Maksymilian Schrems, obywatel austriacki, korzystał z Facebooka od roku 2008. Dane dostarczane przez M. Schremsa w ramach jego facebookowej aktywności były przekazywane za pośrednictwem irlandzkiej spółki córki Facebook na serwery znajdujące się w Stanach Zjednoczonych, gdzie były przetwarzane. M. Schrems uznał, że w świetle informacji ujawnionych w 2013 roku przez Edwarda Snowdena, dotyczących działalności służb wywiadowczych Stanów Zjednoczonych (w szczególności Agencji Bezpieczeństwa Narodowego ("NSA"), prawo i praktyka w Stanach Zjednoczonych nie zapewniają dostatecznej ochrony przed ingerencją władz publicznych w dane przekazywane do tego kraju. Z tych przyczyn M. Schrems wniósł skargę do irlandzkiego Komisarza Ochrony Danych, który jednak ją odrzucił, wskazując, że w decyzji z dnia 26 lipca 2000 r. Komisja Europejska uznała, że w ramach systemu "bezpiecznej przystani" (Safe Harbour), Stany Zjednoczone zapewniają odpowiedni poziom ochrony przekazywanych danych osobowych. M. Schrems odwołał się do austriackiego Sądu Najwyższego, który z kolei skierował sprawę do Trybunału Sprawiedliwości Unii Europejskiej.
Trybunał Sprawiedliwości stwierdził, że istnienie decyzji Komisji o Safe Harbour nie może eliminować lub nawet zmniejszyć dostępnych dla krajowych organów ochrony danych osobowych uprawnień wynikających z Karty Praw Podstawowych Unii Europejskiej (Karta) i Dyrektywy o Ochronie Danych Osobowych (Dyrektywa). Trybunał podkreślił gwarantowane przez Kartę prawo do ochrony danych osobowych i zadania powierzone krajowym organom ochrony danych, które muszą być w stanie zbadać, w sposób całkowicie niezależny, czy transfer danych osobowych danej osoby do państwa trzeciego jest zgodny z wymogami określonymi w Dyrektywie.
Trybunał wskazał również, że posiada kompetencję do stwierdzania czy decyzja Komisji o systemie Safe Harbour jest ważna. Trybunał uznał, że Komisja była zobowiązana do weryfikacji, czy Stany Zjednoczone w rzeczywistości zapewniają, ze względu na ich prawo krajowe lub międzynarodowe zobowiązania, poziom ochrony praw podstawowych równoważny poziomowi zagwarantowanemu w UE na mocy Dyrektywy w świetle Karty. Tymczasem Komisja nie dokonała takiej weryfikacji, a jedynie dokonała analizy schematu Safe Harbour. Trybunał zauważył, że wprawdzie amerykańskie przedsiębiorstwa mogą podlegać decyzji Safe Harbour, to już amerykańskie instytucje publiczne jej muszą stosować, a nadto wymogi bezpieczeństwa narodowego, interesu publicznego i organów ścigania Stanów Zjednoczonych przeważają nad systemem Safe Harbour. Konsekwencją takiej sytuacji jest uznanie, że prawo amerykańskie może prowadzić do wyrządzenia szkody dla podstawowego prawa do poszanowania prywatności.
Biorąc pod uwagę faktyczne pozbawienie europejskich organów ochrony danych osobowych przez decyzję Safe Harbour kompetencji do badania zgodności z Dyrektywą transferu danych osobowych do Stanów Zjednoczonych, a także zagrożenie dla prywatności Europejczyków ze strony amerykańskich organów publicznych, Trybunał uznał decyzję Safe Harbour za nieważną.
Konsekwencje orzeczenia Trybunału Sprawiedliwości są bardzo poważne, bowiem uniemożliwiają przekazywanie danych osobowych do Stanów Zjednoczonych nie tylko Facebookowi, ale wszystkim innym podmiotom, które korzystały dotychczas ze schematu Safe Harbour. W wielu przypadkach konieczne stało się uzyskanie zgody na transfer narodowych organów ochrony danych osobowych (GIODO w Polsce), jej brak będzie zaś prowadził do przekazania danych osobowych z naruszeniem prawa. Co więcej, dotyczy to również transferów danych, które były w trakcie wykonywania w dacie wydania wyroku przez Trybunał.
