Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie bepaald in de zaak Schrems II dat het Privacy Shield onvoldoende waarborgen biedt tegen de verregaande bevoegdheden van de Amerikaanse Inlichtingendiensten.
Op grond van de AVG (die op Europese regelgeving is gebaseerd) mag een organisatie alleen persoonsgegevens doorgeven aan een partij die gevestigd is een land buiten de EU in de volgende gevallen:
de aanwezigheid van een adequaatheidsbesluit
gebruik van standaardbepalingen Europese Commissie
er bindende bedrijfsvoorschriften zijn opgesteld
bij één van de afwijkingen in artikel 49 AVG.
Het Hof bepaalde dat er geen persoonsgegevens vanuit Europa via Facebook (gevestigd in de Verenigde Staten) mogen worden doorgegeven ook al was Facebook aangesloten bij het Privacy Shield. Dit is in strijd met de privacy waar personen op basis van de AVG recht op hebben. Grote Amerikaanse partijen zijn vaak aangesloten bij het Privacy Shield (tech bedrijven, cookie leveranciers of social media bedrijven). Lang werd aangenomen dat wanneer een Amerikaanse onderneming voldeed aan het Privacy Shield een adequaat beschermingsniveau wordt geboden voor de verwerking en opslag van Europese persoonsgegevens. Het Hof oordeelde anders en verklaarde het adequaatheidsbesluit over het Privacy Shield ongeldig, hierbij wijzende op de verregaande bevoegdheden om in deze data te kunnen kijken en deze onderwerpen aan massa surveillance van de Amerikaanse autoriteiten in hun strijd tegen misdaad. Hiermee is het overigens niet onmogelijk geworden om gegevens door te geven aan organisaties in de VS maar zal er per geval beoordeeld moeten worden op welke grondslag die specifieke doorgifte gebaseerd kan worden. Het sluiten van de modelclausules (SCC) is niet zonder meer voldoende.