Wie sicher sind US-Datentransfers noch, wenn die FTC nicht unabhängig bleibt?

Das EU-US Data Privacy Framework lebt von einer juristischen Annahme, die jetzt deutlich wackelt. Die Europäische Kommission behandelt die USA seit 2023 wieder als Land mit angemessenem Datenschutzniveau für bestimmte Datenübermittlungen. Ein zentraler Baustein dieser Begründung ist die Aufsicht durch unabhängige US-Stellen. Genau diese Unabhängigkeit stellt ein neues Urteil des US Supreme Court zur Federal Trade Commission infrage.

noyb sieht darin nicht nur ein politisches Signal aus Washington, sondern ein strukturelles Problem für Datentransfers aus Europa. Die Organisation verweist darauf, dass die Kommission im Angemessenheitsbeschluss zum EU-US Data Privacy Framework sehr häufig auf die Rolle der FTC abstellt. Wenn die FTC nicht mehr als unabhängig gelten kann, wird die Begründung schwächer, auf der viele europäische Unternehmen ihre US-Datenflüsse praktisch aufbauen.

Warum die FTC für Europa so wichtig ist

Die DSGVO erlaubt Übermittlungen personenbezogener Daten in ein Drittland nur unter besonderen Voraussetzungen. Ein Angemessenheitsbeschluss der Kommission ist dabei der bequemste Weg, weil er Unternehmen grundsätzlich erlaubt, Daten auf dieser Basis zu übertragen. Nach den EuGH-Entscheidungen zu Safe Harbour und Privacy Shield war klar, dass die USA nicht nur Zusagen zum Datenschutz brauchen. Sie brauchen auch wirksame Kontrolle und Rechtsschutz, soweit EU-Daten betroffen sind.

Die FTC war in diesem Modell eine der Behörden, auf die sich die europäische Seite stützen konnte. Sie sollte gegenüber zertifizierten Unternehmen durchsetzen, dass die zugesagten Datenschutzregeln eingehalten werden. noyb argumentiert nun, dass diese Rolle an Gewicht verliert, wenn die US-Verfassung nach der neuen Supreme-Court-Linie unabhängige Behörden nicht mehr in der bisherigen Form schützt.

Was das Supreme-Court-Urteil verändert

Der Supreme Court hat in der Sache Trump gegen Slaughter nach noyb-Darstellung entschieden, dass die FTC nicht mehr unabhängig vom Präsidenten bleiben darf. Dahinter steht die sogenannte Unitary Executive Theory. Danach soll der US-Präsident die Kontrolle über die Exekutivbehörden haben. Für europäische Datenschutzjuristen ist gerade dieser Punkt heikel, weil EU-Recht unabhängige Datenschutzaufsicht verlangt.

Wichtig ist die Grenze der Meldung. Das Data Privacy Framework fällt durch dieses Urteil nicht automatisch weg. Der Angemessenheitsbeschluss bleibt formal in Kraft, bis die Kommission ihn aufhebt oder der EuGH ihn für nichtig erklärt. Für Unternehmen bedeutet das aber nicht, dass sie den Befund ignorieren können. Wer Datenflüsse in die USA auf Risikobewertungen, Standardvertragsklauseln oder Binding Corporate Rules stützt, muss prüfen, ob die bisherige Annahme unabhängiger Kontrolle noch trägt.

Warum auch SCCs und Transfer Impact Assessments betroffen sein können

Viele Unternehmen verlassen sich nicht allein auf das Data Privacy Framework. Sie nutzen Standardvertragsklauseln und dokumentieren zusätzlich ein Transfer Impact Assessment. In diesen Prüfungen wird regelmäßig bewertet, ob US-Recht, Rechtsbehelfe, Überwachung und Aufsichtsmechanismen ein tragfähiges Schutzniveau ermöglichen. Wenn zentrale US-Kontrollstellen politisch stärker steuerbar werden, kann diese Bewertung anders ausfallen als bisher.

Das betrifft besonders Datenflüsse zu US-Clouds, Analyseplattformen, Supportsystemen, HR-Tools und Marketingdiensten. Die rechtliche Frage lautet dann nicht nur, ob ein Vertragstext vorhanden ist. Entscheidend wird, ob das tatsächliche Schutzniveau noch plausibel erklärt werden kann. Genau dort dürfte das neue Urteil in Datenschutzprüfungen auftauchen.

Was Datenschutzteams jetzt konkret prüfen sollten

Unternehmen müssen nicht in Panik alle US-Dienste abschalten. Sie sollten aber ihre Dokumentation nicht so behandeln, als sei seit 2023 alles dauerhaft gelöst. Sinnvoll ist eine kurzfristige Liste der wichtigsten US-Datenflüsse. Dazu gehören Anbieter, Zwecke, Datenarten, Rechtsgrundlage der Übermittlung, genutzter Transfermechanismus und vorhandene Schutzmaßnahmen.

Danach sollte jedes Transfer Impact Assessment auf Verweise zur FTC, zum Data Protection Review Court, zum PCLOB oder zu allgemein unabhängigen US-Kontrollstellen geprüft werden. Wo solche Annahmen eine tragende Rolle spielen, braucht die Bewertung ein Update. Ebenso wichtig ist die Frage, ob Datenminimierung, EU-Regionen, Verschlüsselung mit europäischer Schlüsselkontrolle oder alternative Anbieter realistisch sind.

Der politische Ausgang bleibt offen

noyb fordert die Europäische Kommission auf, die Angemessenheitsentscheidung geordnet aufzuheben, und kündigt weitere rechtliche Schritte an. Ein Verfahren vor dem EuGH kann allerdings Jahre dauern. Bis dahin entsteht eine unangenehme Zwischenlage. Formal ist der EU-US-Mechanismus da, materiell wächst der Zweifel an seiner Grundlage.

Für Datenschutzteams ist das der entscheidende Punkt. Der Fall ist kein abstrakter Streit zwischen Brüssel, Washington und noyb. Er trifft die Begründung, mit der alltägliche Cloud-, SaaS- und Plattformnutzung in vielen Organisationen abgesichert wird. Wer US-Transfers weiter nutzt, sollte jetzt zeigen können, dass die eigene Bewertung aktueller ist als die politische Komfortzone des Data Privacy Framework.

Stand: 01.07.2026

Quellen: noyb, „Supreme Court hat EU-US Datendeal nebenbei zerstört“, veröffentlicht am 29.06.2026 und aktualisiert am 30.06.2026; Urteil des US Supreme Court in Trump gegen Slaughter; Durchführungsbeschluss (EU) 2023/1795 zum EU-US Data Privacy Framework; Art. 44 bis 49 DSGVO.

Bildquelle: Eigenes DSGVOScan-Motiv, erstellt für diesen Beitrag.

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Weitere News rund um DSGVO und Datenschutz