Das Ende transatlantischer Datentransfers?

Zitiervorschlag
Prof. Dr. Alexander Golland: Das Ende transatlantischer Datentransfers?. beck-aktuell, 06.07.2026 (abgerufen am: 06.07.2026 von https://www.beck-aktuell.de/node/201356)
Nach dem Urteil Trump v. Slaughter schlagen Datenschützer Alarm. Droht das Ende von Datenübermittlungen in die USA? Die eigentliche Gefahr für das Data Privacy Framework liegt womöglich nicht bei der Federal Trade Commission, sondern an anderer Stelle, schreibt Alexander Golland.
Mit Trump v. Slaughter verwirft der US Supreme Court über 90 Jahre alte Grundsätze und attestiert der Federal Trade Commission mangelnde Unabhängigkeit. Datenschützerinnen und Datenschützer sehen das EU-U.S. Data Privacy Framework nun vor dem Aus.
Bei näherer Betrachtung zeigt sich jedoch: Das Urteil gefährdet den transatlantischen Datenverkehr weniger durch seine unmittelbare Wirkung als durch seine mögliche Ausstrahlung auf das Privacy and Civil Liberties Oversight Board – ein Gremium, das der EuGH als zentrale Sicherung gegen nachrichtendienstliche Zugriffe betrachtet.
Kurz nach Beginn seiner zweiten Amtszeit im Januar 2025 entließ Präsident Trump zwei Kommissare der demokratischen Partei bei der Federal Trade Commission (FTC). Eine von ihnen, Rebecca Slaughter, klagte – und bekam zunächst recht. Das Gericht berief sich auf den Präzedenzfall "Humphrey's Executor" von 1935: Danach durfte der Präsident FTC-Kommissarinnen und -Kommissare nicht ohne Grund entlassen. Die Absetzung sei rechtswidrig.
Gegen diese Entscheidung ging Trump gerichtlich vor. Der US Supreme Court entschied nun in der Rechtssache Trump v. Slaughter (Case No. 25–332) und hob in dem Zusammenhang "Humphrey's Executor" ausdrücklich auf: Die FTC übe exekutive Gewalt aus und müsse daher dem Präsidenten unterstehen. Da die US-Verfassung dem Präsidenten sämtliche Exekutivgewalt übertrage, und dies auch die uneingeschränkte Entlassungsbefugnis umfasse, könnten FTC-Kommissarinnen und -Kommissare jederzeit ohne Angabe von Gründen vom US-Präsidenten entlassen werden. Ohne Entlassungsschutz sei die FTC nicht mehr als "independent agency" einzustufen.
Drei Wirkdimensionen
Doch was hat das mit dem Datenschutzrecht in Europa zu tun? Die FTC spielt eine wichtige Rolle für das EU-U.S. Data Privacy Framework (DPF). Das DPF ist ein Angemessenheitsbeschluss der Europäischen Kommission, wonach die USA beim Datenschutz ein mit der EU vergleichbares Schutzniveau bieten. Ohne einen solchen Beschluss bedürfte jede Datenübermittlung in die USA einer gesonderten Rechtfertigung. Das DPF ist damit das wichtigste Instrument für den transatlantischen Datenverkehr.
Dessen Vorgänger, das EU-U.S. Privacy Shield, wurde vom EuGH im Jahr 2020 für ungültig erklärt. Der EuGH entschied insbesondere, dass die US-Rechtslage keinen ausreichenden Schutz vor Datenzugriff durch US-Nachrichtendienste bot. Die EU-Kommission bescheinigte wenige Jahre später mit dem DPF den USA erneut ein vergleichbares Datenschutzniveau und stellte dabei unter anderem auf die Rolle der FTC als (unabhängige) Behörde ab.
Station 1: Washington, D.C.
Gleichwohl ist die mangelnde Unabhängigkeit der FTC als solche kein Dammbruch. Der FTC kommt unter Geltung des DPF eine quasi identische Funktion zu wie schon unter Geltung des Vorgängers – dem Privacy Shield. Die Aufsicht über die Einhaltung der Zertifizierungskriterien durch Unternehmen ist und war das Herzstück der kommerziellen Durchsetzung des DPF.
Der EuGH hatte damals das Privacy Shield jedoch nicht wegen mangelnder Durchsetzung durch die FTC für ungültig erklärt. Kritikpunkte des EuGH waren vielmehr die umfassenden Befugnisse US-amerikanischer Nachrichtendienste, die unzureichende Rechtsschutzmöglichkeiten und das Nichtvorhandensein einer unabhängigen Datenschutzaufsicht.
Diese Defizite wurden, jedenfalls nach Ansicht der Kommission, durch die Executive Order 14086 behoben. Diese schuf den Data Protection Review Court (DPRC) und setzte als Aufsichtsgremium das Privacy and Civil Liberties Oversight Board (PCLOB) ein. Ob damit tatsächlich ein nach europäischen Maßstäben äquivalentes Datenschutzniveau geschaffen wurde, ist zweifelhaft. Dass nun aber ausgerechnet die FTC – ohne dass ihr Wirken zuvor Anlass zur Kritik seitens des EuGH gegeben hätte – das Zünglein an der Waage spielen soll, erscheint eher fernliegend. Die jederzeitige Entlassung von FTC-Kommissarinnen und -Kommissaren ändert wenig – zumal das gesamte DPF auf einer Executive Order basiert, die der US-Präsident ohnehin jederzeit aufheben könnte.
Demgegenüber kommt der Unabhängigkeit des PCLOB, das eine Schlüsselrolle bei der Aufsicht über staatliche Datenzugriffe hat, angesichts der bisherigen EuGH-Rechtsprechung weitaus größere Bedeutung zu. Parallel zur Entlassung der FTC-Kommissarinnen und -Kommissare hatte Trump auch die demokratischen Mitglieder des PCLOB entlassen. Nachdem ein Gericht die Entlassung als ultra vires und damit rechtswidrig beurteilte, hat die zweite Instanz die Entscheidung zurückgestellt, um das Urteil in "Trump v. Slaughter" abzuwarten.
Das Gericht könnte nun die neuen Grundsätze auf das PCLOB übertragen, sofern dieses Gremium als Exekutivbehörde eingestuft wird – der Supreme Court hatte explizit offengelassen, ob das Urteil auch für Einrichtungen ohne exekutive Gewalt gilt. Als "independent agency within the executive branch" ist das PCLOB ein Hybrid: Es übt einerseits keine der drei Kernfunktionen aus, die aus der Sicht des Supreme Court ausschlaggebend für die Einstufung als Exekutivbehörde sind, besitzt andererseits jedoch gewisse hoheitliche Befugnisse.
Station 2: Luxemburg
Derweil steht beim EuGH in einigen Monaten die Entscheidung über das DPF an. Der französische Abgeordnete Benjamin Latombe hatte im Rahmen einer Nichtigkeitsklage gerügt, die EU-Kommission übertrage personenbezogene Daten ohne hinreichende Rechtsgrundlage in die USA. Das EuG wies die Klage ab und blendete dabei die neueren Entwicklungen unter Donald Trump aus. Prüfgegenstand im Rahmen einer Nichtigkeitsklage ist nämlich nicht die derzeitige Rechtslage, sondern die zum Zeitpunkt des Erlasses des Rechtsakts – also Juli 2023, rund zweieinhalb Jahre vor Trumps zweiter Präsidentschaft.
Dennoch ist nicht fernliegend, dass sich die Entscheidung eines US-Gerichts bezüglich der FTC oder, wahrscheinlicher, des PCLOB auch in der Rechtsprechung des EuGH niederschlägt. Ungeklärt ist, ob es für die individuelle Klagebefugnis – wie Latombe meint – genügt, dass eigene personenbezogene Daten in die USA übermittelt werden. Der EuGH könnte die Klage daher bereits formell an der mangelnden Klagebefugnis scheitern lassen und sich hinsichtlich ihrer Begründetheit bedeckt halten.
Umgekehrt ist denkbar, dass der EuGH die Klage für zulässig und begründet hält. Dabei könnte das Gericht über das Urteil der Vorinstanz hinausgehen und problematische Aspekte der US-Rechtslage, etwa die fortbestehenden Möglichkeiten zur massenhaften Datenerfassung ("bulk collection") oder das Verfahren vor dem DPRC im Lichte europäischer Grundrechte prüfen.
Zwischen diesen Extrempolen gibt es zwei Lösungen, die wahrscheinlicher sind. Denkbar wäre etwa, dass der EuGH die Zulässigkeit offenlässt und sich in der Begründetheit dem EuG anschließt: Dann hätte er allein auf die Rechtslage zum Zeitpunkt des Erlasses des DPF abgestellt und keine darüber hinausgehenden Rechtsfragen geprüft.
Ebenso wäre möglich, dass der EuGH die Klage für zulässig hält – was das Tor für bereits angekündigte Individualklagen öffnen würde. In beiden Fällen könnte der EuGH zugleich obiter dictum signalisieren: Eine Nichtigkeitsklage unter heutigen Bedingungen hätte Aussicht auf Erfolg. Ein solches Signal liegt besonders nah, wenn ein US-Gericht zwischenzeitlich auch den Entlassungsschutz des PCLOB aufhebt.
Nur im Fall der Zulässigkeit und Begründetheit hätte ein Urteil des EuGH unmittelbar die Ungültigkeit des DPF zur Folge. In allen anderen Fällen bliebe das DPF in Kraft.
Station 3: Brüssel
Ein klageabweisendes Urteil des EuGH hätte keine Präjudizwirkung hinsichtlich des status quo. Äußert sich der EuGH jedoch zur aktuellen Situation, würde es den politischen Druck auf die Kommission erhöhen, den Angemessenheitsbeschluss hinsichtlich der Vereinigten Staaten zu prüfen und gegebenenfalls aufzuheben. Die Kommission hat bislang nicht erkennen lassen, in dieser Hinsicht tätig zu werden.
Forcieren ließe sich ein Wandel durch eine Untätigkeitsklage. Direkt im Anschluss an das Urteil des Supreme Court hat die von Max Schrems gegründete NGO noyb bei der EU-Kommission beantragt, das DPF aufzuheben. Bleibt die Kommission untätig, wäre der Weg frei für eine Untätigkeitsklage. Eine solche Klage hat vergleichbare Zulässigkeitsvoraussetzungen wie die Nichtigkeitsklage, sodass auch insoweit die anstehende Entscheidung in Sachen "Latombe" fortwirkt. Bei ihrer Begründetheit besteht jedoch ein gewichtiger Unterschied: Es wird nicht auf die Sach- und Rechtslage zum Zeitpunkt des Erlasses des DPF abgestellt, sondern auf die aktuelle Situation.
Die Entscheidung des EuGH in Sachen "Latombe" in puncto Klagebefugnis kann wegweisend sein. In jedem Fall deutet sich (abermals) eine "Schrems-Entscheidung" an – wie sie der EuGH bereits 2015 und 2020 zu den jeweiligen Vorgängerinstrumenten getroffen hat. Falls der EuGH das DPF nicht bei nächster Gelegenheit für ungültig erklärt, könnten allerdings bis zu einer solchen Entscheidung einige Jahre ins Land ziehen.
Ein kurzer Gedanke über das Zündeln
Kommission und EuGH befinden sich, so scheint es, jeweils auf einem Pulverfass – jede Seite mit dem Ende einer Lunte in der Hand. Das Urteil birgt unstreitig Sprengstoff. Wahrscheinlich brennt die Lunte. Aber: Nicht erst seit heute. Das DPF stand schon immer auf wackligen Füßen, die Liste streitbarer Punkte ist lang. Keine der beteiligten Institutionen hat ein Interesse daran, das Fass zum Explodieren zu bringen. Die Kommission nicht, weil ein gescheitertes DPF ihr eigenes Verhandlungsergebnis desavouiert. Der EuGH nicht, weil es formaljuristisch (noch) keine Not gibt, sich in ein transatlantisches Politikum zu begeben. Das verschafft dem DPF eine Schonfrist, aber keinen Bestandsschutz.
Für die Praxis bedeutet das: Trump v. Slaughter beendet den transatlantischen Datenverkehr nicht – jedenfalls nicht heute. Aber Unternehmen, die langfristig planen, sollten bei Datentransfers nicht auf das DPF als alleinige Grundlage setzen, sondern zumindest die Standarddatenschutzklauseln als Fallback-Option nutzen. Die Lunte brennt. Nur das Tempo kennt keiner. Und wo sie endet, weiß auch niemand.
Zitiervorschlag
Prof. Dr. Alexander Golland: Das Ende transatlantischer Datentransfers?. beck-aktuell, 06.07.2026 (abgerufen am: 06.07.2026 von https://www.beck-aktuell.de/node/201356)



