Unternehmen müssen jetzt ihre digitale Souveränität organisieren
Wer als Geschäftsführer oder Compliance-Verantwortlicher in den vergangenen Jahren beruhigt auf das EU-US Data Privacy Framework verwiesen hat, wenn Kunden oder Aufsichtsbehörden nach der Rechtsgrundlage für Datenübermittlungen in die USA fragten, sollte diese Gewissheit spätestens seit dem 29. Juni 2026 überprüfen. An diesem Tag hat der US Supreme Court in der Sache Trump v. Slaughter entschieden, dass die Unabhängigkeit der Federal Trade Commission, jener Behörde, deren Aufsicht das gesamte transatlantische Datenschutzabkommen trägt, mit der amerikanischen Verfassung nicht vereinbar ist.
Was zunächst wie ein innenpolitisches Detail des amerikanischen Verwaltungsrechts klingt, entzieht in Wahrheit dem dritten Anlauf für einen funktionierenden Datentransferrahmen zwischen Europa und den Vereinigten Staaten die rechtliche Grundlage, auf der Unternehmen ihre globalen Datenflüsse organisiert haben.
Urteil mit doppeltem Boden
Der Supreme Court hat mit sechs zu drei Stimmen die seit 1935 geltende Präzedenzentscheidung Humphrey’s Executor gekippt, die es dem Kongress erlaubte, Mitglieder unabhängiger Regulierungsbehörden vor willkürlicher Entlassung durch den Präsidenten zu schützen. Nach der neuen Lesart des Gerichts, die der sogenannten Unitary Executive Theory folgt, muss der Präsident jederzeit in der Lage sein, Beamte zu entlassen, die exekutive Gewalt ausüben, und die FTC übe eine solche Gewalt aus, weil sie milliardenschwere Bußgelder verhänge und gegen Unternehmen vorgehe.
Für die betroffene Kommissarin Rebecca Slaughter, die Trump bereits im März 2025 per E-Mail entlassen hatte, änderte das Urteil nichts mehr. Wohl aber für die künftige Struktur der amerikanischen Verwaltung insgesamt, denn die Entscheidung betrifft mehr als zwei Dutzend Behörden, die bislang als politisch unabhängig galten, von der Consumer Product Safety Commission bis zum National Labor Relations Board. Damit geht auf der einen Seite der Verlust von Unabhängigkeit einher, auf der anderen Seite ein massiver Zuwachs an Macht und Missbrauchspotential beim Präsidenten.
Die einzige Ausnahme, die das Gericht in einem separaten Urteil formulierte, betrifft die Notenbank, deren Gouverneurin Lisa Cook vorerst im Amt bleiben darf, weil die Richter der Federal Reserve eine historisch begründete Sonderstellung zubilligten, die sie den übrigen Behörden ausdrücklich verweigerten. Wer daraus schließen wollte, das Prinzip unabhängiger Aufsicht sei in den Vereinigten Staaten also nicht vollständig erledigt, sollte bedenken, dass diese Ausnahme eng gefasst und rein prozessualer Natur ist und der eigentliche Streit um Cooks Entlassung noch nicht endgültig entschieden wurde.
Wichtiger für das Datenschutzrecht als für das US-Handelsrecht
Das EU-US Data Privacy Framework, auf dessen Grundlage sich mittlerweile mehr als dreitausend amerikanische Unternehmen selbst zertifiziert haben, um personenbezogene Daten aus Europa empfangen zu dürfen, wurde von der Europäischen Kommission im Juli 2023 genau deshalb als angemessen anerkannt, weil die FTC als unabhängige Kontrollinstanz galt, die im Streitfall auch gegen die eigene Regierung vorgehen könnte.
Der Angemessenheitsbeschluss der Kommission verweist an mehreren hundert Stellen auf genau diese Unabhängigkeit, die nun durch ein Gericht für verfassungswidrig erklärt wurde, dessen Rechtsprechung in den Vereinigten Staaten bindend ist. Wer sich mit der Geschichte des transatlantischen Datentransfers beschäftigt hat, erkennt darin ein vertrautes Muster, denn bereits das Safe-Harbor-Abkommen aus dem Jahr 2000 und dessen Nachfolger (das Privacy Shield) wurden vom Europäischen Gerichtshof in den beiden als Schrems I und Schrems II bekannten Urteilen für nichtig erklärt, weil sie den europäischen Grundrechtsstandard nicht erfüllten.
Die Datenschutzorganisation NOYB um den österreichischen Aktivisten Max Schrems, der beide Verfahren angestoßen hatte, forderte die Europäische Kommission bereits am Tag des amerikanischen Urteils auf, einen geordneten Ausstieg aus dem bestehenden Rahmen vorzubereiten, um jenen abrupten Compliance-Bruch zu vermeiden, den viele Unternehmen nach Schrems II erlebt hatten.
Ausblick: Drei Szenarien ohne Gewissheit
Wie es weitergeht, lässt sich derzeit nicht mit Sicherheit vorhersagen, aber die möglichen Entwicklungspfade lassen sich anhand ihrer Wahrscheinlichkeit und ihres zeitlichen Horizonts einordnen, was für die unternehmerische Planung entscheidend ist, weil davon abhängt, wie viel Zeit für eine Umstellung realistisch zur Verfügung steht.
| Szenario | Wahrscheinlichkeit | Zeitrahmen | Bedeutung für Unternehmen |
|---|---|---|---|
| Die EU-Kommission überprüft das Rahmenwerk und setzt es aus | mittel bis hoch | 6 bis 18 Monate | plötzlicher Wegfall der Rechtsgrundlage, vergleichbar mit der Lage nach Schrems II |
| Der Europäische Gerichtshof erklärt das Rahmenwerk in einem möglichen dritten Schrems-Verfahren für nichtig | hoch | 2 bis 4 Jahre | sofortige Unwirksamkeit aller darauf gestützten Datentransfers |
| Die Kommission verhandelt Zusatzzusagen und stabilisiert das Rahmenwerk vorübergehend | niedrig | politisch offen | anhaltende Rechtsunsicherheit trotz formaler Fortgeltung |
| Der Status quo bleibt bis zu einer gerichtlichen Entscheidung bestehen | kurzfristig wahrscheinlich | 12 bis 24 Monate | Unternehmen können das Rahmenwerk vorerst weiter nutzen, sollten sich aber vorbereiten |
Wer diese Quick-Dirty-Tabelle liest, erkennt, dass in keinem der von mir ausgemalten Szenarien eine dauerhafte und verlässliche Fortgeltung des bestehenden Rahmens vorgesehen ist, sondern lediglich unterschiedliche Zeitfenster, in denen Unternehmen noch handeln können, bevor eine neue rechtliche Realität eintritt, die sie nicht selbst herbeiführen, sondern nur noch nachvollziehen können.

Was Unternehmen jetzt konkret tun sollten
Die naheliegende erste Reaktion vieler Compliance-Abteilungen wird darin bestehen, auf die Standardvertragsklauseln als Ausweichmechanismus zu verweisen, die schon nach Schrems II als Rettungsanker dienten, doch wer sich auf diese Klauseln verlässt, sollte wissen, dass sie nur zwischen den vertragsschließenden Parteien wirken und keinen Schutz gegen den Zugriff staatlicher Stellen bieten, der ja gerade der Kern des europäischen Einwands gegen die amerikanische Überwachungspraxis ist. Jedes Unternehmen, das seine internationalen Datenflüsse ernsthaft absichern will, kommt deshalb nicht umhin, sein Verarbeitungsverzeichnis daraufhin zu prüfen, welche Prozesse tatsächlich auf einer Übermittlung in die Vereinigten Staaten beruhen, welche davon geschäftskritisch sind und welche sich technisch oder organisatorisch so umbauen lassen, dass sie diese Abhängigkeit gar nicht mehr benötigen. Genau hier setzt die eigentliche Lehre aus diesem Urteil an, die über die juristische Detailfrage der amerikanischen Behördenstruktur weit hinausreicht.
Denn dass ein einzelnes Gerichtsurteil in Washington binnen weniger Wochen die Rechtsgrundlage für Millionen von Datenübermittlungen in Europa erschüttern kann, zeigt mit aller Deutlichkeit, wie verwundbar eine Unternehmensinfrastruktur ist, die zentrale Prozesse dauerhaft auf ausländische Anbieter und deren politisch beeinflussbare Rechtsordnung stützt. Wer heute noch glaubt, diese Abhängigkeit sei ein rein juristisches Randproblem, das die eigene Rechtsabteilung im Ernstfall schon lösen werde, verkennt, dass es hier nicht um eine punktuelle Vertragsanpassung geht, sondern um die strukturelle Frage, wo die eigenen Daten liegen, wer technisch und rechtlich darauf zugreifen kann und wie schnell ein Unternehmen im Bedarfsfall tatsächlich handlungsfähig bliebe, wenn die derzeitige Grundlage über Nacht wegfiele. Insofern ist dieses Urteil, so technisch seine unmittelbare Begründung auch klingen mag, ein weiterer und diesmal besonders deutlicher Beleg dafür, dass Unternehmen endlich damit beginnen müssen, an ihrer infrastrukturellen Souveränität zu arbeiten, statt auf zwischenstaatliche Abkommen zu vertrauen, deren Fortbestand sie selbst nicht beeinflussen können.
Wer jetzt in eigene oder europäische Recheninfrastruktur investiert, wer Verschlüsselungslösungen mit ausschließlich in der eigenen Kontrolle liegenden Schlüsseln einsetzt und wer geschäftskritische Prozesse von einzelnen außereuropäischen Anbietern entkoppelt, handelt aus einer nüchternen Einschätzung dessen heraus, was politische und juristische Volatilität in den kommenden Jahren noch bereithalten dürfte. Diejenigen Unternehmen, die diese Vorbereitung heute verschieben, werden sie irgendwann unter erheblich schlechteren Bedingungen und unter Zeitdruck nachholen müssen … und genau das war meines Erachtens schon die Lehre aus Schrems I und Schrems II, die offenbar noch immer nicht überall angekommen ist.
