Datenschutzrechtlich ist die Übermittlung personenbezogener Daten in Nicht-EU-Länder (sog. Drittländer) nur unter den besonderen Voraussetzungen der Art. 44 ff. DSGVO zulässig. Durch diese Regelungen soll sichergestellt werden, dass das durch die DSGVO für den EU-Bereich geschaffene Schutzniveau für personenbezogene Daten auch im Drittland Anwendung findet. Den Grundfall bildet Art. 45 Abs. 1 Satz 1 DSGVO, der eine Übermittlung in ein Drittland erlaubt, wenn die EU-Kommission beschlossen hat, dass das Drittland ein angemessenes Schutzniveau bietet (Liste s. www.commission.europa.eu). Liegt ein solcher Beschluss nicht vor, dürfen Daten nur übermittelt werden, sofern das Schutzniveau der DSGVO durch geeignete Garantien, z. B. in Form der Standarddatenschutzklauseln, die von der EU-Kommission erlassen wurden, gewährleistet wird (Art. 46 Abs. 1 DSGVO). Zusätzlich müssen den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.