Ein Drittlandtransfer im Datenschutzrecht bezeichnet die Übermittlung personenbezogener Daten an ein Land außerhalb des Europäischen Wirtschaftsraums (EWR), in dem die europäische Datenschutzgrundverordnung (DSGVO) nicht unmittelbar gilt. Diese Übertragung bedarf in der Regel einer besonderen rechtlichen Grundlage, um den Schutz der sensiblen Daten zu gewährleisten.
Der Begriff „Drittland“ stammt aus dem Zollrecht und bezieht sich auf ein Land, das kein Mitglied der Europäischen Union (EU) oder des EWR ist. In Bezug auf die DSGVO ist ein Drittland ein Staat, der nicht den Datenschutzstandards der EU entspricht. Das bedeutet jedoch nicht automatisch, dass in diesen Ländern der Datenschutz nicht geregelt ist. Einige Drittländer haben eigenständige Datenschutzgesetze, die sich an die EU-DSGVO anlehnen oder sogar noch strengere Standards setzen.
Ein Drittlandtransfer betrifft sowohl die personenbezogenen Daten von EU-Bürgern als auch von Nicht-EU-Bürgern, sofern diese Daten innerhalb der EU erfasst wurden. Die Übermittlung kann sowohl intern (innerhalb eines Unternehmens) als auch extern (an Partnerunternehmen oder Behörden) erfolgen. Beispiele für Drittlandtransfers sind die Speicherung personenbezogener Daten auf Cloud-Servern außerhalb der EU, die Übermittlung von Kundendaten an Callcenter in Drittländern oder die Zusammenarbeit mit IT-Dienstleistern in Ländern wie Indien oder den USA.
Ein Synonym für Drittlandtransfer ist der Begriff „Export personenbezogener Daten“. Es ist jedoch zu beachten, dass dieser Begriff möglicherweise nicht präzise genug ist, da er nicht auf die besondere rechtliche Situation beim Transfer in Drittländer eingeht.
Ein ähnlicher Begriff zum Drittlandtransfer ist der „Angemessenheitsbeschluss“. Dabei handelt es sich um eine Entscheidung der Europäischen Kommission, die festlegt, ob ein Drittland ein angemessenes Schutzniveau für personenbezogene Daten garantiert. Wenn ein solcher Beschluss vorliegt, kann eine Übermittlung in das betreffende Drittland ohne weitere rechtliche Grundlage erfolgen. In anderen Fällen sind besondere Garantien (z.B. Standardvertragsklauseln) notwendig.
Zu den Abkürzungen im Zusammenhang mit Drittlandtransfers gehören SCC (Standard Contractual Clauses) und EDPB (European Data Protection Board).
Um einen Drittlandtransfer abzusichern, müssen Unternehmen die spezifischen Anforderungen der DSGVO einhalten. Dazu gehören unter anderem die Prüfung der erforderlichen Rechtsgrundlage für den Transfer, eine Risikobewertung für den Datentransfer, die Verwendung von vertraglichen Garantien und die Information der betroffenen Personen.
Insgesamt muss ein Drittlandtransfer sorgfältig geplant und durchgeführt werden, um den Schutz personenbezogener Daten zu gewährleisten. Unternehmen sollten sich daher eingehend mit den Anforderungen der DSGVO und den spezifischen Gegebenheiten des Transfers auseinandersetzen.