Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat mit Datum vom 3. Dezem­ber 2024 einen Ver­nehm­las­sungs­ent­wurf der Gui­de­lines 02/2024 on Artic­le 48 GDPR ver­öf­fent­licht. Stel­lung­nah­men kön­nen bis am 27. Janu­ar 2025 ein­ge­reicht werden.

Arti­kel 48 DSGVO erlaubt eine Daten­über­mitt­lung auf Anord­nung eines Gerichts oder einer Behör­de eines Dritt­staats nur auf der Grund­la­ge eines Rechts­hil­fe­ab­kom­mens oder eines ande­ren Übereinkommens:

  • Dazu gehö­ren alle offi­zi­el­len Anfra­gen (“Offi­ci­al request”); die Bezeich­nung spielt kei­ne Rol­le, und aus­drück­lich auch nicht, ob eine Nicht­be­fol­gung in irgend­ei­ner Form sank­ti­ons­be­droht ist.
  • Erfasst sind bspw. Anfra­gen von Strafverfolgungs‑, Steu­er- oder Auf­sichts- oder Zulassungsbehörden.

Die Leit­li­ni­en des EDSA dazu beschrän­ken sich auf die Über­mitt­lung durch Pri­va­te und nur sol­che, die nach Art. 3 Abs. 1 unter die DSGVO fal­len – Unter­neh­men in der Schweiz, die nur auf­grund einer Ange­bots­aus­rich­tung oder Ver­hal­tens­be­ob­ach­tung nach Art. 3 Abs. 2 unter die DSGVO fal­len, wer­den also nicht adres­siert (wobei unklar bleibt, inwie­fern sich die Rechts­la­ge bei Art. 3 Abs. 2 unter­schei­den sollte).

Bei einer Über­mitt­lung in einen Dritt­staat gilt jeweils der Zwei­stu­fen-Test: Die Über­mitt­lung muss erstens den übri­gen Bestim­mun­gen der DSGVO ent­spre­chen und zwei­tens den Vor­ga­ben von Art. 44 ff DSGVO entsprechen.

In der ersten Stu­fe ver­langt die Über­mitt­lung in Erfül­lung eines ent­spre­chen­den Urteils bzw. einer Anord­nung eine Rechts­grund­la­ge, und das Urteil bzw. die Anord­nung sind kei­ne (weil die DSGVO gene­rell nur EWR- bzw. mit­glied­staat­li­ches Recht als Rechts­grund­la­ge aner­kennt). In Fra­ge kom­men aber

  • die Erfül­lung einer Rechts­pflicht i.S.v. Art. 6 Abs. 1 lit. c DSGVO, sofern ein Rechts­hil­fe- oder ande­res Abkom­men besteht, das im betref­fen­den Mit­glied­staat gilt und die Bekannt­ga­be verlangt;
  • die Erfül­lung einer öffent­li­chen Auf­ga­be i.S.v. lit. e, wenn Abkom­men die Bekannt­ga­be nicht ver­langt, aber erlaubt – viel­leicht eine etwas weit her­ge­hol­te Sicht;
  • berech­tig­te Inter­es­sen kom­men eben­falls in Fra­ge (lit. f), sofern die Inter­es­sen­ab­wä­gung zugun­sten der Bekannt­ga­be aus­fällt. Der EDSA ist hier aber erwart­bar streng:

    26. […] a pri­va­te busi­ness ope­ra­tor, acting as con­trol­ler, can­not rely on Artic­le 6(1)(f) for the coll­ec­tion and sto­ring of per­so­nal data in a pre­ven­ti­ve man­ner in order to be able to share such infor­ma­ti­on, upon request, with law enforce­ment aut­ho­ri­ties so as to pre­vent, detect and pro­se­cu­te cri­mi­nal offen­ces, whe­re such pro­ce­s­sing acti­vi­ties are unre­la­ted to its own actu­al (eco­no­mic and com­mer­cial) acti­vi­ties. Moreo­ver, the EDPB has, with respect to a spe­ci­fic situa­ti­on, pre­vious­ly taken the view that the inte­rests or fun­da­men­tal rights and free­doms of the data sub­ject in tho­se par­ti­cu­lar cir­cum­stances would over­ri­de the controller’s inte­rest of adhe­ring to the request of a third coun­try law enforce­ment aut­ho­ri­ty in order to avo­id sanc­tions for noncompliance.

Kaum in Fra­ge kom­men dage­gen die Erfül­lung eines Ver­trags (Art. 6 Abs. 1 lit. b DSGVO), und nur in beson­de­ren Aus­nah­men der Schutz lebens­wich­ti­ger Inter­es­sen (Art. 6 Abs. 1 lit. d DSGVO).

Zwei­tens sind die Vor­aus­set­zun­gen von Art. 44 ff. DSGVO ein­zu­hal­ten, und Art. 48 ist kein Erlaub­nis­tat­be­stand. Im Fra­ge kommt aber Art. 46 Abs. 2 lit. a DSGVO, ein “recht­lich bin­den­des und durch­setz­ba­res Doku­ment zwi­schen den Behör­den oder öffent­li­chen Stel­len”, bspw. ein Abkom­men i.S.v. Art. 48 DSGVO, wobei die vom EDSA bestimm­ten Min­dest­ga­ran­tien ein­zu­hal­ten sind. Feh­len sie, kann das Abkom­men zwar die Rechts­grund­la­ge nach Art. 6 lie­fern, aber für die Zwecke von Art. 44 ff. ist nach Auf­fas­sung des EDSA eine ande­re Grund­la­ge erforderlich

Das Vor­ge­hen illu­striert der EDSA wie folgt: