In der Entscheidung EuGH C-362/14 vom 6.10.2015 erklärte der EuGH das Safe-Harbor-Agreement zwischen der EU und den USA für ungültig. Dadurch wird eine Genehmigung durch die Datenschutzbehörde (DSB) notwendig, um personenbezogene Daten in die USA zu übertragen. Nationale Datenschutzbehörden können grundsätzlich auch ohne Vorabgenehmigung Daten in Drittstaaten übertragen, wenn festgestellt worden ist, dass das Datenschutzniveau eines Drittstaates angemessen ist. Das Ergebnis dieser Feststellung wird in einer Verordnung festgehalten. Für die Datentransfers von der EU in die USA besteht das Problem, dass den USA, in der aktuellen Fassung der gegenständlichen Verordnung, kein angemessenes Datenschutzniveau bescheinigt wird. Aus diesem Grund wurde das nun gekippte Abkommen zwischen der EU und den USA abgeschlossen. Datentransfers in die USA waren ohne Genehmigung an jene Unternehmen zulässig, die sich den Grundsätzen des Safe-Harbor-Abkommens unterworfen haben. Es bestehen für die Genehmigungspflicht durch die Datenschutzbehörde nur wenige Ausnahmen. Daten können durch die Zustimmung des Betroffenen ohne Vorabgenehmigung übermittelt werden, wobei die DSB eine gültige Zustimmung an strengen Kriterien misst. Daten, die im Rahmen eines Vertrages übermittelt werden, der im eindeutigen Interesse des Betroffenen liegt und nicht anders erfüllt werden kann, benötigen vor ihrem Transfer ebenfalls keiner Genehmigung. Aufgrund dieser engen Ausnahmetatbestände und der Einstellung aller auf dem Safe-Harbor basierenden Datentransfers werden sich die Bearbeitungszeiten bei der DSB entsprechend verlängern.
