Personenbezogene Daten konnten bis Juli 2020 auf Grundlage des sog. Privacy Shield-Abkommens in die USA übermittelt werden. Mit seiner sog. „Schrems II“-Entscheidung (Urt. v. 16.07.2020 – Rechtssache C 311/18) hat der EuGH das Privacy Shield-Abkommen allerdings sodann für unwirksam erklärt, so dass für Datenübermittlungen in die USA, die zuvor auf das Privacy Shield gestützt worden waren, nunmehr andere Rechtsgrundlagen gefunden werden mussten.
Infolge der „Schrems II“-Entscheidung wurde zwischen EU und USA ein neues Datenschutzabkommen ausgehandelt. Um Bedenken auszuräumen, welche der EuGH gegen das Vorgängerabkommen hatte, wurden neue Datenschutzmechanismen eingeführt, darunter ein Gericht zur Datenschutzüberprüfung in den USA (Data Protection Review Court) sowie beschränkte Zugriffsbefugnisse für Strafverfolgungs- und Sicherheitsbehörden. Die Einführung erfolgte über eine im Oktober 2022 von US-Präsident Biden unterzeichnete Durchführungsverordnung (Executive Order).
Am 10.07.2023 hat die EU-Kommission festgestellt, dass im Hinblick auf den Transfer personenbezogener Daten an unter dem neuen EU-US-Datenschutzrahmen (EU-US Data Privacy Framework – EU-US DPF) (selbst-)zertifizierte US-Unternehmen aus ihrer Sicht ein angemessenes Datenschutzniveau besteht.
Aus den zu dem Angemessenheitsbeschluss der EU-Kommission gestellten Fragen ihrer Mitglieder hat die GDD einen FAQ-Katalog ausgearbeitet.