Die zuständigen Behörden eines Mitgliedstaats dürfen personenbezogene Daten nur im Einzelfall an Drittstaaten übermitteln, wobei die Anforderungen der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ( 14 ) erfüllt sein müssen. Die zuständigen Behörden müssen sicherstellen, dass eine solche Übermittlung für die Zwecke dieser Verordnung erforderlich ist und der Drittstaat die Daten nicht in einen weiteren Drittstaat übermittelt, außer wenn dies ausdrücklich schriftlich genehmigt wurde und die von der zuständigen Behörde des Mitgliedstaats festgelegten Bedingungen erfüllt sind.

Die zuständigen Behörden eines Mitgliedstaats legen die von einer zuständigen Aufsichtsbehörde eines anderen Mitgliedstaats übermittelten personenbezogenen Daten nur dann einer zuständigen Behörde eines Drittstaats offen, wenn sie die ausdrückliche Zustimmung der zuständigen Behörde erhalten hat, von der die Daten stammen, und die Daten gegebenenfalls nur zu den Zwecken offengelegt werden, für die die zuständige Behörde ihre Zustimmung erteilt hat.