Während Datenübermittlungen und Datentransfers in andere Mitgliedstaaten der Europäischen Union keinen Einschränkungen unterliegen und eine Behinderung des freien Datenverkehrs aus Gründen des Datenschutzes unzulässig ist (vgl. Art. 1 Absatz 3 Datenschutz-Grundverordnung), ist ein Transfer personenbezogener Daten in Staaten außerhalb der Europäischen Union oder des Europäischen Wirtschaftsraums (Drittländer) nur unter den Voraussetzungen des Kapitels V zulässig.
Sinn und Zweck der Regelungen für den internationalen Datentransfer und Übermittlung ist die Gewährleistung eines umfassenden Schutzes des Grundrechts auf Datenschutz (Artikel 8 der EU-Grundrechtecharta): Der innerhalb der Europäischen Union und des Europäischen Wirtschaftsraums gewährleistete hohe Datenschutzstandard soll nicht dadurch ausgehöhlt werden, dass personenbezogene Daten ohne angemessene Schutzvorkehrungen in Drittstaaten übermittelt werden können.
Für einen Drittstaatstransfer (Datenübermittlung) müssen zunächst die allgemeinen Regelungen der Datenschutz-Grundverordnung eingehalten sein (Artikel 44 Datenschutz-Grundverordnung). Insbesondere muss eine Rechtsgrundlage für die Datenübermittlung in der Datenschutz-Grundverordnung oder im nationalen Datenschutzrecht bestehen.
Zusätzlich muss für eine Datenübermittlung / Datentransfer in Drittländer, Nicht-EU-Staaten eine der nachstehenden Bedingungen erfüllt sein:
Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission nach Artikel 45 Datenschutz-Grundverordnung. Beschlüsse der Europäischen Kommission über ein angemessenes Schutzniveau liegen zum Beispiel für Argentinien, die Schweiz, Kanada, Neuseeland und Uruguay vor.
Ein solcher Angemessenheitsbeschluss ist auch der EU-US-Datenschutzschild (“Privacy Shield”) vom 12. Juli 2016. Danach können personenbezogene Daten aus der Europäischen Union an solche Organisationen in den USA übermittelt werden, die sich verbindlich zur Einhaltung der Datenschutzgrundsätze des Datenschutzschilds verpflichtet haben und auf der “Datenschutz-Liste” aufgeführt sind.
Vorliegen geeigneter Garantien (Artikel 46 Datenschutz-Grundverordnung), insbesondere in Form von verbindlichen internen Datenschutzvorschriften (Binding Corporate Rules), Standarddatenschutzklauseln oder genehmigten Verhaltensregeln oder eines genehmigten Zertifizierungsmechanismus.
Vorliegen einer Ausnahme nach Artikel 49 Datenschutz-Grundverordnung insbesondere:
- bei Vorliegen einer ausdrücklichen Einwilligung der betroffenen Person
- zum Schutz lebenswichtiger Interessen der betroffenen Person
- bei Erforderlichkeit zur Vertragserfüllung
- aus wichtigen Gründen eines öffentlichen Interesses
- zur Verfolgung von Rechtsansprüchen oder zur Wahrung zwingender berechtigter Interessen des Verantwortlichen.