Als Drittstaaten bezeichnet man Staaten, die nicht im Geltungsbereich der EU-Datenschutzrichtlinie liegen. Dies sind alle Staaten, die nicht der Europäischen Union oder dem EWR (Europäischer Wirtschaftsraum) angehören.
Die Datenübermittlung an eine Stelle in einem Drittland ist aus datenschutzrechtlicher Sicht nur unter den Voraussetzungen der §§ 4b und 4c des BDSG zulässig. So die EU-Kommission jedoch gemäß Art.25 Abs. 6 der EU-Datenschutzrichtlinie feststellt, dass in einem Drittland ein vergleichbar hohes Datenschutzniveau herrscht (z.B. aufgrund von internen Rechtsvorschriften oder internationalen Verpflichtungen), ist die Datenübertragung auch ohne Berücksichtigung der §§ 4b und 4c BDSG zulässig, wenn die übrigen Voraussetzungen beachtet werden.
Die EU veröffentlicht eine Liste der „sicheren" Drittstaaten im Internet: http://europa.eu/comm/justice_home/fsj/privacy/third
countries /index_de.htm

22.05.2009