Schrems I war ein Fall, der bis vor den Europäischen Gerichtshof gelangte. Der nach Max Schrems benannte Fall basierte auf der Behauptung, dass US-Unternehmen im Zusammenhang mit dem von Edward Snowden aufgedeckten NSA-Programm PRISM nicht in der Lage seien, einen angemessenen Schutz personenbezogener Daten zu gewährleisten. Daher wurde entschieden, dass gemäß der europäischen Datenschutzrichtlinie die Übermittlung personenbezogener Daten zwischen der EU und den USA nicht rechtmäßig sei. Dies führte zur Ungültigkeit des Safe-Harbor-Abkommens und hatte schwerwiegende Auswirkungen auf die Tätigkeit mehrerer Unternehmen.
Schrems I ist der Oberbegriff für ein datenschutzrechtliches Gerichtsverfahren vor dem EuGH. Er ist nach Max Schrems benannt, einem österreichischen Aktivisten, der eine Klage gegen Facebook einreichte und argumentierte, dass das Unternehmen keine angemessenen Maßnahmen zum Schutz seiner personenbezogenen Daten gewährleisten könne, da diese von der EU in die Vereinigten Staaten übermittelt würden.
Der Fall begann 2013 in Irland, dem Hauptsitz von Facebook in Europa, mit einer Beschwerde beim irischen Datenschutzbeauftragten. Der Fall wurde ausgeweitet und landete 2015 vor dem EuGH, da Max Schrems mit der Antwort, die er erhielt, nicht zufrieden war und daraufhin eine Beschwerde gegen den Datenschutzbeauftragten selbst einreichte. Der Europäische Gerichtshof entschied im Oktober 2015 zu Gunsten von Schrems.
Dies bedeutete, dass ein ganzes transnationales Abkommen zwischen der EU und den USA, das sogenannte Safe Harbor, automatisch für ungültig erklärt wurde. In der Praxis war es nicht mehr möglich, die Daten europäischer Bürger an die USA zu übermitteln, da diese keine angemessenen Datenschutzstandards gewährleisten konnten. Dies geschah vor dem Hintergrund des NSA PRISM-Skandals, der zeigte, dass die US-Behörde ohne jegliche Zustimmung auf private Daten zugriff.
Daher waren alle Unternehmen, die Geschäfte mit Daten von EU-Bürgern machten, nicht mehr durch Safe Harbor geschützt, und es war ihnen eine Zeit lang verboten, personenbezogene Daten zu verarbeiten. Dies hatte große Auswirkungen auf mehrere Unternehmen. Jedes Unternehmen musste nun abwägen, ob einfache Vorgänge wie der Zugriff von Nutzern auf ihre Websites dazu führen könnten, dass ihre personenbezogenen Daten (IP, Standort, andere in Cookies gespeicherte Daten) illegal in die USA übermittelt werden. Dies war der Fall, wenn die besagten Websites Anwendungen von US-Drittanbietern wie z. B. Google Analytics nutzten.
Obwohl die EU und die USA an einem Folgeabkommen, dem so genannten Privacy Shield, arbeiteten, wurde auch dieses im Jahr 2020 für ungültig erklärt, nachdem eine weitere Beschwerde desselben Mannes zum Fall Schrems II geführt hatte.