Warum ein Urteil des US Supreme Court das EU-US Data Privacy Framework infrage stellt
Ein aktuelles Urteil des US Supreme Court setzt das EU-US Data Privacy Framework erneut unter Druck. Bereits nach dem Amtsantritt von Präsident Trump haben wir auf die strukturelle Angreifbarkeit des EU-US Data Privacy Framework hingewiesen. Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten die Entwicklung aufmerksam verfolgen.

Das Wichtigste in Kürze
- Der US Supreme Court hat die gesetzliche Unabhängigkeit der Federal Trade Commission (FTC) für verfassungswidrig erklärt.
- Die FTC ist eine der zentralen Kontrollinstanzen, auf die sich das EU-US Data Privacy Framework stützt.
- Damit gerät die Transfergrundlage für Datenübermittlungen in die USA erneut ins Wanken.
- Der Angemessenheitsbeschluss bleibt vorerst in Kraft.
- Unmittelbare Bußgelder allein wegen des Urteils drohen derzeit nicht.
- Mittelbar betroffen sein können auch Standardvertragsklauseln und konzerninterne Datenschutzregeln.
Was hat der US Supreme Court entschieden?
Am 29. Juni 2026 hat der Oberste Gerichtshof der Vereinigten Staaten (US Supreme Court) in der Rechtssache Trump v. Slaughter (No. 25-332) ein Urteil gefällt, das weit über das amerikanische Verfassungsrecht hinausreicht.
Auslöser des Verfahrens war die Entlassung zweier Mitglieder der Federal Trade Commission (FTC) durch Präsident Trump im März 2025. Nach dem bisherigen US-Recht durften Mitglieder der FTC nur aus wichtigem Grund abberufen werden, etwa wegen einer Pflichtverletzung. Einen solchen Grund nannte das Entlassungsschreiben nicht. Es verwies allein auf die politischen Prioritäten der Regierung.
Die Vorinstanzen hielten die Entlassung deshalb für rechtswidrig. Der Supreme Court sah dies anders und gab dem Präsidenten recht. Die Begründung des Gerichts lässt sich vereinfacht so zusammenfassen: Der Präsident müsse Behörden steuern können, die Bundesgesetze vollziehen. Dazu zählt nach Auffassung des Supreme Court auch die FTC, weil sie Verfahren führt, Unternehmen kontrolliert und Sanktionen verhängen kann.
Damit gab das Gericht eine über neunzig Jahre alte Grundregel aus der Entscheidung Humphrey’s Executor v. United States aus dem Jahr 1935 auf. Diese Entscheidung hatte unabhängige Bundesbehörden bislang vor einem unmittelbaren Zugriff des Präsidenten geschützt.
Am selben Tag entschied der Supreme Court in einem anderen Fall allerdings anders. In der Sache Trump v. Cook (No. 25A312) untersagte das Gericht dem Präsidenten vorläufig, eine Gouverneurin der US-Notenbank (Federal Reserve) zu entlassen. Die Notenbank behandelte das Gericht ausdrücklich als Sonderfall. Für die FTC gilt dieser besondere Schutz nach dem Urteil nicht.
Warum das Urteil Datentransfers in die USA betrifft
Nach der Datenschutz-Grundverordnung (DSGVO) dürfen personenbezogene Daten nur dann in ein Land außerhalb der Europäischen Union übermittelt werden, wenn dort ein angemessenes Datenschutzniveau besteht. Die Europäische Kommission kann ein solches Schutzniveau durch einen sogenannten Angemessenheitsbeschluss feststellen. Für die USA gibt es einen solchen Beschluss seit dem 10. Juli 2023: das EU-US Data Privacy Framework.
Ein angemessenes Datenschutzniveau setzt aber nicht nur Datenschutzregeln auf dem Papier voraus. Entscheidend ist auch, ob diese Regeln wirksam und unabhängig durchgesetzt werden. Aus europäischer Sicht muss eine Datenschutzaufsicht ihre Aufgaben frei von politischer Einflussnahme wahrnehmen können. Hier liegt das Problem.
Im EU-US Data Privacy Framework übernimmt die FTC eine zentrale Kontrollfunktion. Sie soll sicherstellen, dass zertifizierte US-Unternehmen die Datenschutzvorgaben einhalten. Wenn diese Behörde nun stärker dem Präsidenten unterstellt ist, stellt sich die Frage, ob sie die unabhängige Aufsicht noch gewährleisten kann, auf die sich der Angemessenheitsbeschluss stützt.
Nach Angaben der Datenschutzorganisation noyb wird die unabhängige Rolle der FTC in der Angemessenheitsentscheidung der Europäischen Kommission 259-mal erwähnt. Das verdeutlicht, wie wichtig die Unabhängigkeit der Datenschutzaufsicht für die Entscheidung der EU-Kommission war.
Das Muster ist nicht neu. Bereits die Vorgängerregelungen „Safe Harbor“ und „Privacy Shield“ wurden vom Europäischen Gerichtshof (EuGH) in den Entscheidungen Schrems I und Schrems II für unwirksam erklärt. Auch damals ging es im Kern um die Frage, ob personenbezogene Daten aus der EU in den USA ausreichend geschützt sind. Die Anforderungen, die der EuGH damals aufgestellt hat, haben wir im Beitrag zum Urteil über das Privacy Shield dargestellt.
Sind auch Standardvertragsklauseln betroffen?
Nicht jeder Verantwortliche stützt Datentransfers in die USA derzeit auf das EU-US Data Privacy Framework. Eine verbreitete Alternative sind die Standardvertragsklauseln. Doch auch sie sind durch die aktuelle Entwicklung mittelbar betroffen.
Standardvertragsklauseln sind von der Europäischen Kommission vorformulierte Vertragsmuster. Sie verpflichten Datenexporteur und Datenimporteur zu bestimmten Datenschutzstandards. Nach der Rechtsprechung des EuGH reicht der bloße Abschluss dieser Klauseln jedoch nicht aus.
Unternehmen müssen zusätzlich prüfen, ob im Empfängerland tatsächlich ein im Wesentlichen gleichwertiges Datenschutzniveau besteht. Diese Prüfung wird als Transfer-Folgenabschätzung (Transfer Impact Assessment) bezeichnet. Wie eine solche Prüfung mit Bezug auf das Data Privacy Framework aufgebaut wird, erläutern wir im Beitrag zum EU-U.S. Data Privacy Framework .
Bei US-Transfers stützen sich solche Prüfungen häufig auf zusätzliche Kontrollmechanismen. Dazu zählen etwa der Data Protection Review Court oder das Privacy and Civil Liberties Oversight Board. Auch deren Unabhängigkeit beruht wesentlich auf Zusicherungen der US-Regierung, unter anderem auf einer Anordnung des früheren Präsidenten, einer sogenannten Executive Order.
Das Supreme-Court-Urteil betrifft diese Stellen nicht unmittelbar. Es kann aber die Gesamtbewertung des US-Schutzniveaus beeinflussen. Deshalb sollten auch Unternehmen, die Standardvertragsklauseln oder konzerninterne Datenschutzregeln nutzen, ihre bisherigen Bewertungen überprüfen.
Bedeutung für Unternehmen
Trotz des Urteils bleibt der Angemessenheitsbeschluss zunächst wirksam. Er verliert seine Wirkung erst, wenn die Europäische Kommission ihn zurücknimmt oder der EuGH ihn für unwirksam erklärt.
Unternehmen können sich daher weiterhin auf den Angemessenheitsbeschluss berufen, sofern der jeweilige US-Dienstleister entsprechend zertifiziert ist. Auch Bußgelder allein aufgrund des Supreme-Court-Urteils sind derzeit nicht zu erwarten.
Offen ist allerdings, wie die Europäische Kommission auf die Entscheidung reagieren wird. Eine kurzfristige Aufhebung des Angemessenheitsbeschlusses scheint politisch eher unwahrscheinlich. Die Datenschutzorganisation noyb hat die EU-Kommission jedoch bereits zur Aufhebung des Beschlusses aufgefordert und angekündigt, den Angemessenheitsbeschluss erneut gerichtlich überprüfen zu lassen.
Solche Verfahren benötigen erfahrungsgemäß Zeit. Das Verfahren Schrems II dauerte von der Klage bis zum Urteil des Europäischen Gerichtshofs rund fünf Jahre. Kurzfristige Änderungen der Rechtslage sind daher derzeit eher nicht zu erwarten.
Unabhängig von der aktuellen Rechtslage führt das Urteil erneut vor Augen, wie stark viele Unternehmen von US-Dienstleistern und den dortigen politischen sowie gerichtlichen Entwicklungen abhängig sind. Verantwortliche sollten diese Entwicklung zum Anlass nehmen, ihre Datentransfers in die USA und die zugrunde liegenden Transfergrundlagen zu überprüfen. Gleichzeitig kann es sinnvoll sein, die eigene IT- und Cloud-Strategie kritisch zu hinterfragen und zu prüfen, wie sich die digitale Souveränität des Unternehmens stärken sowie Abhängigkeiten von einzelnen Anbietern schrittweise reduzieren lassen.
Fazit
Das Urteil des US Supreme Court hebt das EU-US Data Privacy Framework nicht automatisch auf. Es stellt jedoch eine zentrale Annahme infrage, auf der der Angemessenheitsbeschluss beruht: die unabhängige Durchsetzung des Datenschutzes durch die Federal Trade Commission.
Für Unternehmen besteht daher derzeit kein Anlass für überstürzte Maßnahmen. Die Entscheidung zeigt aber erneut, dass Datentransfers in die USA rechtlich nicht dauerhaft als selbstverständlich angesehen werden können.
Praxis-Tipps
- Prüfen Sie, ob und an welchen Stellen Ihr Unternehmen personenbezogene Daten in die USA übermittelt. Verschaffen Sie sich hierfür einen Überblick über alle eingesetzten Dienstleister sowie deren Unterauftragnehmer.
- Prüfen Sie anhand Ihrer Verträge mit den Dienstleistern, auf welcher Transfergrundlage die Übermittlungen beruhen und ob die Verträge zusätzlich Standardvertragsklauseln als Absicherung vorsehen.
- Identifizieren Sie Geschäftsprozesse, die bei einem Wegfall des Angemessenheitsbeschlusses rechtliche oder operative Risiken bergen.
- Prüfen Sie, in welchen Bereichen sich Abhängigkeiten von einzelnen US-Dienstleistern reduzieren und tragfähige Alternativen aufbauen lassen.
Wir halten Sie in unserem Blog über die weitere Entwicklung auf dem Laufenden. Wenn Sie Ihre Datentransfers in die USA überprüfen oder Ihr Unternehmen langfristig datenschutzkonform und digital souverän aufstellen möchten, kontaktieren Sie uns gerne.
Sofortdatenschutz – Kontaktaufnahme
„*“ zeigt erforderliche Felder an



