En svært viktig avgjørelse fra Europas øverste domstol har nettopp blitt avsagt. Den gjør overføringsmekanismen som eksisterte mellom Europa og USA, kalt EU-US Privacy Shield ugyldig. Kort sagt konkluderer domstolen med at EU-US Privacy Shield-avtalen ikke i tilstrekkelig grad ivaretar europeiske borgeres rett til personvern når deres data er blitt overført til USA i rollen som tredjeland.
For at personopplysninger skal kunne føres ut av Europa, har personvernforordningen et sett med overføringsgrunnlag, som gir et rettslig grunnlag for overføringen. Frem til nå har et av disse grunnlagene vært det såkalte EU-US Privacy Shield, som baserer seg på at Europakommisjonen har vedtatt et rammeverk som sikrer et tilstrekkelig beskyttelsesnivå ved overføring av personopplysninger fra Europa til USA. Denne kommisjonsbeslutningen har gjort det enkelt for virksomheter å basere sin overføring på dette grunnlaget, fordi amerikanske selskaper som slutter seg til avtaleverket dermed forplikter seg til å følge særlige regler for beskyttelse av personopplysninger.
Et annet overføringsgrunnlag som er relevant i denne saken er standardbestemmelser, også kjent som «EU Model Clauses». Dette er en avtale som angir hvilket vern den som mottar opplysningene skal sørge for. Signering av en slik kontrakt forplikter altså dataimportøren seg til å behandle opplysningene i samsvar med de kravene som gjelder innenfor EU og EØS-området. Dette brukes ofte som overføringsgrunnlag til andre land, eller der en amerikansk tjenestetilbyder ikke er Privacy Shield sertifisert.