Mit der DS-GVO neu hinzugekommen ist gemäß Art. 46 Abs. 2 lit. e DS-GVO die Möglichkeit, Datenübermittlungen auf Grundlage von branchenspezifischen Verhaltensregeln gemäß Art. 40 DS-GVO zu legitimieren, sofern diese mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters versehen sind und von der zuständigen Aufsichtsbehörde genehmigt worden sind. 

Auch Zertifizierungen nach Art. 42 DS-GVO können nun gemäß Art. 46 Abs. 2 lit. f DS-GVO zusammen mit rechtsverbindlichen und durchsetzbaren Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters als rechtliche Grundlage für einen Datentransfer in ein Drittland herangezogen werden, wenn die Zertifizierungsmechanismen zuvor genehmigt worden sind. 

Die europäischen Aufsichtsbehörden werden in der Folgezeit die für eine praktische Anwendung dieser Instrumente notwendigen weiteren Einzelheiten im Hinblick auf rechtliche Rahmenbedingungen und Verfahrensfragen erarbeiten. 

Ebenso können gemäß Art. 46 Abs. 3 DS-GVO einzeln ausgehandelte individuelle Vertragsklauseln eine Datenübermittlung in ein Drittland legitimieren, allerdings nur nach Genehmigung der Aufsichtsbehörde und Durchführung des Kohärenzverfahrens nach Art. 63 DS-GVO.