Der Begriff ist in der DSGVO nicht legaldefiniert. Nicht Drittland sind zunächst alle Mitgliedsstaaten der Europäischen Union, da in diesen Staaten die DSGVO (unmittelbar) geltendes Recht ist. Weiterhin haben die EWR-Staaten Liechtenstein, Norwegen und Island die DSGVO übernommen, die in diesen Staaten ab dem 20. Juli 2018 geltendes Recht ist,2) so dass es sich ebenfalls nicht (mehr) um Drittländer handelt. Alle anderen Staaten, also die Staaten, die weder EU- noch EWR-Mitglied sind, sind Drittländer.
Bei der Übermittlung von personenbezogenen Daten sind zusätzlich zu den allgemeinen Regeln die Art. 44 ff. DSGVO zu beachten. Dabei ist zunächst zu unterscheiden, ob Art. 45, 46, 47 DSGVO vorliegt oder (ausnahmsweise) gemäß Art. 49 Abs. 1 lit. a DSGVO eine Einwilligung aller betroffenen Personen.3)
Als sogenannte sichere Drittländer werden Staaten bezeichnet, für die ein sogenannter Angemessenheitsbeschluss vorliegt, also wenn gem. Art. 45 DSGVO die Kommission feststellt, dass der Staat ein angemessenes (Daten-)Schutzniveau bietet.4) Dabei kann sich der Angemessenheitsbeschluss auf ein (ganzes) „Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren in diesem Drittland“ beziehen.
Innerhalb der Reichweite eines Angemessenheitsbeschlusses wird eine Datenübermittlung faktisch wie eine Übermittlung innerhalb der EU behandelt.5)
Die Angemessenheitsbeschlüsse nach Art. 25 Abs. 6 Datenschutzrichtlinie bleiben vorläufig wirksam. Dabei handelt es sich um:6)
Auf Basis der DSGVO gibt es Angemessenheitsbeschlüsse für: