transatlantic

Trump v. Slaughter: Dem EU-US-Datentransfer fehlt jetzt die Rechtsgrundlage

Michael Mrak

Michael Mrak

5 Min. Lesezeit
Teilen
Trump v. Slaughter: Dem EU-US-Datentransfer fehlt jetzt die Rechtsgrundlage
Photo by Compagnons / Unsplash

Am 29. Juni 2026 hat der US Supreme Court in Trump v. Slaughter (No. 25-332) entschieden, dass die gesetzlich abgesicherte Unabhängigkeit der Federal Trade Commission (FTC) verfassungswidrig ist. Die Entscheidung wirkt auf den ersten Blick wie eine inneramerikanische Frage des Verwaltungsrechts. Tatsächlich trifft sie einen tragenden Pfeiler des EU-US Data Privacy Framework (DPF) und damit die wesentlichste rechtliche Grundlage, auf der ein erheblicher Teil der Datenexporte aus der EU in die USA beruht.

Dieser Beitrag fasst die Kernaussagen zusammen, ordnet die rechtlichen Folgen ein und beschreibt, was Verantwortliche im Sinne der DSGVO jetzt konkret tun müssen.

Was der Supreme Court entschieden hat

Mit 6:3 hat die konservative Mehrheit des Gerichts den Präzedenzfall Humphrey's Executor v. United States aus dem Jahr 1935 verworfen. Seit damals galt, dass der Kongress die Mitglieder von Aufsichtsbehörden wie der FTC mit Kündigungsschutz ausstatten darf, also einer Absetzung nur aus wichtigem Grund ("for cause"). Genau diese Absicherung erklärt das Gericht nun für unvereinbar mit der Gewaltenteilung.

Hintergrund war die Entlassung der demokratischen FTC-Kommissarin Rebecca Slaughter durch Präsident Trump im März 2025, ohne Angabe eines gesetzlichen Grundes. Das Gericht folgt der sogenannten Unitary-Executive-Theorie: Der Präsident muss Kontrolle über alle Behörden der Exekutive ausüben können. Kommissarinnen und Kommissare der FTC werden damit faktisch zu jederzeit absetzbaren Amtsträgern, die im Belieben des Präsidenten stehen.

Bemerkenswert ist die Abgrenzung im Parallelverfahren Trump v. Cook: Dort hielt das Gericht die Unabhängigkeit der Federal Reserve ausdrücklich aufrecht. Die Argumentation ist also nicht pauschal auf jede US-Behörde übertragbar. Für klassische Vollzugsbehörden wie die FTC, die Recht durchsetzt und Aufsicht ausübt, greift sie hingegen unmittelbar.

Warum das den Datentransfer trifft

Das EU-Primärrecht verlangt für die Aufsicht über den Datenschutz eine unabhängige Behörde. Maßgeblich sind Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 der EU-Grundrechtecharta. Ein Drittland kann nur dann ein angemessenes Schutzniveau im Sinne von Art. 45 DSGVO bieten, wenn es dieser Anforderung im Wesentlichen gleichwertig entspricht.

Genau diese Rolle hat die FTC im DPF übernommen. Der Durchführungsbeschluss (EU) 2023/1795 verweist mehr als 250 Mal auf die FTC als unabhängige Vollzugsinstanz. Mit der Slaughter-Entscheidung ist die Unabhängigkeit, auf die sich die Kommission gestützt hat, entfallen. Andere im Beschluss erwähnte Stellen, etwa das Department of Transportation oder private Streitschlichtungsmechanismen, haben keine vergleichbare horizontale Durchsetzungsfunktion und unterliegen, soweit es sich um Exekutivbehörden handelt, derselben Logik des Urteils.

Betroffen ist auch die zweite Säule des DPF, der Rechtsschutz gegen Überwachungsmaßnahmen. Der mit Executive Order 14086 geschaffene "Data Protection Review Court" ist kein Gericht im Sinne von Art. 47 der Charta, sondern eine Stelle innerhalb des US-Justizministeriums. Seine "Unabhängigkeit" beruhte ausschließlich auf einer präsidialen Anordnung, die jederzeit widerrufbar ist.

Lässt das US-Verfassungsrecht eine unabhängige Exekutivbehörde nicht einmal per Gesetz zu, kann sie erst recht nicht durch eine Executive Order entstehen.

Dieselbe Überlegung trifft das Privacy and Civil Liberties Oversight Board (PCLOB).

Daraus ergibt sich ein struktureller Konflikt: Das EU-Primärrecht fordert unabhängige Aufsicht, die US-Verfassung verbietet sie in dieser Form nun. Dieser Widerspruch lässt sich weder durch einen Regierungswechsel in Washington noch kurzfristig auflösen. Er bestünde bis zu einer einstimmigen Änderung der EU-Verträge oder einer Neuausrichtung des US-Verfassungsrechts fort.

Wie ist die Rechtslage jetzt tatsächlich

Hier ist Nüchternheit wichtig. Der Angemessenheitsbeschluss bleibt formal in Kraft, bis ihn die Kommission aufhebt oder der EuGH ihn für nichtig erklärt. Es tritt also keine automatische Unwirksamkeit ein. Wer Daten heute auf Basis des DPF überträgt, bewegt sich formal noch innerhalb eines geltenden Beschlusses.

Das ändert nichts daran, dass die tragende Begründung dieses Beschlusses entfallen ist. Drei Punkte sind dabei zentral:

Erstens betrifft das Urteil nicht nur Unternehmen, die sich direkt auf das DPF stützen. Wer Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder Binding Corporate Rules verwendet, stützt sich im erforderlichen Transfer Impact Assessment regelmäßig auf dieselben US-Stellen, also auf PCLOB und den Data Protection Review Court. Diese Bewertungsgrundlage ist nun hinfällig. Anders als beim formalen Angemessenheitsbeschluss gibt es hier keinen Bestandsschutz: Die Folgenabschätzung muss unmittelbar aktualisiert werden, und sie führt bei sauberer Anwendung der Schrems-II-Logik zum Ergebnis, dass der Transfer nicht mehr tragfähig ist.

Zweitens regelt die DSGVO nur die Übermittlung personenbezogener Daten. Nicht personenbezogene Daten dürfen frei fließen.

Drittens erlaubt Art. 49 DSGVO weiterhin erforderliche Einzeltransfers, etwa zur Vertragserfüllung. Diese Ausnahmen decken aber keine strukturelle, dauerhafte Auslagerung von Datenbeständen, sondern nur den gelegentlichen, tatsächlich notwendigen Einzelfall.

noyb hat die Kommission mit Schreiben vom 30. Juni 2026 aufgefordert, den Beschluss geordnet aufzuheben und Übergangsfristen vorzusehen. Parallel ist eine Klage zur Nichtigerklärung angekündigt, die erfahrungsgemäß zwei bis drei Jahre bis zur Entscheidung benötigt.

Verantwortliche sollten sich nicht auf einen schnellen politischen Reparaturversuch verlassen, sondern den strukturellen Charakter des Problems ernst nehmen.

Was Verantwortliche jetzt tun müssen

Der Handlungsbedarf ist abgestuft. Wer SCC oder BCR nutzt, hat ihn sofort, wer auf das DPF baut, mit kurzem Vorlauf. Die folgenden Schritte sind die Pflichtübung, um nachweisbar im rechtlich vertretbaren Bereich zu bleiben.

  • Transferinventar erstellen oder aktualisieren. Aus dem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) ableiten, welche Verarbeitungen Daten in die USA übermitteln, an welche Auftragsverarbeiter, und auf welcher Transfergrundlage (DPF, SCC, BCR, Art. 49).
  • Transfer Impact Assessments neu bewerten. Jede Folgenabschätzung, die sich auf die Unabhängigkeit von FTC, PCLOB oder Data Protection Review Court gestützt hat, ist neu zu beurteilen. Maßstab bleibt die Schrems-II-Rechtsprechung und die EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen.
  • Zusätzliche Schutzmaßnahmen prüfen. Verschlüsselung mit ausschließlich in der EU gehaltenen Schlüsseln, Pseudonymisierung oder Datenhaltung in EU-Regionen können das Risiko senken. Ihre Wirkung ist aber begrenzt, weil der US-Anbieter ohnedies aufgrund von FISA 702 oder dem CLOUD Act Zugriff auf Klardaten hat oder erlangen kann.
  • Art. 49 nicht überdehnen. Die Ausnahmen taugen für notwendige Einzelfälle, nicht als Dauerlösung für ausgelagerte Standarddienste.
  • Verträge und Anbieter prüfen. Bei Auftragsverarbeitern abklären, ob ein echter EU Data Boundary mit lokaler Verarbeitung und EU-Schlüsselhoheit angeboten wird, und die Auftragsverarbeitungsverträge entsprechend nachschärfen.
  • Betroffeneninformation und Dokumentation nachziehen. Datenschutzhinweise nach Art. 13 und 14 DSGVO aktualisieren, die getroffene Risikoabwägung dokumentieren und damit die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllen.
  • Exit- und Souveränitätsplanung starten. Für kritische Verarbeitungen ist es jetzt höchste Zeit europäische oder selbstbetriebene Alternativen zu evaluieren und einen realistischen Migrationspfad festlegen, statt auf eine sowieso unwahrscheinliche politische Lösung zu warten.

Wer diese Schritte dokumentiert, kann gegenüber Aufsichtsbehörden und Betroffenen belegen, dass die Lage erkannt und behandelt wurde. Genau das ist der Unterschied zwischen einem vertretbaren Restrisiko und einem fahrlässigen Weiterbetrieb.

Ist US Big Tech jetzt überhaupt noch verwendbar?

Die ehrliche Antwort lautet: vorerst noch ja, aber auf rasant abnehmender rechtlicher Grundlage. Der Angemessenheitsbeschluss ist nicht aufgehoben, ein Datentransfer in die USA ist derzeit noch nicht automatisch rechtswidrig. Die tragende Begründung dieses Beschlusses ist jedoch entfallen, und das lässt sich nicht wegargumentieren.

Differenziert betrachtet:

Nicht personenbezogene Daten lassen sich weiterhin ohne Transferbeschränkung verarbeiten. Erforderliche Einzeltransfers über Art. 49 DSGVO bleiben möglich. Für die strukturelle Auslagerung personenbezogener Standarddaten an US-Hyperscaler wird die Begründungslast dagegen deutlich schwerer. Technische Schutzmaßnahmen und EU-Data-Boundary-Angebote senken das Risiko, beseitigen es aber nicht, solange ein dem US-Recht unterworfenes Unternehmen Zugriff auf Klardaten erlangen kann.

Realistisch heißt das: US Big Tech ist nicht von heute auf morgen unbrauchbar, aber der Betrieb läuft auf Zeit. Verantwortliche, die jetzt mit Inventar, neuer Folgenabschätzung und einer ernsthaften Souveränitätsstrategie beginnen, verschaffen sich Handlungsspielraum. Wer abwartet, riskiert, beim nächsten Schritt der Kommission oder des EuGH ohne Plan dazustehen.

Die Entscheidung in Trump v. Slaughter ist damit weniger ein Einzelereignis als ein weiteres, deutliches Signal, die Abhängigkeit von US-Infrastruktur strategisch zu reduzieren.

Quellen: US Supreme Court, Trump v. Slaughter, No. 25-332, Entscheidung vom 29. Juni 2026; Durchführungsbeschluss (EU) 2023/1795 (EU-US Data Privacy Framework); Schreiben von noyb an die Europäische Kommission vom 30. Juni 2026; EuGH, Schrems I (C-362/14) und Schrems II (C-311/18); EDSA-Empfehlungen 01/2020.

Weiterlesen