Schrems zażądał od Facebooka wszystkich danych, które ten portal społecznościowy zgromadził na jego temat. Zorientował się, że Facebook przechowuje także te dane, które on sam skasował. Dowiedział się też, że portal przekazuje te dane do USA.
Ponieważ europejska siedziba Facebooka znajduje się w Irlandii, Schrems poskarżył się na Facebooka w tamtejszym urzędzie odpowiadającym za ochronę danych. Nie zgadzał się z tym, że Facebook przesyła do USA dane swych europejskich użytkowników i tam je analizuje.
Irlandzki urząd oddalił skargę Austriaka. Powołano się m.in. na stanowisko Komisji Europejskiej z 2000 roku, uznające, że ochrona danych w USA jest wystarczająca.
Irlandzki Sąd Najwyższy zwrócił się do unijnego Trybunału Sprawiedliwości (ETS) o orzeczenie, czy tamtejszy urząd ochrony danych może się powoływać na owo stanowisko KE, czy też powinien był przeprowadzić własne śledztwo.
6 października ETS uznał, że dane europejskich internautów nie są w USA dostatecznie zabezpieczone przed dostępem do nich tamtejszych władz i orzekł nieważność umowy Safe Harbor między Unią Europejską a Stanami Zjednoczonymi.
Celem umowy Safe Harbor, zawartej między Komisją Europejską a resortem handlu USA, było umożliwienie amerykańskim firmom przetwarzanie danych handlowych i osobowych ich klientów w Europie. Safe Harbor jest porozumieniem, do którego amerykańskie firmy przystępowały dobrowolnie, zobowiązując się do przestrzegania zasad postępowania z danymi.
Trybunał wskazał jednak, że firmy amerykańskie są zobowiązane do odstąpienia - bez ograniczeń - od stosowania zasad ochrony prywatności określonych w Safe Harbor, jeśli zasady te stoją w USA w sprzeczności z wymogami bezpieczeństwa narodowego, interesu publicznego i przestrzegania prawa.
W ocenie Trybunału "możliwa jest ingerencja amerykańskich organów publicznych w prawa podstawowe osób", przy czym w decyzji Komisji Europejskiej z 2000 roku "nie wskazano ani na istnienie w USA przepisów mających na celu ograniczenie tych możliwych ingerencji ani na istnienie skutecznej ochrony prawnej przed tymi ingerencjami".
Unieważniając Safe Harbor Trybunał podkreślił, że irlandzki urząd ochrony danych ma obowiązek zbadania skargi Schremsa i zdecydowania, czy należy zawiesić transferowanie przez Facebooka danych do USA, ponieważ kraj ten nie zapewnia "adekwatnego poziomu ochrony danych osobowych".
Urzędy ochrony danych w UE do końca stycznia wstrzymają się ze stosowaniem sankcji za przesyłanie danych w ramach Safe Harbor. Jest to wyjściem naprzeciw Stanom Zjednoczonym, które wnioskowały o dodatkowy czas dla swoich firm na dostosowanie się do orzeczenia ETS. Poszukiwane są rozwiązania, które pozwolą na przesyłanie danych osobowych z poszanowaniem podstawowych praw.
