Der Auftragsverarbeiter ist verpflichtet, hinreichend Garantien zu bieten, die sicherstellen, dass geeignete technische und organisatorische Maßnahmen ergriffen wurden. Was als Garantie gelten kann, lässt der Gesetzgeber offen. Zumindest sollen genehmigte Verhaltensregeln oder genehmigte Zertifizierungsverfahren als Nachweis ausreichen. Zur Zeit sind weder Verhaltensregeln noch Zertifizierungsverfahren im Sinne der DS-GVO genehmigt.
Neben diesen vom Gesetzgeber genannten Verfahren sieht Bertermann in Ehmann/Selmayer „Datenschutz-Grundverordnung“ 1. Auflage 2017 Art. 28 Rn. 10 auch fremd- und eigen Prüfungen als hinreichende Garantie gemäß Art. 28 Abs. 1 DS-GVO.