Ein aktuelles Urteil des U.S. Supreme Courts bestätigt, dass der Präsident der Vereinigten Staaten die Leitung unabhängiger Behörden grundlos absetzen darf. Das könnte auch die für das EU-U.S. Data Privacy Framework (DPF) mit zuständige Aufsicht treffen. Damit steht das DPF als Grundlage für transatlantische Datenflüsse grundsätzlich in Frage.
Wir erklären das Urteil, was der Datenschutzaktivist Max Schrems daraufhin ankündigte, was das für Unternehmen in der EU bedeutet – und was Sie tun können, um Ihr Unternehmen zu schützen.
Tipp: Erfahren Sie mehr über das EU-U.S. Data Privacy Framework und seine Bedeutung für transatlantische Datentflüsse.
Was hat der U.S. Supreme Court entschieden und warum ist das für Europa relevant?
Im Fall Trump v. Slaughter (No. 25-332) entschied der U.S. Supreme Court am 29. Juni 2026 mit einer Mehrheit von 6 zu 3 Stimmen, dass gesetzliche Beschränkungen der Befugnis des Präsidenten zur Abberufung von Commissioners der Federal Trade Commission (FTC) gegen die Verfassung der Vereinigten Staaten verstoßen.
Der Rechtsstreit entstand, nachdem Präsident Donald Trump zu Beginn seiner zweiten Amtszeit Anfang 2025 die demokratisch ernannten FTC Commissioners Rebecca Slaughter und Alvaro Bedoya ohne Angabe eines gesetzlichen Abberufungsgrundes entlassen hatte, obwohl Bundesrecht eine Abberufung nur wegen Ineffizienz, Pflichtvernachlässigung oder pflichtwidrigem Verhalten im Amt zugelassen hatte.
Chief Justice Roberts, der die Mehrheitsmeinung des Gerichts verfasste, stützte die Entscheidung auf die sogenannte unitary executive theory: Da die Verfassung dem Präsidenten die exekutive Befugnisse zuweist, müssen Exekutivbehörden der präsidentiellen Kontrolle unterstehen. Schutzvorschriften, die etwa FTC Commissioners vor einer freien präsidentiellen Abberufung ohne weitere Voraussetzungen (at-will dismissal) schützen, seien damit verfassungswidrig.
Praktisch schwächt das Urteil die Unabhängigkeit von Behörden wie der FTC erheblich und verdrängt im Ergebnis die tragende Prämisse von Humphrey’s Executor v. United States (1935), dem Präzedenzfall, der es dem Kongress erlaubt hatte, bestimmte kollegial verfasste Regulierungsbehörden gegen eine freie Abberufung durch den Präsidenten abzuschirmen.
Was nach einer spezifischen Entscheidung für das institutionelle Design in Washington klingt, kann durchaus erhebliche Folgen für die Europäische Union haben, insbesondere für das EU-U.S. Data Privacy Framework (DPF).
Das Recht der EU-Datenübermittlung fragt danach, ob das Drittland ein Schutzniveau gewährleistet, das dem innerhalb der Union garantierten Niveau der Sache nach gleichwertig ist. Diese Prüfung umfasst eine unabhängige und wirksame Aufsicht. Kann eine zentrale U.S.-Durchsetzungsbehörde durch sofortige präsidentielle Abberufung umgestaltet werden, muss die EU fragen, ob die dem DPF zugrunde liegende kommerzielle Aufsicht diesen Standard weiterhin erfüllt.
Welche Rolle spielt die FTC im EU-U.S. Data Privacy Framework?
Das EU-U.S. Data Privacy Framework, formal der Durchführungsbeschluss (EU) 2023/1795 der Kommission, bildet seit Juli 2023 die Rechtsgrundlage für viele transatlantische Übermittlungen. Mehr als 5.300 U.S.-Organisationen haben sich unter dem Framework selbst zertifiziert, darunter große Anbieter aus den Bereichen Technologie, Cloud, Werbung, Software und Unternehmensdienstleistungen, deren Services europäische Unternehmen täglich nutzen.
Die operative Übermittlungsgrundlage ist Art. 45 DSGVO: Die Europäische Kommission kann beschließen, dass ein Drittland ein angemessenes Schutzniveau gewährleistet, woraufhin personenbezogene Daten ohne zusätzliche Übermittlungsgenehmigungen fließen dürfen. Diese Angemessenheitsprüfung ist im Zusammenhang mit Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union zu lesen, wonach die Einhaltung der Datenschutzvorschriften der Kontrolle durch eine unabhängige Stelle unterliegt.
Innerhalb des DPF ist die FTC nicht der einzige Akteur, aber ein zentraler. Das Department of Commerce verwaltet das Selbstzertifizierungssystem, während die FTC die Einhaltung für die meisten teilnehmenden Organisationen durchsetzt und das Department of Transportation (DoT) für bestimmte Unternehmen des Verkehrssektors eine engere Rolle wahrnimmt. Private Streitbeilegungsstellen können Rechtsbehelfe unterstützen, ersetzen aber keine öffentliche Rechtsdurchsetzung.
Daher ist jeder Verlust einer substantiellen Unabhängigkeit der FTC für die kommerzielle Säule des DPF rechtlich erheblich.
Die Datenschutzorganisation noyb unter Leitung von Max Schrems argumentiert in einem Schreiben an die Europäische Kommission vom 30. Juni 2026, dass keine andere U.S.-Behörde diesen Mangel heilen könne. Denn auch das DoT ist Teil der Exekutive und sieht sich nach der Logik von Trump v. Slaughter demselben Unabhängigkeitsproblem ausgesetzt. Private Rechtsschutzmechanismen können die nach EU-Recht erforderliche unabhängige öffentliche Aufsicht ebenfalls nicht gewährleisten.
Betrifft das Urteil auch andere Garantien des Frameworks?
Die FTC-Frage betrifft die kommerzielle Durchsetzungsseite des DPF. noyb macht zudem geltend, dass das Urteil Folgen für die gesonderte Architektur des Frameworks in Bezug auf staatliche Zugriffe und Rechtsschutz bei Überwachungsmaßnahmen hat. Diese Fragen sollten analytisch getrennt betrachtet werden. Beide fließen aber in dieselbe Angemessenheitsfrage ein, ob die Vereinigten Staaten weiterhin einen Schutz bieten, der dem EU-Recht der Sache nach gleichwertig ist.
Data Protection Review Court (DPRC)
Der durch President Biden’s Executive Order 14086 geschaffene DPRC ist beim U.S. Department of Justice angesiedelt und soll betroffenen Personen aus der EU einen Rechtsbehelfsmechanismus für Beschwerden über Tätigkeiten der U.S.-Nachrichtendienste bieten.
noyb argumentiert, dass wenn der Kongress keine unabhängigen Exekutivorgane durch Gesetz schaffen könne, könne ein Präsident eine entsprechende Unabhängigkeit erst recht nicht durch Executive Order begründen. Ein künftiger Präsident könne die Order zudem ändern oder aufheben.
Privacy and Civil Liberties Oversight Board (PCLOB)
Das PCLOB leistet begrenzte Transparenz und Aufsicht im Hinblick auf U.S.-Überwachungsprogramme. Es wurde gesetzlich als unabhängige Stelle errichtet.
Nach der Lesart von noyb zu Trump v. Slaughter ist seine gesetzlich verankerte Unabhängigkeit nun demselben verfassungsrechtlichen Einwand ausgesetzt.
Standard Contractual Clauses (SCC)
Die Auswirkungen beschränken sich nicht auf DPF-zertifizierte Übermittlungen. Organisationen, die sich auf SCC stützen, müssen weiterhin Transfer Impact Assessments durchführen und fortschreiben.
Diese Bewertungen sollten nun berücksichtigen, ob eine geschwächte unabhängige Aufsicht in den Vereinigten Staaten das für betroffene Personen verfügbare Schutzniveau beeinträchtigt.
Warum lässt sich dieser verfassungsrechtliche Konflikt nicht so einfach lösen?
Das Problem könnte ein strukturell verfassungsrechtlicher Konflikt und nicht nur eine vorübergehende politische Meinungsverschiedenheit sein. Das Primärrecht der EU verlangt eine unabhängige und wirksame Aufsicht als Bestandteil des Schutzes personenbezogener Daten. Der neue Ansatz des U.S. Supreme Court zur präsidentiellen Abberufungsbefugnis könnte es schwer oder unmöglich machen, eine solche Unabhängigkeit für Exekutivbehörden wie die FTC zu gewährleisten.
Das ist bedeutsam, weil die üblichen politischen Korrekturen möglicherweise nicht ausreichen. Ein Regierungswechsel in Washington könnte Durchsetzungsprioritäten ändern, würde aber die verfassungsrechtliche Aussage des Supreme Court Urteils nicht beseitigen. Eine Änderung der EU-Verträge würde Einstimmigkeit unter den Mitgliedstaaten erfordern. Eine Änderung der U.S.-Verfassung ist noch weniger realistisch.
Ergebnis ist eine dauerhafte rechtliche Divergenz zwischen zwei Verfassungsordnungen, nicht nur ein politischer Streit über Datenschutzdurchsetzung.
Was plant Max Schrems und wie geht es mit dem DPF weiter?
Nach Trump v. Slaughter hat noyb angekündigt, eine gerichtliche Anfechtung des DPF vor dem EuGH vorzubereiten. Max Schrems und noyb verfügen über eine Erfolgsbilanz, die europäischen Datenschutzpraktikern gut bekannt ist. In Schrems I (2015) erklärte der EuGH das Safe-Harbor-Regime für ungültig. In Schrems II (2020) hob er das EU-U.S. Privacy Shield auf. Beide Urteile zwangen tausende Unternehmen, ihre Übermittlungsmechanismen neu zu bewerten, und schufen das, was noyb nun als wiederkehrende Compliance cliff bezeichnet.
Die Klage von noyb wird voraussichtlich auf die oben beschriebene verfassungsrechtliche Inkompatibilität abstellen. Eine frühere gesonderte Anfechtung des DPF durch den französischen Parlamentarier Philippe Latombe wurde vom Gericht der Europäischen Union aus verfahrensrechtlichen Gründen abgewiesen. Der erwartete Fall von noyb dürfte weiter gefasst und inhaltlich substantieller sein.
Parallel hat noyb an die Europäische Kommission bzw. Commissioner McGrath geschrieben und einen geordneten Ausstieg aus dem DPF gefordert. noyb verlangt eine planmäßige Aufhebung des Durchführungsbeschlusses (EU) 2023/1795 mit angemessenen Übergangsfristen sowie die Einbeziehung der Frage von U.S.-Datentransfers in die breitere Tech-Souveränitätsagenda der Kommission. In dem Brief erklärt noyb, Litigation als letztes Mittel zu betrachten und einen gesteuerten Übergang einem weiteren abrupten rechtlichen Bruch vorzuziehen.
Was sollten Unternehmen jetzt tun?
Derzeit ist die Rechtslage klar, aber instabil: Der Durchführungsbeschluss (EU) 2023/1795 der Kommission bleibt formal in Kraft, sofern und solange er nicht von der Kommission aufgehoben oder von den Unionsgerichten für nichtig erklärt wird. Unternehmen können sich heute weiterhin auf das DPF stützen. Diese Berufung sollte jedoch dokumentiert und von Notfallplanung begleitet werden, statt als risikofrei behandelt zu werden.
Unternehmen sollten weder in Panik geraten noch das DPF vorzeitig aufgeben, solange es wirksam bleibt. Sie sollten das Urteil jedoch als wesentliche Änderung des Risikoumfelds für U.S.-Übermittlungen behandeln und sich auf mögliche aufsichtsbehördliche Leitlinien, Maßnahmen der Kommission oder Änderungen der Rechtslage durch Urteile vorbereiten.
Wir empfehlen folgendes Vorgehen:
U.S.-Datenübermittlungen erfassen
Feststellen, welche personenbezogenen Daten zu welchen U.S.-basierten Anbietern, zu welchen Zwecken und auf welcher Grundlage übermittelt werden: DPF, SCC, BCR, Ausnahmen oder ein anderer Mechanismus.
Transfer Impact Assessments überprüfen
TIA aktualisieren, um die geänderte Analyse der Unabhängigkeit von FTC und DoT abzubilden, und erläutern, ob zusätzliche Maßnahmen für jede relevante Übermittlung weiterhin ausreichend sind.
Abhängigkeit von Anbietern vom DPF prüfen
Bei kritischen Anbietern den aktuellen DPF-Zertifizierungsstatus, vertragliche Fallback-Klauseln, Unterauftragsverarbeiterketten, Audit-Rechte sowie Kündigungs- oder Migrationsoptionen überprüfen.
Sensible und geschäftskritische Verarbeitungen priorisieren
Besondere Aufmerksamkeit gilt besonderen Kategorien personenbezogener Daten, Beschäftigtendaten, Daten von Minderjährigen, Gesundheitsdaten, Finanzdaten, groß angelegter Überwachung und zentralen operativen Systemen.
Europäische oder nicht-U.S.-amerikanische Alternativen bewerten
Wo das Risikoprofil hoch ist oder eine Migration machbar erscheint, prüfen, ob EU-basierte oder sonst weniger risikobehaftete Alternativen wirtschaftlich und technisch tragfähig sind.
Offizielle Leitlinien beobachten
Veröffentlichungen und sonstige Meldungen der Europäischen Kommission, des Europäischen Datenschutzausschuss und nationaler Datenschutzaufsichtsbehörden verfolgen. Ihre Reaktionen werden die Erwartungen an die Rechtsdurchsetzung und den praktischen Übergang zwischen Angemessenheitsbeschluss und geeigneten Garantien zur Übermittlung personenbezogener Daten in ein Drittland prägen.
Fazit: Vorbereitung, bevor die nächste Klippe erreicht ist
Trump v. Slaughter ist mehr als ein Streit über eine Nische des U.S.-Verfassungsrechts. Das Urteil legt eine mögliche Inkompatibilität zwischen dem Verständnis des U.S. Supreme Court von exekutiver Kontrolle und dem Erfordernis der EU nach unabhängiger und wirksamer Datenschutzaufsicht offen. Diese Inkompatibilität setzt nun die rechtliche Grundlage des EU-U.S. Data Privacy Framework erneut unter Druck.
Noch ist Schrems III vermeidbar und das DPF wurde nicht für ungültig erklärt. Das Risiko ist inzwischen aber konkret genug, dass Unternehmen handeln sollten, bevor die nächste Entscheidung des EuGHs den Angemessenheitsbeschluss aufheben könnte.
Der umsichtige Weg besteht darin, zu handeln, solange noch Zeit für einen geordneten Übergang besteht.