Als Drittländer bzw. Drittstaaten werden sämtliche Länder definiert, die außerhalb des Europäischen Wirtschaftsraums (EWR) liegen. Primär umfasst der EWR natürlich alle Mitgliedsstaaten der Europäischen Union. Zusätzlich gehören Island, Liechtenstein und Norwegen dem EWR an, obwohl sie nicht zur Europäischen Union gehören und nicht als Drittländer gelten. Hingegen werden alle anderen Länder weltweit als Drittländer betrachtet, da sie nicht Teil des EWR sind. Die DSGVO hat keine unmittelbare Geltung in Drittländer. Bestimmte Voraussetzungen müssen vorliegen, um den Datentransfer in solche Länder zu ermöglichen und DSGVO Anforderungen nachzugehen.
In der DSGVO wird von „sichere Drittländer“ gesprochen. Dies sind Länder, für die eine sichere Weitergabe von Daten festgestellt wurde. Die Feststellung erfolgt nach Art. 45 der DSGVO in einem Angemessenheitsbeschluss, bei dem das Drittland ein angemessenes Schutzniveau für Daten gewährleistet und nachweist. Zum Zeitpunkt dieses Beitrags (07.09.2023) gehören zu den sicheren Drittstaaten: Andorra, Argentinien, Kanada (nur kommerzielle Organisationen), Färöer, Guernsey, Israel, Isle of Man, Jersey, Neuseeland, Schweiz, Uruguay, Japan, das Vereinigte Königreich und Südkorea.