Der Europäische Gerichtshof (EuGH) hat am 6.10.2015 in einem mit Spannung erwarteten Urteil das Safe Harbor-Abkommen für ungültig erklärt.

Eine Übermittlung von personenbezogenen Daten an eine Stelle außerhalb der EU bzw. des EWR ist grundsätzlich nur dann erlaubt, wenn in diesem außereuropäischen Staat ein ausreichendes Datenschutzniveau besteht. Für Übermittlungen in die USA wurde häufig Rückgriff auf das Safe Harbor-Abkommen genommen. Dies ist eine Entscheidung der EU-Kommission (2000/520/EG), die festgestellt hat, dass ein ausreichendes Schutzniveau besteht bei einer Datenübermittlung an US-Unternehmen, die der Kontrolle des US-Handelsministeriums unterliegen, die Grundsätze des Safe Harbor anerkennen und sich entsprechend zertifizieren. Dementsprechend haben sich viele große US-Unternehmen diesen Regelungen unterworfen und sich entsprechend zertifiziert.

Dieses Abkommen wurde aber jetzt durch den Europäischen Gerichtshof für ungültig erklärt. Der EuGH führte zur Begründung u.a. die Datenzugriffsrechten durch US-Behörden an, welche den Wesensgehalt der Grundrechte auf Achtung des Privatlebens und auf wirksamen gerichtlichen Rechtsschutz verletzen würden.

Welche Auswirkungen dieses Urteil in der Praxis haben wird, lässt sich bislang nur schwer absehen. Es gibt u.a. auch die Möglichkeit, durch die Nutzung der EU-Standardvertragsklauseln oder durch verbindliche Konzernregelungen, die sogenannten Corporate Binding Rules, ein ausreichendes Datenschutzniveau sicherzustellen, wenn personenbezogene Daten an außereuropäische Stellen übermittelt werden sollen.

Die nationalen und europäischen Datenschutzaufsichtsbehörden haben bereits angekündigt, dass sie sich kurzfristig abstimmen und dann gemeinsame Stellungnahmen veröffentlichen werden, welche Konsequenzen sich für die Praxis aus diesem Urteil ableiten lassen.