Der US Supreme Court hat am 29. Juni 2026 das EU-US Data Privacy Framework strukturell erschüttert. Safe Harbor, Privacy Shield – jetzt das DPF. Was das Urteil für Unternehmen bedeutet und warum Abwarten diesmal teuer werden kann.
Ende Juni 2026 hat der US Supreme Court mit 6 zu 3 Stimmen entschieden, dass die Federal Trade Commission (FTC) keine unabhängige Behörde mehr sein darf. Der Fall heißt Trump v. Slaughter (Az. 25-332) und klingt zunächst nach einem inneramerikanischen Verfassungsstreit über Gewaltenteilung. Aber es geht um sehr viel mehr: Er trifft direkt das EU-US Data Privacy Framework (DPF) – und damit die rechtliche Grundlage, auf der ein erheblicher Teil der Datentransfers von europäischen Unternehmen zu Google, Microsoft und AWS beruht.
Wer die Geschichte kennt, erkennt das Muster sofort. Das ungute Gefühl: Es ist nicht das erste Mal.
2000 schuf die EU-Kommission mit Safe Harbor einen Angemessenheitsbeschluss, der US-Datenexporte unter bestimmten Bedingungen erlaubte. Der Europäische Gerichtshof (EuGH) erklärte ihn 2015 für ungültig – Schrems I (C-362/14). Begründung: US-Überwachungsrecht und fehlender Rechtsschutz. 2016 folgte das Privacy Shield als Nachfolger. 2020 kassierte der EuGH auch dieses – Schrems II (C-311/18). Gleiche Begründung, neues Etikett.
2023 legte die EU-Kommission ein drittes Abkommen vor: das EU-US Data Privacy Framework (Durchführungsbeschluss EU 2023/1795). Max Schrems von der Datenschutzorganisation noyb (None of Your Business) kommentierte damals: Es sei „weitgehend eine Kopie der zuvor für nichtig erklärten Abkommen". Seine Einschätzungist inzwischen gut dokumentiert.
Das Urteil vom 29. Juni gibt ihm recht.
Der Angemessenheitsbeschluss der EU-Kommission für das DPF stützt sich 259-mal auf die FTC als unabhängige Datenschutzaufsicht. Diese Zahl ist keine Übertreibung – sie steht im Beschluss selbst. Das EU-Primärrecht, konkret Art. 16 Abs. 2 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) und Art. 8 Abs. 3 der Charta der Grundrechte der Europäischen Union (GRCh), schreibt zwingend vor, dass Datenschutzaufsicht durch eine unabhängige Stelle erfolgen muss. Drittstaaten müssen ein „im Wesentlichen gleichwertiges" Schutzniveau gewährleisten – was eine unabhängige Behörde einschließt.
Der Supreme Court folgte der sogenannten Unitary Executive Theory: Der Präsident muss uneingeschränkte Kontrolle über alle Bundesbehörden ausüben können. Damit war Trumps Entlassung der demokratischen FTC-Kommissarin Rebecca Slaughter ohne Angabe von Gründen rechtmäßig. Und damit ist die FTC eine weisungsgebundene Behörde des Weißen Hauses – kein unabhängiges Aufsichtsorgan im Sinne des EU-Rechts.
Das Gebäude, auf dem der Angemessenheitsbeschluss steht, hat gerade seinen tragenden Pfeiler verloren.
Dazu kommt: Auch der Data Protection Review Court (DPRC), den die Biden-Administration als Rechtsschutzmechanismus für EU-Bürger:innen eingerichtet hatte, ist kein Gericht im verfassungsrechtlichen Sinne. Er ist eine Behörde innerhalb des US-Justizministeriums, abgesichert ausschließlich durch eine Executive Order – die der Präsident jederzeit widerrufen kann.
Viele Unternehmen verlassen sich beim Datentransfer nicht direkt auf das DPF, sondern auf Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs). Auch diese Instrumente verlangen Transfer Impact Assessments (TIAs) – Folgenabschätzungen, die bewerten, ob das Schutzniveau im Drittland tatsächlich ausreicht. Diese Assessments stützten sich bisher unter anderem auf die Unabhängigkeit der FTC, des Privacy and Civil Liberties Oversight Board (PCLOB) und des DPRC.
Alle drei sind nach dem Slaughter-Urteil nicht mehr unabhängig oder strukturell geschwächt. Wer seine TIAs nicht aktualisiert, agiert auf einer veralteten Faktenbasis. Und wer bei einer noyb-Klage mit einem veralteten Assessment dasteht, hat ein DSGVO-Problem – nicht „irgendwann", sondern jetzt.
Nichts passiert über Nacht. Der Angemessenheitsbeschluss gilt formal weiter, bis die EU-Kommission ihn aufhebt oder der EuGH ihn für ungültig erklärt. Ein solches Verfahren dauert erfahrungsgemäß ein bis drei Jahre. Die Kommission wird zunächst keine freiwillige Aufhebung vornehmen – das politische und wirtschaftliche Interesse an transatlantischen Datenflüssen ist zu groß. noyb hat der Kommission am 30. Juni förmlich geschrieben und eine geordnete Rücknahme gefordert sowie eine Klage angekündigt. t3n bringt es auf den Punkt: „Die Erfolgsquote von Schrems legt nahe, dass wir uns schon jetzt dringlich mit dem Thema auseinandersetzen sollten."
Das ist die realistische Einschätzung: Das DPF wird dieses Verfahren wahrscheinlich nicht unbeschadet überstehen. Die strukturellen Probleme – kein unabhängiges Aufsichtsorgan, keine echte Äquivalenz beim Rechtsschutz gegen US-Überwachung, FISA Section 702 (50 U.S.C. § 1881a) unverändert – sind dieselben wie bei den Vorgängern. Nur das Etikett war neu.
Wer heute auf das DPF setzt und keinen Plan B dokumentiert hat, riskiert eine Sorgfaltspflichtverletzung nach Art. 46 der Datenschutz-Grundverordnung (DSGVO). Denn das Slaughter-Urteil ist keine externe Überraschung – es ist eine öffentliche, juristisch dokumentierte Veränderung der Tatsachenbasis, auf der der Angemessenheitsbeschluss beruht.
An dieser Stelle verdient ein wichtiger Punkt ehrliche Nennung, der in vielen Kommentaren untergeht: Der Wechsel zu einem „EU-Dienst" löst das Problem nicht automatisch. Viele europäische Softwareanbieter betreiben ihre Infrastruktur auf Amazon Web Services (AWS), Microsoft Azure oder Google Cloud. Sie sind damit selbst Teil der Lieferkette, deren rechtliche Grundlage gerade ins Wanken gerät.
Die relevante Frage ist daher nicht nur, wo ein Dienst entwickelt wurde oder wo das Unternehmen sitzt. Sie ist: Auf wessen Infrastruktur laufen die Daten? Wer hat Administrator:innen-Zugriff? Welchem Rechtsraum ist der Betreiber tatsächlich unterworfen? Und: Wer kontrolliert die Schlüssel?
Das Bundesministerium des Innern hatte in einem veröffentlichten Rechtsgutachten dokumentiert, dass US-Zugriff nicht durch den Speicherort in Europa ausgeschlossen wird – entscheidend ist die Jurisdiktion des Anbieters. Das gilt für Subunternehmer-Ketten genauso. Wer seine DSGVO-Risikolage ernsthaft neu bewerten will, muss die gesamte Verarbeitungskette bis zum Betriebsinfrastruktur-Level durchleuchten.
Eine sofortige Betriebsstörung ist nicht das wahrscheinlichste Szenario. Aber der Risikorahmen hat sich verschoben – und das ist dokumentiert, nicht spekulativ. Drei Schritte sind jetzt sinnvoll:
- Rechtsgrundlage inventarisieren. Auf welcher Grundlage transferieren Sie personenbezogene Daten in die USA – DPF-Zertifizierung, SCCs oder BCRs? Für alle drei Wege gilt: Die Tatsachenbasis für Transfer Impact Assessments hat sich verändert. Assessments, die sich auf FTC-Unabhängigkeit oder DPRC-Unabhängigkeit gestützt haben, sind zu aktualisieren.
- Subunternehmer-Kette prüfen. Nicht nur der direkte Cloud-Anbieter zählt. Auch SaaS-Tools, Analytics, CRM, Kommunikationsdienste und Backup-Systeme sind Teil der Kette. Für jede Kategorie gilt: Wessen Infrastruktur? Wessen Schlüsselhoheit? Wessen Rechtsraum?
- Plan B dokumentieren. Wenn der EuGH das DPF in ein bis drei Jahren für ungültig erklärt, welche Konsequenzen hat das für Ihren Betrieb? Diese Frage jetzt zu beantworten, ist deutlich günstiger als sie im Ernstfall zu beantworten. Souveräne EU-Dienste ohne US-Infrastruktur-Abhängigkeit, kundenseitiges Schlüsselmanagement und geprüfte Exit-Szenarien gehören auf die Agenda – nicht als Notfallplan, sondern als strategische Grundlage.
Der Zusammenhang zwischen US-Gesetzen und DSGVO ist strukturell kritisch. Die EU-Resolution zur digitalen Souveränität vom Januar 2026 hatte genau diese Entwicklung als strukturelles Risiko adressiert.
SecureCloud GmbH betreibt ihre gesamte Infrastruktur ausschließlich auf eigener Hardware bei noris network AG in Nürnberg – ohne Beteiligung von US-Anbietern in der Subunternehmer-Kette, ohne US-Muttergesellschaft, ohne US-Rechtsexposition. Der Betrieb unterliegt ausschließlich deutschem und europäischem Recht. Zertifiziert nach BSI C5 und ISO 27001.
Das macht SecureCloud zu einer Option für Unternehmen, die den Transferrisiken durch einen Wechsel der Infrastrukturklasse begegnen wollen – nicht durch Papierarbeit rund um ein Abkommen, das wahrscheinlich zum dritten Mal vor dem EuGH landet.
SecureShare für kontrollierten Datenaustausch, SecureWork für sichere Kollaboration und SecureSign für rechtssichere digitale Signaturen sind auf dieser Basis aufgebaut. Wer wissen möchte, was ein Wechsel konkret bedeutet – welche Daten, welche Prozesse, welcher Aufwand – kann das ohne Umwege direkt klären.