Das Urteil Trump vs. Slaughter setzt das EU-US Data Privacy Framework unter Druck – für KMU ohne externen Datenschutzbeauftragten steigt das Compliance-Risiko ab sofort.
Wer verstehen will, warum ein US-Gerichtsurteil zur Federal Trade Commission (FTC) plötzlich zur Chefsache für deutsche Mittelständler wird, muss einen Schritt zurücktreten. Der transatlantische Datenverkehr ruht seit über zwei Jahrzehnten auf einem immer gleichen Streitpunkt: Bietet eine US-Aufsichtsstelle echte, vom Weißen Haus unabhängige Kontrolle – oder nur dem Anschein nach?
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenRechtlich hängt daran mehr als eine technische Formalie. Nach Art. 45 DSGVO darf die EU-Kommission einem Drittland ein „angemessenes Schutzniveau“ nur dann bescheinigen, wenn dessen Datenschutzregime im Ergebnis „im Wesentlichen gleichwertig“ zum Schutzniveau der EU ist. Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der EU-Grundrechtecharta verlangen dafür ausdrücklich eine Kontrolle durch eine unabhängige Stelle.
Genau an dieser Unabhängigkeit ist der transatlantische Datentransfer bereits zweimal gescheitert – und beide Male hat sich gezeigt, wie hoch der EuGH die Messlatte tatsächlich legt.
Zweimal hat der Europäische Gerichtshof (EuGH) diese Frage bereits mit „Nein“ beantwortet und die jeweilige Transfergrundlage gekippt:
Abkommen | Zeitraum | Abkommen Zeitraum Grund des Scheiterns (EuGH) |
|---|---|---|
Safe Harbor | 2000–2015 | Schrems I: Keine wirksame Kontrolle staatlicher Massenüberwachung. |
Privacy Shield | 2016–2020 | Schrems II: Ombudsperson nicht unabhängig genug; kein wirksamer Rechtsbehelf für EU-Bürger. |
Data Privacy Framework (DPF) | seit Juli 2023 | Sollte durch FTC-Aufsicht, PCLOB und DPRC genau diese Defizite heilen. |
In beiden Fällen – Safe Harbor 2015 und Privacy Shield 2020 – ging die Initiative von einer einzelnen Beschwerde des österreichischen Juristen Max Schrems gegen Facebook aus. In beiden Fällen dauerte es Jahre, bis aus einer rechtlichen Bedenken-Lage ein tatsächliches EuGH-Urteil wurde. Und in beiden Fällen mussten Unternehmen ihre Datentransfers anschließend kurzfristig auf neue Grundlagen – meist Standardvertragsklauseln (SCCs) – umstellen. Dieses Muster ist für die Bewertung des aktuellen Geschehens zentral: Rechtsunsicherheit in diesem Bereich baut sich nicht plötzlich auf, sondern kündigt sich typischerweise Jahre im Voraus an.
Das aktuelle EU-US Data Privacy Framework (DPF), seit Juli 2023 in Kraft, wurde bewusst so konstruiert, dass es die von Schrems II benannten Defizite behebt: eine unabhängige FTC für die kommerzielle Durchsetzung, ein Privacy and Civil Liberties Oversight Board (PCLOB) zur Kontrolle der Nachrichtendienste, und ein Data Protection Review Court (DPRC) als zweistufiger Rechtsbehelf für EU-Bürger, deren Daten Gegenstand nachrichtendienstlicher Zugriffe geworden sein könnten. Für den deutschen Mittelstand war das DPF seither die praktikabelste Grundlage, um Cloud-Infrastrukturen, SaaS-Lösungen und zunehmend auch KI-Dienste US-amerikanischer Anbieter überhaupt rechtssicher zu nutzen – ohne für jeden einzelnen Dienstleister eigene SCCs und Transfer Impact Assessments (TIA) aufzusetzen.
Genau dieses Fundament ist nun ins Wanken geraten. Am 29. Juni 2026 entschied der US Supreme Court in der Rechtssache Trump v. Slaughter mit 6 zu 3 Stimmen, dass der US-Präsident Mitglieder der FTC jederzeit und ohne Angabe von Gründen entlassen darf. Damit hob das Gericht den 90 Jahre alten Präzedenzfall Humphrey’s Executor (1935) auf, der Behördenleiter unabhängiger Kommissionen bislang vor politisch motivierten Entlassungen schützte. Auslöser des Verfahrens war die Entlassung der demokratischen FTC-Kommissarin Rebecca Slaughter im März 2025, die sich gerichtlich gegen ihre Abberufung gewehrt hatte.
Grundlage der Entscheidung ist die sogenannte „Unitary Executive Theory“: Sämtliche Exekutivgewalt liegt danach uneingeschränkt beim Präsidenten, und wer für ihn Exekutivbefugnisse ausübt, muss von ihm auch jederzeit entlassen werden können. Chief Justice John Roberts begründete dies damit, dass die FTC heute rund 80 Bundesgesetze vollzieht und damit faktisch in nahezu jeden Wirtschaftsbereich hineinregiert – eine Rolle, die mit der 1935 noch als rein „quasi-judikativ“ eingestuften FTC nicht mehr vergleichbar sei. Die drei abweichenden Richterinnen warnten in ihrem Minderheitsvotum, das Urteil verschiebe erhebliche Macht in Richtung Präsidentschaft und stelle die Unabhängigkeit Dutzender weiterer Behörden infrage – von der Bundesnetzagentur-Entsprechung FERC bis zur Börsenaufsicht SEC.
Für die EU-Kommission ist das kein Randdetail. In ihrem Angemessenheitsbeschluss USA zum DPF (Durchführungsbeschluss (EU) 2023/1795) verweist sie insgesamt 259-mal auf die Unabhängigkeit der FTC als Beleg für ein „im Wesentlichen gleichwertiges“ Schutzniveau. Genau diese Unabhängigkeit hat der Supreme Court nun für verfassungswidrig erklärt. Die kommerzielle Säule des DPF – also die Durchsetzung der Selbstzertifizierungspflichten US-amerikanischer Unternehmen – verliert damit ihre bisherige rechtliche Absicherung.
Die Reaktion folgte prompt: Bereits einen Tag später, am 30. Juni 2026, forderte die österreichische Datenschutzorganisation noyb (Max Schrems) die EU-Kommission in einem offenen Brief auf, den Angemessenheitsbeschluss USA „geordnet zurückzuziehen“, und kündigte eine neue Klage vor dem EuGH an – in Fachkreisen bereits als „Schrems III“ gehandelt.
Noyb argumentiert dabei nicht nur mit der FTC: Auch der DPRC, der lediglich auf einer Durchführungsverordnung (Executive Order 14086) des ehemaligen Präsidenten Biden beruht und organisatorisch im US-Justizministerium angesiedelt ist, gerate durch die neue Rechtsprechung unter denselben verfassungsrechtlichen Vorbehalt. Die EU-Kommission selbst erklärte, das Urteil zur Kenntnis genommen zu haben und dessen Auswirkungen sorgfältig zu prüfen.
Wichtig für die Einordnung: Der Angemessenheitsbeschluss USA ist damit nicht automatisch hinfällig. Er bleibt formal in Kraft, bis die EU-Kommission ihn selbst aufhebt oder der EuGH ihn für nichtig erklärt. Bei beiden vorangegangenen Fällen – Safe Harbor und Privacy Shield – lagen zwischen den ersten Zweifeln und dem tatsächlichen EuGH-Urteil jeweils mehrere Jahre.
Auch die separate, bereits laufende Klage des französischen Europaabgeordneten Philippe Latombe gegen das DPF wurde vom Gericht der Europäischen Union im September 2025 zunächst aus verfahrensrechtlichen Gründen abgewiesen und ist derzeit im Rechtsmittelverfahren vor dem EuGH anhängig – unabhängig von der neuen noyb-Initiative. Aus einer rechtlichen Tatsache ist also zunächst vor allem eines geworden: ein deutlich erhöhtes Risiko, das bei der nächsten TIA-Prüfung nicht mehr ignoriert werden kann.
Das Compliance Hub unterstützt Sie bei der digitalen Erfassung und Verwaltung aller Verarbeitungstätigkeiten – mit automatisierter DSFA–Schwellwertanalyse und behördenkonformer Dokumentation. Starten Sie jetzt mit Ihrer Verzeichniserstellung.
Auch wenn juristisch noch nichts entschieden ist, verändert sich die Risikolage für Unternehmen bereits heute – nicht erst mit einem künftigen EuGH-Urteil. Drei Bereiche sind unmittelbar betroffen:
Rechtlich als „Transfer“ gilt dabei nicht nur die physische Speicherung von Daten in den USA, sondern bereits jede Zugriffsmöglichkeit US-amerikanischer Stellen – etwa im Rahmen von Fernwartung oder technischem Support. Eine reine Speicherung in einem EU-Rechenzentrum („Data Residency“) schützt daher nicht automatisch vor den hier beschriebenen Risiken, solange der Anbieter dem US-amerikanischen Cloud Act unterliegt.
Für die kommenden Monate zeichnen sich drei Entwicklungspfade ab:
Gerichtlicher Weg (wahrscheinlich, aber langwierig): Die von noyb angekündigte Klage sowie das bereits laufende Latombe-Verfahren könnten den EuGH erneut mit dem DPF befassen – realistischerweise jedoch erst in ein bis mehreren Jahren.
Rückzug durch die EU-Kommission (möglich): Die Kommission könnte den Beschluss selbst anpassen oder zurückziehen, um die Kontrolle über den Zeitpunkt zu behalten – politisch und wirtschaftlich aber ein schwerwiegender Schritt, der angesichts der engen Wirtschaftsbeziehungen zu den USA nicht leichtfertig erfolgen dürfte.
Politische Reparatur in den USA (unwahrscheinlich): Ein neues US-Bundesgesetz müsste FTC-Unabhängigkeit gesetzlich verankern – vor dem Hintergrund der „Unitary Executive Theory“ vom aktuellen Supreme Court kaum zu erwarten und politisch derzeit nicht absehbar.
Für deutsche KMU bedeutet das: kein Grund zur Panik, aber ein klarer Anlass zur Überprüfung der eigenen Datentransfer-Dokumentation. Standardvertragsklauseln (SCCs) bleiben verfügbar, doch auch die zugehörigen Transfer Impact Assessments (TIA) verweisen häufig auf dieselben nun infrage gestellten US-Institutionen (FTC, PCLOB, DPRC) und sollten entsprechend aktualisiert werden. Ein TIA, das sich unverändert auf die „unabhängige Aufsicht“ dieser Stellen beruft, wird einer kritischen Prüfung – etwa im Rahmen einer Datenschutz-Kontrolle – in absehbarer Zeit kaum mehr standhalten.
Der transatlantische Datenschutz erlebt damit bereits seinen dritten Zyklus aus Vertrauen, Erosion und Neuverhandlung. Nach Safe Harbor und Privacy Shield ist das DPF nun die dritte Rechtsgrundlage, deren Fundament durch die immer gleiche Schwachstelle – fehlende Unabhängigkeit der US-Aufsicht – infrage gestellt wird. Für die betriebliche Praxis heißt das nicht, jeden US-Dienstleister sofort zu kündigen.
Es heißt vor allem, die eigene Dokumentation so aufzustellen, dass sie einer Prüfung standhält, unabhängig davon, wie schnell sich die Lage in Brüssel oder Luxemburg weiterentwickelt. Wer die Lehren aus Safe Harbor und Privacy Shield kennt, weiß: Handeln lohnt sich, bevor aus rechtlicher Unsicherheit ein akuter Compliance-Fall wird – nicht erst danach.
Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive
Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Embedded Content. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Hubspot Meetings. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen