委員会の5月14日決定は、1995年データ保護指令(95/46)第25条第6項に基づいて、アメリカ内陸安全省(Department of Homeland Security)の関税・国境保護部(Bureau of Customs and Border Protection)に飛行機乗客データを提供することを可能とした。
データ保護指令は、一定の最低データ保護基準をEU内で整備している。①目的限定の原則②データ品質の原則および相当性の原則③明瞭性の原則④安全の原則⑤到達および訂正の権利、などがその内容である。
本件で問題となる状況は、アメリカの2001年テロ事件を受けての法律によって生じた。当該法律は、航空会社に乗客のデータを報告する義務を課した。EU関係の会社は、当該データを渡す場合、データ保護指令に反する可能性がある。その問題を解決するためには、委員会とRidge内陸安全大臣と一年以上の交渉を経て、データの扱いに関する一定の限定・保証の約束を得たため、委員会は当該約束に基づいて「十分なデータ保護の水準」指定を行った。
この問題の背景についてはLenz「EUデータ保護法の域外効果」EU法の現状と発展(2001年)135-155参照。