De richtlijn over de verwerking van persoonsgegevens bepaalt dat dergelijke gegevens in beginsel alleen naar een derde land mogen worden doorgegeven, wanneer het derde land in kwestie waarborgen voor een passend niveau van bescherming van die gegevens biedt. De Commissie kan, ook volgens de richtlijn, constateren dat een derde land, op grond van zijn nationale wetgeving of internationale verbintenissen, waarborgen voor een passend beschermingsniveau biedt. Tot slot bepaalt de richtlijn dat elke lidstaat een of meer autoriteiten aanwijst die worden belast met het toezicht op de toepassing op zijn grondgebied van de nationale bepalingen ter uitvoering van de richtlijn (‘nationale toezichthoudende autoriteiten’).
Maximillian Schrems, die de Oostenrijkse nationaliteit heeft, maakt sinds 2008 gebruik van Facebook. Zoals bij de andere abonnees die in de Europese Unie wonen, worden de gegevens die Schrems op Facebook aanlevert, vanuit de Ierse dochteronderneming van Facebook geheel of gedeeltelijk doorgegeven aan servers die zich op het grondgebied van de Verenigde Staten bevinden, waar zij worden verwerkt. Schrems heeft bij de Ierse toezichthouder een klacht ingediend, omdat uit de onthullingen van Edward Snowden van 2013 over de activiteiten van de inlichtingendiensten van de Verenigde Staten (met name de National Security Agency of NSA) is gebleken dat het recht en de praktijk in de Verenigde Staten onvoldoende bescherming tegen surveillance van de naar dat land doorgegeven gegevens door overheidsinstanties bieden. De Ierse autoriteit heeft de klacht afgewezen, met name op grond dat de Commissie in haar beschikking van 26 juli 2000 tot het oordeel was gekomen dat de Verenigde Staten in het kader van de zogenoemde regeling van de ‘veilige havens’ waarborgen voor een passend niveau van bescherming van de doorgegeven gegevens bieden.
De High Court of Ireland (het Iers hooggerechtshof), waarbij de zaak aanhangig werd gemaakt, wilde vernemen of deze beschikking van de Commissie tot gevolg had dat een nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en ook niet, voor zover nodig, de opschorting van de omstreden gegevensdoorgifte mocht gelasten.
In zijn arrest van 6 oktober 2015 komt het Hof tot het oordeel dat het bestaan van een beschikking van de Commissie, waarbij wordt geconstateerd dat een derde land waarborgen voor een passend niveau van bescherming van de doorgegeven persoonsgegevens biedt, de bevoegdheden van de nationale toezichthouders op grond van het Handvest van de grondrechten van de Europese Unie en de richtlijn, niet teniet kan doen of beperken. Het Hof legt in dat verband de nadruk op het door het Handvest gewaarborgde recht op bescherming van persoonsgegevens en de taak die de nationale toezichthouders op grond van dat Handvest hebben.
Ten aanzien van het beschermingsniveau stelt het Hof vast dat een regeling naar Unierecht niet beperkt is tot het strikt noodzakelijke, wanneer zij algemeen toestaat dat alle persoonsgegevens van alle personen van wie de gegevens vanuit de Europese Unie naar de Verenigde Staten worden doorgegeven, worden bewaard, zonder dat enig onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het nagestreefde doel en zonder dat wordt voorzien in objectieve criteria ter begrenzing van de toegang van de bevoegde nationale autoriteiten tot de gegevens en het latere gebruik ervan. Het Hof voegt daaraan toe dat een regeling op grond waarvan de autoriteiten veralgemeend toegang kunnen krijgen tot de inhoud van elektronische communicatie, moet worden beschouwd als een aantasting van de wezenlijke inhoud van het grondrecht op eerbiediging van het privéleven.
Ook wijst het Hof erop dat een regeling die niet in enige beroepsmogelijkheid voor de justitiabelen voorziet om toegang tot de hem betreffende persoonsgegevens te verkrijgen, of rectificatie of verwijdering van die gegevens, de wezenlijke inhoud van het grondrecht op een effectieve voorziening in rechte aantast, aangezien een dergelijke mogelijkheid inherent is aan het bestaan van een rechtsstaat.
Tot slot stelt het Hof vast dat de beschikking van de Commissie van 26 juli 2000 aan de nationale toezichthouders hun bevoegdheden ontneemt, wanneer een persoon de verenigbaarheid van de beschikking met de bescherming van het privéleven en de grondrechten en fundamentele vrijheden van personen in twijfel trekt. Het Hof is van oordeel dat de Commissie niet de bevoegdheid had om de bevoegdheden van de nationale toezichthoudende autoriteiten in te perken.
Om die redenen verklaart het Hof de beschikking van de Commissie van 26 juli 2000 ongeldig. Dit arrest heeft tot gevolg dat de Ierse toezichthouder verplicht is om de klacht van Schrems met de nodige voortvarendheid en zorgvuldigheid te onderzoeken. Het is aan de toezichthouder om aan het einde van zijn onderzoek te beslissen of de doorgifte van de gegevens van de Europese abonnees van Facebook naar de Verenigde Staten moet worden opgeschort op grond dat dit land geen waarborgen voor een passend niveau van bescherming van persoonsgegevens biedt.
