Unter Experten wurde die Angemessenheit des Privacy Shields schon lange in Frage gestellt. So ist es auch nicht wirklich überraschend, dass der EuGH in seinem Urteil das Schutzniveau nicht für ausreichend hält. Konkret wurde der Durchführungsbeschluss (EU) 2016/1250 der Kommission für ungültig erklärt. Eine Reaktion der Kommission bleibt abzuwarten.
Auch für die Standardvertragsklauseln hat der EuGH Rahmenbedingungen gesetzt, nämlich Aussetzung bzw. Verbot durch die Aufsichtsbehörde, wenn die Klauseln im Drittland nicht eingehalten werden (können).
Verantwortliche und Auftragsverarbeiter sind angehalten, ihre Verarbeitungen zu überprüfen und ggf. anzupassen. Insbesondere sollten all jene Verarbeitungen, die nicht wirklich genutzt werden, unterbleiben. Das betrifft insbesondere die Tracking („Analytics“) und ähnliche Dienste, die oft auf Webseiten integriert sind. Auf die Frage, wie sie im Unternehmen genutzt werden, konnten viele Webseiten-Betreiber keine Antwort geben. In diesen Fällen sind sie lediglich Datenlieferanten für den jeweiligen Anbieter.
In Sachen Standardvertragsklauseln ist – genauso wie in der Frage der Angemessenheitsbeschlüsse – auf allfällige Entscheidungen der Aufsichtsbehörde zu achten.