Am 29. Juni 2026 hat der Oberste Gerichtshof der USA in der Rechtssache Trump v. Slaughter entschieden: Die gesetzlich verankerte Unabhängigkeit der Federal Trade Commission (FTC) ist verfassungswidrig. Die Mehrheit lag bei 6 zu 3 Stimmen. Was auf den ersten Blick wie eine rein innenpolitische Frage der amerikanischen Gewaltenteilung wirkt, ist tatsächlich mehr: Es ist eine ernsthafte Bedrohung für den transatlantischen Datentransfer. Denn das EU-US Data Privacy Framework (DPF) – die zentrale Rechtsgrundlage für die Übermittlung personenbezogener Daten von der EU in die USA – stützt sich maßgeblich auf genau diese Unabhängigkeit. Für tausende europäische Unternehmen, die täglich US-Cloud-Dienste, SaaS-Tools oder Marketing-Plattformen nutzen, stellt sich damit erneut eine Frage: Ist der Datentransfer in die USA noch rechtssicher?
Was hat der US Supreme Court entschieden?
Auslöser des Verfahrens war die Entlassung der demokratischen FTC-Kommissarin Rebecca Kelly Slaughter und ihres Kollegen Alvaro Bedoya. Präsident Trump entließ beide zu Beginn seiner zweiten Amtszeit im Jahr 2025 – ohne die gesetzlich vorgesehenen Entlassungsgründe wie Pflichtverletzungen. Während die Vorinstanzen die Entlassung noch als rechtswidrig einstuften, entschied der Supreme Court zugunsten der Regierung.
Das Gericht folgte dabei einem klaren Grundsatz: Die US-Verfassung weist die exekutive Gewalt dem Präsidenten zu. Dieser müsse deshalb die uneingeschränkte Kontrolle über alle Bundesbehörden haben – einschließlich der Befugnis, deren Leitungspersonal jederzeit und ohne Angabe von Gründen zu entlassen. Damit kippte das Gericht faktisch einen fast hundert Jahre alten Präzedenzfall. Dieser hatte unabhängige Regulierungsbehörden bislang vor dem direkten Durchgriff des Weißen Hauses geschützt. Die Konsequenz: Eine wirklich unabhängige FTC darf es nach dieser Verfassungsauslegung nicht mehr geben.
Warum die FTC das Fundament des Data Privacy Framework ist
Die Übermittlung personenbezogener Daten in Drittstaaten ist für EU-Unternehmen nach der DSGVO nur unter einer Bedingung zulässig: Dort muss ein „im Wesentlichen gleichwertiges” Datenschutzniveau herrschen. Für die USA bescheinigt dies der Angemessenheitsbeschluss der EU-Kommission nach Art. 45 DSGVO – das EU-US Data Privacy Framework von 2023.
Das Problem: EU-Primärrecht und die EU-Grundrechtecharta verlangen ausdrücklich, dass die Datenschutzaufsicht durch unabhängige Stellen erfolgt. Genau diese Rolle nimmt in den USA seit dem Jahr 2000 die FTC ein. Im Angemessenheitsbeschluss beruft sich die EU-Kommission sage und schreibe 259 Mal auf die Kontrollfunktion der FTC. In Erwägungsgrund 60 heißt es sogar wörtlich, die FTC sei „eine unabhängige Behörde”. Diese Annahme ist mit dem Urteil hinfällig – parallel sorgt die DSGVO-Reform 2025 ohnehin für Bewegung. Datenschutzaktivist Max Schrems und seine Organisation noyb haben bereits eine Klage vor dem EuGH angekündigt. Sie fordern die EU-Kommission auf, den Angemessenheitsbeschluss in einem geordneten Prozess aufzuheben. Nach „Schrems I” (Safe Harbor, 2015) und „Schrems II” (Privacy Shield, 2020) droht damit „Schrems III” – benannt nach Max Schrems, der jeweils als Kläger auftrat.

Abbildung 1: Übersicht EU-US Datenabkommen
Welche Unternehmen sind betroffen?
Betroffen ist praktisch jedes Unternehmen in der EU, das personenbezogene Daten in die USA übermittelt. Das sind deutlich mehr, als viele denken:
Nutzer von US-Cloud- und SaaS-Diensten: Wer Microsoft 365, Google Workspace, AWS, Salesforce, HubSpot, Zoom oder Mailchimp einsetzt, überträgt regelmäßig personenbezogene Daten in die USA. Das geschieht oft auf Basis des Data Privacy Frameworks. Das betrifft Konzerne genauso wie KMU (siehe auch unseren Beitrag zu Cloud Compliance).
Unternehmen mit Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs): Auch wer das Framework bewusst umgeht, ist nicht aus dem Schneider. SCCs und BCRs erfordern eine Transfer-Folgenabschätzung (Transfer Impact Assessment, TIA). Darin wird regelmäßig auf US-Kontrollinstanzen wie den „Data Protection Review Court” verwiesen. Das ist kein echtes Gericht, sondern eine Behörde im US-Justizministerium, deren Unabhängigkeit lediglich auf einer präsidialen Exekutivverordnung beruht. Nach der Logik des Supreme-Court-Urteils steht auch diese Grundlage zur Disposition.
Zertifizierte US-Anbieter selbst: Rund 2.800 US-Unternehmen aller Branchen haben sich unter dem Data Privacy Framework zertifiziert – von Cloud- und SaaS-Anbietern über Marketing- und HR-Dienstleister bis zu Pharma- und Beratungsunternehmen. Sie verlieren perspektivisch ihr wichtigstes Argument gegenüber europäischen Kunden: Rechtssicherheit.
Was Unternehmen jetzt tun können – und müssen
Wichtig vorab: Das Data Privacy Framework ist formal weiterhin gültig. Der Angemessenheitsbeschluss bleibt in Kraft, bis die EU-Kommission ihn widerruft oder der EuGH ihn für nichtig erklärt. Ein Klageverfahren dauert erfahrungsgemäß zwei bis drei Jahre. Es besteht also kein Grund zur Panik, aber sehr wohl Handlungsbedarf:
- Datenflüsse inventarisieren: Verschaffen Sie sich einen vollständigen Überblick, welche Dienste personenbezogene Daten in die USA übermitteln und auf welcher Rechtsgrundlage (DPF, SCCs, BCRs). Das Verzeichnis von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO ist dafür der richtige Ausgangspunkt.
- Transfer-Folgenabschätzungen aktualisieren: Bestehende TIAs, die auf die Unabhängigkeit von FTC oder Data Protection Review Court verweisen, müssen neu bewertet werden.
- SCCs als zweites Standbein etablieren: Wer sich bislang ausschließlich auf das Data Privacy Framework stützt, sollte mit US-Anbietern zusätzlich Standardvertragsklauseln vereinbaren – viele Anbieter bieten dies bereits standardmäßig an.
- Technische Schutzmaßnahmen ausbauen: Ende-zu-Ende- und clientseitige Verschlüsselung der Daten reduzieren das Transferrisiko unabhängig von der Rechtslage erheblich.
- Europäische Alternativen prüfen: Für besonders sensible Daten (Gesundheits-, HR- und Kundendaten) lohnt die Evaluierung europäischer Cloud- und Software-Anbieter – nicht aus Prinzip, sondern aus strategischem Pragmatismus.
- Exit-Fähigkeit sicherstellen: Bauen Sie Ihre Datenverarbeitung so auf, dass ein Anbieterwechsel im Ernstfall ohne Betriebsunterbrechung möglich ist.
- Entwicklung beobachten: Verfolgen Sie die Reaktion der EU-Kommission, das angekündigte noyb-Verfahren („Schrems III“) sowie das laufende „Latombe”-Verfahren vor dem EuG. Beide Verfahren sind nach dem jeweiligen Kläger benannt.
Fazit: Kein Todesstoß – aber ein Weckruf für digitale Souveränität
Das Urteil Trump v. Slaughter beendet den transatlantischen Datentransfer nicht über Nacht. Das EU-US Data Privacy Framework gilt formal weiter. Doch die strukturelle Schwäche des Abkommens ist nun offensichtlicher denn je: Ein Datenschutzrahmen, der auf der Unabhängigkeit einer US-Behörde beruht, die es verfassungsrechtlich nicht mehr geben darf, steht auf tönernen Füßen. Nach Safe Harbor und Privacy Shield droht dem dritten Abkommen der EU mit den USA dasselbe Schicksal. Unternehmen sollten die verbleibende Zeit nutzen: Wer heute seine Datenflüsse dokumentiert, Risikoanalysen aktualisiert und Ausweichstrategien vorbereitet, muss morgen nicht hektisch reagieren. Digitale Souveränität ist damit endgültig kein Nice-to-have mehr, sondern strategische Notwendigkeit.







