← Alle Artikel anzeigen

  • Juli 15, 2025

EU GDPR Artikel 48: Stärkerer Schutz vor ausländischen Rechtsansprüchen

Klärung von Artikel 48: Warum globale Organisationen Datenanfragen von ausländischen Behörden überdenken müssen

Auf Juni 5, 2025veröffentlichte der Europäische Datenschutzausschuss (EDPB) seine endgültigen Leitlinien über Artikel 48 der Allgemeinen Datenschutzverordnung (DSGVO). Dieser wichtige Artikel befasst sich mit rechtlichen Ersuchen um personenbezogene Daten, die von Nicht-EU-Behörden stammen. Der wichtigste Grundsatz, der durch diese Leitlinien gestärkt wird, ist, dass Den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU ist es untersagt, ausländischen Anordnungen einfach Folge zu leisten.auch solche von staatlichen Stellen, es sei denn, es liegt ein verbindliches internationales Rechtshilfeabkommen (MLAT) oder ein gleichwertiges Kooperationsabkommen vorhanden sind. Dies bedeutet, dass informelle oder interne Vereinbarungen nicht mehr als ausreichende Rechtfertigung für solche Datenübermittlungen angesehen werden.

Warum diese Änderungen von großer Bedeutung sind

Diese aktualisierten Richtlinien stellen für Unternehmen, die in mehreren Ländern tätig sind, eine wesentliche Veränderung dar. Unternehmen mit Niederlassungen sowohl in der EU als auch in "Drittländern" (Staaten außerhalb der EU/des EWR) wie den Vereinigten Staaten, China oder Australien müssen nun äußerste Vorsicht walten lassen. Was bisher eine routinemäßige Datenanfrage einer ausländischen Muttergesellschaft oder einer ausländischen Aufsichtsbehörde war, könnte nun als unrechtmäßige Offenlegung im Rahmen der Datenschutz-Grundverordnung angesehen werden.

Die Folgen der Nichteinhaltung sind schwerwiegend und weitreichend:

  • Erhebliche Geldbußen: Die Datenschutz-Grundverordnung sieht erhebliche Geldstrafen für Verstöße vor, die sich auf Millionen von Euro oder einen Prozentsatz des weltweiten Jahresumsatzes belaufen können.
  • User Backlash: Betroffene, deren Rechte verletzt wurden, können rechtliche Schritte einleiten oder öffentlich ihre Missbilligung zum Ausdruck bringen, was zu einem Vertrauensverlust führt.
  • Schädigung des Rufs: Die Nichteinhaltung von Vorschriften kann dem öffentlichen Image einer Organisation und ihrem Ansehen bei Kunden und Partnern ernsthaft schaden.

Außerdem gelten diese Leitlinien nicht nur für Unternehmen mit Sitz in der EU. Auch Unternehmen aus Nicht-EU-Ländern, die in erheblichem Umfang personenbezogene Daten aus der EU verarbeiten, sind nun gezwungen, ihre Governance-Prozesse umfassend zu überarbeiten, um diese strengen Anforderungen zu erfüllen.

 

Kontext und überarbeitete Leitlinien: Die Haltung des EDPB zu grenzüberschreitenden Datenübermittlungen verstehen

Am 5. Juni 2025 veröffentlichte der Europäische Datenschutzausschuss (EDPB) seine endgültigen Leitlinien zu Artikel 48 der Allgemeinen Datenschutzverordnung (DSGVO). Dieser wichtige Artikel befasst sich mit rechtlichen Anfragen nach personenbezogenen Daten, die von Nicht-EU-Behörden stammen. Das Kernprinzip, das in diesen Leitlinien bekräftigt wird, ist, dass es den für die Verarbeitung Verantwortlichen und den Auftragsverarbeitern in der EU untersagt ist, ausländischen Anordnungen, auch solchen von Regierungsstellen, einfach Folge zu leisten, es sei denn, es besteht ein verbindliches internationales Rechtshilfeabkommen (MLAT) oder eine gleichwertige Kooperationsvereinbarung. Dies bedeutet, dass informelle oder interne Vereinbarungen nicht mehr als ausreichende Rechtfertigung für solche Datenübermittlungen gelten.

 

Empfohlene Maßnahmen zur Einhaltung der Vorschriften

Um diese neuen Anforderungen effektiv zu bewältigen und die Einhaltung der Vorschriften zu gewährleisten, sollten Unternehmen die folgenden Maßnahmen ergreifen:

  • Aktualisierung der Standardarbeitsanweisungen (SOPs): Es ist unbedingt erforderlich, einen obligatorischen zweistufigen Prozess in die bestehenden SOPs zu integrieren. Dieser Prozess sollte sicherstellen, dass alle grenzüberschreitenden Datenanfragen sofort an die Rechts- und/oder Compliance-Teams weitergeleitet werden, um eine gründliche Überprüfung des MLAT oder eines gleichwertigen Abkommens durchzuführen, bevor Daten übermittelt werden.
  • Umfassende Mitarbeiterschulung: Alle relevanten Teams, einschließlich der Mitarbeiter der Rechtsabteilung, der IT-Abteilung und des operativen Personals, sollten eine gründliche Schulung erhalten. In dieser Schulung sollten die neue Anforderung der doppelten Bestätigung und die verschärfte Prüfung ausländischer Datenanfragen klar erläutert werden.
  • Prüfungs- und Berichtsmechanismen: Führen Sie ein strenges System ein, um jede Datenanforderung und jede Verweigerung zu protokollieren. Diese akribische Aufzeichnung dient als entscheidender Nachweis für die Einhaltung der Sorgfaltspflicht und zeigt, dass eine Organisation im Falle einer Prüfung bereit ist, die Vorschriften einzuhalten.

Indem sie sich proaktiv mit diesen Bereichen befassen, können Organisationen Risiken mindern und sicherstellen, dass ihre Datenverarbeitungspraktiken mit den verschärften Leitlinien des EDSB zu Artikel 48 DSGVO übereinstimmen.

  • Wir können Ihnen helfen, FADP-konform zu werden!

Fachkundige Beratung, erschwingliche Lösungen und ein nahtloser Weg zur Einhaltung der Vorschriften

Nehmen Sie Kontakt auf

Was meinen Sie dazu?

Verwandte Einblicke

  • Verwandte Artikel
Regulatorisches Spotlight: FTC ergreift mutige Maßnahmen gegen Sicherheitsmängel bei Bildungseinrichtungen
Wie 10 Millionen Kinderdaten durch Sicherheitsmängel gefährdet wurden
Künstliche Intimität: Unerwartete Wege der KI-Nutzung und Verbindung
Bewertung der rechtlichen Risiken und datenschutzrechtlichen Herausforderungen der virtuellen Begleitung
Die wichtigsten Erkenntnisse aus dem WEF Global Cybersecurity Outlook 2026
Navigieren im Schnittpunkt von KI, Datenschutz und globalen Compliance-Rahmenbedingungen in einer Ära der Hyperkonnektivität