DSK w szczególności oceniła możliwości dostępu organów publicznych państw trzecich do danych osobowych przetwarzanych przez spółkę z siedzibą w UE/EOG zgodnie z art. 28 ogólnego rozporządzenia o ochronie danych, RODO.
Kodeks postępowania skierowany jest do podmiotów przetwarzających we wszystkich sektorach, które oferują swoje usługi na rynku niemieckim i przetwarzają dane osobowe w Niemczech.
Podstawą decyzji było powierzenie przetwarzania danych osobowych bez zawartej na piśmie umowy powierzenia oraz bez przeprowadzenia weryfikacji, czy podmiot przetwarzający zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych zgodnie z RODO.