Der Europäische Gerichtshof hat am 06.10.2015 die Safe-Harbor-Entscheidung der EU-Kommission aus dem Jahr 2000 für ungültig erklärt. Die deutschen Datenschutzbehörden haben daraufhin in einem gemeinsamen Datenschutzpapier festgestellt, dass eine Übermittlung von Daten in die USA, die allein auf Safe Harbor gestützt ist, durch das Urteil des Europäischen Gerichtshofs nunmehr ausgeschlossen ist. Die Datenschutzbehörden haben angekündigt, dass sie, soweit sie von ausschließlich auf Safe Harbor gestützten Datenexporten Kenntnis erlangen, aufsichtsrechtliche Maßnahmen ergreifen werden.
Die USA und damit auch der Austausch von personenenbezogenen Daten mit den USA haben für die deutsche Messewirtschaft eine erhebliche Bedeutung: Im Jahr 2014 kamen 5.450 ausstellende Unternehmen und ca. 65.000 Besucher aus den USA auf deutsche Messen. Deutsche Messegesellschaften veranstalteten im vergangenen Jahr 19 Messen in den USA. Damit auch künftig ein rechtmäßiger Datenaustausch mit US-amerikanischen Kunden und Geschäftspartnern stattfinden kann, müssen Unternehmen zunächst feststellen, inwiefern derzeit überhaupt personenbezogene Daten mit den USA ausgetauscht werden. Hinzu kommt, dass IT-Dienstleister häufig mit Servern arbeiten, die in den USA stehen. Daher muss auch an CRM-Instrumente wie sales force, Google- und Microsoft-Dienste, social plug-ins, Online-Bezahlsysteme oder Newsletter-Versand-Dienste gedacht werden.
Nach wie vor zulässig ist die Datenübermittlung für die Erfüllung eines Vertrages oder zur Durchführung von vorvertraglichen Maßnahmen, soweit dies erforderlich ist (§ 4 c Abs. 1 Nr. 2 und 3 BDSG). Welche weiteren Möglichkeiten noch bestehen, einen Datentransfer in die USA zu ermöglichen, ist bisher noch unklar. Zwar kann eine Einwilligung vom Betroffenen (§ 4 c Abs. 1 Nr. 1 BDSG) in die Übermittlung seiner personenbezogenen Daten in die USA eingeholt werden, fraglich ist hier jedoch, inwiefern eine solche Einwilligung wirksam wäre. Sie erfordert nämlich, dass der Betroffene nicht nur über die konkreten Zwecke, sondern auch über die Risiken der Datenverarbeitung ohne jeden Zweifel informiert wird. Das Unabhängige Landeszentrum für Datenschutz (ULD) vertritt hierzu in einem Positionspapier die Meinung, dass eine wirksame Einwilligung bereits daran scheitere, dass US-amerikanische Vorschriften eine nicht zweckgebundene Datenverarbeitung durch staatliche Behörden vorsehen und daher eine Aufnahme einer Einwilligung etwa in Allgemeine Geschäftsbedingungen "mit größter Wahrscheinlichkeit sittenwidrig im Sinne des § 138 BGB" wäre.
In einem am 21.10.2015 veröffentlichten Positionspapier der Datenschutzbehörden wird jedoch festgestellt, dass eine Einwilligung zum Transfer personenbezogener Daten unter engen Bedingungen eine tragfähige Grundlage sein kann. Wie diese engen Bedingungen aussehen, wird jedoch nicht erläutert. Ebenso unklar ist, inwiefern Verträge mit den von der EU vorgegebenen Standardvertragsklauseln oder binding corporate rules nach dem Safe-Harbor-Urteil noch einen Datentransfer in die USA ermöglichen.
Die europäischen Aufsichtsbehörden haben sich darauf verständigt, für die Suche nach Lösungen Zeit bis zum 31. Januar 2016 einzuräumen. In Übereinstimmung damit werden die Landesdatenschutzbehörden bis dahin aus eigener Initiative keine Maßnahmen gegen Datenübermittlungen in die USA aufgrund der EU-Standardvertragsklauseln sowie bereits genehmigter binding corporate rules oder Datenexportverträge ergreifen.