Die Einwilligung ist generell erforderlich, ungeachtet des Verarbeitungsortes. Die Einwilligung erfordert wiederum eine Aufklärung, und da müssen Form der Datenverarbeitung, Zweck und eventuelle Subunternehmen genannt werden. Wo diese ihre Server/Datenverarbeitung betreiben ist dabei nur relevant, wenn durch den Kontext der Datenschutz gemäß DSGVO gefährdet ist - beispielsweise Patriot-Act/amerikanische Unternehmen.
Einzige Bedingung für nicht-EU Unternehmen ist ein benannter Ansprechpartner innerhalb der EU, sodass ein verantwortlicher Ansprechpartner zur Verfügung steht, um Rechtlich auch greifbar zu sein.
Soweit mein Wissensstand.