Bei grenzüberschreitenden Übermittlungen personenbezogener Daten und der Einschaltung von Dienstleistern zur Verarbeitung personenbezogener Daten (siehe Auftragsdatenverarbeitung) stelle sich besondere datenschutzrechtliche Anforderungen. Die verantwortliche Stelle muss hierfür sicherstellen, dass die personenbezogenen Daten beim Datenempfänger bzw. Dienstleister adäquat geschützt sind.
Für EU- und EWG-Mitgliedsstaaten ist ein adäquates Schutzniveau durch die Datenschutzrichtlinie bzw. in Zukunft die EU-Datenschutzgrundverordnung gewährleistet. Für andere Staaten, wie z.B. Argentinien, Australien, Kanada oder Neuseeland hat die EU-Kommission das lokale Datenschutzrecht geprüft und festgestellt, dass ein adäquates Schutzniveau besteht. Diese Staaten sind sichere Drittstaaten. Datenübermittlungen in diese Staaten erfordern im Vergleich zu Datenübermittlungen in EU- oder EWG-Staaten keine weiteren Maßnahmen.
Für andere Staaten (unsichere Drittstaaten) muss die verantwortliche Stellen (vertraglich) ein angemessenes Schutzniveau bei dem Datenempfänger bzw. Dienstleister sicherstellen. Hierfür stehen insbesondere die EU-Standardvertragsklauseln zur Verfügung und für konzerninterne Übermittlungen Binding Corporate Rules. Die Möglichkeit Übermittlungen in die USA nach den Safe-Harbor-Prinzipien zu rechtfertigen ist mit der Safe Harbor Entscheidung des EuGH entfallen.