Beim Datentransfer in ein Land außerhalb der EU und des EWR ist zwischen zwei verschiedenen Arten von Ländern zu unterscheiden:

1. Länder, die von der Europäischen Kommission als sicher eingestuft werden
2. Länder, die über ein aus europäischer Sicht unzureichendes Datenschutzniveau verfügen.

Im Fall 2 bedarf es für einen rechtmäßigen Datentransfer in ein solches Drittland entweder eines Ausnahmetatbestandes (z.B. einer Einwilligung des Betroffenen) oder einer sogenannten Garantie. Eine mögliche Garantie ist z.B. der Abschluss sogenannter EU-Standardstandardvertragsklauseln: ein von der EU-Kommission vorformulierter Vertrag, mit dem sich der Importeur der Daten auf die Einhaltung europäischen Datenschutzrechts verpflichtet. Nicht immer kann jedoch davon ausgegangen werden, dass das, was in diesem Vertrag vereinbart wird realistischerweise auch umgesetzt wird, etwa wenn nationale Sicherheitsvorschriften (etwa in einem Land wie China oder den USA) der Einhaltung des Vertragsinhalts zuwider laufen. In solchen Fällen müssen zusätzliche Schutzmaßnahmen ergriffen werden, z.B. die Verschlüssselung der Daten vor dem Versand.

Gemäß Art. 45 (1) DSGVO kann "[e]ine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation [...] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung." Die Kommission hat eine solche "Angemessenheitsentscheidung" bisher in Bezug auf die folgenden Länder getroffen: Andorra, Argentinien, Kanada (beschränkt auf kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay, das Vereinigte Königreich und die USA (für Unternehmen, die am sogenannten EU-US Privacy Framework teilnehmen). Datenübermittlungen in solche Länder werden genauso behandelt wie Übermittlungen innerhalb der EU / des EWR.

Dagegen erfordern Übermittlungen in sogenannte unsichere Drittstaaten - Länder, die aus Sicht der EU-Kommission keinen angemessenen Datenschutz bieten - regelmäßig eine besondere Schutzmaßnahme, um eine konforme Verarbeitung zu gewährleisten.

Zu den möglichen in Art. 46 (2) DSGVO aufgeführten Garantien für Datenübermittlungen in unsichere Länder gehören die sogenannten "Standard-Datenschutzklauseln", die von der Europäischen Kommission verabschiedet wurden. Die Klauseln enthalten zwingende Regeln, die teilweise individuell auf die vier möglichen Transferkonstellationen zugeschnitten sind: EU-Verantwortlicher zu Non-EU-Verantwortlicher, EU-Verantwortlicher zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Verantwortlicher. So muss beispielsweise das Modul für die Konstellation EU-Auftragsverarbeiter an Nicht-EU-Auftragsverarbeiter gewählt werden, wenn die Services eines indischen IT-Dienstleisters in Anspruch genommen werden sollen, sofern dieser im Rahmen der Dienstleistungserbringung auf personenbezogenen Daten des europäischen Unternehmens zugreifen kann.

Eine geeignete Alternative zu den Standarddatenschutzklauseln bei Datenübermittlungen zwischen Unternehmen derselben Unternehmensgruppe sind die sogenannten "Binding Corporate Rules", für die Art. 47 (2) DSGVO grundlegende inhaltliche Anforderungen enthält.

Weder die Standard-Datenschutzklauseln noch die Binding Corporate Rules müssen umgesetzt werden, wenn eine Ausnahmeregelung nach Art. 49 (1) DSGVO greift. Wichtige Beispiele für solche Ausnahmen sind die ausdrückliche Einwilligung der betroffenen Person in die Übermittlung (Art. 49 (1) (a) DSGVO) und die Erforderlichkeit der Übermittlung "für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person" (Art. 49 (1) (b) DSGVO).

Je nach der Garantie bzw. der Ausnahme, auf die der Datentransfer gestützt wird, bedarf es der Umsetzung unterschiedlicher Maßnahmen. So steht bei den Standardvertragsklauseln der Abschluss der entsprechenden Module im Zentrum (und ggf. die Umsetzung zusätzlicher Schutzmaßnahmen).