Die zuständige Behörde eines Mitgliedstaats darf personenbezogene Daten nur im Einzelfall in Drittstaaten übermitteln, wobei die Anforderungen der Richtlinie 95/46/EG erfüllt sein müssen. Die zuständige Behörde muss sicherstellen, dass die Übermittlung für die Zwecke dieser Verordnung erforderlich ist und der Drittstaat die Daten nicht in einen weiteren Drittstaat übermittelt, außer wenn dies ausdrücklich schriftlich genehmigt wurde und die von der zuständigen Behörde des Mitgliedstaats festgelegten Bedingungen erfüllt sind.

Die zuständige Behörde eines Mitgliedstaats legt die von einer zuständigen Aufsichtsbehörde eines anderen Mitgliedstaats übermittelten personenbezogenen Daten nur dann einer zuständigen Behörde eines Drittstaats offen, wenn sie die ausdrückliche Zustimmung der zuständigen Behörde erhalten hat, von der die Daten stammen, und die Daten gegebenenfalls nur zu den Zwecken offengelegt werden, für die die zuständige Behörde ihre Zustimmung erteilt hat.

Sieht eine Kooperationsvereinbarung den Austausch personenbezogener Daten vor, so sind die nationalen Rechts- und Verwaltungsvorschriften zur Umsetzung der Richtlinie 95/46/EG einzuhalten.