La Corte di Giustizia Europea ha pronunciato una sentenza storica (c.d. Schrems II) che invalida il Privacy Shield, poiché non in grado di garantire un livello di protezione sufficiente ai cittadini europei i cui dati vengono trattati negli Stati Uniti, specie in relazione agli strumenti legislativi americani di sorveglianza pubblica, che risultano invece eccessivi e sproporzionati rispetto ai criteri del diritto europeo.
Le Clausole contrattuali standard rimaste valide possono essere utilizzate solo previa valutazione circa la loro effettiva capacità di garantire la protezione dei dati nel paese di destinazione.