Mit dem neuen Angemessenheitsbeschluss können ab sofort personenbezogene Daten aus dem Geltungsbereich der EU in den USA verarbeitet werden, ohne, dass nach aktuellem Sachstand weitere Übermittlungsinstrumente oder zusätzliche Maßnahmen (z.B. Standardvertragsklauseln) erforderlich sind.

Dies gilt jedoch nur, sofern die Organisation, an die sie übermittelt werden, auch unter dem EU-U.S. Data Privacy Framework beim U.S. Department of Commerce zertifiziert ist.

Das U.S. Department of Commerce veröffentlicht hierzu eine entsprechende Liste, anhand welcher überprüft werden kann, ob die betreffende Organisation zertifiziert ist.

Unternehmen, die nicht gelistet sind, können das EU-US-Data-Privacy-Framework nicht nutzen, auch wenn dies eventuell in Verträgen anderslautend zugesagt wird.

Dies müssen Unternehmen in der EU vorab prüfen. Im Falle einer Auftragsverarbeitung sollte die Prüfung ebenso für Unterauftragnehmer vorgenommen werden.