Angemessenheitsbeschluss USA
Datenschutz

Data Privacy Framework -
US-Aufsicht bricht weg

Das Urteil Trump vs. Slaughter setzt das EU-US Data Privacy Framework unter Druck – für KMU ohne externen Datenschutzbeauftragten steigt das Compliance-Risiko ab sofort.

Illustration zeigt Schloss zwischen EU und USA als Zeichen fuer transatlantische Datensicherheit und DSGVO Konformitaet

Ein altbekanntes Muster: Von Safe Harbor über Privacy Shield zum DPF

Wer verstehen will, warum ein US-Gerichtsurteil zur Federal Trade Commission (FTC) plötzlich zur Chefsache für deutsche Mittelständler wird, muss einen Schritt zurücktreten. Der transatlantische Datenverkehr ruht seit über zwei Jahrzehnten auf einem immer gleichen Streitpunkt: Bietet eine US-Aufsichtsstelle echte, vom Weißen Haus unabhängige Kontrolle – oder nur dem Anschein nach?

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Rechtlich hängt daran mehr als eine technische Formalie. Nach Art. 45 DSGVO darf die EU-Kommission einem Drittland ein „angemessenes Schutzniveau“ nur dann bescheinigen, wenn dessen Datenschutzregime im Ergebnis „im Wesentlichen gleichwertig“ zum Schutzniveau der EU ist. Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der EU-Grundrechtecharta verlangen dafür ausdrücklich eine Kontrolle durch eine unabhängige Stelle.

Genau an dieser Unabhängigkeit ist der transatlantische Datentransfer bereits zweimal gescheitert – und beide Male hat sich gezeigt, wie hoch der EuGH die Messlatte tatsächlich legt.

Zweimal hat der Europäische Gerichtshof (EuGH) diese Frage bereits mit „Nein“ beantwortet und die jeweilige Transfergrundlage gekippt:

Abkommen
Zeitraum
Abkommen Zeitraum Grund des Scheiterns (EuGH)
Safe Harbor
2000–2015
Schrems I: Keine wirksame Kontrolle staatlicher Massenüberwachung.
Privacy Shield
2016–2020
Schrems II: Ombudsperson nicht unabhängig genug; kein wirksamer Rechtsbehelf für EU-Bürger.
Data Privacy Framework (DPF)
seit Juli 2023
Sollte durch FTC-Aufsicht, PCLOB und DPRC genau diese Defizite heilen.

In beiden Fällen – Safe Harbor 2015 und Privacy Shield 2020 – ging die Initiative von einer einzelnen Beschwerde des österreichischen Juristen Max Schrems gegen Facebook aus. In beiden Fällen dauerte es Jahre, bis aus einer rechtlichen Bedenken-Lage ein tatsächliches EuGH-Urteil wurde. Und in beiden Fällen mussten Unternehmen ihre Datentransfers anschließend kurzfristig auf neue Grundlagen – meist Standardvertragsklauseln (SCCs) – umstellen. Dieses Muster ist für die Bewertung des aktuellen Geschehens zentral: Rechtsunsicherheit in diesem Bereich baut sich nicht plötzlich auf, sondern kündigt sich typischerweise Jahre im Voraus an.

Das aktuelle EU-US Data Privacy Framework (DPF), seit Juli 2023 in Kraft, wurde bewusst so konstruiert, dass es die von Schrems II benannten Defizite behebt: eine unabhängige FTC für die kommerzielle Durchsetzung, ein Privacy and Civil Liberties Oversight Board (PCLOB) zur Kontrolle der Nachrichtendienste, und ein Data Protection Review Court (DPRC) als zweistufiger Rechtsbehelf für EU-Bürger, deren Daten Gegenstand nachrichtendienstlicher Zugriffe geworden sein könnten. Für den deutschen Mittelstand war das DPF seither die praktikabelste Grundlage, um Cloud-Infrastrukturen, SaaS-Lösungen und zunehmend auch KI-Dienste US-amerikanischer Anbieter überhaupt rechtssicher zu nutzen – ohne für jeden einzelnen Dienstleister eigene SCCs und Transfer Impact Assessments (TIA) aufzusetzen.

Das aktuelle Geschehen: Der 29. Juni 2026

Genau dieses Fundament ist nun ins Wanken geraten. Am 29. Juni 2026 entschied der US Supreme Court in der Rechtssache Trump v. Slaughter mit 6 zu 3 Stimmen, dass der US-Präsident Mitglieder der FTC jederzeit und ohne Angabe von Gründen entlassen darf. Damit hob das Gericht den 90 Jahre alten Präzedenzfall Humphrey’s Executor (1935) auf, der Behördenleiter unabhängiger Kommissionen bislang vor politisch motivierten Entlassungen schützte. Auslöser des Verfahrens war die Entlassung der demokratischen FTC-Kommissarin Rebecca Slaughter im März 2025, die sich gerichtlich gegen ihre Abberufung gewehrt hatte.

Grundlage der Entscheidung ist die sogenannte „Unitary Executive Theory“: Sämtliche Exekutivgewalt liegt danach uneingeschränkt beim Präsidenten, und wer für ihn Exekutivbefugnisse ausübt, muss von ihm auch jederzeit entlassen werden können. Chief Justice John Roberts begründete dies damit, dass die FTC heute rund 80 Bundesgesetze vollzieht und damit faktisch in nahezu jeden Wirtschaftsbereich hineinregiert – eine Rolle, die mit der 1935 noch als rein „quasi-judikativ“ eingestuften FTC nicht mehr vergleichbar sei. Die drei abweichenden Richterinnen warnten in ihrem Minderheitsvotum, das Urteil verschiebe erhebliche Macht in Richtung Präsidentschaft und stelle die Unabhängigkeit Dutzender weiterer Behörden infrage – von der Bundesnetzagentur-Entsprechung FERC bis zur Börsenaufsicht SEC.

Für die EU-Kommission ist das kein Randdetail. In ihrem Angemessenheitsbeschluss USA zum DPF (Durchführungsbeschluss (EU) 2023/1795) verweist sie insgesamt 259-mal auf die Unabhängigkeit der FTC als Beleg für ein „im Wesentlichen gleichwertiges“ Schutzniveau. Genau diese Unabhängigkeit hat der Supreme Court nun für verfassungswidrig erklärt. Die kommerzielle Säule des DPF – also die Durchsetzung der Selbstzertifizierungspflichten US-amerikanischer Unternehmen – verliert damit ihre bisherige rechtliche Absicherung.

Die Reaktion folgte prompt: Bereits einen Tag später, am 30. Juni 2026, forderte die österreichische Datenschutzorganisation noyb (Max Schrems) die EU-Kommission in einem offenen Brief auf, den Angemessenheitsbeschluss USA „geordnet zurückzuziehen“, und kündigte eine neue Klage vor dem EuGH an – in Fachkreisen bereits als „Schrems III“ gehandelt.

Noyb argumentiert dabei nicht nur mit der FTC: Auch der DPRC, der lediglich auf einer Durchführungsverordnung (Executive Order 14086) des ehemaligen Präsidenten Biden beruht und organisatorisch im US-Justizministerium angesiedelt ist, gerate durch die neue Rechtsprechung unter denselben verfassungsrechtlichen Vorbehalt. Die EU-Kommission selbst erklärte, das Urteil zur Kenntnis genommen zu haben und dessen Auswirkungen sorgfältig zu prüfen.

Wichtig für die Einordnung: Der Angemessenheitsbeschluss USA ist damit nicht automatisch hinfällig. Er bleibt formal in Kraft, bis die EU-Kommission ihn selbst aufhebt oder der EuGH ihn für nichtig erklärt. Bei beiden vorangegangenen Fällen – Safe Harbor und Privacy Shield – lagen zwischen den ersten Zweifeln und dem tatsächlichen EuGH-Urteil jeweils mehrere Jahre.

Auch die separate, bereits laufende Klage des französischen Europaabgeordneten Philippe Latombe gegen das DPF wurde vom Gericht der Europäischen Union im September 2025 zunächst aus verfahrensrechtlichen Gründen abgewiesen und ist derzeit im Rechtsmittelverfahren vor dem EuGH anhängig – unabhängig von der neuen noyb-Initiative. Aus einer rechtlichen Tatsache ist also zunächst vor allem eines geworden: ein deutlich erhöhtes Risiko, das bei der nächsten TIA-Prüfung nicht mehr ignoriert werden kann.

Verarbeitungsverzeichnis digital führen

Das Compliance Hub unterstützt Sie bei der digitalen Erfassung und Verwaltung aller Verarbeitungstätigkeiten – mit automatisierter DSFASchwellwertanalyse und behördenkonformer Dokumentation. Starten Sie jetzt mit Ihrer Verzeichniserstellung.

Visualisierung des Compliance Hub mit Icons für Analysen, Checklisten und Dateien, verbunden durch digitale Linien als Symbol für automatisierte Prozesse

Operative Bedeutung für deutsche KMU

Auch wenn juristisch noch nichts entschieden ist, verändert sich die Risikolage für Unternehmen bereits heute – nicht erst mit einem künftigen EuGH-Urteil. Drei Bereiche sind unmittelbar betroffen:

  • Cloud- und SaaS-Dienste: Viele KMU nutzen US-Hyperscaler (Microsoft, AWS, Google) oder darauf aufsetzende Fachanwendungen, deren Datenverarbeitung sich – oft ohne dass es den Verantwortlichen bewusst ist – auf das DPF stützt.
  • KI-gestützte Anwendungen: Wo personenbezogene Daten in US-Cloud-KI-Dienste eingegeben werden (etwa für Prompt-Verarbeitung oder Auswertung), gilt dieselbe Transfergrundlage – und dasselbe erhöhte Risiko.
  • Tracking- und Marketing-Tools: Dienste wie Google Analytics oder Meta-Werbepixel standen bereits nach Schrems II im Fokus der Aufsichtsbehörden und dürften bei einer erneuten Anfechtung des DPF wieder zu den ersten Prüfgegenständen zählen.

Rechtlich als „Transfer“ gilt dabei nicht nur die physische Speicherung von Daten in den USA, sondern bereits jede Zugriffsmöglichkeit US-amerikanischer Stellen – etwa im Rahmen von Fernwartung oder technischem Support. Eine reine Speicherung in einem EU-Rechenzentrum („Data Residency“) schützt daher nicht automatisch vor den hier beschriebenen Risiken, solange der Anbieter dem US-amerikanischen Cloud Act unterliegt.

Ausblick: Zwischen Rechtsunsicherheit und Handlungsdruck

Für die kommenden Monate zeichnen sich drei Entwicklungspfade ab:

Gerichtlicher Weg (wahrscheinlich, aber langwierig): Die von noyb angekündigte Klage sowie das bereits laufende Latombe-Verfahren könnten den EuGH erneut mit dem DPF befassen – realistischerweise jedoch erst in ein bis mehreren Jahren.

Rückzug durch die EU-Kommission (möglich): Die Kommission könnte den Beschluss selbst anpassen oder zurückziehen, um die Kontrolle über den Zeitpunkt zu behalten – politisch und wirtschaftlich aber ein schwerwiegender Schritt, der angesichts der engen Wirtschaftsbeziehungen zu den USA nicht leichtfertig erfolgen dürfte.

Politische Reparatur in den USA (unwahrscheinlich): Ein neues US-Bundesgesetz müsste FTC-Unabhängigkeit gesetzlich verankern – vor dem Hintergrund der „Unitary Executive Theory“ vom aktuellen Supreme Court kaum zu erwarten und politisch derzeit nicht absehbar.

Für deutsche KMU bedeutet das: kein Grund zur Panik, aber ein klarer Anlass zur Überprüfung der eigenen Datentransfer-Dokumentation. Standardvertragsklauseln (SCCs) bleiben verfügbar, doch auch die zugehörigen Transfer Impact Assessments (TIA) verweisen häufig auf dieselben nun infrage gestellten US-Institutionen (FTC, PCLOB, DPRC) und sollten entsprechend aktualisiert werden. Ein TIA, das sich unverändert auf die „unabhängige Aufsicht“ dieser Stellen beruft, wird einer kritischen Prüfung – etwa im Rahmen einer Datenschutz-Kontrolle – in absehbarer Zeit kaum mehr standhalten.

Empfehlung für die Praxis

  1. Datenflüsse kartieren: Welche Prozesse stützen sich ausschließlich auf das DPF (Cloud, SaaS, KI-Dienste, Tracking-Tools)? Ein aktuelles bzw. vervollständigtes Verzeichnis von Verarbeitungstätigkeiten (VVT) ist dafür die Arbeitsgrundlage.
  2. TIAs aktualisieren: Verweise auf die „Unabhängigkeit“ von FTC, PCLOB oder DPRC kritisch prüfen und durch eine aktuelle Risikobewertung ersetzen, die den Stand nach Trump v. Slaughter widerspiegelt.
  3. SCC-Fallback sicherstellen: Für geschäftskritische US-Transfers vertraglich und technisch vorbereiten, auch wenn das DPF aktuell noch gilt – inklusive ergänzender technischer Maßnahmen wie Verschlüsselung, bei der der US-Anbieter keinen Zugriff auf den Klartext hat.
  4. Vertragliche Prüfpunkte klären: Audit- und Kündigungsrechte gegenüber US-Dienstleistern sichten, damit im Ernstfall kurzfristig reagiert werden kann.
  5. Entwicklung beobachten: Stellungnahmen des Europäischen Datenschutzausschusses (EDSA) sowie den Fortgang der noyb-Klage und des Latombe-Verfahrens im Blick behalten.

Infografik mit Auswahl von Datenschutz, Informationssicherheit, Transfer Impact Assessment und Compliance als strukturierte Audit-Kategorien im Compliance-Management

Der transatlantische Datenschutz erlebt damit bereits seinen dritten Zyklus aus Vertrauen, Erosion und Neuverhandlung. Nach Safe Harbor und Privacy Shield ist das DPF nun die dritte Rechtsgrundlage, deren Fundament durch die immer gleiche Schwachstelle – fehlende Unabhängigkeit der US-Aufsicht – infrage gestellt wird. Für die betriebliche Praxis heißt das nicht, jeden US-Dienstleister sofort zu kündigen.

Es heißt vor allem, die eigene Dokumentation so aufzustellen, dass sie einer Prüfung standhält, unabhängig davon, wie schnell sich die Lage in Brüssel oder Luxemburg weiterentwickelt. Wer die Lehren aus Safe Harbor und Privacy Shield kennt, weiß: Handeln lohnt sich, bevor aus rechtlicher Unsicherheit ein akuter Compliance-Fall wird – nicht erst danach.

Beitrag aktualisiert am 13. Juli 2026 – geprüft durch Datenschutzbeauftragter Jörg ter Beek
Sie suchen einen externen DSB?

Professioneller Datenschutz zum Budget-Preis mit Software, Schulungen, Audits & Vorlagen inklusive

ab 125 € / pro Monat
Inhalt dieser Seite
Ihre Vorteile mit Cortina Consult im Datenschutz

Wir helfen Unternehmen dabei, die Anforderungen der DSGVO im Unternehmen umzusetzen – digital, so einfach wie möglich, zu fixen Konditionen. Als Beratungsdienstleister und externer Datenschutzbeauftragter sorgen wir für die Einhaltung der DSGVO-Vorgaben bei der Verarbeitung von personenbezogenen Daten in Ihrem Unternehmen.

Datenschutz
Jörg ter Beek
Autor dieses Artikels:
Jörg ter Beek
CEO & Datenschutzbeauftragter bei Cortina Consult
Abstrakte Darstellung von zwei symmetrischen, halbkreisförmigen Formen, die miteinander verbunden sind und Cortina Consult Logo rot mit Schrift

Sie haben Fragen?
– Wir beraten Sie gerne

Jörg ter Beek
Jörg ter Beek
Datenschutzexperte & CEO

Unsere Lösungen