FTC-Urteil: EU-US Datentransfer wackelt – was jetzt zu tun ist
US-Urteil gegen FTC-Unabhängigkeit: Warum das EU-US Data Privacy Framework jetzt wackelt
Veröffentlicht: Juli 2026 | Kategorie: Datenschutz & Compliance
Am 29. Juni 2026 fällte der US Supreme Court ein Urteil, das weit über die Grenzen der Vereinigten Staaten hinauswirkt: Im Fall Trump v. Slaughter (Az. 25-332) erklärte das höchste US-Gericht mit 6:3 Stimmen die gesetzliche Regelung für verfassungswidrig, die die Entlassung von Kommissaren der Federal Trade Commission (FTC) nur aus bestimmten Gründen („for cause“) erlaubt. Diese Entscheidung untergräbt nicht nur die Unabhängigkeit einer der wichtigsten US-Regulierungsbehörden – sie erschüttert zugleich die rechtliche Grundlage des EU-US Data Privacy Framework (DPF), auf das sich tausende europäische Unternehmen für den transatlantischen Datenaustausch verlassen.
Was ist passiert: Das Urteil und seine unmittelbaren Folgen
Das Urteil des Supreme Court hebt eine fast 90 Jahre alte Rechtsprechung auf: Künftig können FTC-Kommissare vom US-Präsidenten jederzeit und ohne Angabe von Gründen entlassen werden. Damit endet die institutionelle Unabhängigkeit der Behörde, die seit 1935 als Schutz vor politischer Einflussnahme galt. Die Richter begründeten ihre Entscheidung mit der Gewaltenteilung („separation of powers“): Da die FTC exekutive Gewalt ausübe, müsse sie dem Präsidenten unterstehen.
Dieser Eingriff in die Behördenstruktur hat jedoch Konsequenzen, die weit über die FTC hinausgehen. Wie das Fachportal beck-aktuell.de in einer Analyse betont, könnte das Urteil auch andere Regulierungsbehörden wie die National Labor Relations Board (NLRB) oder das Merit Systems Protection Board (MSPB) betreffen und damit ein ganzes System unabhängiger Aufsichtsbehörden in den USA infrage stellen.
Warum das für den EU-US-Datentransfer relevant ist
Die Verbindung zwischen dem FTC-Urteil und dem transatlantischen Datenschutz ist direkt und gravierend: Der Angemessenheitsbeschluss der EU-Kommission zum DPF aus dem Jahr 2023 beruft sich 259 Mal auf die Unabhängigkeit der FTC als zentrale Datenschutzaufsichtsbehörde. Wie heise.de in einer aktuellen Reportage darlegt, war diese Unabhängigkeit das rechtliche Fundament für die Anerkennung der USA als Land mit „angemessenem Datenschutzniveau“ nach Art. 45 DSGVO.
Mit dem Wegfall der FTC-Unabhängigkeit entfällt damit eine der zentralen Säulen, auf der das DPF aufbaut. Das Framework regelt seit Juli 2023 die rechtssichere Übermittlung personenbezogener Daten aus der EU in die USA und damit den Datenaustausch für Unternehmen von der Cloud-Nutzung über Marketing-Tools bis hin zu HR-Systemen. Ohne eine unabhängige Aufsichtsbehörde, die die Einhaltung der Datenschutzregeln überwacht, verliert der Angemessenheitsbeschluss seine rechtliche Tragfähigkeit.
Was das NICHT bedeutet: Kein Grund zur Panik
Trotz der gravierenden rechtlichen Folgen bleibt das DPF formal in Kraft. Wie die Rechtsexperten Prof. Dr. Alexander Golland (beck-aktuell) und Rechtsanwalt Magnus Bergmann übereinstimmend betonen, gibt es keine sofortigen Konsequenzen in Form von Bußgeldern oder einem automatischen Stopp des Datentransfers. Der Angemessenheitsbeschluss gilt weiter, bis eine der beiden folgenden Instanzen ihn aufhebt:
- Die EU-Kommission zieht den Beschluss von sich aus zurück
- Der Europäische Gerichtshof (EuGH) erklärt ihn in einem neuen Verfahren für nichtig
Ebenso bleiben die Ausnahmen nach Art. 49 DSGVO (z. B. für gelegentliche Übermittlungen mit expliziter Einwilligung) unberührt. Unternehmen, die sich bereits auf alternative Mechanismen wie Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) stützen, sind ebenfalls nicht unmittelbar betroffen.
Einordnung: Der dritte Anlauf und ein bekanntes Muster
Die aktuelle Krise des DPF ist kein Einzelfall, sondern der dritte gescheiterte Anlauf für ein rechtssicheres EU-US-Datentransferabkommen:
- 2015: Safe Harbor vom EuGH im Urteil Schrems I für ungültig erklärt
- 2020: Privacy Shield vom EuGH im Urteil Schrems II gekippt
- 2023: Data Privacy Framework nun durch das FTC-Urteil in seiner Grundlage erschüttert
Die Datenschutzorganisation noyb.eu um Max Schrems hat bereits reagiert: Am 30. Juni 2026 richtete sie ein Schreiben an die EU-Kommission und forderte die umgehende Aufhebung des DPF. Parallel plant noyb, in den kommenden Wochen eine formelle Klage einzureichen, um die Sache vor den EuGH zu bringen. Sollte dieser dem Begehren stattgeben, stünde ein Schrems III-Urteil bevor mit möglicherweise ähnlichen Folgen wie seine Vorgänger.
Die Ironie der Geschichte: Während die EU nach jedem gekippten Abkommen versucht hat, die rechtlichen Rahmenbedingungen zu verbessern, wird das aktuelle Framework nun durch eine interne US-Entscheidung ausgehebelt nicht durch europäische Gerichte.
Was Unternehmen nach Expertenmeinung jetzt tun sollten
Die einhellige Empfehlung der Rechtsexperten lautet: Besonnenheit statt Panik, aber konkrete Handlungspläne entwickeln. Sowohl Golland als auch Bergmann raten zu folgenden Schritten:
1. Dateninventur durchführen
Unternehmen sollten unverzüglich eine vollständige Übersicht aller Datenflüsse in die USA erstellen. Dazu gehören:
- Welche Daten werden wohin übermittelt?
- Auf welcher Rechtsgrundlage (DPF, SCCs, BCRs, Art. 49 DSGVO)?
- Welche Dienstleister und Subunternehmer sind betroffen?
2. Fallback-Pläne vorbereiten
Da das DPF zwar formal weitergilt, seine rechtliche Stabilität aber stark angezweifelt wird, sollten Unternehmen alternative Mechanismen prüfen und vorhalten:
- Standardvertragsklauseln (SCCs) mit zusätzlichen technischen und organisatorischen Maßnahmen (TOMs)
- Transfer Impact Assessments (TIA) für jeden einzelnen Datenexport
- Lokale Verarbeitungsalternativen (On-Premise oder europäische Cloud-Anbieter)
3. Nicht reflexhaft auf SCCs ausweichen
Wie Magnus Bergmann explizit warnt, sind Standardvertragsklauseln kein Allheilmittel. Auch sie erfordern eine individuelle Prüfung der konkreten Umstände insbesondere vor dem Hintergrund der US-Überwachungsgesetze wie FISA 702 oder Executive Order 12333, die bereits in den Schrems-Urteilen eine zentrale Rolle spielten.
4. Contractual Safeguards überprüfen
Unternehmen, die bereits SCCs nutzen, sollten prüfen, ob ihre Verträge ausreichende zusätzliche Garantien enthalten, um den Anforderungen der Schrems-II-Rechtsprechung gerecht zu werden. Dazu zählen insbesondere:
- Verpflichtungen des US-Dienstleisters zur Offenlegung von Regierungsanfragen
- Rechtliche Möglichkeiten für Betroffene, ihre Rechte geltend zu machen
- Technische Maßnahmen zur Minimierung des Zugriffs durch US-Behörden
Bezug zu CI4U: Warum lokale KI-Verarbeitung strukturell unabhängig bleibt
Die aktuelle Entwicklung bestätigt eine Kernaussage, die CI4U seit Langem vertritt: Die Abhängigkeit von ausländischer Cloud- und KI-Infrastruktur birgt strukturielle Risiken, die sich nicht durch vertragliche Regelungen allein ausschließen lassen. Während Unternehmen, die auf US-Dienste setzen, nun erneut vor der Frage stehen, wie sie ihre Datenflüsse rechtssicher gestalten können, bleibt die lokale, On-Premise-Verarbeitung von dieser Art von Ereignissen grundsätzlich unberührt.
Wie auf der Seite /warum-lokale-ki/ ausführlich dargestellt, vermeidet eine lokale KI-Infrastruktur genau diese Abhängigkeiten:
- Keine Datenübermittlung in Drittländer und damit keine Abhängigkeit von Angemessenheitsbeschlüssen
- Volle Kontrolle über die Verarbeitungsumgebung ohne externe Zugriffsmöglichkeiten durch ausländische Behörden
- DSGVO-konforme Verarbeitung ohne die Notwendigkeit komplexer Transfermechanismen
Das bedeutet nicht, dass CI4U-Kunden in Sicherheit sind eine solche pauschale Aussage wäre weder seriös noch den komplexen rechtlichen Realitäten angemessen. Es bedeutet jedoch, dass sie nicht von den aktuellen Entwicklungen um das DPF betroffen sind und ihre Compliance-Strategie nicht kurzfristig anpassen müssen.
Fazit: Ein Weckruf für digitale Souveränität
Das Urteil Trump v. Slaughter ist mehr als eine juristische Fußnote es ist ein Weckruf für europäische Unternehmen. Es zeigt erneut, dass die Abhängigkeit von US-Infrastruktur nicht nur ein technisches, sondern ein strukturelles Compliance-Risiko darstellt. Während die rechtliche Diskussion um das DPF in den kommenden Wochen und Monaten weitergehen wird, sollten Unternehmen die aktuelle Situation als Anlass nehmen, ihre Datenstrategie grundlegend zu überdenken.
Die Empfehlung der Experten ist klar: Keine überstürzten Entscheidungen treffen, aber jetzt die Weichen für mehr digitale Souveränität stellen. Wer heute in lokale Alternativen investiert, vermeidet morgen den nächsten Schrems-Effekt.
Die auf dieser Seite genannten Informationen entsprechen unserem aktuellen Kenntnisstand zum Zeitpunkt der Veröffentlichung und werden regelmäßig aktualisiert. Sie stellen keine Rechtsberatung dar. CI4U übernimmt keine Haftung für die Vollständigkeit oder Aktualität einzelner Angaben — insbesondere bei sich ändernden gesetzlichen Rahmenbedingungen (z. B. EU AI Act, DSGVO) empfehlen wir die Abstimmung mit einer spezialisierten Kanzlei oder Ihrem Datenschutzbeauftragten.
Quellen:
- heise.de: Kartenhaus: Wie ein US-Urteil den transatlantischen Datenfluss sprengen könnte
- beck-aktuell.de: Federal Trade Commission: Das Ende transatlantischer Datentransfers?
- noyb.eu: US Supreme Court just blew up EU-US Data Transfers
- ChannelPartner: Damoklesschwert über Datenaustausch mit den USA
- Faegre Drinker Biddle & Reath LLP: Supreme Court Decides Trump v. Slaughter
