Icon Datenschutzbeauftragter
Datenschutz

Datenübermittlungen in die USA und der „Untergang des Abendlandes"? Eine nüchterne Bewertung der US-Supreme-Court-Entscheidung „Trump v. Slaughter"

Verfasst von:

Fabian Brandenburger
Fabian Brandenburger
Berater für Datenschutz und Informationssicherheit

Datenübermittlungen in die USA im Fokus: Wir ordnen die Supreme-Court-Entscheidung Trump v. Slaughter ein, erklären die Auswirkungen für Ihre Praxis und geben klare Schritte für Prüfung, Vertragsklauseln und technische Schutzmaßnahmen.

Worum geht es?

Der US Supreme Court hat in „Trump v. Slaughter“ entschieden, dass die US Federal Trade Commission (FTC) gegenüber dem US-Präsidenten keine uneingeschränkte Unabhängigkeit genießt. Das ist brisant: Genau diese Unabhängigkeit der Aufsichtsstrukturen erwartet die EU von den USA im Kontext transatlantischer Datenübermittlungen. Mit dem Durchführungsbeschluss vom 10. Juli 2023 verabschiedete die EU-Kommission das EU-US Data Privacy Framework (DPF), einen spezifischen Angemessenheitsbeschluss nach Art. 45 DSGVO für beim US-amerikanischen Handelsministerium zertifizierte Unternehmen, der wieder mehr Rechtssicherheit schaffen sollte.

Auf LinkedIn und in Fachkreisen leiten viele aus der Entscheidung das nahende Ende des transatlantischen Datenaustauschs ab.

Das Wichtigste zuerst: Der Angemessenheitsbeschluss gilt weiter

Die Entscheidung macht weder den Angemessenheitsbeschluss noch das zugrundeliegende DPF hinfällig.

Der Beschluss bleibt in Kraft, bis

  • die EU-Kommission ihn aufhebt oder

  • der EuGH ihn für nichtig erklärt.

Genau deshalb fordert noyb, die NGO des Datenschutzaktivisten und Anwalts Max Schrems, die Kommission aktuell auf, den Beschluss zurückzuziehen. Kommt die Kommission dem nicht nach, wovon realistisch auszugehen ist, müsste noyb die Aufhebung gerichtlich erwirken. noyb hat bereits in der Vergangenheit vor dem EuGH dafür gesorgt, dass frühere Abkommen fielen: die „Schrems-I“-Entscheidung kippte „Safe Harbor", die „Schrems-II“-Entscheidung „Privacy Shield". In beiden Fällen konnten sich Unternehmen anschließend nicht mehr auf das Abkommen stützen. Das sorgte für massive Rechtsunsicherheit.

Praktische Konsequenz: Wer sich heute auf das DPF stützt, hat weiterhin eine gültige Rechtsgrundlage. Es besteht kein akuter Handlungszwang.

Der lange Weg über die Gerichte

  • Beim EuGH ist bereits ein Verfahren zum DPF anhängig: Das EuG wies die „Latombe“-Klage im September 2025 ab, das Rechtsmittel zum EuGH läuft seit Ende Oktober 2025.

  • Solche Verfahren dauern erfahrungsgemäß drei bis fünf Jahre.

  • In diesem Zeitraum kann sich vieles verschieben: politisch (Midterm Elections) wie regulatorisch (flankierende Absicherungsmaßnahmen von EU und USA).

Und wenn der Angemessenheitsbeschluss fällt?

Selbst dann sind Datenübermittlungen in die USA nicht automatisch unzulässig. Es bliebe das bewährte Instrumentarium:

  • Standard Contractual Clauses (SCCs) nach Art. 46 DSGVO, die viele Unternehmen ohnehin ergänzend nutzen

  • flankiert durch ergänzende Maßnahmen und ein aktuelles Transfer Impact Assessment (TIA) nach Maßgabe der „Schrems-II“-Entscheidung und den EDSA-Empfehlungen 01/2020

Der berechtigte Einwand und was er bedeutet

An einem Punkt müssen wir ehrlich bleiben: Viele TIAs verweisen zur Absicherung des US-Transfers genau auf jene Stellen, deren Unabhängigkeit nun in Frage steht: FTC als unabhängige Behörde mit besonderen exekutiven Befugnissen, PCLOB als unabhängige Aufsicht und den Data Protection Review Court (DPRC).

Das trifft zu. Diese TIAs müssen Sie gegebenenfalls anpassen. Das ist aber ohnehin regelmäßig erforderlich. Die eigentliche Frage lautet nicht „ob", sondern „wie aufwendig" diese Anpassung ausfällt.

Was würde praktisch passieren, wenn US-Transfers grundsätzlich unzulässig wären?

Die Erfahrung nach Safe Harbor und Privacy Shield zeigt: erstaunlich wenig. Dafür sprechen mehrere Gründe:

  1. Kein Pauschalverbot zulässig: Der EuGH verlangt eine Risikoabwägung im Einzelfall und ergänzende Maßnahmen und spricht kein pauschales Verbot aus. Pauschalverbote wären regelmäßig unverhältnismäßig und damit rechtswidrig.

  2. Wirtschaftliche Realität: Kaum ein Unternehmen könnte vollständig auf US-Technologie verzichten. Beim heutigen Stand der Technik gilt das insbesondere für KI-Anwendungen.

  3. Ressourcenlage der Aufsichtsbehörden: Die Behörden sind bereits durch Beschwerden stark ausgelastet. Ein flächendeckendes Vorgehen gegen US-Transfers ist daher wenig wahrscheinlich.

Kein Grund zur Panik, aber Grund zum Handeln

Gelassenheit heißt nicht Untätigkeit. Wer die folgenden Punkte im Blick behält, steht bei einem nächsten Schritt der Kommission oder einem etwaigen „Schrems III" nicht ohne Konzept da:

  • Datenflüsse in die USA erfassen und dokumentieren: Welche Dienste, welche Daten, welche Rechtsgrundlage? Schaffen Sie aktuelle und spezifische Dokumentation.

  • TIAs auf Aktualität prüfen:Hier sind insbesondere die Passagen zu FTC, PCLOB und DPRC kritisch zu würdigen.

  • SCCs als Fallback bereithalten, wo Sie sich bislang allein auf das DPF gestützt haben.

  • Realistischen Maßnahmenplan für den Fall einer Rechtsänderung vorhalten

All das galt im Kern schon vorher und hat mit „Trump v. Slaughter“ nur mittelbar zu tun.

Fazit

Die Entscheidung „Trump v. Slaughter“ ist relevant, rechtfertigt aber weder Alarmismus noch übereilte Investitionen. Der Angemessenheitsbeschluss gilt, SCCs stehen als Rückfalloption bereit, und ein pauschales Transferverbot ist weder rechtlich haltbar noch praktisch durchsetzbar.

Die politische Dimension erklärt den Ton der Debatte, ersetzt die juristische Prüfung aber nicht. Ausschlaggebend bleibt, wie die Kommission ihren Beschluss begründet hat und wie der EuGH die Sachlage bewertet nicht, wie laut argumentiert wird.

Unsere Empfehlung: Datenbestand kennen, TIAs pflegen, einen realistischen Plan haben. Das ist solide Datenschutz-Governance und die sollten Verantwortliche ohnehin betreiben.

Sie möchten Ihre US-Datenflüsse und TIAs überprüfen lassen? Sprechen Sie uns an. Wir unterstützen Sie mit praktischer Erfahrung und standardisiertem Vorgehen bei der Überprüfung Ihrer Datenflüsse.

Datenübermittlungen in die USA im Fokus: Wir ordnen die Supreme-Court-Entscheidung Trump v. Slaughter ein, erklären die Auswirkungen für Ihre Praxis und geben klare Schritte für Prüfung, Vertragsklauseln und technische Schutzmaßnahmen.

Melden Sie sich für unseren Newsletter an.

Erhalten Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Sicherheit und Compliance.