Auch in Ländern, die nicht zur EU gehören, spielt die EU-Datenschutz-Grundverordnung eine Rolle, wenn Daten von Personen betroffen sind, die sich in der EU befinden. Das bedeutet, dass man die Vorschriften (Art. 28 DSGVO) grundsätzlich auch bei Auftragsverarbeitern in Ländern, die nicht zur EU gehören, anwenden muss. Bei der Auswahl der Auftragsverarbeiter sollte man darauf achten, dass das betreffende Land über vergleichbare Bestimmungen zum Datenschutz verfügt wie die EU.
Im "Schrems I Urteil" (EuGH, Urteil v. 6.10.2015, C-362/14) erklärte der EuGH die EU-US Safe Harbor Entscheidung, die den Datenverkehr zwischen der EU und den USA regeln sollte, für ungültig, da die Massenüberwachung in den USA gegen europäische Grundrechte verstieß.
Am 12.7.2016 hat die Europäische Kommission das Abkommen EU-US-Datenschutzschild (EU-US Privacy Shield) angenommen. Mit dem "Schrems II Urteil" (EuGH, Urteil v. 16.7.2020, C-311/18) erklärte der EuGH den EU-US Privacy Shield für ungültig und stellte Anforderungen an Standarddatenschutzklauseln und andere Übermittlungsmechanismen für Drittländer auf. Der EuGH mit seinem am 16. Juli verkündeten Urteil erklärte der EuGH den Privacy Shield-Beschluss 2016/1250 für ebenfalls ungültig, mit folgender Begründung:
Die von der Kommission im Privacy-Shield-Beschluss 2016/1250 bewerteten Einschränkungen des Schutzes personenbezogener Daten sind den Vorschriften der EU nicht gleichwertig. Der Beschluss räumte der nationalen Sicherheit, dem öffentlichen Interesse und der Einhaltung des amerikanischen Rechts, Vorrang ein und hätte die Überwachungsprogramme der US-Geheimdienste nicht auf das für die Einhaltung der DSGVO zwingend erforderliche Maß beschränkt. Der Gerichtshof stellte fest, dass die amerikanischen Vorschriften den betroffenen Personen keine Rechte verleihen, die gegenüber den amerikanischen Behörden gerichtlich durchgesetzt werden können. Der vereinbarte Ombudsmechanismus hätte keinen Rechtsweg geboten, um die Gleichwertigkeit des Datenschutzes zu den europäischen Vorschriften durchzusetzen.
Der EuGH hat aber am Schluss des Urteils klar festgelegt, welches Recht nun anwendbar ist. Zu der Frage, ob die Wirkungen dieses Beschlusses aufrechtzuerhalten sind, um die Entstehung eines rechtlichen Vakuums zu vermeiden, sei festzustellen, dass durch die Feststellung, dass das US-Datenschutzniveau nicht dem der DSGVO entspricht, also einer Nichtigerklärung eines Angemessenheitsbeschlusses, kein rechtliches Vakuum entstehen kann (Art. 49 DSGVO).
Der Europäische Datenschutzausschuss (EDSA) hat sich am 23.7.2020 auf Antworten zu den wichtigsten Fragen zu den Konsequenzen aus dem Schrems II – Urteil des Europäischen Gerichtshofs zum Datentransfer in Länder außerhalb der EU geeinigt. Zu beachten ist, dass Standardvertragsklauseln weiterhin eine mögliche Grundlage für den Datentransfer sind. Eine Übermittlung von Daten in die USA kann allerdings nur dann über Standardvertragsklauseln begründet werden, wenn zusätzliche Maßnahmen getroffen werden, die das gleiche Datenschutzniveau wie in der Europäischen Union gewährleisten. Dabei müssen die Umstände der Datentransfers von Fall zu Fall betrachtet werden. Das gilt auch für die Übermittlung in andere Länder.
Wenn die Datenverarbeitung von Unternehmen und Behörden über einen externen Dienstleister läuft, muss man seine Verträge mit den Dienstleistern prüfen, besonders, wenn nicht sicher ist, ob Daten in ein Drittland gesendet werden.