Eine Datenübermittlung in ein Drittland darf nur erfolgen, wenn das Drittland ein geeignetes Datenschutzniveau vorweisen kann. Angemessen ist das Datenschutzniveau im Drittland wenn die Vorschriften zum Datenschutz und der Datensicherheit denen der EU gleichen. Die Gesetze und Verordnungen müssen dabei nicht identisch mit denen aus der EU sein, aber gleichwertig.
Grundsätzlich kann die Sicherstellung eines angemessenen Datenschutzniveaus auf unterschiedliche Weise festgehalten werden. Einmal kann das angemessene Datenschutzniveau durch einen Angemessenheitsbeschluss der Europäischen Kommission herbeigeführt werden oder durch Garantien in Form von Binding Coporate Rules, Standarddatenschutzklauseln sowie von seiten der Aufsichtsbehörde genehmigten Verhaltensregeln, Zertifizierungsmechanismen oder durch individuelle Vertragsklauseln erfolgen. Auf der anderen Seite kann in Einzelfällen unter den Voraussetzungen der in der DSGVO abschließend aufgezählten Ausnahmen das angemessene Datenschutzniveau umgangen oder kurzzeitig positiv festgestellt werden.
Die EU-Kommission sieht in einigen Drittländer ein angemessenes Datenschutzniveau. In diese Länder darf auf zweiter Stufe eine Datenübermittlung erfolgen, sofern man für die Übermittlung eine entsprechende Rechtsgrundlage vorweisen kann.
Die DSGVO ist Verordnung des Europäischen Parlaments und des Rates, die die Regeln zur Verarbeitung personenbezogener Daten durch nicht-öffentliche und öffentliche Stellen EU-weit im Zeitalter der Digitalisierung vereinheitlicht. Die DSGVO gilt somit zwingend für alle Länder, die der EU angehören. Nicht EU-Mitgliedsstaaten sind sogenannte Drittländer und somit nicht an die DSGVO gebunden. Ebenfalls gelten alle Länder als Drittländer, die nicht zum Europäischen Wirtschaftsraum (EWR) gehören. Bei einer Datenübermittlung muss aus diesem Grund unterschieden werden, ob es sich beim Empfänger um ein Drittland handelt oder nicht.
Der Begriff Datenschutz ist in Art. 8 Grundrechtecharta verankert und kann anhand dieser Gesetzesnorm, die im Übrigen für alle Mitgliedstaaten bindendes Recht ist, genauer definiert werden. Im Duden wird der Datenschutz als "Schutz der Bürger:innen vor unbefugter Erhebung, Speicherung und Weitergabe von Daten, die ihre Person betreffen" beschrieben. Diese Thematik ist vor allem im digitalen Kontext relevant und präsent. Durch das stetige Weiterentwickeln von Technologien nimmt auch die Erhebung, Verarbeitung und Weitergabe von Daten zu. Die Datenschutz-Grundverordnung, kurz DSGVO, dient zur Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten innerhalb der EU. Hier werden unter anderem verschiedene Rechte der Betroffenen geregelt, wie beispielsweise das Recht auf Auskunft, sowie Grundsätze festgelegt, welche einen datenschutzkonformen Umgang mit den erhobenen Daten sicherstellen. Um Daten rechtmäßig zu verarbeiten und dem Datenschutz gerecht zu werden, bedarf es einer Rechtsgrundlage gemäß DSGVO, sowie einer Einwilligungserklärung des Betroffenen oder der Betroffenen.