Erstellt mit ChatGPT und manuell editiert
## 🛡️ Neue EDSA-Leitlinien zu Art. 48 DSGVO – Was Unternehmen wissen müssen
Der Europäische Datenschutzausschuss (EDSA) hat am **4. Juni 2025** die finalen **Leitlinien 02/2024** zur Anwendung von **Artikel 48 DSGVO** verabschiedet. Diese betreffen besonders Anfragen von Behörden aus **Drittländern** – also außerhalb der EU – und stellen nun klarere Rahmenbedingungen für Unternehmen auf 🚦
—
### 1. 👀 Geltungsbereich von Art. 48 DSGVO
– **Art. 48 DSGVO** bestimmt, dass Urteile oder Verwaltungsentscheidungen von Drittstaaten **in der EU nur verbindlich sind**, wenn ein **völkerrechtliches Abkommen** (z. B. Rechtshilfeabkommen) existiert.
– Ohne solch ein Abkommen ist eine direkte Offenlegung personenbezogener Daten **unzulässig**.
—
### 2. Stufenleiter für Drittland-Anfragen („Two‑Step‑Test“)
1. **Rechtsgrundlage prüfen (Art. 6 DSGVO)**
– Verpflichtung durch internationales Abkommen (Lit. c),
– oder öffentliches Interesse (Lit. e),
– in Ausnahmefällen berechtigtes Interesse (Lit. f) – sehr restriktiv.
2. **Transfermechanismus gemäß Kapitel V prüfen**
– Angemessenheitsbeschluss (Art. 45),
– Standarddatenschutzklauseln, BCRs (Art. 46) oder enge Ausnahmen (Art. 49).
Fehlt einer der beiden Schritte, muss die Datenanforderung abgelehnt werden.
—
### 3. Was ist neu in Version 2.0?
– **Pflicht zur Information**: Verarbeiter müssen den Verantwortlichen **sofort** informieren – außer gesetzlich anders geregelt.
– **Konzerninterne Anforderungen** (über Muttergesellschaft) unterliegen **nicht mehr Art. 48**, sondern Kapitel V DSGVO.
– **Berechtigtes Interesse** (Art. 6 f) darf nur in **extrem seltenen Ausnahmefällen** verwendet werden – nicht präventiv.
—
### 4. Internationales Abkommen als Schlüssel
– Nur **verbindliche und durchsetzbare völkerrechtliche Abkommen** gewährleisten die Zulässigkeit einer Datenübermittlung.
– Beispiel: Zweites Zusatzprotokoll zur Cybercrime-Konvention (CETS Nr. 224) – noch nicht in Kraft, aber wegweisend.
—
### 5. Auswirkungen & Handlungsempfehlungen
– Unternehmen müssen interne Prozesse für Drittland-Anfragen implementieren und dokumentieren.
– Mitarbeitende (Recht, Compliance, IT) benötigen **Schulungen zu Art. 48**.
– Ein internes Prüfverfahren mit Verantwortlichkeiten (z. B. Zertifizierter Datenschutzbeauftragter) ist erforderlich.
– **Dokumentationspflicht**: Jede Anfrage, Prüfung und Entscheidung muss archiviert werden.
—
### ✅ Fazit
Die finalen EDSA-Leitlinien verschärfen die Anforderungen: Drittstaatliche Datenanfragen dürfen **nur** dann beantwortet werden, wenn
1. eine **Rechtsgrundlage** nach Art. 6 DSGVO vorliegt,
2. ein gültiger **Datenübermittlungsmechanismus** nach Kapitel V vorhanden ist, und
3. ein **völkerrechtliches Abkommen** existiert.
Unternehmen müssen daher nicht nur Prozesse überarbeiten, sondern auch aktiv internationale Rechtsgrundlagen einbinden, bevor sie Drittland-Anfragen beantworten.
—-
### Quellen
– https://2b-advice.com/de/2025/06/11/artikel-48-dsgvo-neue-edsa-leitlinien-zu-datenanfragen-aus-drittstaaten/
– https://www.edpb.europa.eu/news/news/2024/edpb-clarifies-rules-data-sharing-third-country-authorities-and-approves-eu-data_de
– https://www.taylorwessing.com/de/insights-and-events/insights/2025/06/article-48-gdpr