La protezione dei dati ha uno status diverso in Europa che negli Stati Uniti. A causa del trasferimento di dati con gli Stati Uniti, l'UE ha concordato un accordo di protezione dei dati con gli Stati Uniti. Il primo si chiamava Safe Habor, il suo successore Privacy Shield.
Nell'accordo Privacy Shield, la Commissione UE ha determinato nel 2016 che considerava il livello di protezione dei dati negli Stati Uniti adeguato per il trasferimento senza ostacoli di dati personali da parte di aziende come Facebook o Google. In cambio, gli Stati Uniti hanno dato garanzie molto limitate per limitare la sorveglianza di massa degli utenti europei.
Questo ha, tra l'altro, effetti dannosi per le aziende che memorizzano i loro dati con un fornitore di cloud con sede negli Stati Uniti. Qui bisogna considerare che dall'introduzione del "Patriot Act" e del "Cloud Act", i servizi di intelligence degli Stati Uniti sono stati autorizzati ad accedere a tutti i centri dati dei fornitori statunitensi - anche ai dati e alle informazioni memorizzati solo in Europa e appartenenti solo a clienti europei. Il 16 luglio 2020, la Corte di giustizia europea ha dichiarato invalido il Privacy Shield.
Privacy Shield ha seguito Safe Harbor
Il Privacy Shield era un successore dell'accordo di protezione dei dati Safe Harbor concordato tra l'UE e gli Stati Uniti. Questo era stato rovesciato da una prima causa intentata dall'avvocato austriaco Max Schrems. L'attivista per la protezione dei dati si era rivolto all'autorità irlandese per la protezione dei dati con riferimento alle rivelazioni del 2013 del whistleblower Edward Snowden, secondo cui la filiale irlandese della società statunitense, Facebook Ireland, stava passando i suoi dati alla sede centrale della società americana - nonostante non ci fosse un'adeguata protezione di questi dati dai programmi di sorveglianza degli Stati Uniti.
Schrems era specificamente preoccupato in questo contesto con la rivelazione di Snowden che Facebook negli Stati Uniti era obbligato a dare alla NSA e all'FBI l'accesso ai dati degli utenti senza che questi avessero voce in capitolo. Infine, la più alta corte civile e penale irlandese, la High Court, ha deferito la questione alla Corte di giustizia europea, chiedendo se l'approccio adottato nell'ambito di Safe Harbor fosse compatibile con il livello europeo di protezione dei dati.
Al fine di dare alle aziende la certezza del diritto nonostante l'accordo Safe Harbor rovesciato, l'UE ha approvato lo scudo UE-USA per la privacy come regolamento di follow-up nel luglio 2016. Questo dovrebbe ormai garantire la protezione dei dati personali trasferiti da uno stato membro dell'Unione Europea agli Stati Uniti. Già nel marzo 2017, la commissaria europea alla giustizia Věra Jourová aveva minacciato di sospendere gli accordi a causa della "imprevedibilità" dell'amministrazione Trump negli Stati Uniti. Nel cosiddetto procedimento "Schrems II", anche il nuovo regolamento è stato infine abbattuto il 16 luglio 2020.