Während Datenübermittlungen in andere Mitgliedstaaten der Europäischen Union keinen zusätzlichen Anforderungen unterliegen und eine Behinderung des freien Datenverkehrs aus Gründen des Datenschutzes unzulässig ist (vgl. Art. 1 Absatz 3 Datenschutz-Grundverordnung), ist ein Transfer personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) nur unter den Voraussetzungen des Kapitels V zulässig.

Sinn und Zweck der Regelungen für den internationalen Datentransfer ist die Gewährleistung eines umfassenden Schutzes des Grundrechts auf Datenschutz (Artikel 8 der EU-Grundrechtecharta): Der innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums gewährleistete hohe Datenschutzstandard soll nicht dadurch ausgehöhlt werden, dass personenbezogene Daten ohne angemessene Schutzvorkehrungen in Drittländer übermittelt werden können.

Für einen Drittstaatstransfer müssen zunächst die allgemeinen Regelungen der Datenschutz-Grundverordnung eingehalten sein (Artikel 44 Datenschutz-Grundverordnung). Insbesondere muss eine Rechtsgrundlage für die Datenübermittlung in der Datenschutz-Grundverordnung oder im nationalen Datenschutzrecht bestehen.

Zusätzlich muss für eine Datenübermittlung in ein Drittland eine der nachstehenden Bedingungen erfüllt sein:

• Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission nach Artikel 45 Datenschutz-Grundverordnung. Beschlüsse der Europäischen Kommission über ein angemessenes Schutzniveau liegen zum Beispiel für Argentinien, die Schweiz, Kanada, Neuseeland, Uruguay, Japan und Südkorea vor.
• Vorliegen geeigneter Garantien (Artikel 46 Datenschutz-Grundverordnung), insbesondere in Form von
  • verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules),
  • Standarddatenschutzklauseln oder
  • genehmigten Verhaltensregeln oder eines genehmigten Zertifizierungsmechanismus.

• Vorliegen einer Ausnahme nach Artikel 49 Datenschutz-Grundverordnung, insbesondere:
  • bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person,
  • zum Schutz lebenswichtiger Interessen der betroffenen Person,
  • bei Erforderlichkeit zur Vertragserfüllung,
  • aus wichtigen Gründen eines öffentlichen Interesses,
  • zur Verfolgung von Rechtsansprüchen oder
  • zur Wahrung zwingender berechtigter Interessen des Verantwortlichen.