Ein US-Verfassungsurteil, das auf den ersten Blick nichts mit Europa zu tun hat, könnte das rechtliche Fundament des EU-US Data Privacy Framework zum Einsturz bringen. Wer heute Daten in die USA überträgt, sollte jetzt genauer hinsehen.

Was ist passiert?

Am 29. Juni 2026 hat der US Supreme Court in der Sache Trump v. Slaughter entschieden: Gesetzliche Regelungen, die Bundesbehörden wie die Federal Trade Commission (FTC) vor dem direkten Durchgriff des Weißen Hauses schützen, sind verfassungswidrig. Grundlage der Entscheidung ist die sogenannte „Unitary Executive Theory“ – eine Verfassungsauslegung, nach der der US-Präsident die uneingeschränkte Kontrolle über alle Bundesbehörden haben muss.

Was zunächst wie eine rein innenpolitische Debatte über die Machtfülle des US-Präsidenten klingt, hat für die europäische Digitalwirtschaft erhebliche Sprengkraft. Der Grund: Die Unabhängigkeit der FTC war über Jahre hinweg das rechtliche Fundament, auf dem der Datenverkehr zwischen der EU und den USA ruht. Der Heise-Verlag hat hierzu bereits ausführlich berichtet.

Warum die FTC für den EU-Datenschutz überhaupt eine Rolle spielt

Seit dem Jahr 2000 verlässt sich die EU bei der Aufsicht über personenbezogene Daten von Europäer:innen in den USA maßgeblich auf die FTC. Die Idee dahinter: Eine unabhängige Aufsichtsbehörde soll sicherstellen, dass US-Unternehmen mit EU-Daten nicht machen können, was sie wollen.

Im aktuell gültigen EU-US Data Privacy Framework (DPF) von 2023 – dem Angemessenheitsbeschluss 2023/1795 der EU-Kommission – wird diese Unabhängigkeit der FTC ganze 259 Mal als Begründung herangezogen. Das ist kein Randaspekt, sondern trägt einen wesentlichen Teil der rechtlichen Argumentation, warum die EU-Kommission den USA ein „angemessenes Datenschutzniveau“ im Sinne der DSGVO bescheinigt hat. Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der EU-Grundrechtecharta verlangen zwingend eine unabhängige Datenschutzaufsicht – auch mit Blick auf Drittländer.

Genau dieser Pfeiler ist mit dem Urteil ins Wanken geraten.

Die zweite Bruchstelle: der Data Protection Review Court

Nicht nur das DPF selbst ist betroffen, sondern auch der eigens dafür geschaffene Data Protection Review Court (DPRC) – jenes Gremium, das EU-Bürger:innen ermöglichen soll, sich gegen mutmaßlich rechtswidrigen Zugriff US-amerikanischer Nachrichtendienste zu wehren. Der Name suggeriert ein echtes Gericht. Tatsächlich handelt es sich um eine Behörde innerhalb des US-Justizministeriums, deren Unabhängigkeit ausschließlich auf einer präsidialen Exekutivverordnung beruht – nicht auf einem Gesetz. Nach der Logik des Supreme-Court-Urteils könnte auch diese Verordnung von der US-Regierung jederzeit geändert oder aufgehoben werden.

Auch Standardvertragsklauseln und Binding Corporate Rules sind betroffen

Wer glaubt, mit Standardvertragsklauseln (SCCs) oder verbindlichen Unternehmensregeln (BCRs) auf der sicheren Seite zu sein, sollte genauer hinschauen. Beide Instrumente verlangen von Unternehmen eine eigene Risikoanalyse – ein Transfer Impact Assessment (TIA). In diesen Analysen wird regelmäßig auf US-Prüfinstanzen wie eben den DPRC verwiesen, um ein angemessenes Schutzniveau zu begründen. Wenn diese Instanz ihre Unabhängigkeit verliert, verliert auch der Verweis darauf seine Tragfähigkeit. Unternehmen, die mit Vertragsklauseln arbeiten, sollten ihre Risikoanalysen daher zeitnah aktualisieren – wobei sich rein rechtlich kaum noch positive Ergebnisse begründen lassen dürften.

Was das konkret nicht bedeutet: kein Automatismus

So gravierend die Ausgangslage klingt – ein Grund zur Panik ist sie (noch) nicht. Der Angemessenheitsbeschluss der EU-Kommission bleibt formal so lange in Kraft, bis ihn entweder die Kommission selbst zurückzieht oder der Europäische Gerichtshof (EuGH) ihn für nichtig erklärt. Unmittelbare rechtliche Folgen hat das US-Urteil für laufende Datentransfers also vorerst nicht.

Ein von noyb zitierter Datenschutzjurist bringt es auf den Punkt: Das Urteil werde kurzfristig keine unmittelbaren Auswirkungen auf den EU-US-Datenfluss haben, seine langfristigen Konsequenzen könnten jedoch erheblich sein.

Die Reaktion aus Wien: noyb schaltet sich ein

Wenig überraschend hat sich Max Schrems und seine Organisation noyb bereits zu Wort gemeldet. In einem offiziellen Schreiben fordert noyb die EU-Kommission auf, das Datenschutzabkommen aufzulösen, und kündigt parallel eine Klage an. Schrems‘ Argumentation: Selbst nach der Logik der Europäischen Kommission sei die Grundlage für jegliches EU-US-Datenabkommen hinfällig; die Kommission müsse nun einen geordneten Ausstieg aus der US-Cloud einleiten. Er verweist zudem darauf, dass der verfassungsrechtliche Rahmen der EU eine unabhängige Aufsicht zwingend vorschreibt – daran könne die Kommission auch mit gutem Willen wenig ändern, ohne dass die EU-Mitgliedstaaten die EU-Verträge einstimmig anpassen.

Es wäre nicht das erste Mal, dass ein von Schrems angestoßenes Verfahren ein transatlantisches Datenschutzabkommen zu Fall bringt: Sowohl Safe Harbor (2015) als auch der Privacy Shield (2020) endeten vor dem EuGH.

Drei mögliche Szenarien

Wie es weitergeht, lässt sich derzeit nicht sicher vorhersagen. In der Fachdiskussion kristallisieren sich im Wesentlichen drei Entwicklungspfade heraus:

  1. Geordneter Rückzug: Die EU-Kommission hebt den Angemessenheitsbeschluss selbst auf, gewährt Unternehmen eine Übergangsfrist und koordiniert alternative Rechtsinstrumente. Rechtlich konsequent, politisch aber schmerzhaft.
  2. Gerichtlicher Weg: noyb reicht Klage ein, der EuGH entscheidet – realistischerweise erst in zwei bis drei Jahren. Bis dahin bleibt der Beschluss formal gültig, Unternehmen agieren jedoch in erheblicher Rechtsunsicherheit.
  3. Politisches Arrangement: EU und USA verhandeln einen neuen, strukturell robusteren Rahmen – diesmal mit echter gesetzgeberischer Absicherung im US-Kongress statt bloßer Präsidialerlasse.

Eine Einordnung zur Dramatik der Berichterstattung

Bei aller berechtigten Sorge lohnt ein nüchterner Blick: Vereinzelt wird eingewandt, die FTC-Unabhängigkeit habe historisch nie völlige Weisungsfreiheit von der Regierung bedeutet, sondern lediglich Unabhängigkeit von einzelnen Fachministerien – und im konkreten Fall sei primär über die Entlassbarkeit von FTC-Kommissar:innen durch den Präsidenten gestritten worden, nicht über die inhaltliche Weisungsfreiheit der Behörde insgesamt. Diese Differenzierung ist juristisch nicht unbegründet. Ob und in welchem Umfang das Urteil die 259 Verweise im Angemessenheitsbeschluss tatsächlich entwertet, wird am Ende wohl der EuGH klären müssen. Die überwiegende Einschätzung in der Fachwelt geht derzeit aber davon aus, dass die Substanz der Unabhängigkeitsgarantie – und nicht nur ihre formale Verpackung – betroffen ist.

Was Unternehmen jetzt tun sollten

Auch wenn akuter Handlungsdruck fehlt, empfiehlt sich ein proaktives Vorgehen:

  • Datentransfers inventarisieren: Welche Verarbeitungen stützen sich auf das DPF, welche auf SCCs oder BCRs?
  • Transfer Impact Assessments aktualisieren, insbesondere dort, wo sie sich auf den DPRC als wirksamen Rechtsschutzmechanismus berufen.
  • Exit-Szenarien durchdenken, gerade bei zentralen Cloud-Abhängigkeiten (Microsoft, AWS, Google und vergleichbare Anbieter).
  • Entwicklungen aktiv verfolgen – insbesondere eine mögliche Stellungnahme der EU-Kommission sowie den Fortgang einer noyb-Klage.
  • Nicht überstürzt handeln: Der Angemessenheitsbeschluss gilt formal fort; vorschnelle, unkoordinierte Anbieterwechsel schaffen oft neue Risiken, statt bestehende zu lösen.

Fazit

Das Urteil in Trump v. Slaughter zeigt exemplarisch, wie fragil das rechtliche Konstrukt ist, auf dem der transatlantische Datenverkehr seit Jahren balanciert. Drei Anläufe – Safe Harbor, Privacy Shield, Data Privacy Framework – haben bislang alle mit strukturellen Schwächen zu kämpfen, die letztlich auf denselben Punkt zurückgehen: fehlende gesetzliche, dauerhaft verankerte Unabhängigkeit der US-Aufsichtsinstanzen. Für Unternehmen bedeutet das: kein Grund zur Panik, aber ein klarer Anlass, die eigene Datentransfer-Compliance jetzt zu überprüfen – bevor eine EuGH-Entscheidung oder eine Neubewertung durch die EU-Kommission unter Zeitdruck zwingt.

Stand: Anfang Juli 2026.

GrandpashabetgrandpashabetCasibomjojobetcasibom girişjojobetJojobetjojobetjojobetgrandpashabetcasibomcasibomcasibomcasibomcasibomholiganbetjojobetcasibomJojobetjojobetbetciojojobet girişjojobetjojobet giriş