Das neue Trans-Atlantic Data Privacy Framework ist nicht der erste Versuch, den Datentransfer zwischen der EU und den USA als sicher einzustufen und zu vereinfachen. Zunächst gab es ab dem Jahr 2000 die sogenannten „
Safe-Harbor-Regeln”: Sie erlaubten unter bestimmten Umständen die Weiterverarbeitung von sensiblen Daten aus der EU in den USA. Nach den Aufdeckungen des US-amerikanisch-russischen Whistleblowers Edward Snowden im Jahr 2013 reichte der österreichische Datenschutzaktivist Maximilian Schrems Klage gegen das Safe-Harbor-Abkommen ein – und bekam 2015 vom Europäischen Gerichtshof (EuGH) Recht.
Im Nachgang zu den Safe-Harbor-Regeln entwickelte die EU das sogenannte „Privacy Shield”. Die Grundlage hierfür bilden Zugeständnisse der USA: Das dortige Datenschutzniveau sollte angehoben werden, um sich für den sicheren Datentransfer aus der EU zu qualifizieren. Datenschützer:innen hatten jedoch weiterhin Zweifel und klagten erneut – wieder mit Erfolg: 2020 stellte der EuGH fest, dass europäische Daten in den USA noch immer nicht ausreichend geschützt wurden, und kippte das Privacy-Shield-Abkommen. Ebenso bei dieser Klage wirkte Maximilian Schrems maßgeblich mit. Daher wird das Urteil zur Aufhebung des Privacy Shields auch als Schrems-II-Urteil bezeichnet.
In einem dritten Anlauf haben die USA das Schutzniveau für Daten aus der EU weiter angehoben. Die Europäische Kommission zeigte sich damit einverstanden und nahm im Juli 2023 den sogenannten Angemessenheitsbeschluss zur DSGVO an. Dieser dient seitdem als Grundlage für die Übermittlung von Daten an zertifizierte Organisationen in den USA. Alternative Lösungen wie Standardvertragsklauseln (SCCs) sind nicht mehr notwendig – zumindest wenn das Abkommen Bestand hat.