Die Übermittlung personenbezogener Daten in Länder außerhalb der EU/des EWR (Drittländer) ist nur unter besonderen Voraußetzungen zuläßig. Das DSK-Kurzpapier Nr. 4 beschreibt eine zweistufige Prüfung.
Stufe 1: Zunächst müßen die allgemeinen DSGVO-Anforderungen erfüllt sein - eine Rechtsgrundlage nach Art. 6 DSGVO für die Verarbeitung ist erforderlich.
Stufe 2: Zusätzlich muss eine der folgenden Übermittlungsgrundlagen nach Kapitel V vorliegen:
1. Angemessenheitsbeschluss (Art. 45 DSGVO): Die EU-Kommission stellt fest, dass ein Drittland ein angemessenes Datenschutzniveau bietet. Dann ist die Übermittlung ohne weitere Genehmigung möglich. Aktuelle Angemessenheitsbeschlüße bestehen u.a. für: Japan, Kanada (PIPEDA), Schweiz, UK, Republik Korea und die USA (EU-US Data Privacy Framework seit Juli 2023).
2. Geeignete Garantien (Art. 46 DSGVO): Ohne Angemessenheitsbeschluss sind geeignete Garantien erforderlich: Standarddatenschutzklauseln (SCC) der Kommission (häufigste Methode), Binding Corporate Rules (BCR) für Konzerne, genehmigte Verhaltensregeln oder Zertifizierungen. Seit der Schrems-II-Entscheidung des EuGH (C-311/18) müßen zusätzlich Transfer Impact Assessments (TIA) durchgeführt werden, um zu prüfen, ob das Recht des Drittlandes die Garantien untergräbt. Ergänzende Maßnahmen (Verschlüßelung, Pseudonymisierung) können erforderlich sein.
3. Ausnahmen (Art. 49 DSGVO): Nur im Einzelfall und restriktiv auszulegen: ausdrückliche Einwilligung nach Risikoaufklärung, Vertragserfüllung, wichtiges öffentliches Interesse, Rechtsansprüche. Die Ausnahme "zwingendes berechtigtes Interesse" (Art. 49 Abs. 1 UAbs. 2) gilt nur für nicht wiederholte Übermittlungen an eine begrenzte Personenzahl.