Die Datenschutzkonferenz (DSK) hat mit einem Beschluss vom 31. Januar 2023 die eigene Rechtsmeinung zu bestimmten Aspekten des Drittlandtransfers klargestellt. Nach Auffassung der DSK ist die bloße Gefahr, dass eine Drittlandsmuttergesellschaft (oder eine Behörde) eines EWR-Unternehmens dieses anweisen könnte, personenbezogene Daten in ein Drittland zu übermitteln, nicht ausreichend, um eine Übermittlung im Sinne von Art. 44 ff. DSGVO anzunehmen.
Allerdings hält die DSK darüber hinaus fest, dass die vorstehend beschrieben „Gefahr“ dazu führen könnte, dass der solcher Weisungsgebundenheit unterliegende Auftragsverarbeiter als nicht hinreichend zuverlässig im Sinne von Art. 28 Abs. 1 DSGVO zu bewerten sein dürfte. Die könne nur durch Vornahme einer Einzelfallprüfung und in der Konsequenz durch die Implementation geeigneter technischer und organisatorischer Maßnahmen, die sicherstellen, dass der Auftragsverarbeiter seinen regulatorischen und vertraglichen Pflichten nachkommt, wiederhergestellt werden.
Dabei hat die DSK offenbar nicht berücksichtigt, dass gem. Art. 28 Abs. 10 DSGVO ein Auftragsverarbeiter, der datenschutzwidrig die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher gilt.