Warum ein Supreme-Court-Urteil EU Unternehmen aufhorchen lassen sollte!

von Tobias

Anfang dieser Woche erging durch den Supreme Court der USA ein neues Urteil, das in der Folge erhebliche Auswirkungen auf den Datentransfer zwischen der EU und den USA haben kann. Konkret geht es um die Entscheidung Trump v. Slaughter vom 29. Juni 2026 (Az. No. 25–332).

Auf den ersten Blick klingt der Fall nach US-Verfassungsrecht und Fragen der Behördenorganisation. Für europäische Unternehmen könnte das Urteil jedoch handfeste Folgen haben.

Worum ging es in dem Urteil?

Im Verfahren ging es um die Federal Trade Commission, kurz FTC – die US-Bundesbehörde für Verbraucherschutz und Wettbewerbsaufsicht. Sie spielt in den USA auch eine zentrale Rolle bei der Durchsetzung bestimmter Datenschutz- und Datensicherheitsregeln gegenüber Unternehmen. Bisher waren FTC-Kommissare, also Mitglieder der Behördenleitung, durch besondere Abberufungsschutzregeln abgesichert. Der US-Präsident konnte sie daher nicht ohne Weiteres aus politischen Gründen entlassen.

Der Supreme Court hat nun entschieden, dass diese Einschränkung der präsidentiellen Abberufungsbefugnis gegen die Gewaltenteilung verstößt. Im Ergebnis dürfte dies dazu führen, dass der Präsident stärkeren Einfluss auf die personelle Besetzung und Ausrichtung der FTC erhält. Aus US-verfassungsrechtlicher Sicht mag das begründbar sein – aus europäischer Datenschutzsicht ist es ein Problem.

Denn die EU hat sich bei den bisherigen transatlantischen Datenschutzabkommen immer auch darauf verlassen, dass bestimmte US-Stellen – insbesondere die FTC unabhängig agieren. Wenn diese Unabhängigkeit nun wackelt, wackelt damit auch ein wichtiges Argument für den Datentransfer in die USA.

Warum das für Unternehmen relevant ist

Das Thema Datentransfer zwischen der EU und den USA hatte auch in der Vergangenheit kein stabiles Fundament. Erst gab es Safe Harbor, dann den Privacy Shield, beide wurden vom Europäischen Gerichtshof gekippt. Aktuell bildet nun das EU-US Data Privacy Framework die Grundlage für Datenübermittlungen an zertifizierte US-Unternehmen.

Durch das neue Urteil wird dieses Framework nicht sofort unwirksam sein. Aber das Risiko für ein erneutes Kippen steigt sichtlich. Die Kritiker der aktuellen Regelung werden voraussichtlich argumentieren, dass die USA kein gleichwertiges Schutzniveau gewährleistet, wenn zentrale Kontrollstellen politisch stärker steuerbar sind. Genau an diesem Argument könnten auch Verfahren vor europäischen Gerichten ansetzen.

Für Unternehmen gibt es praktisch oft keine Alternative zum Datentransfer. Betroffen sind hier z.B. die Nutzung von Cloud-Diensten, SaaS-Lösungen, Supportzugriffe, der Einsatz von Analyse-Tools, HR-Systemen sowie konzerninterne Transfers. Diese können nicht einfach gestoppt werden. Umso wichtiger ist nun eine genaue unternehmerische Bewertung der Datenströme: Welche Daten gehen in die USA, an welchen Anbieter, auf welcher Rechtsgrundlage und mit welchen Schutzmaßnahmen?

Zusätzlich sollten Standardvertragsklauseln, Transfer Impact Assessments und technische Schutzmaßnahmen auf Aktualität und Wirksamkeit überprüft werden. Dazu gehören neben der Verschlüsselung auch der Grundsatz der Datenminimierung, klare Zugriffskonzepte und Protokollierung. Gerade für besonders kritische Datenverarbeitungen empfiehlt sich der Blick auf mögliche Alternativlösungen mit Sitz in der EU.

Ausblick: Es bleibt unsicher

Die weitere Entwicklung ist offen. Wahrscheinlich ist, dass die EU-Kommission am Data Privacy Framework festhält und politisch nachjustiert. Ebenso möglich ist aber ein neues Verfahren, das erneut beim Europäischen Gerichtshof landet. Nach Safe Harbor und Privacy Shield wäre das kein überraschender Verlauf.

Für Unternehmen folgt aus dem Urteil: Der transatlantische Datentransfer bleibt ein Risikothema. Datenschutz und Informationssicherheit müssen hier zusammen gedacht werden. Nur wer seine Datenflüsse kennt, Alternativen vorbereitet hat und technische Schutzmaßnahmen konsequent umsetzt, ist bereit, wenn das nächste Kartenhaus ins Wanken gerät.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Tobias

Als Wirtschaftsjurist mit dem Titel Bachelor of Laws und zertifizierter Datenschutzbeauftragter (DSB-TÜV) bringt Tobias wertvolle Expertise in unser Team. Mit seinen 6 Jahren Erfahrung in einer Anwaltskanzlei, darunter auch als interner Datenschutzbeauftragter, ist er bestens gerüstet, um unsere Kunden in allen Fragen rund um den Datenschutz kompetent zu unterstützen.

Tobias hat Wirtschaftsrecht an der Hochschule Hof studiert und zeigt sich durch seine vielseitigen Interessen besonders engagiert. Sein Auslandssemester in Vilnius hat ihm nicht nur neue Perspektiven eröffnet, sondern auch Litauisch-Kenntnisse vermittelt.