EU-U.S. Data Privacy Framework er en certificeringsordning for amerikanske virksomheder. Ordningen består af en række centrale databeskyttelsesprincipper, herunder krav om sikkerhedsforanstaltninger, som de certificerede virksomheder er forpligtede til at overholde. EU-Kommissionen har med den nye tilstrækkelighedsafgørelse vurderet, at disse principper sammen med nye retssikkerhedsgarantier for EU-registrerede i amerikansk lovgivning giver et tilstrækkeligt beskyttelsesniveau for personoplysninger overført fra EU til certificerede virksomheder i USA.
Tilstrækkelighedsafgørelsen er blevet forhandlet på plads på baggrund af EU-Domstolens Schrems II-afgørelse fra 2020, hvor Domstolen erklærede den tidligere tilstrækkelighedsafgørelse for EU-U.S. Privacy Shield ugyldig. EU-U.S. Privacy Shield var ligeledes en certificeringsordning for amerikanske virksomheder med en række centrale databeskyttelsesprincipper, som certificerede virksomheder var forpligtede til at overholde. Domstolen udtalte sig ikke om selve certificeringsordningen i afgørelsen, som primært fokuserede på manglende retssikkerhed for EU-registrerede i amerikansk lovgivning.
Europa-Kommissionen har siden Schrems II været i dialog med den amerikanske regering og relevante myndigheder med henblik på at sikre, at USA kan leve op til kriterierne for et tilstrækkeligt beskyttelsesniveau og vurderes som et sikkert tredjeland i databeskyttelsesretlig forstand. Den amerikanske regering har på den baggrund vedtaget ny lovgivning, som bl.a. fastsætter, at amerikanske efterretningstjenester kun har adgang til data i det omfang, det er nødvendigt og forholdsmæssigt. Dertil har EU-registrerede nu mulighed for at klage til en uafhængig klageinstans over amerikanske efterretningstjenesters behandling af deres personoplysninger.