Beim Datentransfer in ein Land außerhalb der EU und des EWR ist zwischen zwei verschiedenen Arten von Ländern zu unterscheiden:

1. Länder, die von der Europäischen Kommission als sicher eingestuft wurden
2. Länder, die über ein aus europäischer Sicht unzureichendes Datenschutzniveau verfügen.

Im Fall 2 bedarf es entweder eines Ausnahmetatbestandes (z.B. einer Einwilligung des Betroffenen) oder einer sogenannten Garantie. Eine mögliche Garantie ist z.B. der Abschluss sogenannter EU-Standardstandardvertragsklauseln: ein von der EU-Kommission vorformulierter Vertrag, mit dem sich der Importeur der Daten auf die Einhaltung europäischen Datenschutzrechts verpflichtet. Nicht immer kann jedoch davon ausgegangen werden, dass das, was im Vertrag vereinbart wird realistischrweise auch umgesetzt werden kann, etwa wenn nationale Sicherheitsvorschriften der Einhaltung des Vertragsinhalts zuwider laufen. In solchen Fällen müssen zusätzliche Schutzmaßnahmen ergriffen werden, z.B. die Verschlüssselung der Daten vor dem Versand.

Gemäß Art. 45 (1) DSGVO kann "[e]ine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation [...] vorgenommen werden, wenn die Kommission beschlossen hat, dass das betreffende Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland oder die betreffende internationale Organisation ein angemessenes Schutzniveau bietet. Eine solche Datenübermittlung bedarf keiner besonderen Genehmigung." Die Kommission hat bisher eine sogenannte "Angemessenheitsentscheidung" in Bezug auf die folgenden Länder getroffen: Andorra, Argentinien, Kanada (beschränkt auf kommerzielle Organisationen), Färöer Inseln, Guernsey, Israel, Isle of Man, Japan, Jersey, Neuseeland, Schweiz, Uruguay und das Vereinigte Königreich. Datenübermittlungen in solche Länder werden genauso behandelt wie Übermittlungen innerhalb der EU / des EWR.

Dagegen erfordern Übermittlungen in so genannte unsichere Drittstaaten - Länder, die aus Sicht der EU-Kommission keinen angemessenen Datenschutz bieten - regelmäßig eine besondere Schutzmaßnahme, um eine konforme Verarbeitung zu gewährleisten.

Zu den möglichen in Art. 46 (2) DSGVO aufgeführten Garantien für Datenübermittlungen in unsichere Länder gehören die sogenannten "Standard-Datenschutzklauseln", die von der Europäischen Kommission verabschiedet wurden. Die Klauseln enthalten zwingende Regeln, die teilweise individuell auf die vier möglichen Transferkonstellationen zugeschnitten sind: EU-Verantwortlicher zu Non-EU-Verantwortlicher, EU-Verantwortlicher zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Auftragsverarbeiter, EU-Auftragsverarbeiter zu Non-EU-Verantwortlicher. So muss beispielsweise das Modul für die Konstellation EU-Auftragsverarbeiter an Nicht-EU-Auftragsverarbeiter gewählt werden, wenn die Services eines US-amerikanischen IT-Dienstleisters in Anspruch genommen werden sollen, sofern dieser im Rahmen der Dienstleistungserbringung auf personenbezogenen Daten des für die Verarbeitung Verantwortlichen zugreifen kann.

Eine geeignete Alternative zu den Standarddatenschutzklauseln bei Datenübermittlungen zwischen Unternehmen derselben Unternehmensgruppe sind die sogenannten "Binding Corporate Rules", für die Art. 47 (2) DSGVO grundlegende inhaltliche Anforderungen enthält.

Weder die Standard-Datenschutzklauseln noch die Binding Corporate Rules müssen umgesetzt werden, wenn eine Ausnahmeregelung nach Art. 49 (1) DSGVO greift. Wichtige Beispiele für solche Ausnahmen sind die ausdrückliche Einwilligung der betroffenen Person in die Übermittlung (Art. 49 (1) (a) DSGVO) und die Erforderlichkeit der Übermittlung "für die Erfüllung eines Vertrags zwischen der betroffenen Person und dem Verantwortlichen oder zur Durchführung von vorvertraglichen Maßnahmen auf Antrag der betroffenen Person" (Art. 49 (1) (b) DSGVO).

Je nach der Garantie bzw. der Ausnahme, auf die der Datentransfer gestützt wird, bedarf es der Umsetzung unterschiedlicher Maßnahmen. So steht bei den Standardvertragsklauseln der Abschluss der entsprechenden Module im Zentrum (und ggf. die Umsetzung zusätzlicher Schutzmaßnahmen).