Στην ουσία της, η υπόθεση αυτή αφορά μια σύγκρουση νόμων μεταξύ των νόμων περί επιτήρησης των ΗΠΑ, οι οποίοι απαιτούν επιτήρηση, και των νόμων της ΕΕ για την προστασία δεδομένων που απαιτούν ιδιωτικότητα.
Από το 2013, η υπόθεση αυτή σχετικά με τη μαζική παρακολούθηση των ΗΠΑ και τις εταιρείες της ΕΕ που εμπλέκονται σε αυτήν εκκρεμεί. Έχει εκδικαστεί δύο φορές ενώπιον του Ανώτατου Δικαστηρίου της Ιρλανδίας και του Δικαστηρίου των Ευρωπαϊκών Κοινοτήτων (ΔΕΕ), ενώ έχει μάλιστα επισκεφθεί για λίγο το Ανώτατο Δικαστήριο της Ιρλανδίας. Η ιστορία αυτής της υπόθεσης είναι μοναδική από πολλές απόψεις.
Φόντο
Στην ουσία της, η υπόθεση αυτή αφορά μια σύγκρουση νόμων μεταξύ των νόμων περί επιτήρησης των ΗΠΑ, οι οποίοι απαιτούν επιτήρηση, και των νόμων της ΕΕ για την προστασία δεδομένων που απαιτούν ιδιωτικότητα.
Πρόβλημα: Νόμοι περί επιτήρησης των ΗΠΑ
Το 2013, ο Έντουαρντ Σνόουντεν αποκάλυψε δημόσια ότι οι υπηρεσίες πληροφοριών των ΗΠΑ έχουν πρόσβαση στα προσωπικά δεδομένα των Ευρωπαίων χρηστών με τη βοήθεια προγραμμάτων επιτήρησης όπως το PRISM. Αυτή η πρόσβαση διευκολύνθηκε από έναν νόμο των ΗΠΑ που δεν είναι γνωστό ότι χρησιμοποιείται για να επιτρέψει μια τόσο ευρεία επιτήρηση, ο οποίος ονομάζεται 50 USC §1881a (ή FISA 702). Ο FISA 702 ψηφίστηκε το 2008 και επέκτεινε ουσιαστικά τις επιλογές επιτήρησης και πρόσβασης σε δεδομένα για τις αρχές των ΗΠΑ. Ταυτόχρονα με αυτή την επέκταση, όλο και περισσότερα προσωπικά δεδομένα συλλέγονταν από παρόχους υπηρεσιών ηλεκτρονικών επικοινωνιών των ΗΠΑ (όπως η Apple, η Microsoft, το Facebook, η Google και η Yahoo). Σε συνδυασμό, αυτό οδήγησε σε έναν ολοένα και πιο επιζήμιο αντίκτυπο στην ιδιωτικότητα των Ευρωπαίων χρηστών.
Σύμφωνα με τον νόμο FISA 702, οι «πάροχοι υπηρεσιών ηλεκτρονικών επικοινωνιών» των ΗΠΑ (όπως ορίζονται στο άρθρο 50 USC §1881(4) ) μπορούν να αναγκαστούν να δώσουν στις αρχές ασφαλείας των ΗΠΑ πρόσβαση στα προσωπικά δεδομένα «μη Αμερικανών προσώπων», τα οποία ορίζονται ως όποιος δεν είναι πολίτης των ΗΠΑ ή μόνιμος κάτοικος των ΗΠΑ. Οι εντολές επιτήρησης βάσει αυτού του νόμου δεν απαιτείται να αφορούν συγκεκριμένα έναν συγκεκριμένο στόχο, αλλά επιτρέπουν ένα ολοκληρωμένο πρόγραμμα επιτήρησης όπως το PRISM ή το Upstream. Δεν υπάρχει εξατομικευμένη δικαστική έγκριση για μη Αμερικανούς. Ο νόμος FISA 702 επιτρέπει επίσης την επιτήρηση για μάλλον ευρείς σκοπούς, όπως «πληροφορίες που... σχετίζονται με... τη διεξαγωγή των εξωτερικών υποθέσεων των Ηνωμένων Πολιτειών» ( βλ. άρθρο 50 USC §1801(e) ).
Υπάρχουν επίσης εξουσίες επιτήρησης των ΗΠΑ που βασίζονται στην «εγγενή εξουσία του προέδρου των ΗΠΑ» και ορίζονται περαιτέρω σε εκτελεστικό διάταγμα ( EO 12.333 ), ενώ άλλα στοιχεία περιγράφονται στην Οδηγία Προεδρικής Πολιτικής 28 ( PPD-28 ). Και οι δύο είναι εσωτερικές εντολές εντός της εκτελεστικής εξουσίας που δεν δημιουργούν καθήκοντα ή δικαιώματα για ιδιωτικές οντότητες, αλλά επιτρέπουν την επιτήρηση μη Αμερικανών προσώπων.
Τα έγγραφα που αποκάλυψε ο Έντουαρντ Σνόουντεν απαριθμούσαν μια σειρά από αμερικανικές εταιρείες που παρέχουν δεδομένα στην κυβέρνηση των ΗΠΑ για προγράμματα παρακολούθησης όπως το PRISM ή το Upstream βάσει αυτών των διατάξεων, συμπεριλαμβανομένων των Apple, Microsoft, Facebook, Google και Yahoo.
Αντίδραση: Ο ΓΚΠΔ περιορίζει τις μεταφορές δεδομένων
Οι ευρωπαϊκοί νόμοι περί απορρήτου (προηγουμένως η Οδηγία 95/46 και τώρα ο ΓΚΠΔ) βασίζονται στην έννοια της ελεύθερης ροής των προσωπικών δεδομένων, αλλά μόνο εντός μιας σφαίρας που προστατεύει το απόρρητο των χρηστών. Εάν τα προσωπικά δεδομένα προστατεύονταν μόνο εντός της Ευρωπαϊκής Ένωσης, αλλά μπορούσαν να μεταφερθούν εκτός της δικαιοδοσίας της ΕΕ χωρίς περιορισμούς, το υψηλό επίπεδο προστασίας των προσωπικών δεδομένων που είναι απαραίτητο εντός της ΕΕ θα μπορούσε εύκολα να υπονομευθεί.
Ωστόσο, το δίκαιο της ΕΕ ανέκαθεν προέβλεπε ταυτόχρονα εξαιρέσεις από αυτήν την αρχή περιορισμού των μεταφορών, όπως όταν τα προσωπικά δεδομένα πρέπει απαραίτητα να μεταφερθούν (π.χ. κατά την κράτηση μιας υπηρεσίας στο εξωτερικό ή κατά την αποστολή ενός email) ή όταν ένας χρήστης συναινεί ελεύθερα σε μια μεταφορά. Αυτές οι παρεκκλίσεις για μη δομικές μεταφορές κωδικοποιούνται επί του παρόντος στο άρθρο 49 του ΓΚΠΔ .
Επιπλέον, το δίκαιο της ΕΕ αναγνωρίζει ότι ενδέχεται να υπάρχουν περιπτώσεις όπου εταιρείες εκτός ΕΕ παρέχουν ισοδύναμο επίπεδο προστασίας για τα προσωπικά δεδομένα. Σε ορισμένες χώρες, το εθνικό δίκαιο είναι παρόμοιο με το δίκαιο της ΕΕ (π.χ. Ελβετία, Ισραήλ, Καναδάς ή Ιαπωνία), και σε άλλες χώρες οι εταιρείες μπορούν να δεσμευτούν οικειοθελώς να τηρούν τις αρχές της ΕΕ υπογράφοντας ρυθμίσεις αστικού δικαίου, όπως Τυποποιημένες Συμβατικές Ρήτρες (ΤΣΡ), Δεσμευτικούς Εταιρικούς Κανόνες ή την Ασπίδα Προστασίας Προσωπικών Δεδομένων ΕΕ-ΗΠΑ. Αυτές οι τελευταίες νομικές βάσεις βρίσκονται στα άρθρα 46 έως 48 του ΓΚΠΔ και χρησιμοποιούνται σε μεγάλο βαθμό για καταστάσεις που περιγράφονται καλύτερα ως «εξωτερική ανάθεση» της επεξεργασίας προσωπικών δεδομένων από εταιρείες σε χώρες εκτός ΕΕ.
Καθώς οι ΗΠΑ δεν διαθέτουν γενικό ή ομοσπονδιακό νόμο περί απορρήτου, οι αμερικανικές εταιρείες πρέπει να βασίζονται σε μία από αυτές τις συμβατικές επιλογές των άρθρων 46 έως 48 του ΓΚΠΔ για την εξωτερική ανάθεση. Ωστόσο, για εταιρείες που εμπίπτουν στους νόμους επιτήρησης των ΗΠΑ, η χρήση αυτών των συμβατικών επιλογών είναι... αδύνατος στην πράξη, καθώς η νομοθεσία των ΗΠΑ τους υποχρεώνει να παραβιάζουν τις υποχρεώσεις τους βάσει της νομοθεσίας της ΕΕ. Αυτό το πρόβλημα βρίσκεται στον πυρήνα όλων των υποθέσεων μεταξύ του κ. Schrems, του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC) και του Facebook, καθώς το Facebook σαφώς εμπίπτει στους νόμους περί επιτήρησης των ΗΠΑ και συμμετείχε σε προγράμματα όπως το PRISM, ενώ αντιφατικά υπέγραψε ΤΣΠ, το Safe Harbor και τώρα την Ασπίδα Προστασίας Δεδομένων (η απόφαση για τις μεταφορές δεδομένων ΕΕ-ΗΠΑ που αντικαθιστά το Safe Harbor).
Πρώτη παραπομπή στο ΔΕΕ την περίοδο 2013-2015 («Ασφαλές Λιμάνι»)
Διαδικασία ενώπιον του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC)
Μετά τις αποκαλύψεις του Σνόουντεν, ο κ. Σρεμς (τότε Αυστριακός φοιτητής νομικής) υπέβαλε καταγγελία κατά της Facebook Ireland Ltd ενώπιον του Ιρλανδού Επιτρόπου Προστασίας Δεδομένων (DPC). Στην καταγγελία υποστηρίχθηκε ότι, βάσει της Απόφασης Ασφαλούς Λιμένα ΕΕ-ΗΠΑ 2000/520/ΕΚ (μια εκτελεστική απόφαση που ελήφθη από την Ευρωπαϊκή Επιτροπή το 2000), τα προσωπικά δεδομένα του κ. Σρεμς δεν θα έπρεπε να αποστέλλονται από την Facebook Ireland Ltd (που εξυπηρετεί χρήστες του Facebook εκτός ΗΠΑ και Καναδά) στην Facebook Inc. (τη μητρική εταιρεία των ΗΠΑ), δεδομένου ότι το Facebook πρέπει να παρέχει στην Υπηρεσία Εθνικής Ασφαλείας των ΗΠΑ πρόσβαση σε αυτά τα δεδομένα.
Η ιρλανδική Επιτροπή Προστασίας Δεδομένων (ΕΠΔ) απέρριψε την καταγγελία του κ. Schrems ως «επιπόλαιη και κακόβουλη», υποστηρίζοντας ότι το Facebook βασίστηκε στην Απόφαση Ασφαλούς Λιμένα για την εκτέλεση των μεταφορών δεδομένων του προς τις ΗΠΑ. Κατά την άποψη της Επιτροπής Προστασίας Δεδομένων (ΕΠΔ), η Ευρωπαϊκή Επιτροπή είχε αποδεχτεί ότι η νομοθεσία των ΗΠΑ είναι επαρκής στην απόφαση του 2000 (8 χρόνια πριν από την ψήφιση του 50 USC § 1881a) και ότι η ΕΠΔ δεσμεύτηκε απόλυτα από την απόφαση της Επιτροπής.
Δικαστική αναθεώρηση κατά του DPC
Τον Οκτώβριο του 2013, ο κ. Schrems υπέβαλε αίτηση δικαστικής αναθεώρησης της απόφασης του DPC, υποστηρίζοντας ότι το DPC θα μπορούσε να χρησιμοποιήσει μια «ρήτρα έκτακτης ανάγκης» στην απόφαση Safe Harbor για να αναστείλει τη μεταφορά δεδομένων και ότι, σε κάθε περίπτωση, η Απόφαση Safe Harbor ήταν άκυρη. Σε απόφαση της 18.6.2014 [2014] IEHC 310, το Ιρλανδικό Ανώτατο Δικαστήριο ανέστειλε τη διαδικασία και παρέπεμψε την υπόθεση στο Δικαστήριο της Ευρωπαϊκής Ένωσης (ΔΕΕ). Το Ιρλανδικό Ανώτατο Δικαστήριο συμφώνησε σε μεγάλο βαθμό με το γεγονός ότι υπάρχει «μαζική παρακολούθηση» βάσει του αμερικανικού δικαίου, αλλά έκρινε ότι δεν μπορούσε να λάβει τελική απόφαση για την υπόθεση του κ. Schrems χωρίς να καθορίσει πρώτα την εγκυρότητα της Απόφασης Safe Harbor. Σύμφωνα με το δίκαιο της ΕΕ, μόνο το ΔΕΕ μπορεί να λάβει αποφάσεις σχετικά με την εγκυρότητα πράξεων της ΕΕ, όπως η Απόφαση Safe Harbor, πράγμα που σήμαινε ότι το Ιρλανδικό Ανώτατο Δικαστήριο έπρεπε να παραπέμψει την υπόθεση στο ΔΕΕ.
Απόφαση του ΔΕΕ της 6ης Οκτωβρίου 2015 (C-362/14)
Σε μια πρωτοποριακή απόφαση (C-362/14 Schrems ), το ΔΕΕ κήρυξε την απόφαση Safe Harbor άκυρη, ακολουθώντας σε μεγάλο βαθμό τα επιχειρήματα του κ. Schrems. Το Δικαστήριο έκρινε ότι μια τρίτη χώρα όπως οι ΗΠΑ πρέπει να παρέχει ένα « ουσιαστικά ισοδύναμο » επίπεδο προστασίας με αυτό που παρέχεται από το δίκαιο της ΕΕ και ότι « η νομοθεσία που επιτρέπει στις δημόσιες αρχές να έχουν πρόσβαση σε γενικευμένη βάση » παραβίαζε την ουσία του θεμελιώδους δικαιώματος της ΕΕ στην ιδιωτικότητα βάσει του άρθρου 7 του Χάρτη των Θεμελιωδών Δικαιωμάτων της ΕΕ (ΧΘΔ). Ομοίως, η έλλειψη οποιασδήποτε ένδικης προστασίας στις ΗΠΑ για άτομα εκτός ΗΠΑ παραβιάζει το θεμελιώδες δικαίωμα σε δικαστική προσφυγή βάσει του άρθρου 47 του ΧΘΔ.
Μετά την απόφαση του ΔΕΕ, το Ιρλανδικό Ανώτατο Δικαστήριο περάτωσε τη διαδικασία στα ιρλανδικά δικαστήρια, καθώς το Εποπτικό Δικαστήριο δεσμεύτηκε να εφαρμόσει ταχέως την απόφαση του ΔΕΕ.
Δεύτερη παραπομπή στο ΔΕΕ το 2015-20 (Τυπικοί Όροι Συναλλαγών και Ασπίδα Προστασίας Προσωπικών Δεδομένων)
Πληροφορίες ότι το Facebook βασίστηκε πραγματικά στα SCC
Προς μεγάλη έκπληξη του κ. Schrems, τον Νοέμβριο του 2015, η Επιτροπή Προστασίας Δεδομένων (ΕΠΔ) τον ενημέρωσε ότι η απόφαση του ΔΕΕ σχετικά με την απόφαση για το Safe Harbor ήταν άσχετη με την αρχική του καταγγελία, επειδή το Facebook στην πραγματικότητα βασιζόταν πάντα στις λεγόμενες «Τυποποιημένες Συμβατικές Ρήτρες» (ΤΣΡ) για να πραγματοποιεί τις μεταφορές δεδομένων. Η Επιτροπή Προστασίας Δεδομένων δεν είχε αποκαλύψει αυτές τις πληροφορίες στον κ. Schrems, γεγονός που τον οδήγησε στο συμπέρασμα ότι το Facebook είχε βασιστεί στο Safe Harbor, παρά το γεγονός ότι είχε λάβει αυτές τις πληροφορίες από το Facebook ήδη σε απάντηση μέσω email στην καταγγελία το 2013.
Συνεπώς, ο κ. Schrems αναδιατύπωσε την καταγγελία του ώστε να περιλαμβάνει πλέον τους Τερματικούς Κανονισμούς (ΤΚΚ) και οποιαδήποτε άλλη νομική βάση για τις μεταφορές δεδομένων στις οποίες θα μπορούσε να βασιστεί το Facebook, και υπέβαλε στην Επιτροπή Προστασίας Δεδομένων (ΕΠΔ) ενημερωμένη καταγγελία την 1η Δεκεμβρίου 2015. Ο κ. Schrems υποστήριξε ότι η ΕΠΔ θα πρέπει να χρησιμοποιήσει το Άρθρο 4 της Απόφασης ΤΚΚ για την αναστολή των μεταφορών, καθώς το Άρθρο 4 επιτρέπει στην ΕΠΔ να αναστείλει τις μεταφορές δεδομένων εάν παραβιάζονται τα θεμελιώδη δικαιώματα των χρηστών.
Αγωγή από το DPC κατά του Facebook και του κ. Schrems
Αντί να αποφασίσει γρήγορα για την υπόθεση, η Επιτροπή Προστασίας Δεδομένων (ΕΠΔ) υπέβαλε απροσδόκητα αγωγή κατά της Facebook Ireland Ltd και του κ. Schrems λίγο μετά την έναρξη της «έρευνάς» της για την αναδιατυπωμένη καταγγελία που αφορούσε τα δύο μέρη. Κατά την άποψη της Επιτροπής Προστασίας Δεδομένων (ΕΠΔ), τα δύο μέρη ήταν οι «φυσικοί εναγόμενοι» σε αυτήν την υπόθεση και η ΕΠΔ αναγκάστηκε να ζητήσει από το Ανώτατο Δικαστήριο να εκδώσει νέα παραπομπή στο Δικαστήριο της ΕΕ. Ο κ. Schrems αμφισβήτησε την υπόθεση, υποστηρίζοντας ότι η ΕΠΔ μπορεί να παραπέμψει στο ΔΕΕ μόνο για δεύτερη φορά αφού διερευνηθούν όλα τα γεγονότα και τα ζητήματα.
Αρκετά μέρη έχουν υποβάλει αίτηση να συμμετάσχουν στην υπόθεση ως amicus (ουδέτεροι βοηθοί του δικαστηρίου). Η κυβέρνηση των ΗΠΑ, το EPIC.org και δύο ομάδες συμφερόντων του κλάδου συμμετείχαν σε αυτήν.
Στην αγωγή, η DPC υποστήριξε ότι όχι μόνο θα συμφωνούσε με τις απόψεις του κ. Schrems στις ανησυχίες του σχετικά με τον νόμο περί επιτήρησης των ΗΠΑ, αλλά, πέρα από αυτό, είχε επίσης σοβαρές ανησυχίες σχετικά με την εγκυρότητα των SCC που χρησιμοποιεί το Facebook. Η DPC έκρινε ότι οι SCC δεν προβλέπουν νόμιμο μηχανισμό για τη μεταφορά δεδομένων, εάν μια τρίτη χώρα όπως οι ΗΠΑ έχει θεσπίσει νόμους που έρχονται σε αντίθεση με τους SCC. Το Facebook και ο κ. Schrems δεν εξέφρασαν καμία αντίρρηση για τους ίδιους τους SCC και συμφώνησαν ότι σε μια τέτοια περίπτωση το Άρθρο 4 της Απόφασης (ΕΕ) 2010/87 για τους SCC θα επέτρεπε την εξεύρεση λύσης.
Σε αντίθεση με τον κ. Schrems και την Επιτροπή Προστασίας Προσωπικών Δεδομένων (ΕΠΔ), το Facebook δεν είδε κανένα πρόβλημα με τους νόμους περί επιτήρησης των ΗΠΑ και υποστήριξε την άποψη ότι η ΕΕ δεν έχει δικαιοδοσία σε θέματα «εθνικής ασφάλειας». Το Facebook βασίστηκε επίσης στην Απόφαση Ασπίδας Προστασίας Προσωπικών Δεδομένων (ΕΕ) 2016/1250 της Ευρωπαϊκής Επιτροπής, η οποία αντικατέστησε την ακυρωμένη απόφαση Ασφαλούς Λιμένα. Στην απόφαση αυτή, η Ευρωπαϊκή Επιτροπή διαπίστωσε ότι δεν υπάρχει σύγκρουση μεταξύ των νόμων περί επιτήρησης των ΗΠΑ και των θεμελιωδών δικαιωμάτων της ΕΕ. Σύμφωνα με το Facebook, αυτό το εύρημα στην απόφαση Ασπίδα Προστασίας Προσωπικών Δεδομένων πρέπει να ισχύει και για τις διαβιβάσεις βάσει των ΤΣΚ. Ο κ. Schrems υποστήριξε την άποψη ότι η ίδια η απόφαση Ασπίδα Προστασίας Προσωπικών Δεδομένων είναι άκυρη, καθώς ουσιαστικά διαστρεβλώνει τους νόμους περί επιτήρησης των ΗΠΑ και, ως εκ τούτου, δεν αποτελεί εξουσία ερμηνείας των ΤΣΚ.
Μετά από αρκετά διαδικαστικά βήματα και περισσότερες από πέντε εβδομάδες ακροάσεων με τη συμμετοχή πολλαπλών εμπειρογνωμόνων μαρτύρων σχετικά με τη νομοθεσία των ΗΠΑ περί επιτήρησης, το Ιρλανδικό Ανώτατο Δικαστήριο αναγνώρισε την ύπαρξη προγραμμάτων μαζικής επιτήρησης της κυβέρνησης των ΗΠΑ. Σε απόφαση της 3ης Οκτωβρίου 2017 [2017] IEHC 545 , το Ιρλανδικό Ανώτατο Δικαστήριο συνόψισε όλα τα πραγματικά ευρήματα, επισημαίνοντας ότι οι ΗΠΑ διενεργούν «μαζική επεξεργασία» προσωπικών δεδομένων, για παράδειγμα όταν φιλτράρουν ολόκληρη την διαδικτυακή κίνηση που ρέει μέσω τμημάτων του διαδικτυακού κορμού. Στις 13 Απριλίου 2018, παρέπεμψε έντεκα ερμηνευτικά ερωτήματα στο ΔΕΕ για απόφαση. Τα ερωτήματα συντάχθηκαν σε μεγάλο βαθμό από τον Επόπτη Προστασίας Δεδομένων (ΕΠΔ).
Μετά την παραπομπή, το Facebook υπέβαλε αίτηση στο Ανώτατο Δικαστήριο της Ιρλανδίας σε μια προσπάθεια να σταματήσει την παραπομπή από το Ανώτατο Δικαστήριο, αλλά η έφεση τελικά απορρίφθηκε στις 31 Μαΐου 2019 .
Διαδικασία ενώπιον του ΔΕΕ (C-311/18)
Στις 30 Αυγούστου 2018, τα μέρη έπρεπε να υποβάλουν τις γραπτές παρατηρήσεις τους.
Στις 19 Ιουλίου 2019, το ΔΕΕ εξέτασε την υπόθεση ενώπιον του Τμήματος Ευρείας Σύνθεσης (της μεγαλύτερης σύνθεσης του Δικαστηρίου, με 15 δικαστές) , ακούγοντας τα τρία μέρη, τους τέσσερις amicus , την Ευρωπαϊκή Επιτροπή, το Ευρωπαϊκό Κοινοβούλιο, το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) και έναν μεγάλο αριθμό κυβερνήσεων κρατών μελών της ΕΕ. Οι ερωτήσεις των δικαστών επικεντρώθηκαν ιδιαίτερα σε ζητήματα που αφορούν τους νόμους περί επιτήρησης των ΗΠΑ και την εγκυρότητα της απόφασης για την Ασπίδα Προστασίας Προσωπικών Δεδομένων.
Στις 19 Δεκεμβρίου 2019, ο Γενικός Εισαγγελέας (ΓΕ) του Δικαστηρίου εξέδωσε τη μη δεσμευτική συμβουλευτική του γνώμη επί της υπόθεσης, συντασσόμενος σε μεγάλο βαθμό με τη θέση του κ. Schrems. Σύμφωνα με τη γνώμη, οι νόμοι περί επιτήρησης των ΗΠΑ είναι ασυμβίβαστοι με τα θεμελιώδη δικαιώματα της ΕΕ, αλλά η λύση στο ασυμβίβαστο έγκειται στην εντολή του Επόπτη Προστασίας Δεδομένων (ΕΠΔ) να ανασταλούν οι μεταφορές δεδομένων βάσει του άρθρου 4 της απόφασης ΤΣΔ. Ενώ ο ΓΕ επέκρινε ρητά την απόφαση για την Ασπίδα Προστασίας Προσωπικών Δεδομένων, έκρινε ότι το ζήτημα της εγκυρότητάς της δεν αποτελεί αναπόσπαστο μέρος της υπόθεσης.
Στις 16 Ιουλίου 2020, το Δικαστήριο εξέδωσε την απόφασή του «Schrems II», στην οποία συμμεριζόταν πλήρως τη θέση του καταγγέλλοντος, ακυρώνοντας την απόφαση «Ασπίδα Προστασίας Προσωπικών Δεδομένων», απαιτώντας από την Εποπτεύουσα Αρχή Προστασίας Δεδομένων (ΕΠΔ) να σταματήσει τις μεταφορές δεδομένων και κρίνοντας ότι οι νόμοι περί επιτήρησης των ΗΠΑ παραβιάζουν τα άρθρα 7 (δικαίωμα στην ιδιωτικότητα), 8 (δικαίωμα στην προστασία των δεδομένων) και 47 (δικαίωμα προσφυγής) του Ευρωπαϊκού Χάρτη Θεμελιωδών Δικαιωμάτων.