Befasst man sich jedoch näher mit den in der Praxis auftauchenden Konstellationen, gelangt man schnell zu dem Punkt, dass damit – jedenfalls nicht direkt – alle Anwendungsfälle abgedeckt sind.
Die Datenübermittlung eines Auftragsverarbeiters in einem Drittland an einen Unterauftragsverarbeiter in demselben oder in einem anderen Drittland muss – unabhängig vom Vorliegen eines Angemessenheitsbeschlusses nach Art. 45 DSGVO – davon gesondert betrachtet werden.
Hierzu stellt Art. 44 S. 1 Hs. 2 DSGVO umfassende Vorgaben auf, wenn es dort heißt, dass jede Weiterübermittlung von personenbezogenen Daten aus einem Drittland oder innerhalb des Drittlandes (vgl. dazu EG 101 zur DSGVO) nur zulässig ist, wenn die Bestimmungen der DSGVO eingehalten werden.
Diese Vorgabe kann man so interpretieren, dass zwar die Geschäftspartner im Drittland nicht zwingend allen Vorgaben der DSGVO unterliegen. Der Verantwortliche, der in der EU sitzt und damit der DSGVO unterliegt, jedoch auch für diese Weiterübermittlung die Verantwortung trägt. Das klingt auch bereits in Art. 28 Abs. 1 und Abs. 4 DSGVO an, wo die Daten den europäischen Raum noch nicht verlassen.