Op 6 oktober 2014 heeft het Hof van de Justitie van de Europese Unie de US Safe Harbour beschikking van de Commissie ongeldig verklaard (Case C-362/14, Maximillian Schrems v Data Protection Commissioner). Dit omdat − onder meer − de beschikking voorzag in vergaande uitzonderingen op de bescherming van de persoonsgegevens in het belang van nationale veiligheid, publiek belang en rechtshandhaving, en omdat daarnaast de Commissie niet daadwerkelijk heeft beoordeeld of er wel een passend beschermingsniveau in de Verenigde Staten werd gewaarborgd.
Vanuit de Europese Unie mogen persoonsgegevens worden doorgegeven naar landen buiten de Europese Unie, zolang deze landen een passend beschermingsniveau voor deze persoonsgegevens waarborgen.
Als de Commissie heeft vastgesteld dat een bepaald land een passend beschermingsniveau heeft, dan mogen organisaties in beginsel persoonsgegevens doorgeven naar dat land. Zo heeft de Commissie vastgesteld dat de Verenigde Staten een passend beschermingsniveau bieden, voor zover de organisatie die daar de persoonsgegevens ontvangt, Safe Harbour gecertificeerd is (2000/520/EG, US Safe Harbour beschikking). Dit betekent dat de organisatie zelf heeft vastgesteld dat zij aan bepaalde voorwaarden voldoet (zgn. zelfcertificering).
Van belang is dat er nog andere manieren zijn waarop persoonsgegevens rechtmatig naar landen buiten de EU kunnen worden doorgegeven. Bijvoorbeeld door bepaalde clausules in een overeenkomst tussen de gegevens exporterende en importerende partijen op te nemen (zgn. standard contractual clauses). Of door ondubbelzinnige toestemming te vragen voor de gegevensdoorgifte, etc.
De ongeldigverklaring betekent dat de doorgifte van persoonsgegevens naar de Verenigde Staten niet rechtmatig is, althans voor zover de doorgifte is gebaseerd op de US Safe Harbour beschikking en niet op een andere wijze is gelegitimeerd. In dat geval moeten organisaties een andere manier vinden om persoonsgegevens rechtmatig te kunnen blijven doorgeven naar de VS.