Unter­neh­men erfol­gen können:

«[…] the­re has been a recent ten­den­cy to nego­tia­te inter­na­tio­nal agree­ments to also pro­vi­de for direct requests from law enforce­ment aut­ho­ri­ties in third count­ries for access to per­so­nal data pro­ce­s­sed by pri­va­te enti­ties in the EU.» (EDSA, Ent­wurf Leit­li­ni­en 02/2024, Sei­te 5, Fuss­no­te 3).

Die Stel­lung­nah­me des EDSA ist dahin­ge­hend begrü­ßens­wert, als sie klar­stellt, dass Arti­kel 48 nicht als soge­nann­tes blocking sta­tu­te fun­giert. Das bedeu­tet, dass Über­mitt­lun­gen an dritt­staat­li­che Gerich­te und Behör­den auch außer­halb eines Rechts­hil­fe­ab­kom­mens auf eine Über­mitt­lungs­grund­la­ge aus Kapi­tel V DSGVO gestützt wer­den können.

Prü­fungs­sche­ma des EDSA

Pro­ble­ma­tisch erweist sich jedoch das Prü­fungs­sche­ma, das der EDSA vor­sieht. Der EDSA ver­tritt die Auf­fas­sung, dass Arti­kel 48 DSGVO im Fall eines Rechts­hil­fe­ab­kom­mens kei­nen Erlaub­nis­tat­be­stand für eine Über­mitt­lung in den Dritt­staat dar­stellt und dass ein ande­rer Über­mitt­lungs­grund aus Kapi­tel V DSGVO erfor­der­lich sei:

Unli­ke the other pro­vi­si­ons of Chap­ter V, Artic­le 48 is not a ground for trans­fer. The pro­vi­si­on its­elf con­ta­ins no data pro­tec­tion safe­guards but cla­ri­fi­es that decis­i­ons or judgments from third coun­try aut­ho­ri­ties can­not be reco­g­nis­ed or enforced in the EU/EEA unless an inter­na­tio­nal agree­ment pro­vi­des for this. The­r­e­fo­re, befo­re respon­ding to a request from a third coun­try aut­ho­ri­ty fal­ling under Artic­le 48, the con­trol­ler or pro­ces­sor in the EU/EEA must iden­ti­fy an appli­ca­ble ground for the trans­fer else­whe­re in Chap­ter V.” (EDSA, Ent­wurf Leit­li­ni­en 02/2024, Rn. 29)

Als mög­li­chen Erlaub­nis­tat­be­stand führt der EDSA eine Daten­über­mitt­lung auf­grund geeig­ne­ter Garan­tien gemäß Arti­kel 46 Absatz 2 Buch­sta­be a) DSGVO, ein recht­lich bin­den­des und durch­setz­ba­res Doku­ment zwi­schen den Behör­den oder öffent­li­chen Stel­len, an. Gleich­zei­tig weist der EDSA jedoch dar­auf hin, dass das über­mit­teln­de EU-Unter­neh­men in die­sem Fall prü­fen und sicher­stel­len müs­se, dass das Rechts­hil­fe­ab­kom­men auch die not­wen­di­gen geeig­ne­ten Garan­tien beinhal­tet. Wie bei der Ver­wen­dung von Stan­dard­ver­trags­klau­seln müs­se das über­mit­teln­de Unter­neh­men also auch im Rah­men von Rechts­hil­fe­ab­kom­men prü­fen, ob die Daten­schutz­grund­sät­ze, wie durch­setz­ba­re Rech­te und wirk­sa­me Rechts­be­hel­fe, unab­hän­gi­ge Auf­sicht und Beschrän­kun­gen von Wei­ter­über­mitt­lun­gen vor­ge­se­hen sind.
Soll­te dies nicht gege­ben sein, müs­se das über­mit­teln­de EU-Unter­neh­men einen ande­ren Über­mitt­lungs­grund, wie zum Bei­spiel Arti­kel 49 DSGVO iden­ti­fi­zie­ren. Arti­kel 49 DSGVO sei jedoch eng aus­zu­le­gen. Kon­se­quen­ter­wei­se bedeu­tet dies, dass ein EU-Unter­neh­men in Erman­ge­lung einer Grund­la­ge für die Über­mitt­lung gege­be­nen­falls aus daten­schutz­recht­li­chen Grün­den nicht in der Lage wäre, eine unter einem gül­ti­gen Rechts­hil­fe­ab­kom­men gestell­te Anfra­ge zu beant­wor­ten, obwohl das Unter­neh­men gemäss mit­glieds­staat­li­chem Recht dazu ver­pflich­tet wäre.

Arti­kel 48 DSGVO als sym­bo­li­scher Programmsatz

Auf­grund des unkla­ren Wort­lauts wird der Rege­lungs­ge­halt des Arti­kels 48 DSGVO in der Lite­ra­tur unter­schied­lich beur­teilt. Eini­ge Ver­tre­ter sehen in Arti­kel 48 DSGVO nur einen „Pro­gramm­satz mit sym­bo­li­scher Bedeu­tung“, der klar­stellt, dass eine Ent­schei­dung eines Dritt­lan­des grund­sätz­lich kei­ne Basis für eine Daten­über­mitt­lung dar­stellt (Taeger/Gabel/Gabel, 4. Aufl. 2022, DS-GVO Art. 48 Rn. 3; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2. Aufl. 2925, Daten­schutz­recht Art. 48, Rn. 1; Ehmann/Selmayr/Zerdick, 3. Aufl. 2024, DS-GVO Art. 48 Rn. 6; Beck­OK DatenschutzR/Jungkind, 50. Ed. 1.2.2024, DS-GVO Art. 48 Rn. 3). Unklar­heit besteht hier jedoch in der Rechts­fol­ge die­ser Ansicht. Ledig­lich Zer­dick und Spie­ker wei­sen dar­auf hin, dass ein ande­rer Über­mitt­lungs­grund aus Kapi­tel V DSGVO vor­lie­gen müs­se. Dies hät­te wie oben aus­ge­führt zur Fol­ge, dass Unter­neh­men gül­ti­ge Anfra­gen gege­be­nen­falls aus daten­schutz­recht­li­chen Grün­den nicht beant­wor­ten kön­nen und damit gegen das für sie gel­ten­de mit­glied­staat­li­che Recht ver­sto­ßen würden.

Die ande­ren Ver­tre­ter die­ser Ansicht hal­ten fest, dass die Befug­nis zur Daten­über­mitt­lung aus dem Rechts­akt an sich und nicht aus Arti­kel 48 DSGVO fol­ge. Inwie­weit Arti­kel 48 DSGVO also den­noch eine Erlaub­nis dar­stellt, das jewei­li­ge Abkom­men als Über­mitt­lungs­grund­la­ge außer­halb der DSGVO zugrun­de zu legen, las­sen sie offen.

Arti­kel 48 DSGVO als Erlaubnisnorm

Wei­te­re Ver­tre­ter der Lite­ra­tur ver­tre­ten die Ansicht, dass Arti­kel 48 DSGVO trotz des unkla­ren Wort­lauts eine Daten­über­mitt­lung auf­grund eines inter­na­tio­na­len Abkom­mens ermög­licht und inso­fern einen Erlaub­nis­tat­be­stand dar­stellt (Sydow/Marsch DS-GVO/BDS­G/Tow­fig­h/Ul­rich, 3. Aufl. 2022, DS GVO Art. 48 Rn. 10; Kühling/Buchner/Schröder, 4. Aufl. 2024, DS-GVO Art. 48 Rn. 12; Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 48 Rn. 2). Die­ser Ansicht ist zuzustimmen.
Arti­kel 48 DSGVO ent­hält, wie auch die Fall­grup­pen des Arti­kels 49 DSGVO, eine Aus­nah­me von dem Prin­zip, dass die über­mit­teln­de Stel­le die Ange­mes­sen­heit des Daten­schutz­ni­veaus im Ein­zel­fall ermit­teln oder her­stel­len muss. Dies ist sach­ge­recht, da sich die Über­mitt­lung auf ein Rechts­hil­fe­ab­kom­men, also gel­ten­des mit­glied­staat­li­ches Recht stützt. Ein über­mit­teln­des Unter­neh­men muss sich dar­auf ver­las­sen kön­nen, dass die­ses Recht mit ande­ren Vor­schrif­ten, wie Daten­schutz­recht oder Grund­rech­ten, kon­form ist und nicht even­tu­el­len Buß­gel­dern aus­ge­setzt sein. In sei­ner Wir­kung hat Arti­kel 48 DSGVO des­halb den Cha­rak­ter einer Erlaubnisnorm.

Wie Erwä­gungs­grund 102 DSGVO ver­deut­licht, liegt die Ver­ant­wor­tung für ein ange­mes­se­nes Schutz­ni­veau bei den Mit­glied­staa­ten und nicht bei den Unter­neh­men: „Die Mit­glied­staa­ten kön­nen völ­ker­recht­li­che Über­ein­künf­te schlie­ßen, die die Über­mitt­lung per­so­nen­be­zo­ge­ner Daten an Dritt­län­der oder inter­na­tio­na­le Orga­ni­sa­tio­nen beinhal­ten, sofern sich die­se Über­ein­künf­te weder auf die­se Ver­ord­nung noch auf ande­re Bestim­mun­gen des Uni­ons­rechts aus­wir­ken und ein ange­mes­se­nes Schutz­ni­veau für die Grund­rech­te der betrof­fe­nen Per­so­nen umfassen.“

Lex spe­cia­lis

Arti­kel 48 DSGVO ent­hält eine gegen­über den ande­ren Vor­schrif­ten des Kapi­tels V DSGVO spe­zi­el­le­re Rege­lung, wes­halb er lex spe­cia­lis ist (Kühling/Buchner/Schröder, 4. Aufl. 2024, DS-GVO Art. 48 Rn. 23). Anders als bei­spiels­wei­se Arti­kel 49 DSGVO, ent­hält Arti­kel 48 DSGVO kei­nen Vor­be­halt hin­sicht­lich eines Ange­mes­sen­heits­be­schlus­ses oder geeig­ne­ter Garan­tien. Im Fall extra­ter­ri­to­ria­ler Behör­den­an­fra­gen, für die eine inter­na­tio­na­le Über­ein­kunft besteht, soll­te daher auch dann auf das Rechts­hil­fe­ab­kom­men ver­wie­sen wer­den, wenn ande­re Über­mitt­lungs­grün­de aus der DSGVO vor­lie­gen. Auch der EDSA hält ent­spre­chend fest: „Besteht eine inter­na­tio­na­le Über­ein­kunft wie etwa ein Rechts­hil­fe­ab­kom­men, soll­ten die Unter­neh­men in der EU direk­te Anfra­gen gene­rell ableh­nen und die ersu­chen­de Behör­de des Dritt­staa­tes auf das bestehen­de Rechts­hil­fe­ab­kom­men oder die ent­spre­chen­de Über­ein­kunft ver­wei­sen.“ (EDSA, Leit­li­ni­en 2/2018, S. 6.)

Fazit

Die Aus­le­gung des Arti­kels 48 DSGVO durch den EDSA führt zu Unsi­cher­hei­ten und ist im Ergeb­nis nicht über­zeu­gend. Selbst­ver­ständ­lich muss jedes Unter­neh­men prü­fen, ob es das gel­ten­de Recht ein­hält, also auch im Rah­men eines Rechts­hil­fe­ab­kom­mens im Ein­klang mit den Ver­fah­rens­vor­schrif­ten han­delt. Es kann jedoch nicht von über­mit­teln­den Unter­neh­men gefor­dert wer­den, dass sie ein sol­ches Abkom­men, also für sie gel­ten­des mit­glied­staat­li­ches Recht, auf sei­ne Zuläs­sig­keit prü­fen müs­sen. Im Sin­ne der Rechts­si­cher­heit dür­fen Unter­neh­men auch nicht der Mög­lich­keit aus­ge­setzt sein, dass sie für die Befol­gung des mit­glied­staat­li­chen Rechts mit Buß­gel­dern belegt wer­den kön­nen. Der EDSA soll­te sei­nen Ent­wurf des­halb ent­spre­chend anpas­sen, um einen Kon­flikt zwi­schen Daten­schutz­recht und mit­glieds­staat­li­chen Rechts­vor­schrif­ten zu vermeiden.

Eng­li­sche Fas­sung: Data Trans­fers under Artic­le 48 GDPR – Ana­ly­sis of the Draft EDPB Guidelines

On Decem­ber 3, 2024, the Euro­pean Data Pro­tec­tion Board (EDPB) published a con­sul­ta­ti­on draft of its Gui­de­lines 02/2024 on Artic­le 48 GDPR (see here). Artic­le 48 GDPR sti­pu­la­tes that a data trans­fer based on a court or aut­ho­ri­ty order from a third coun­try may only be reco­gnized or enforceable if based on an inter­na­tio­nal agree­ment in force bet­ween the reque­st­ing third coun­try and the Uni­on or a Mem­ber Sta­te. Other grounds for trans­fer under Chap­ter V GDPR remain unaffected.

The gui­de­lines pri­ma­ri­ly address poten­ti­al trans­fers by EU com­pa­nies to third-coun­try aut­ho­ri­ties and courts. While trans­fers under mutu­al legal assi­stance trea­ties typi­cal­ly occur bet­ween aut­ho­ri­ties, the EDPB points out that such trans­fers can also be made by companies:

[…] the­re has been a recent ten­den­cy to nego­tia­te inter­na­tio­nal agree­ments to also pro­vi­de for direct requests from law enforce­ment aut­ho­ri­ties in third count­ries for access to per­so­nal data pro­ce­s­sed by pri­va­te enti­ties in the EU.”
(EDPB, Draft Gui­de­lines 02/2024, page 5, foot­no­te 3)

The EDPB’s cla­ri­fi­ca­ti­on that Artic­le 48 GDPR does not func­tion as a so-cal­led blocking sta­tu­te is wel­co­me. This means that trans­fers to third-coun­try courts and aut­ho­ri­ties can also be based on a trans­fer ground from Chap­ter V GDPR out­side of a mutu­al legal assi­stance treaty.

EDPB’s Assess­ment Framework

Howe­ver, the assess­ment frame­work pro­po­sed by the EDPB is pro­ble­ma­tic. The EDPB sta­tes that Artic­le 48 GDPR does not con­sti­tu­te a legal basis for trans­fers to third count­ries on the strength of a mutu­al legal assi­stance trea­ty. Instead, EDPB says that ano­ther trans­fer ground from Chap­ter V GDPR is required:

Unli­ke the other pro­vi­si­ons of Chap­ter V, Artic­le 48 is not a ground for trans­fer. The pro­vi­si­on its­elf con­ta­ins no data pro­tec­tion safe­guards but cla­ri­fi­es that decis­i­ons or judgments from third coun­try aut­ho­ri­ties can­not be reco­g­nis­ed or enforced in the EU/EEA unless an inter­na­tio­nal agree­ment pro­vi­des for this. The­r­e­fo­re, befo­re respon­ding to a request from a third coun­try aut­ho­ri­ty fal­ling under Artic­le 48, the con­trol­ler or pro­ces­sor in the EU/EEA must iden­ti­fy an appli­ca­ble ground for the trans­fer else­whe­re in Chap­ter V.”
(EDPB, Draft Gui­de­lines 02/2024, para. 29)

As a pos­si­ble legal basis, the EDPB refers to data trans­fers based on appro­pria­te safe­guards under Artic­le 46(2)(a) GDPR — a legal­ly bin­ding and enforceable docu­ment bet­ween aut­ho­ri­ties or public bodies. At the same time, the EDPB empha­si­zes that the trans­fer­ring EU com­pa­ny must veri­fy and ensu­re that the mutu­al legal assi­stance trea­ty inclu­des the neces­sa­ry appro­pria­te safe­guards. Simi­lar to using stan­dard con­trac­tu­al clau­ses, the trans­fer­ring com­pa­ny must assess whe­ther the trea­ty pro­vi­des for data pro­tec­tion prin­ci­ples such as enforceable rights, effec­ti­ve reme­dies, inde­pen­dent over­sight, and rest­ric­tions on onward transfers.

If the­se con­di­ti­ons are not met, the trans­fer­ring EU com­pa­ny must iden­ti­fy ano­ther trans­fer ground, such as Artic­le 49 GDPR. Howe­ver, EDPB sta­tes that Artic­le 49 GDPR must be inter­pre­ted nar­row­ly. Con­se­quent­ly, under the EDPB’s inter­pre­ta­ti­on, an EU com­pa­ny might be unable to respond to a valid request under a mutu­al legal assi­stance trea­ty for data pro­tec­tion rea­sons, even if requi­red to do so under appli­ca­ble Mem­ber Sta­te law.

Artic­le 48 GDPR as a Sym­bo­lic Statement

Due to its ambi­guous wor­ding, the legal natu­re of Artic­le 48 GDPR is inter­pre­ted dif­fer­ent­ly in the lite­ra­tu­re. Some com­men­ta­tors view Artic­le 48 GDPR mere­ly as a “sym­bo­lic state­ment” cla­ri­fy­ing that a third-coun­try decis­i­on does not gene­ral­ly ser­ve as a basis for data trans­fers (Taeger/Gabel/Gabel, 4th ed., 2022, DS-GVO Art. 48 para. 3; Simitis/Hornung/Spiecker gen. Döhmann/Schantz, 2nd ed., 2025, Daten­schutz­recht Art. 48 para. 1; Ehmann/Selmayr/Zerdick, 3rd ed., 2024, DS-GVO Art. 48 para. 6; Beck­OK DatenschutzR/Jungkind, 50th ed., Feb. 1, 2024, DS-GVO Art. 48 para. 3). Howe­ver, the legal con­se­quence of this view remains unclear. Only Zer­dick and Spie­ker point out that ano­ther trans­fer ground from Chap­ter V GDPR is neces­sa­ry. As out­lined abo­ve, this could lead to com­pa­nies being unable to respond to valid requests due to data pro­tec­tion con­cerns, poten­ti­al­ly vio­la­ting appli­ca­ble Mem­ber Sta­te laws.

Other com­men­ta­tors argue that the aut­ho­ri­ty to trans­fer data stems from the legal act its­elf and not from Artic­le 48 GDPR. Howe­ver, they lea­ve open whe­ther Artic­le 48 GDPR could still allow the respec­ti­ve agree­ment to ser­ve as a trans­fer basis out­side the GDPR.

Artic­le 48 GDPR as a Legal Basis

Other com­men­ta­tors argue that Artic­le 48 GDPR, despi­te its ambi­guous wor­ding, per­mits data trans­fers based on an inter­na­tio­nal agree­ment, thus con­sti­tu­ting a legal basis (Sydow/Marsch DS-GVO/BDS­G/Tow­fig­h/Ul­rich, 3rd ed., 2022, DS-GVO Art. 48 para. 10; Kühling/Buchner/Schröder, 4th ed., 2024, DS-GVO Art. 48 para. 12; Gola/Heckmann/Klug, 3rd ed., 2022, DS-GVO Art. 48 para. 2). This view is persuasive.
Artic­le 48 GDPR, like the sce­na­ri­os under Artic­le 49 GDPR, pro­vi­des an excep­ti­on to the prin­ci­ple that the trans­fer­ring enti­ty must indi­vi­du­al­ly estab­lish or ensu­re the ade­qua­cy of the data pro­tec­tion level. This is appro­pria­te, as the trans­fer is based on a mutu­al legal assi­stance trea­ty, i.e., appli­ca­ble Mem­ber Sta­te law. Trans­fer­ring com­pa­nies must be able to rely on the treaty’s com­pli­ance with other regu­la­ti­ons, such as data pro­tec­tion laws or fun­da­men­tal rights, wit­hout being expo­sed to poten­ti­al fines. Artic­le 48 GDPR, the­r­e­fo­re, has the cha­rac­ter of a legal basis.
Reci­tal 102 GDPR unders­cores that respon­si­bi­li­ty for an ade­qua­te level of pro­tec­tion lies with the Mem­ber Sta­tes, not companies:

Mem­ber Sta­tes may con­clude inter­na­tio­nal agree­ments which invol­ve the trans­fer of per­so­nal data to third count­ries or inter­na­tio­nal orga­ni­sa­ti­ons, as far as such agree­ments do not affect this Regu­la­ti­on or any other pro­vi­si­ons of Uni­on law and include an appro­pria­te level of pro­tec­tion for the fun­da­men­tal rights of the data subjects..”

Lex Spe­cia­lis

Artic­le 48 GDPR con­ta­ins a more spe­ci­fic pro­vi­si­on com­pared to other rules in Chap­ter V GDPR, making it lex spe­cia­lis (Kühling/Buchner/Schröder, 4th ed., 2024, DS-GVO Art. 48 para. 23). Unli­ke, for instance, Artic­le 49 GDPR, Artic­le 48 GDPR does not requi­re an ade­qua­cy decis­i­on or appro­pria­te safe­guards. In the case of extra­ter­ri­to­ri­al aut­ho­ri­ty requests cover­ed by an inter­na­tio­nal agree­ment, refe­rence should, the­r­e­fo­re, be made to the mutu­al legal assi­stance trea­ty, even when other GDPR trans­fer grounds are available. Simi­lar­ly, the EDPB states:

In situa­tions whe­re the­re is an inter­na­tio­nal agree­ment, such as a mutu­al legal assi­stance trea­ty (MLAT), EU com­pa­nies should gene­ral­ly refu­se direct requests and refer the reque­st­ing third coun­try aut­ho­ri­ty to exi­sting MLAT or agreement.”
(EDPB, Gui­de­lines 2/2018, p. 5)

Con­clu­si­on

The EDPB’s inter­pre­ta­ti­on of Artic­le 48 GDPR leads to uncer­tain­ties and is ulti­m­ate­ly uncon­vin­cing. While com­pa­nies must ensu­re com­pli­ance with appli­ca­ble law, inclu­ding adherence to pro­ce­du­ral requi­re­ments under a mutu­al legal assi­stance trea­ty, they can­not be requi­red to second guess the vali­di­ty of the trea­ty, i.e. Mem­ber Sta­te law appli­ca­ble to them. For legal cer­tain­ty, com­pa­nies must not be expo­sed to the risk of fines for com­ply­ing with Mem­ber Sta­te laws.
The EDPB should amend its draft to avo­id con­flicts bet­ween data pro­tec­tion laws and Mem­ber Sta­te legal provisions.