Artikel 48 EU-DSGVO: Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung

Jegliches Urteil eines Gerichts eines Drittlands und jegliche Entscheidung einer Verwaltungsbehörde eines Drittlands, mit denen von einem Verantwortlichen oder einem Auftragsverarbeiter die Übermittlung oder Offenlegung personenbezogener Daten verlangt wird, dürfen unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel jedenfalls nur dann anerkannt oder vollstreckbar werden, wenn sie auf eine in Kraft befindliche internationale Übereinkunft wie etwa ein Rechtshilfeabkommen zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat gestützt sind.

Kommentar zu Artikel 48 DSGVO

Wie ist Art. 48 DSGVO zu verstehen?


Art. 48 DSGVO regelt den Zugriff auf personenbezogene Daten, welche dem Schutz der DSGVO unterliegen, durch Gerichte und Behörden aus Drittstaaten (Nicht-EU-Staaten).

Danach dürfen drittstaatliche Gerichtsurteile und Verwaltungsentscheidungen zur Herausgabe von personenbezogenen Daten nur aufgrund einer internationalen Übereinkunft zwischen dem betreffenden Drittland und der Union bzw. dem Mitgliedstaat anerkannt oder gegen den Verantwortlichen bzw. den Auftragsverarbeiter vollstreckt werden. Damit soll sichergestellt werden, dass das Schutzniveau der DSGVO nicht durch eine drittstaatliche Entscheidung unterlaufen wird.

Als internationale Übereinkünfte im Sinne des Art. 48 DSGVO kommen solche in Betracht, die ausdrücklich die Übermittlung personenbezogener Daten regeln, nicht aber unverbindliche internationale Übereinkommen oder Empfehlungen. Beispielhaft nennt Art. 48 DSGVO explizit Rechtshilfeabkommen zwischen dem betreffenden Drittstaat und der Union bzw. einem Mitgliedstaat. Hierzu zählt etwa das Haager Übereinkommen über die Beweisaufnahme im Ausland in Zivil- und Handelssachen. Darüber hinaus können auch andere Abkommen wie bspw. das zur Übermittlung von Flugdaten an US-Behörden eine Ermächtigung enthalten. Keine Ermächtigungsgrundlage stellt jedoch z. B. der EU/US-Privacy-Shield dar, da es zwar Grundlagen für den Datenschutz in den USA, jedoch nicht die Übermittlung von Daten regelt.

Eine Übermittlung an hoheitliche Stellen in Drittländern, die durch andere Gründe des Kapitels V der DSGVO (Art. 44-50 DSGVO), gerechtfertigt ist, bleibt von dieser Regelung unberührt. Art. 48 DSGVO macht also diesbezüglich keine abschließenden Vorgaben.

Wann greift Art. 48 DSGVO nicht?


Art. 48 DSGVO erfasst sämtliche hoheitliche Akte einer Stelle in einem Drittland, nicht aber das Herausgabeverlangen von privaten Dritten. Es genügt auch nicht, wenn dieses private Herausgabeverlangen im Rahmen eines gerichtlichen Verfahrens erfolgt. Es müsste vielmehr eine entsprechende Anordnung des zuständigen Gerichts vorliegen.

Was ist neu?


Eine Art. 48 DSGVO entsprechende Vorschrift gab es bislang weder im deutschen Datenschutzrecht noch in der EU-Datenschutzrichtlinie. Mit der neuen Regelung wird der Grundsatz bekräftigt, dass es für derartige Übermittlungen stets einer konkreten Rechtsgrundlage bedarf. Hiermit setzt der europäische Gesetzgeber auch ein deutliches Zeichen für den hohen Schutz der personenbezogenen Daten vor hoheitlichen Akten von Drittländern.

Was muss getan werden?


Konkrete Handlungsempfehlungen für betroffene Unternehmen ergeben sich aus Art. 48 DSGVO nicht. Diese Vorschrift richtet sich nämlich nur an die Stellen, die für die Anerkennung und Vollstreckung von Urteilen oder Entscheidungen zuständig sind. Denken Sie in diesem Zusammenhang daran, dass Sie sich gerne unsere Datenschutz-Beratung in Anspruch nehmen können.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr