После принятия решения по Schrems II юристы Big Tech компаний выступали за "риск-ориентированный подход" к передаче данных. Они предложили, чтобы дополнительные гарантии, как того требует CJEU, были необходимы только в случае "существенного риска для прав и свобод субъекта данных". DSB отклонило довод Google о "подходе, основанном на риске". Чем выше риск, связанный с обработкой данных, тем выше требования к доказательствам, которые должны быть представлены для подтверждения соответствия GDPR. Такой подход содержится в ряде статей GDPR, например, ст. 35. Однако исходя из текста ст. 44 GDPR очевидно, что ее правила применяются ко всем передачам, независимо от риска. Нарушение ст. 44 GDPR уже происходит, если персональные данные передаются в третью страну без адекватного механизма защиты.