Instagram Logo  
linkedIn Logo  
facebook Logo  
XING Logo  
11.Juni 2025 | Tanja | Thema: Datenschutz

EDPB-Leitlinien zu Drittland-Anfragen: Neue Klarheit bei Datenübermittlungen

Schlagwörter: Datenschutz

Datentransfer-Drittland unlimphoto

Der Datentransfer Drittland rückt stärker in den Fokus: Am 5. Juni 2025 veröffentlichte der Europäische Datenschutzausschuss (EDPB) neue Leitlinien zu Art. 48 DSGVO: Guidelines 02/2024 on Article 48 GDPR. Diese betreffen alle Unternehmen in der EU, die Datenanfragen aus Nicht-EU-Staaten erhalten.

Der Begriff Datentransfer Drittland fällt dabei gleich mehrfach – denn genau darum geht es: Wann dürfen Daten in Drittstaaten fließen? Und unter welchen Bedingungen? Die neuen Regeln sollen Klarheit schaffen.

Was regelt Artikel 48 DSGVO zum Datentransfer Drittland?

Art. 48 DSGVO schützt personenbezogene Daten vor unkontrollierter Weitergabe an Behörden außerhalb der EU. Eine ausländische Behörde kann nicht einfach verlangen, dass ein in der EU ansässiges Unternehmen personenbezogene Daten herausgibt. Ein Datentransfer in ein Drittland ist nur zulässig, wenn ein gültiges internationales Abkommen zwischen dem Drittland und der EU oder einem Mitgliedstaat besteht.

Fehlt ein solches Abkommen, darf das Unternehmen die Daten nicht ohne Weiteres weitergeben. Nur in streng geregelten Ausnahmefällen nach Art. 49 DSGVO ist eine Übermittlung möglich – und nur nach den Vorgaben der DSGVO.

Neue EDPB-Leitlinien: Klarer Rahmen für den Datentransfer Drittland

Der EDPB hat seine überarbeiteten Leitlinien zu Art. 48 DSGVO veröffentlicht. Unternehmen in der EU, die Anfragen von Drittstaaten erhalten, finden nun strukturierte Vorgaben, wann eine Weitergabe erlaubt ist.

Diese beinhalten:

  • Es muss eine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegen.
  • Zusätzlich muss ein zulässiger Mechanismus für internationale Datenübermittlungen nach Kapitel V DSGVO greifen – z.B. ein Angemessenheitsbeschluss (Art. 45) oder geeignete Garantien (Art. 46).
  • Fehlt ein gültiges internationales Abkommen, ist eine Datenübermittlung nur im Ausnahmefall nach Art. 49 DSGVO erlaubt – und stets einzelfallbezogen, notwendig und verhältnismäßig.

Ein weiterer Praxisfall, den die Leitlinien abdecken: Wenn eine Konzernmutter in einem Drittland personenbezogene Daten von ihrer EU-Tochter anfordert – auf Basis einer lokalen Anfrage. Auch hier gilt: Die Übermittlung von der EU in das Drittland fällt unter den Begriff  Datentransfer Drittland und unterliegt somit denselben Bedingungen.

EDPB fordert Kompetenzaufbau bei KI und Datenschutz

Der EDPB stellte zudem zwei neue Support Pool of Experts (SPE)‑Projekte vor, um Fachkräfte zu schulen:

Beide Module gibt es als PDF, demnächst als bearbeitbare Community-Version im Git‑Repository.

Der EDPB besprach zudem einen Vorschlag der EU-Kommission, der eine Vereinfachung der Dokumentationspflichten nach Art. 30 (5) DSGVO für kleine und mittlere Unternehmen vorsieht. Eine gemeinsame Stellungnahme von EDPB und EDPS wird in den kommenden Wochen erwartet.

Fazit: Eindeutige Regeln für den Datentransfer Drittland

Mit den neuen Leitlinien möchte der EDPB mehr Klarheit in ein sensibles Thema bringen. Unternehmen erhalten damit eine konkrete Hilfestellung, wie sie Anfragen aus Drittstaaten datenschutzkonform beurteilen und verarbeiten können.

Links und Hinweise:

EDPB final version of guidelines on data transfers to third country authorities and SPE training material on AI and data protection  | Der EDPB hat die finalen Leitlinien zu Datenübermittlungen an Behörden in Drittstaaten sowie neues Schulungsmaterial zu KI und Datenschutz veröffentlicht.

Datenschutzberatung procado | Erfahren Sie mehr zu unserer Datenschutzberatung

zurück
Themen
procado BLOGt: rss-feed
Schlagwörter
DatenschutzKIprocado-internDSGVOTippsRechtsprechungPhishingAkademieSocial MediaGirls-DayIT-SicherheitEU-RichtlinieIT-SupportRechtsgrundlagenkleine ReiheManaged Service ProviderSocial EngeneeringMicrosoft 365HistorischesJob
Claude Opus 4: Was das KI-Modell über Sicherheitsrisiken verrätVodafone: Bundesdatenschutzbeauftragte verhängt Rekordbußgeld