Im Verlauf des Jahres 2025 wurde der Umgang mit internationalen Datenübermittlungen erneut konkretisiert. Anlass waren aktualisierte Leitlinien und Hinweise, die sich mit Anfragen aus Drittstaaten sowie mit der Weitergabe personenbezogener Daten an ausländische Stellen befassen.
Besonders im Fokus standen Konstellationen, in denen Unternehmen Cloud-Dienste oder IT-Anbieter mit Sitz außerhalb der Europäischen Union einsetzen. Hier wurde betont, dass nicht jede behördliche Anfrage aus einem Drittstaat automatisch zur Herausgabe von Daten berechtigt.
Für Unternehmen bedeutet dies, dass entsprechende Anfragen sorgfältig geprüft werden sollten, bevor personenbezogene Daten übermittelt werden. Maßgeblich ist dabei, ob eine rechtlich verbindliche Grundlage besteht oder internationale Abkommen greifen.
Auch vertragliche Regelungen mit Dienstleistern spielten eine wichtige Rolle. Transparenzpflichten und klare Regelungen zum Umgang mit behördlichen Anfragen wurden als sinnvoll hervorgehoben.
Eine strukturierte interne Vorgehensweise kann dazu beitragen, Risiken zu reduzieren und datenschutzrechtliche Vorgaben auch in komplexen internationalen Konstellationen einzuhalten.