Der Europäische Datenschutzausschuss EDSA hat mit Datum vom 3. Dezember 2024 einen Vernehmlassungsentwurf der Guidelines 02/2024 on Article 48 GDPR veröffentlicht. Stellungnahmen können bis am 27. Januar 2025 eingereicht werden.
Artikel 48 DSGVO erlaubt eine Datenübermittlung auf Anordnung eines Gerichts oder einer Behörde eines Drittstaats nur auf der Grundlage eines Rechtshilfeabkommens oder eines anderen Übereinkommens:
- Dazu gehören alle offiziellen Anfragen (“Official request”); die Bezeichnung spielt keine Rolle, und ausdrücklich auch nicht, ob eine Nichtbefolgung in irgendeiner Form sanktionsbedroht ist.
- Erfasst sind bspw. Anfragen von Strafverfolgungs‑, Steuer- oder Aufsichts- oder Zulassungsbehörden.
Die Leitlinien des EDSA dazu beschränken sich auf die Übermittlung durch Private und nur solche, die nach Art. 3 Abs. 1 unter die DSGVO fallen – Unternehmen in der Schweiz, die nur aufgrund einer Angebotsausrichtung oder Verhaltensbeobachtung nach Art. 3 Abs. 2 unter die DSGVO fallen, werden also nicht adressiert (wobei unklar bleibt, inwiefern sich die Rechtslage bei Art. 3 Abs. 2 unterscheiden sollte).
Bei einer Übermittlung in einen Drittstaat gilt jeweils der Zweistufen-Test: Die Übermittlung muss erstens den übrigen Bestimmungen der DSGVO entsprechen und zweitens den Vorgaben von Art. 44 ff DSGVO entsprechen.
In der ersten Stufe verlangt die Übermittlung in Erfüllung eines entsprechenden Urteils bzw. einer Anordnung eine Rechtsgrundlage, und das Urteil bzw. die Anordnung sind keine (weil die DSGVO generell nur EWR- bzw. mitgliedstaatliches Recht als Rechtsgrundlage anerkennt). In Frage kommen aber
- die Erfüllung einer Rechtspflicht i.S.v. Art. 6 Abs. 1 lit. c DSGVO, sofern ein Rechtshilfe- oder anderes Abkommen besteht, das im betreffenden Mitgliedstaat gilt und die Bekanntgabe verlangt;
- die Erfüllung einer öffentlichen Aufgabe i.S.v. lit. e, wenn Abkommen die Bekanntgabe nicht verlangt, aber erlaubt – vielleicht eine etwas weit hergeholte Sicht;
- berechtigte Interessen kommen ebenfalls in Frage (lit. f), sofern die Interessenabwägung zugunsten der Bekanntgabe ausfällt. Der EDSA ist hier aber erwartbar streng:
26. […] a private business operator, acting as controller, cannot rely on Article 6(1)(f) for the collection and storing of personal data in a preventive manner in order to be able to share such information, upon request, with law enforcement authorities so as to prevent, detect and prosecute criminal offences, where such processing activities are unrelated to its own actual (economic and commercial) activities. Moreover, the EDPB has, with respect to a specific situation, previously taken the view that the interests or fundamental rights and freedoms of the data subject in those particular circumstances would override the controller’s interest of adhering to the request of a third country law enforcement authority in order to avoid sanctions for noncompliance.
Kaum in Frage kommen dagegen die Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), und nur in besonderen Ausnahmen der Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO).
Zweitens sind die Voraussetzungen von Art. 44 ff. DSGVO einzuhalten, und Art. 48 ist kein Erlaubnistatbestand. Im Frage kommt aber Art. 46 Abs. 2 lit. a DSGVO, ein “rechtlich bindendes und durchsetzbares Dokument zwischen den Behörden oder öffentlichen Stellen”, bspw. ein Abkommen i.S.v. Art. 48 DSGVO, wobei die vom EDSA bestimmten Mindestgarantien einzuhalten sind. Fehlen sie, kann das Abkommen zwar die Rechtsgrundlage nach Art. 6 liefern, aber für die Zwecke von Art. 44 ff. ist nach Auffassung des EDSA eine andere Grundlage erforderlich
Das Vorgehen illustriert der EDSA wie folgt: