M. Schrems, Austrijas pilsonis, kurš dzīvo Austrijā, ir sociālā tīkla Facebook lietotājs. Visiem šī sociālā tīkla lietotājiem, kas dzīvo Savienības teritorijā, reģistrēšanās brīdī ir jānoslēdz līgums ar Facebook Ireland, kas ir ASV reģistrētās sabiedrības Facebook Inc. meitasuzņēmums. Šo lietotāju personas dati pilnībā vai daļēji tiek nosūtīti uz Facebook Inc. piederošiem serveriem, kas atrodas ASV teritorijā, kur tos apstrādā. 2013. gada 25. jūnijā M. Schrems iesniedza DPC [Īrijas datu valsts inspekcija] sūdzību, kurā būtībā viņš lūdza, lai Facebook Ireland tiktu aizliegts nosūtīt viņa personas datus uz ASV. Sūdzībā viņš norādīja, ka šajā trešajā valstī spēkā esošās tiesības un prakse nenodrošinot pietiekamu šīs valsts teritorijā glabāto personas datu aizsardzību pret iejaukšanos, kas izriet no [trešās valsts] valsts iestāžu īstenotās uzraudzības. Šajā ziņā M. Schrems atsaucās uz Edvarda Snoudena [Edward Snowden] atklāto informāciju par ASV izlūkdienestu, it īpaši National Security Agency (Nacionālā drošības aģentūra, ASV, turpmāk tekstā – “NSA”) darbībām. Šī sūdzība tika noraidīta, pamatojoties it īpaši uz to, ka visi jautājumi par ASV nodrošinātās aizsardzības pietiekamību ir jārisina saskaņā ar “drošības zonas” lēmumu. Šajā lēmumā Komisija bija konstatējusi, ka šī trešā valsts sniedz pietiekamu to personas datu aizsardzības līmeni, kuri tiek nosūtīti to teritorijā esošiem uzņēmumiem, kas ievēro minētajā lēmumā norādītos principus. M. Schrems cēla prasību High Court (Augstā Tiesa) par lēmumu noraidīt viņa sūdzību. Šī tiesa uzskatīja, ka, lai gan M. Schrems formāli nav apstrīdējis “drošības zonas” lēmuma spēkā esamību, viņa sūdzībā tika faktiski apstrīdēts ar šo lēmumu ieviestās sistēmas tiesiskums. Šādos apstākļos minētā tiesa uzdeva Tiesai jautājumus būtībā par to, vai dalībvalstu datu aizsardzības iestādēm (turpmāk tekstā – “uzraudzības iestādes”), ja tajās ir iesniegta sūdzība par personas tiesību un brīvību aizsardzību saistībā ar to personas datu apstrādi, kuri attiecas uz šo personu un kuri ir nosūtīti uz trešo valsti, ir saistoši konstatējumi par šīs trešās valsts sniegtā aizsardzības līmeņa pietiekamību, ko Komisija veikusi saskaņā ar Direktīvas 95/46 25. panta 6. punktu, lai gan sūdzības iesniedzējs šos konstatējumus apstrīd. Pēc tam, kad sprieduma Schrems 51. un 52. punktā Tiesa nosprieda, ka lēmums par aizsardzības līmeņa pietiekamību ir saistošs uzraudzības iestādēm tik ilgi, kamēr tas nav pasludināts par spēkā neesošu, šī sprieduma 63. un 65. punktā Tiesa nosprieda: [..] Ja persona, kuras personas dati ir tikuši vai var tikt pārsūtīti uz trešo valsti, par ko Komisija saskaņā ar Direktīvas 95/46 25. panta 6. punktu ir pieņēmusi lēmumu, vēršas valsts uzraudzības iestādē ar prasību par tās tiesību un brīvību aizsardzību saistībā ar šo datu apstrādi un šīs prasības ietvaros [..] apstrīd šī lēmuma saderīgumu ar personu privātās dzīves neaizskaramības un pamatbrīvību un pamattiesību aizsardzību, šai iestādei minētā prasība ir jāizskata ar vislielāko rūpību. Tiesa minētajā spriedumā arī pārbaudīja “drošības zonas” lēmuma spēkā esamību, ņemot vērā no Direktīvas 95/46 izrietošās prasības, lasot tās kopsakarā ar Hartu. Pēc šīs pārbaudes tā atzina šo lēmumu par spēkā neesošu .
Pēc sprieduma Schrems iesniedzējtiesa atcēla lēmumu, ar kuru DPC bija noraidījis M. Schrems sūdzību, un nosūtīja to DPC pārbaudei. Pēdējais minētais uzsāka izmeklēšanu un aicināja M. Schrems pārformulēt savu sūdzību, ņemot vērā “drošības zonas” lēmuma atzīšanu par spēkā neesošu. Šajā nolūkā M. Schrems lūdza Facebook Ireland identificēt juridiskos pamatus, uz kuriem ir balstīta sociālā tīkla Facebook lietotāju personas datu nosūtīšana no Savienības uz ASV. Facebook Ireland, neidentificējot visus juridiskos pamatus, uz kuriem tas balstās, atsaucās uz nolīgumu par datu nosūtīšanu un apstrādi (data transfer processing agreement), kas noslēgts starp viņu un Facebook Inc. un kas ir piemērojams kopš 2015. gada 20. novembra, un norādīja uz Lēmumu 2010/87. Savā pārformulētajā sūdzībā M. Schrems norāda, pirmkārt, ka šajā nolīgumā ietvertās klauzulas neatbilst līguma standartklauzulām, kas ietvertas Lēmuma 2010/87 pielikumā. Otrkārt, M. Schrems apgalvo, ka līguma standartklauzulas jebkurā gadījumā nevarot būt pamats viņa personas datu nosūtīšanai uz ASV. Tas tā esot tādēļ, ka ASV tiesības uzliek Facebook Inc. pienākumu nodot savu lietotāju personas datus tādu ASV iestāžu rīcībā kā, piemēram, NSA un Federal Bureau of Investigation (Federālais izmeklēšanas birojs, ASV, turpmāk tekstā – “FBI”) uzraudzības programmu ietvaros, kas traucējot īstenot Hartas 7., 8. un 47. pantā garantētās tiesības. M. Schrems apgalvo, ka neviens tiesību aizsardzības līdzeklis neļauj datu subjektiem īstenot viņu tiesības uz privātās dzīves neaizskaramību un personas datu aizsardzību. Šādos apstākļos M. Schrems lūdz DPC apturēt šo pārsūtīšanu, piemērojot Lēmuma 2010/87 4. pantu. PC izmeklēšanas mērķis bija noteikt, pirmkārt, vai ASV nodrošina pietiekamu Savienības pilsoņu personas datu aizsardzību un, otrkārt, noliedzošas atbildes gadījumā, vai LSK lēmumi sniedz pietiekamas garantijas attiecībā uz šo pēdējo minēto pamattiesību un pamatbrīvību aizsardzību. Šajā ziņā lēmuma projektā (draft decision) DPC provizoriski uzskatīja, ka ASV tiesības nenodrošina efektīvus tiesību aizsardzības līdzekļus Hartas 47. panta izpratnē Savienības pilsoņiem, kuru dati tiek nosūtīti uz ASV, kur tos, iespējams, apstrādās ASV iestādes valsts drošības nolūkos tādā veidā, kas nav saderīgs ar Hartas 7. un 8. pantu. Garantijas, kas paredzētas LSK lēmumu pielikumā ietvertajās klauzulās, nenovēršot šo trūkumu, jo tās neesot saistošas ASV iestādēm vai aģentūrām un ar tām datu subjektiem tiekot piešķirtas tikai līgumiskas tiesības attiecībā pret datu nosūtītāju un/vai saņēmēju.
…un vēl izmetot dažus juridiskus līkločus, jautājums nonāca Eiropas Savienības tiesā.