Der US Supreme Court hat am 29.06.2026 entschieden, dass der US-Präsident die Mitglieder der Federal Trade Commission (FTC) jederzeit ohne Angabe von Gründen abberufen darf. Die FTC ist die zentrale Aufsichtsbehörde für das EU-US Data Privacy Framework (DPF), auf dem ein wesentlicher Teil der Datenübermittlungen an die USA beruht. Die Datenschutzorganisation noyb fordert deshalb die Aufhebung des DPF, also des Angemessenheitsbeschlusses für Datenübermittlungen an die USA und kündigt eine Klage an. Unsere Kernbotschaft vorweg: Der Angemessenheitsbeschluss gilt unverändert fort. Datenübermittlungen an die USA bleiben zulässig. Panik ist nicht angezeigt – Vorbereitung schon.
WAS IST PASSIERT?
Das Urteil „Trump v. Slaughter“
Rebecca Kelly Slaughter, von den Demokraten nominierte FTC-Commissioner, klagte in „Trump v. Slaughter“ gegen ihre im März 2025 erfolgte Abberufung durch Präsident Trump. Sie obsiegte vor dem U.S. District Court for the District of Columbia, der die Entlassung als rechtswidrig einstufte und ihre Wiedereinsetzung bei der FTC anordnete; der U.S. Court of Appeals for the D.C. Circuit lehnte es ab, diese Entscheidung auszusetzen. Der US Supreme Court setzte die Wiedereinsetzung auf Antrag der Trump-Administration zunächst aus und entschied nun mit Urteil vom 29. Juni 2026: Der For-cause-Abberufungsschutz der FTC-Commissioner, wonach gemäß 15 U.S.C. § 41 eine Entlassung nur bei „inefficiency, neglect of duty, or malfeasance in office“ zulässig ist, verstößt gegen die Gewaltenteilung. Der Supreme Court gab damit die seit 1935 bestehende Leitentscheidung „Humphrey’s Executor v. United States“ zur beschränkten Entlassungsbefugnis des Präsidenten gegenüber Mitgliedern unabhängiger Mehrpersonenbehörden (u.a. FTC) ausdrücklich auf.
Die Folge:
Die FTC – und nach überwiegender Deutung der Entscheidung mit ihr nahezu alle US-Bundesbehörden mit Ausnahme der Federal Reserve – dürfte aus unionsrechtlicher Sicht (Art. 16 Abs. 2 AEUV; Art. 8 Abs. 3 GRCh) nicht mehr als unabhängig anzusehen sein, weil ihre Mitglieder nunmehr jederzeit nach freiem Ermessen des Präsidenten abberufen werden können.
WARUM BETRIFFT DAS URTEIL DAS DATA PRIVACY FRAMEWORK?
Übermittlungen personenbezogener Daten in die USA stützen sich häufig auf den Angemessenheitsbeschluss für die USA (Durchführungsbeschluss (EU) 2023/1795 der EU-Kommission vom 10. Juli 2023 zum EU-US Data Privacy Framework), Art. 45 DSGVO. Darin bewertet die Kommission das Datenschutzniveau der USA als dem der EU im Wesentlichen gleichwertig und stützt sich dabei maßgeblich auf die Aufsicht durch eine unabhängige FTC.
Art. 45 Abs. 2 lit. b DSGVO verlangt, dass die EU-Kommission bei der Angemessenheitsbewertung insbesondere das Vorhandensein unabhängiger Aufsichtsbehörden berücksichtigt; ohne eine solche unabhängige Aufsicht wird ein Angemessenheitsbeschluss unionsrechtlich kaum haltbar sein. Das EU-Primärrecht (Art. 16 Abs. 2 AEUV, Art. 8 Abs. 3 GRCh) verlangt eine unabhängige Datenschutzkontrolle.
Das Vertrauen in den Datenschutz in den USA ist spätestens seit den Enthüllungen von Edward Snowden über die US-Massenüberwachung im Jahr 2013 erschüttert. Das DPF ist bereits die dritte Generation von Angemessenheitsbeschlüssen für die USA. Seine Vorgänger Safe Harbor (2000) und Privacy Shield (2016) hat der EuGH jeweils wegen der nach dem US-Recht anlasslos zulässigen Massenüberwachung ohne Begrenzung auf das zwingend erforderliche Maß und des fehlenden Rechtsschutzes für EU-Bürger für ungültig erklärt (EuGH, Urt. v. 06.10.2015 – C-362/14, „Schrems I“; EuGH, Urt. v. 16.07.2020 – C-311/18, „Schrems II“).
UNSERE BEWERTUNG
Jede Drittlandübermittlung ist mit Risiken verbunden. Diese Risiken sind im Einzelfall unterschiedlich ausgeprägt. Sie sind typischerweise geringer bei Übermittlungen auf Grundlage eines Angemessenheitsbeschlusses und höher bei Übermittlungen auf Grundlage von Standardvertragsklauseln oder Binding Corporate Rules, die jeweils mit einem Transfer Impact Assessment abzusichern sind.
Verantwortung des Datenexporteurs
Für die datenschutzrechtliche Absicherung einer Drittlandübermittlung ist der Datenexporteur verantwortlich, also die letzte Stelle im EU/EWR-Raum, die personenbezogene Daten an ein Drittland übermittelt.
Ist der Datenexporteur ein Auftragsverarbeiter, bleibt der Verantwortliche nach Art. 28 Abs. 1 DSGVO verpflichtet zu prüfen, ob dieser auch mit Blick auf die Drittlandübermittlung hinreichende Garantien bietet. Wie tief diese Prüfung im Einzelfall gehen muss, ist unionsrechtlich bislang nicht abschließend geklärt. Nach unserer Auffassung kann – sofern keine konkreten Anhaltspunkte für Zweifel bestehen – eine klare und belastbare vertragliche Zusicherung im Auftragsverarbeitungsvertrag zur ordnungsgemäßen Absicherung der Drittlandübermittlung in der Leistungskette hinter dem Auftragsverarbeiter ausreichen; bei erhöhtem Risiko (z.B. bei der Übermittlung von Gesundheitsdaten an ein Drittland) kann eine vertiefte Prüfung ergänzend erforderlich sein.
Der Angemessenheitsbeschluss gilt fort
Der Angemessenheitsbeschluss der EU-Kommission zum DPF für die USA bleibt wirksam, solange er nicht von der Kommission aufgehoben oder von den Unionsgerichten für nichtig bzw. ungültig erklärt wird. Beides ist derzeit nicht geschehen. Eine erste Nichtigkeitsklage gegen den Beschluss hat das Gericht der EU abgewiesen (EuG, Urt. v. 03.09.2025 – T-553/23, „Latombe/Kommission“); über das dagegen eingelegte Rechtsmittel (EuGH, C-703/25 P) ist noch nicht entschieden.
Solange der Angemessenheitsbeschluss fortbesteht, greift Art. 45 DSGVO ohne weitere zusätzliche Garantien. Personenbezogene Daten dürfen weiterhin ohne zusätzliche Genehmigung an US-Unternehmen übermittelt werden, die wegen der zu übermittelnden Daten („normale“ personenbezogene Daten und/oder HR-Daten) nach dem DPF zertifiziert sind. Die allgemeinen Rechtmäßigkeitsvoraussetzungen der DSGVO (insbesondere Art. 5, 6, 9, 10 DSGVO) bleiben davon unberührt.
Maßnahmen, die darüber hinausgehen – etwa jetzt schon US-Dienstleister pauschal zu kündigen oder Übermittlungen vollständig zu stoppen – sind unternehmerische Risikoentscheidungen, aber keine rechtlich zwingende Folge der aktuellen Rechtslage.
Standardvertragsklauseln als „Plan B“ und Rolle des TIA
Wer nicht (ausschließlich) auf das DPF setzt oder mit nicht DPF-zertifizierten US-Empfängern arbeitet, nutzt typischerweise Standardvertragsklauseln oder Binding Corporate Rules (BCR) nach Art. 46 DSGVO als geeignete Garantien.
Standardvertragsklauseln und BCR verlagern die Einzelfallprüfung in das Transfer Impact Assessment (bei den Standardvertragsklauseln ist dies ausdrücklich in Klausel 14 vorgesehen). Der Datenexporteur muss bewerten, ob die Rechtslage und Praxis im Drittland der Einhaltung der vereinbarten Garantien entgegenstehen und ob gegebenenfalls zusätzliche technische und organisatorische Maßnahmen erforderlich sind. Die Entscheidung des US Supreme Court zu „Trump v. Slaughter“ ist bei einem Transfer Impact Assessment für die USA ab sofort zu berücksichtigen; bestehende Transfer Impact Assessments für US-Transfers sollten entsprechend aktualisiert werden.
Vorsorgeempfehlung über die USA hinaus
Vorsorglich sollte – insbesondere mit Blick auf Staaten mit Angemessenheitsbeschluss und weitreichenden Überwachungsbefugnissen, etwa das Vereinigte Königreich, Kanada und Neuseeland als Mitglieder der „Five Eyes“ oder Israel – zusätzlich zu einem bestehenden Angemessenheitsbeschluss die Standardvertragsklauseln vereinbart und ein Transfer Impact Assessment nach deren Klausel 14 erstellt werden. Dies ist keine gesetzliche Pflicht, sondern eine strategische Vorsorgemaßnahme, um im Fall eines Wegfalls des Angemessenheitsbeschlusses ohne Zeitdruck auf eine alternative Garantie zur weiteren, lückenlosen Absicherung der Drittlandübermittlung zurückgreifen zu können.
Sollte es zu einer Aufhebung des Angemessenheitsbeschlusses kommen, wären insbesondere das bestehende Transfer Impact zu aktualisieren sowie die in den Standardvertragsklausen vereinbarten technischen und organisatorischen Maßnahmen nachzuschärfen und an die geänderte Risikolage anzupassen.
Weitergehende Schritte sind nach der aktuellen Rechtslage nicht geboten.
AUSWIRKUNGEN AUF UNSERE MANDANT:INNEN – WAS SIE JETZT TUN SOLLTEN
- Ruhe bewahren: Übermittlungen auf Grundlage des Angemessenheitsbeschlusses für die USA bleiben zulässig. Sie müssen keine US-Dienstleister oder Dienstleister mit einer Leistungskette in die USA kündigen und keine Datenübermittlungen stoppen.
- Überblick verschaffen: Erfassen Sie Ihre Drittlandübermittlungen: Welche US-Dienstleister setzen Sie ein oder kommen in der Leistungskette zum Einsatz? Worauf stützen Sie oder Ihr Auftragsverarbeiter die Übermittlung – die Zertifizierung nach dem Data Privacy Framework (prüfbar in der offiziellen DPF-Liste unter https://www.dataprivacyframework.gov/list), Standardvertragsklauseln oder Binding Corporate Rules? Und wer ist jeweils der Datenexporteur?
- Vorsorglich Standardvertragsklauseln vereinbaren: Schließen Sie mit wichtigen US-Dienstleistern zusätzlich zur Zertifizierung nach dem Data Privacy Framework die Standardvertragsklauseln ab; in vielen Fällen dürften diese ohnehin schon in den Verträgen mit den Dienstleistern als Vorsorgemaßnahme enthalten sein.
- Transfer Impact Assessment erstellen oder aktualisieren: Führen Sie für USA-Übermittlungen auf Basis der Standardvertragsklauseln ein Transfer Impact Assessment nach deren Klausel 14 durch und berücksichtigen Sie dabei das Urteil. Dokumentieren Sie zusätzliche Schutzmaßnahmen wie Verschlüsselung und Pseudonymisierung.
- Auftragsverarbeitungsverträge prüfen: Übermittelt Ihr Auftragsverarbeiter Daten an die USA, lassen Sie sich die Absicherung der Drittlandübermittlung im Auftragsverarbeitungsvertrag zusichern (Art. 28 Abs. 1 DSGVO).
- Entwicklungen beobachten: Reagieren müssen Sie erst, wenn die EU-Kommission den Angemessenheitsbeschluss aufhebt oder der EuGH ihn für nichtig bzw. ungültig erklärt. Dann gilt: Transfer Impact Assessment aktualisieren, technische und organisatorische Maßnahmen in den Standardvertragsklauseln nachschärfen und die Datenübermittlungen neu bewerten. Wir informieren Sie, sobald es so weit ist.
Sie möchten wissen, welche Ihrer Datenübermittlungen betroffen sind, oder benötigen Unterstützung bei Standardvertragsklauseln, Transfer Impact Assessment oder Auftragsverarbeitungsverträgen? Sprechen Sie uns gerne an.

