Gesetz: Das Abkommen war eine 2010 getroffene Vereinbarung zwischen den USA und der EU, die es ermöglichte, dass personenbezogene Daten in die USA übertragen werden konnten. Hintergrund waren die Vorschriften der Artikel 25 und 26 der Europäischen Datenschutzrichtlinie, nach denen ein Datentransfer in Drittstaaten verboten ist, die über kein dem EU-Recht vergleichbares Datenschutzniveau verfügen. Genau das trifft für die USA zu. Das Gesetz sieht aber vor, dass die EU-Kommission den Datenschutz in einem Drittland für angemessen erklären kann, wenn dieses bestimmte Anforderungen erfüllt. Dazu gehörten unter anderem sieben Kriterien, zu deren Einhaltung sich in den USA tätige Unternehmen verpflichten mussten.
Regeln: Zu den sieben Prinzipien des Abkommens gehört unter anderem die Informationspflicht: die Unternehmen müssen die Betroffenen darüber unterrichten, welche Daten sie für welche Zwecke erheben und welche Rechte die Betroffenen haben. Zudem muss es für Nutzer eine Möglichkeit geben, der Weitergabe ihrer Daten zu widersprechen. Eine weitere Regel betrifft das Zugangsrecht, das auch Schrems genutzt hat: Betroffene müssen die Möglichkeit haben, die über sie gespeicherten Daten einzusehen.
Urteil: Mit seiner Entscheidung vom 6. Oktober 2016 hat der Europäische Gerichtshof das Safe-Harbour-Abkommen für ungültig erklärt. Unternehmen mussten nun überprüfen, ob sie angesichts der veränderten Rechtslage weiterhin Daten in die USA transferieren durften. Als Nachfolger von Safe Harbour wurde das so genannte Privacy Shield eingeführt. Dessen Datenschutzregeln lehnen sich in weiten Teilen an die des Vorgängers an – und liegen nach wie vor weit unter dem EU-Standard.