Weil der Schutz der Freiheitsrechte und besonders des Rechts auf informationelle Selbstbestimmung weltweit sehr unterschiedlich ausgeprägt ist, sollen Menschen vor Nachteilen geschützt werden, die sie durch eine Datenübermittlung in Staaten außerhalb der Europäischen Union erleiden könnten. Deshalb müssen dabei nicht nur die allgemeinen Voraussetzungen für eine zulässige Datenübermittlung eingehalten werden, sondern es muss in einer zweiten Stufe grundsätzlich auch das Datenschutzniveau im Empfängerstaat betrachtet werden. Wir geben Ihnen hier eine Übersicht, was vor einer solcher Datenübermittlung geprüft und sichergestellt werden muss.

Eine Datenübermittlung in Drittländer ohne angemessenes Datenschutzniveau ist zulässig, sofern der Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DS-GVO). 

Wohl am häufigsten werden die Standarddatenschutzklauseln verwendet, die die Europäische Kommission erlassen hat.

Von Unternehmensgruppen werden manchmal verbindliche interne Datenschutzvorschriften (BCR) genutzt.

Bei allen Garantien nach Art. 46 DS-GVO müssen Datenexporteure zusätzliche Prüfungen anstellen und bei Bedarf zusätzliche Maßnahmen treffen.