Für Behörden, welche personenbezogene Daten an Drittländer übermitteln, ist diese Frage der Sicherheitsvorkehrungen im Drittland von hoher Wichtigkeit. Anhand drei Länder; China, Indien und Russland wird erläutert, inwiefern Regierungen auf die Daten von Betroffenen zugreifen können.
Verantwortliche, welche für die Datenverarbeitung zuständig sind, dürfen personenbezogene Daten nur dann an Drittländer übermitteln, wenn geeignete Sicherheitsvorkehrungen getroffen wurden und durchsetzbare Rechte, sowie wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen. Die Prüfung, ob diese Garantien bestehen und eingehalten werden können, liegt primär in der Verantwortung der Datenexporteure und Datenimporteure.
Die Aufsichtsbehörden werden eine Schlüsselrolle spielen, wenn sie weitere Entscheidungen über Übermittlungen in Drittländer treffen. Vorliegend wird die Gesetzgebung und Praxis in China, Indien und Russland über den Zugang ihrer Regierungen zu personenbezogenen Daten veranschaulicht.
Die Volksrepublik China ist weder ein demokratischer, liberaler Staat, noch ein Rechtsstaat. Somit ist die Volksrepublik China nicht in der Lage, den Menschen einen Schutz personenbezogener Daten zu gewährleisten, welcher mit demjenigen Schutz in der EU gleichwertig ist. Die Analyse der Verfassung der Volksrepublik China, sowie der Sekundärgesetze zeigt, dass kein wesentlicher Schutz personenbezogener Daten vor einem Zugriff durch die Regierung besteht. Gemäss Artikel 50 der Verfassung dürfen die Rechte der Bürger den Interessen des Staates und der Gesellschaft nicht entgegenstehen. Aus der Erörterung des Gesetzes zum Schutz persönlicher Daten (PIPL), welches das erste umfassende Gesetz des Landes zum Schutz personenbezogener Daten ist (in Kraft seit 1. November 2021), lässt sich erschliessen, dass der staatliche Zugriff auf personenbezogene Daten nicht eingeschränkt ist. Mehrere sekundäre Gesetze, welche die nationale Sicherheit und die öffentliche Ordnung betreffen, sehen Ausnahmen von den Rechtsvorschriften zum Schutz der Privatsphäre vor. Die Möglichkeiten der Regierung der Volksrepublik China, mit den Daten der Bevölkerung umzugehen, werden durch die Gesetze nicht wesentlich eingeschränkt. Die gesamte Grundlage des chinesischen Datenschutzrechts geht davon aus, dass die Stabilität der Gemeinschaft Vorrang vor den Bedürfnissen des Einzelnen haben sollte.
In Indien wurde das Recht auf Privatsphäre zwar kürzlich vom Obersten Gerichtshof anerkannt, jedoch sind Datenschutzrechte stark limitiert. In Indien wird das Konzept der „nationalen Sicherheit“ vage und weit gefasst und oft als Grund benutzt, um auf alle, im indischen Hoheitsgebiet gespeicherten, personenbezogenen Daten, einschliesslich personenbezogener Daten von Personen aus der EU, zugreifen zu können. Obwohl der indische Oberste Gerichtshof in seinem Puttaswamy-Urteil das verfassungsmässige Recht auf Privatsphäre als Teil einer „demokratischen und rechtsstaatlichen Ordnung“ bestätigt hat, sind die Rechte der Betroffenen stark eingeschränkt, ebenso wie der Zugang zu einem Rechtsbehelf im Falle eines Verstosses durch die Regierung.
Seit März 2020 analysiert das indische Parlament ein Gesetzentwurf zum Gesetz über den Schutz personenbezogener Daten (PDP Bill), welches vom Ministerium für Elektronik und Informationstechnologie eingebracht wurde. Dieser enthält Anforderungen an die Benachrichtigung und die vorherige Zustimmung zur Verwendung individueller Daten, Einschränkungen der Zwecke, für welche die Unternehmen die Daten verarbeiten dürfen, sowie Beschränkungen, um sicherzustellen, dass nur Daten erhoben werden, die für die Erbringung einer Dienstleistung für die betreffende Person erforderlich sind. Jedoch sind auch im Gesetzesentwurf weitreichende Ausnahmen vom Datenschutz im Zusammenhang mit dem Zugang von Behörden enthalten.
Es ist festzustellen, dass die russische Datenzugangsregelung über keine spezifischen und transparenten Kriterien verfügt. Auch hier bestehen Ausnahmen vom Datenschutz für den staatlichen Zugriff auf personenbezogene Daten. Die nationale Sicherheit und die Terrorismusbekämpfung schränken die Rechte der Betroffenen ein. Sowohl an Transparenz als auch an richterlicher Unabhängigkeit mangelt es in Russland, so dass Nachrichtendienste und die Spionageabwehr praktisch uneingeschränkt auf die personenbezogenen Daten der Menschen zugreifen kann. Zwar erscheint der Rechtsrahmen in Russland umfassend, jedoch weist die Durchsetzung und Anwendung der Rechtsvorschriften des Datenschutzes Schwächen auf. Steht die nationale Sicherheit auf dem Spiel, wird das Recht auf Privatsphäre stark eingeschränkt.
Es kann festgehalten werden, dass in den genannten Drittländern geeignete Sicherheitsvorkehrungen für personenbezogene Daten entweder gänzlich fehlen oder nicht konkret umgesetzt werden. Zu viele Ausnahmen schmälern den Datenschutz und der staatliche Zugriff auf personenbezogene Daten ist weit verbreitet. Das Niveau der Datenschutzrechte von Drittländern unterliegt demjenigen, welches in der EU herrscht.