Domen går därmed EU-parlamentets väg som stämt ministerrådet, medlemsländernas organ i unionens beslutsapparat, och kommissionen inför domstolen.
USA hävdade att överförandet av uppgifter om passagerare från EU-området till USA var nödvändigt efter terrorangreppen i USA den 11 september 2001.
EU vek sig och gick i ett avtal från maj 2004 med på att överlämna 34 uppgifter till USA om var och en av passagerarna, däribland namn, adress, betalningssätt och telefonnummer.
Det fanns ingen laglig grund för att gå med på USA:s krav, säger EU:s domstol.
SAS har, liksom andra europeiska flygbolag som flyger till USA, sedan slutet av 2004 lämnat över de uppgifter om passagerarna som USA har krävt.
– Vi följer den lagstiftning som vi är ålagda att följa, säger informationsdirektör Hans Ollongren till TT.
– Det är lite tidigt att veta vad domen betyder. Det är möjligt att beslutet eller frågan återremitteras till kommissionen och vi får avvakta vilka konsekvenser den här domen får.
SAS liksom de andra europeiska flygbolagen som flyger till USA har motvilligt accepterat de amerikanska kraven.
– Man kan beklaga att vi lever i en värld, där den här typen av bestämmelser kan vara nödvändiga, säger Hans Ollongren.
USA har varnat att flygbolag som bryter mot avtalet får höga böter och förnekas landningstillstånd.
EU-parlamentet hävdade inför domstolen att avtalet med USA innebär att grundläggande medborgerliga rättigheter påverkas och kan kränka den personliga integriteten.
Avtalet säger att flygföretag som verkar i EU ska lämna över en mängd uppgifter om passagerare som flyger till USA, till amerikanska myndigheter.
Men domstolen går inte in på parlamentets klagomål om medborgerliga rättigheter. Skälet till att domstolen ogiltigförklarar ministerrådets beslut om att ingå avtalet är att rådet gav sig inpå ett område som rör allmän säkerhet och verksamhet på straffrättens område. Så långt sträcker sig inte unionens befogenheter, slår domstolen fast.
EU-kommissionen antog till en början att det som USA begärde kunde strida mot EU-regler om behandling av personuppgifter. De amerikanska myndigheterna får elektronisk tillgång till uppgifterna.
Men efter förhandlingar med USA bestämde sig kommissionen för att den amerikanska tull- och gränsskyddsmyndighetens hantering av uppgifterna innebär ett tillräckligt skydd. Men inte heller det beslutet finns det någon rättslig grund för i EU:s lagstiftning, eftersom det handlade om frågor om allmän säkerhet och verksamhet för att tillgodose ”repressiva syften”, enligt domstolen.
Domstolen konstaterar att avtalet har en uppsägningstid på 90 dagar och låter därför kommissionens beslut om skydd av personuppgifter, trots att det var felaktigt, gälla lika lång tid, till 30 september i år. Detta för att passagerare vars uppgifter lämnas till USA fram till dess inte helt ska sakna dataskydd.
