Trybunał wskazał, że Komisja Europejska, która zaaprobowała Safe Harbor w 2000 roku, wychodziła z założenia, iż Stany Zjednoczone gwarantują właściwą ochronę przekazywanych im danych osobowych. Jak podkreśla agencja dpa, po informacjach o programach masowej inwigilacji przekazanych przez b. współpracownika amerykańskiej Agencji Bezpieczeństwa Narodowego (NSA) Edwarda Snowdena "Europejczycy patrzą na to inaczej". Orzeczenie Trybunału ma daleko idące konsekwencje dla amerykańskich koncernów internetowych, którym trudniej będzie teraz przekazywać dane Europejczyków do USA. Dotyczy to m.in takich firm jak Facebook i Google. Umowa Safe Harbor, zawarta między Komisją Europejską a resortem handlu USA, pozwala ponad 4 tys. amerykańskich firm na przetwarzanie danych handlowych i osobowych ich klientów w Europie. Safe Harbor jest porozumieniem, do którego amerykańskie firmy przystępują dobrowolnie, zobowiązując się do przestrzegania zasad postępowania z danymi. Ale wiele osób, zwłaszcza w Parlamencie Europejskim, przekonuje, że ten kod postępowania nie jest do końca przestrzegany i należałoby go wzmocnić twardszymi regulacjami. Debata nad ochroną danych europejskich użytkowników przez znane firmy internetowe z centralami w USA dotarła w marcu do unijnego Trybunału Sprawiedliwości za sprawą 27-letniego Austriaka Maxa Schremsa. Schrems zażądał od Facebooka wszystkich danych, które ten portal społecznościowy zgromadził na jego temat. Zorientował się, że Facebook przechowuje także te dane, które on sam skasował. Dowiedział się też, że portal przekazuje te dane do USA. Ponieważ europejska siedziba Facebooka znajduje się w Irlandii, Schrems poskarżył się na Facebooka w tamtejszym urzędzie odpowiadającym za ochronę danych. Nie zgadzał się z tym, że Facebook przesyła do USA dane swych europejskich użytkowników i tam je analizuje. Schrems twierdził, że Safe Harbor jest praktycznie poza kontrolą, a Amerykanie nie trzymają się postanowień tego porozumienia. Wskazywał, że Snowden ujawnił m.in. program Prism, zapewniający NSA dostęp do danych użytkowników Facebooka, Google'a, Yahoo, poczty elektronicznej Microsoftu (Hotmail), Skype'a, Apple'a. Firmy te zaprzeczały, jakoby dostęp do danych był możliwy bez decyzji sądu. Schrems argumentował jednak, że programy inwigilacyjne są sprzeczne z prawami podstawowymi zagwarantowanymi w Unii Europejskiej. Zwracał uwagę, że Safe Harbor nie zapewnia żadnej ochrony przed masową inwigilacją. Irlandzki urząd zajmujący się ochroną danych oddalił skargę Austriaka. Powołano się m.in. na stanowisko Komisji Europejskiej z 2000 roku, uznające, że ochrona danych w USA jest wystarczająca. Irlandzki Sąd Najwyższy zwrócił się do unijnego Trybunału Sprawiedliwości o orzeczenie, czy tamtejszy urząd ochrony danych może się powoływać na owo stanowisko KE, czy też powinien był przeprowadzić własne śledztwo. We wtorkowym orzeczeniu Trybunał wskazał, że firmy amerykańskie są zobowiązane do odstąpienia - bez ograniczeń - od stosowania zasad ochrony prywatności określonych w Safe Harbor, jeśli zasady te stoją w USA w sprzeczności z wymogami bezpieczeństwa narodowego, interesu publicznego i przestrzegania prawa. W komunikacie prasowym wydanym po ogłoszeniu orzeczenia Trybunał zwrócił uwagę, że Safe Harbor ma zastosowanie wyłącznie do przedsiębiorstw amerykańskich, które do tego porozumienia przystąpiły i że nie podlegają mu organy publiczne USA. W ocenie Trybunału "możliwa jest ingerencja amerykańskich organów publicznych w prawa podstawowe osób", przy czym w decyzji Komisji Europejskiej z 2000 roku "nie wskazano ani na istnienie w USA przepisów mających na celu ograniczenie tych możliwych ingerencji ani na istnienie skutecznej ochrony prawnej przed tymi ingerencjami". Unieważniając Safe Harbor, Trybunał podkreślił, że irlandzki urząd ochrony danych ma obowiązek zbadania skargi Schremsa i zdecydowania, czy należy zawiesić transferowanie przez Facebooka danych do USA, ponieważ kraj ten nie zapewnia "adekwatnego poziomu ochrony danych osobowych".