Ein Urteil zur US-Behördenstruktur reißt das EU-US-Datenabkommen mit sich

Ein Urteil zur US-Behördenstruktur reißt das EU-US-Datenabkommen mit sich


Ein Streit um die Entlassung einer FTC-Kommissarin hat mit Datenschutz auf den ersten Blick wenig zu tun. Auf den zweiten Blick hat der US Supreme Court damit die Säule entfernt, auf der die gesamte Rechtsgrundlage für Datentransfers von der EU in die USA ruht.

07/07/2026

Ein Urteil zur US-Behördenstruktur reißt das EU-US-Datenabkommen mit sich

Ein Streit um die Entlassung einer FTC-Kommissarin hat mit Datenschutz auf den ersten Blick wenig zu tun. Auf den zweiten Blick hat der US Supreme Court damit die Säule entfernt, auf der die gesamte Rechtsgrundlage für Datentransfers von der EU in die USA ruht.

Manchmal reicht ein einziges Urteil und schon schwankt ein transatlantisches Datenschutzabkommen. Am 29. Juni 2026 hat der Oberste Gerichtshof der USA im Verfahren Trump v. Slaughter entschieden, dass die Federal Trade Commission (FTC) nicht länger unabhängig vom Präsidenten agieren darf. Die Richtermehrheit folgt damit der sogenannten „Unitary Executive Theory". Der US-Präsident soll die Kontrolle über sämtliche Exekutivbehörden behalten, unabhängige Kommissionen eingeschlossen. Das Gericht erklärte die gesetzlichen Unabhängigkeitsgarantien für US-Behörden pauschal für verfassungswidrig. Das gilt über den konkreten FTC-Fall hinaus.

Was in Washington wie ein innenpolitischer Kompetenzstreit wirkt, hat in Brüssel sofort Alarm ausgelöst. Denn genau diese FTC ist seit dem Jahr 2000 die zentrale Figur jedes EU-US-Datenabkommens.

Warum ausgerechnet die FTC das Nadelöhr ist

Das EU-Vertragsrecht verlangt in Artikel 16 Absatz 2 AEUV und Artikel 8 Absatz 3 der Grundrechtecharta ausdrücklich eine unabhängige Aufsicht über den Datenschutz. Will die EU-Kommission einem Drittstaat ein „angemessenes" Datenschutzniveau bescheinigen, muss dort auch eine unabhängige Behörde wachen. Die USA haben dafür stets auf die FTC verwiesen. Die EU-Kommission hat sich in ihrem aktuellen Angemessenheitsbeschluss zum EU-US Data Privacy Framework laut der Datenschutzorganisation noyb 259-mal auf genau diese Unabhängigkeit gestützt.

Diese Zahl zeigt, wie zentral die Konstruktion war. Und wie schwach das Fundament, auf dem sie stand. Denn schon vorher galt das Abkommen als fragil. Es ist bereits die dritte Auflage nach „Safe Harbor" und „Privacy Shield", die beide vom Europäischen Gerichtshof für unwirksam erklärt wurden. Es beruht auf US-Seite lediglich auf einer Executive Order, die jede neue Administration ändern oder aufheben kann. Auch das ergänzende Kontrollgremium, der „Data Protection Review Court", ist keine echte Justizbehörde, sondern eine Stelle im US-Justizministerium. Auch seine Unabhängigkeit existiert nur per Verfügung.

Formal gilt der Beschluss weiter, faktisch fehlt die Basis

Der Angemessenheitsbeschluss der EU-Kommission fällt nicht automatisch. Er bleibt in Kraft, bis ihn die Kommission zurücknimmt oder der EuGH ihn für nichtig erklärt, so wie bei Safe Harbor und Privacy Shield. Rechtlich können Unternehmen sich weiterhin auf das Data Privacy Framework berufen.

Wer Standardvertragsklauseln (engl.: Standard Contractual Clauses, SCCs) oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) nutzt, sitzt damit nicht automatisch auf der sicheren Seite. Diese Instrumente verlangen eine eigene Transfer-Folgenabschätzung (engl.: Transfer Impact Assessments, TIAs). Diese Bewertung stützt sich in aller Regel auf dieselbe US-Aufsichtsstruktur, die jetzt weggebrochen ist. Wer sie nach bestem Wissen aktualisiert, kann kaum zu einem anderen Ergebnis gelangen, als dass die Grundlage entfallen ist. Der fortbestehende Kommissionsbeschluss reicht als Absicherung nicht aus.

Die Reaktion aus Wien

Max Schrems und seine Organisation noyb haben bereits Safe Harbor und Privacy Shield vor Gericht zu Fall gebracht. Sie haben die EU-Kommission in einem offiziellen Schreiben aufgefordert, den Angemessenheitsbeschluss in einem geordneten Verfahren selbst aufzuheben, statt ein weiteres Gerichtsverfahren abzuwarten. Sein Argument: Ohne unabhängige Behörden in den USA fehlt die Grundlage für jedes Abkommen, das genau darauf aufbaut. Ein einstimmiger Beschluss aller Mitgliedstaaten zur Änderung der EU-Verträge könnte diese Anforderung theoretisch aus dem Weg räumen. Politisch ist das nicht in Sicht. Parallel kündigt noyb eine neue Klage vor dem EuGH an. Bis zu einer Entscheidung dürften, wie bei den Vorgängerverfahren, zwei bis drei Jahre vergehen. Die EU-Kommission lässt bislang lediglich verlauten, man prüfe das Urteil und seine Folgen.

Was Unternehmen jetzt tun sollten

Der fortbestehende Kommissionsbeschluss reicht als Absicherung nicht mehr aus. Vier Punkte gehören jetzt auf die Agenda:

  • Transfer-Folgenabschätzungen prüfen. Wer TIAs auf Basis von SCCs oder BCRs führt, sollte die Bewertung der US-Rechtslage jetzt aktualisieren. Die bisherige Argumentation über eine unabhängige Aufsicht trägt nicht mehr.
  • Abhängigkeiten identifizieren. Einige Unternehmen wissen aktuell nicht genau, an welchen Stellen ihrer Cloud- und SaaS-Landschaft personenbezogene Daten in die USA fließen. Ohne diese Übersicht lässt sich weder eine TIA erstellen/aktualisieren noch eine Exit-Option bewerten.
  • Exit-Optionen bewerten. Ein abrupter Ausstieg aus US-Diensten ist für die wenigsten Organisationen kurzfristig machbar. Sinnvoller ist es, jetzt zu prüfen, wo europäische Alternativen oder getrennte EU-Instanzen bestehender Anbieter infrage kommen und wo nicht.
  • Entwicklung verfolgen. Zwischen einer möglichen Rücknahme durch die Kommission und einem EuGH-Urteil können Jahre liegen. In dieser Übergangsphase entscheidet sich, wer vorbereitet ist.

Das EU-US Data Privacy Framework ist formal nicht beendet. Es beruht auf einer Aufsichtsstruktur, die der Supreme Court gerade für nicht unabhängig erklärt hat. Zwar behält die FTC ihre gesetzlichen Befugnisse, jedoch steht ihre Unabhängigkeit infrage. Ob über die Berufung von Latombe beim EuGH, einer weiteren Klage von noyb oder einen eigenen Beschluss der Kommission: Bis zu einer Entscheidung aus Brüssel oder Luxemburg dürften nach bisherigem Muster noch Jahre vergehen. Wer diese Zeit nutzt, um eigene Datentransfers in die USA zu identifizieren, Konsequenzen einer Aufhebung des Angemessenheitsbeschlusses abzuschätzen und sich Handlungsoptionen zu überlegen, steht am Tag der Entscheidung nicht unvorbereitet da.

Bei Unsicherheiten zu den Folgen des Urteils schreiben Sie mir gerne unter henri.vershoven@complion.de. Ich freue mich auf den Austausch.