„Safe Harbor“ hatte bislang die Rahmenbedingungen für den Transfer personenbezogener Daten von Europa in die USA festgelegt. Bei Unternehmen, die sich diesen Rahmenbedingungen unterworfen haben, wurde davon ausgegangen, dass die Daten in den USA mit einem „angemessenen Schutzniveau“ verarbeitet werden. Betroffen sind sowohl US-Unternehmen als auch deutsche Firmen, von denen Daten in die USA übermittelt werden.
Mit seiner Entscheidung vom heutigen Tag hat der EuGH die bestehenden Regelungen zum Datenaustausch zwischen Europa und den USA für ungültig erklärt.Begründet wird dies damit, dass US-Gesetze zur nationalen Sicherheit immer Vorrang vor den Safe-Harbor-Regeln haben. Somit sind die Daten von EU-Bürgern, die auf Servern in den USA gespeichert und verarbeitet werden, nicht hinreichend durch Safe Harbor geschützt.
Personenbezogene Daten dürfen bis zu einer Neuregelung nur noch aus Europa in die USA übermittelt werden, wenn die Einwilligung der Betroffenen vorliegt, Standardvertragsklausel der EU Kommission verwendet werden oder Binding Corporate Rules (Konzernregelungen) getroffen wurden, die von den Datenschutzbehörden abgesegnet wurden. Zudem kennt das Bundesdatenschutzgesetz (BDSG) zwei wichtige Ausnahmen, die einen Datentransfer ermöglichen.
Wer bislang die Daten aufgrund von Safe Harbor in die USA übermittelt hat, ist nun also gezwungen kurzfristig zu handeln. Soweit die Einholung der Einwilligung der Betroffenen nicht möglich ist, sollten kurzfristig EU-Standardverträge mit den Vertragspartnern geschlossen werden.