Am 28. Juni 2026 entschied der US Supreme Court, dass die Federal Trade Commission keine unabhängige Behörde mehr sein darf. Damit bricht die zentrale Stütze des EU-US Data Privacy Frameworks weg. Auf genau diese Stütze hatte die EU-Kommission in ihrem Abkommen 259-mal ausdrücklich verwiesen. Für Unternehmen, die Daten in US-Cloud-Dienste auslagern, beginnt jetzt eine dringende Prüfphase.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDer EU-US-Datentransfer hat schon zwei Schrems-Urteile des EuGH überlebt. Das 2023 verabschiedete Abkommen war strukturell eine Kopie der gescheiterten Vorgänger Safe Harbour und Privacy Shield. Mit dem Urteil Trump v. Slaughter bricht die Grundlage diesmal weg, bevor noyb überhaupt klagen musste. Die Datenschutzorganisation fordert die EU-Kommission auf, die Angemessenheitsentscheidung für die USA geordnet zurückzuziehen.
Das Wichtigste in Kürze
- Der Supreme Court erklärt die FTC-Unabhängigkeit für verfassungswidrig (Trump v. Slaughter, 28. Juni 2026)
- Die EU-Kommission stützte das EU-US-Datentransfer-Abkommen 259-mal auf die unabhängige FTC
- Auch Unternehmen mit SCCs und BCRs sind betroffen: Ihre Folgenabschätzungen verwiesen auf PCLOB und DPRC
- noyb plant Klage vor dem EuGH; die Angemessenheitsentscheidung gilt formal noch weiter
Was steckt hinter der Entscheidung?
Die konservative Mehrheit im Supreme Court folgte der sogenannten „Unitary Executive“-Theorie: Der US-Präsident müsse vollständige Kontrolle über alle Exekutivbehörden haben. Damit sind alle US-Behörden, denen der Kongress per Gesetz Unabhängigkeit gewährt hat, rechtlich anfechtbar. Das betrifft nicht nur die FTC als Datenschutzhüterin, sondern auch das Privacy and Civil Liberties Oversight Board (PCLOB) und den Data Protection Review Court (DPRC). Auf genau diese Stellen verweisen Unternehmen in ihren Transfer Impact Assessments bei SCCs und Binding Corporate Rules. Laut noyb müssen diese Bewertungen jetzt alle aktualisiert werden, mit dem logischen Ergebnis, dass Datentransfers in die USA rechtlich nicht mehr haltbar sind.
Der dritte Akt eines bekannten Musters
Das Safe-Harbour-Abkommen starb 2015 durch Schrems I am EuGH, das Privacy Shield 2020 durch Schrems II. Bereits nach dem Safe-Harbour-Urteil durchliefen deutsche Unternehmen dieselben Fragen: Welche Rechtsgrundlage trägt bei US-Datenverarbeitungen? Das 2023er-Abkommen war im Kern eine Wiederholung. Der Unterschied jetzt: Die „Unitary Executive“-Theorie ist keine Trump-spezifische Entscheidung, sondern ein verfassungsrechtlicher Grundsatz, der unabhängig vom Präsidenten gilt. Selbst unter einer anderen Regierung ließe sich die FTC-Unabhängigkeit nicht per Exekutivorder wiederherstellen. Dafür bräuchte es entweder eine Kehrtwende des Supreme Courts oder ein neues Bundesgesetz.
Die EU-Kommission hat ein rechtliches Kartenhaus gebaut, das jetzt schon zum dritten Mal in sich zusammenfällt.
— Michael Dobler, Herausgeber Dr. Web
Was müssen Unternehmen jetzt tun?
Die Angemessenheitsentscheidung gilt formal weiter, bis die EU-Kommission sie widerruft oder der EuGH sie kippt. Eine sofortige Handlungspflicht besteht noch nicht, aber eine klare Prüfpflicht schon:
- Datentransfers in die USA vollständig inventarisieren und die genutzte Rechtsgrundlage dokumentieren
- TIAs bei SCCs und BCRs überprüfen, besonders Verweise auf PCLOB und DPRC aktualisieren
- EU-Datenhaltungsoptionen bei US-Cloud-Diensten prüfen und schrittweise umstellen
Datenschutzmanagement-Software hilft, Transfers systematisch zu erfassen. Auch im Rahmen der NIS2-Compliance sind Datenschutz-Risiken ohnehin zu dokumentieren. Beides lässt sich jetzt sinnvoll in einem Schritt erledigen. In den Cybersecurity-Grundlagen für KMU finden Sie alle aktuellen regulatorischen Anforderungen im Überblick. noyb plant die Klage vor dem EuGH in den nächsten Wochen; ein Urteil ist frühestens 2028 zu erwarten. Bis dahin gilt: Jetzt prüfen, nicht warten.
Mehr Newshunger?
