Digitale Souveränität statt blindem Vertrauen: das FTC-Urteil hat Sprengkraft. Warum Unternehmen ihre Cloud-Strategie jetzt hinterfragen sollten und sich mit digitaler Souveränität, eigenen Abhängigkeiten und den Risiken bei den eigenen Kernprozessen befassen sollten.
Kurz zusammengefasst:
Der US Supreme Court hat am 29. Juni 2026 die Unabhängigkeit der FTC für verfassungswidrig erklärt – und damit ausgerechnet die Behörde entmachtet, auf die sich die EU-Kommission im EU-US Data Privacy Framework 259 Mal als Kontrollinstanz beruft. Betroffen ist nicht nur das DPF, sondern über den ebenfalls fragilen Data Protection Review Court auch ein Großteil der Standardvertragsklauseln (SCC).
Schon wieder Schrems? Genau. Seine Organisation noyb hat die EU-Kommission bereits zur geordneten Aufhebung aufgefordert und kündigt zusätzlich eine EuGH-Klage an. Formal ändert sich kurzfristig nichts – strukturell ist es der dritte Kollaps eines EU-US-Datenabkommens in elf Jahren. (Schrems III wurde ja längst erwartet…) Für Unternehmen, deren Betrieb vollständig oder wesentlich auf US-Cloud-Diensten aufgebaut ist, ist das keine abstrakte Rechtsfrage mehr, sondern eine Frage der Betriebskontinuität.
Hintergrund
Am 29. Juni 2026 hat der US Supreme Court in der Sache Trump v. Slaughter entschieden, dass die Unabhängigkeit der Federal Trade Commission (FTC) verfassungswidrig ist. Die Kommissare der FTC können künftig ohne Angabe von Gründen vom Präsidenten entlassen werden – der Fall drehte sich konkret um die Entlassung der demokratischen FTC-Kommissarin Rebecca Kelly Slaughter, die der Supreme Court in einer 6:3-Entscheidung für rechtmäßig erklärte.
Das klingt nach einer Frage der US-Gewaltenteilung.
Ist es auch. Aber es ist gleichzeitig ein Problem für jedes Unternehmen in der EU, das Daten in der US-Cloud verarbeitet.
Ein US-Verfassungsurteil, welches auch Ihre Datenverarbeitung betrifft
Das EU-US Data Privacy Framework – die Rechtsgrundlage, auf der Microsoft 365, Google Workspace, AWS und unzählige andere US-Dienste in Europa legal betrieben werden – steht und fällt mit einer einzigen Voraussetzung: dass die Aufsicht über die Einhaltung der Zusagen durch eine unabhängige Behörde erfolgt. Genau das hat die konservative Mehrheit der Richter am Supreme Court jetzt für verfassungswidrig erklärt.
Hintergrund der Entscheidung ist die sogenannte „Unitary Executive Theory“: eine Verfassungsauslegung, wonach der US-Präsident uneingeschränkte Kontrolle über alle Bundesbehörden der Exekutive haben muss. Gesetzliche Regelungen, die Behörden bislang vor direktem politischem Durchgriff geschützt hatten, hat das Gericht mit dieser Begründung verworfen.
Wie zentral die Unabhängigkeit der FTC für das Abkommen war, zeigt ein Blick in den Text: Die EU-Kommission stützt sich im Angemessenheitsbeschluss zum Data Privacy Framework 259 Mal auf die „unabhängige“ FTC als Kontrollinstanz. Diese Zahl allein macht deutlich:
Hier wurde nicht ein Nebenaspekt reguliert, sondern das gesamte Konstrukt auf einer einzigen Säule errichtet.
Das zweite Bein wackelt mit
Betroffen ist nicht nur die FTC. Auch das zweite Standbein des Datenschutzrahmens – der sogenannte Data Protection Review Court (DPRC), der EU-Bürgern Rechtsschutz gegen US-Geheimdienstüberwachung bieten soll – steht auf tönernen Füßen mit Rissen: Trotz der Bezeichnung „Court“ handelt es sich dabei um keine echte gerichtliche Instanz, sondern um eine Stelle innerhalb des US-Justizministeriums. Ihre „Unabhängigkeit“ beruht ausschließlich auf einer Executive Order von Präsident Biden aus dem Jahr 2022 – einer internen Anordnung, die Trump jederzeit ändern oder aufheben kann. (das wurde schon von Beginn an kritisiert, also dass die Wirksamkeit des ganzen Abkommens zum Datentransfer / Data Privacy Framework nur an einer Executive Order des Präsidenten hängt…)
Das ist weit über das Data Privacy Framework hinaus relevant:
Auch Unternehmen, die formal mit Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften arbeiten, stützen ihre Transferfolgenabschätzungen regelmäßig auf FTC, PCLOB oder DPRC als Nachweis ausreichenden US-Rechtsschutzes. Fällt diese Grundlage, müssen diese Bewertungen neu vorgenommen werden – mit absehbarem Ergebnis.
Und jetzt? Schrems III?
Wichtig für die Einordnung: Nichts passiert über Nacht. Der Angemessenheitsbeschluss bleibt zunächst aus EU-Sicht formal in Kraft, die Europäische Kommission hat ihn nicht ausgesetzt oder zurückgezogen, und auch der Europäische Datenschutzausschuss hat bislang keine Anweisung ausgegeben, die Nutzung zu stoppen. (das könnte sich theoretisch ändern). Die USA werden mutmaßlich kein Interesse haben, den Datentransfer zu behindern, aber wer vermag das noch mit Gewissheit sagen…
Grundlagen der Drittlandsübermittlungen / DSGVO
Jetzt kommt der Datenschutz… . Rechtlich geht es hier um das Kapitel V der DSGVO (Art. 44–49): Drittlandsübermittlungen sind demnach nur zulässig, wenn ein angemessenes Schutzniveau besteht – sei es durch Angemessenheitsbeschluss (Art. 45) oder durch geeignete Garantien wie Standardvertragsklauseln (Art. 46), die der EuGH in Schrems II ausdrücklich um „zusätzliche Maßnahmen“ ergänzt sehen wollte, wenn das Recht des Drittlands selbst keinen gleichwertigen Schutz bietet.
Genau diese zusätzlichen Maßnahmen laufen aber ins Leere, wenn ihre eigene Grundlage – die Bewertung durch FTC, PCLOB oder DPRC – und unabhängige Kontrolle – wegfällt.
Die Uhr tickt… was die EU-Politik macht, ist unklar
noyb hat der Europäischen Kommission bereits am 30. Juni 2026 ein formelles Schreiben zugestellt und einen geordneten Widerruf des Angemessenheitsbeschlusses gefordert. Max Schrems, dessen Organisation bereits Safe Harbor und Privacy Shield zu Fall gebracht hat, spricht von einem rechtlichen Kartenhaus, das die Kommission unter Wirtschaftsdruck errichtet habe und das nun in sich zusammenfalle. Parallel dazu hat noyb angekündigt, in den kommenden Wochen zusätzlich Klage vor dem EuGH einzureichen – ein Verfahren, das erfahrungsgemäß zwei bis drei Jahre bis zur endgültigen Entscheidung benötigt.
Folgenabschätzung und Risikobewertung
Bis dahin bleibt eine Grauzone. Wer heute auf Basis des DPF Daten in die USA überträgt, handelt nicht automatisch rechtswidrig. Wer jedoch mit Standardvertragsklauseln arbeitet, sollte seine Transferfolgenabschätzung zeitnah aktualisieren – denn diese Instrumente genießen keinen vergleichbaren Bestandsschutz wie der formale Angemessenheitsbeschluss.
Der eigentliche Punkt: Das ist Struktur, nicht Zufall
Wer zum dritten Mal denselben Film sieht, sollte irgendwann aufhören, ihn als Überraschung zu behandeln. Safe Harbor, gekippt. Privacy Shield, gekippt. Jetzt das Data Privacy Framework mit erheblich wackligerer Grundlage. Das ist kein Betriebsunfall der US-Justiz, sondern die dritte Wiederholung eines strukturellen Konflikts:
Ein US-Rechtssystem, das nationale Sicherheitsinteressen grundsätzlich über individuelle Datenschutzrechte stellt, lässt sich nicht dauerhaft mit einem europäischen Grundrechtsverständnis vereinbaren, das genau das Gegenteil verlangt.
Es geht hier nicht um einen reinen Formalienstreit zwischen Bürokratien und Bürokraten oder Lapalien. Es geht um Grundrechte! – also um Art. 7 und Art. 8 der EU-Grundrechtecharta – um das Recht von EU-Bürgerinnen und -Bürgern auf Datensouveränität, Privatleben, und den Schutz ihrer personenbezogenen Daten. Diese Rechte lassen sich nicht per Executive Order eines US-Präsidenten verwalten, der sie morgen genauso einseitig wieder einkassieren kann.

Relevanz für Compliance & Continuity
Durchaus relevant ist das für die Beratungspraxis auch bei KT-Datenschutz, weil wir es zunehmend bei Mandanten sehen, die ihre gesamte digitale Infrastruktur – E-Mail, CRM, KI-Tools, Cloud-Speicher, Kommunikation, teilweise sogar Banking-Anbindung – auf einer Handvoll US-Anbieter aufgebaut haben.
Das ist keine hypothetische Compliance-Übung mehr sondern eine Frage der Betriebskontinuität:
- Was passiert, wenn ein US-Anbieter aus politischen oder sanktionsrechtlichen Gründen Dienste für europäische Kunden punktuell einschränkt oder aussetzt?
- Was passiert mit Wiederherstellungs- und Reset-Funktionen, die technisch an US-Konten hängen (Exchange, Gmail, WhatsApp), wenn genau diese Konten betroffen sind?
- Wie lange würde Ihr Unternehmen operativ arbeitsfähig bleiben, wenn diese Anbieter über Nacht wegfielen, weil Zugänge gesperrt oder gedrosselt sind?
Diese Fragen waren vor wenigen Jahren eher akademisch. Nach drei gescheiterten Transferabkommen in elf Jahren sind sie es nicht mehr.
Einschränkung oder Abschalten von US-Diensten durch Politik
Wie schnell ein US-Anbieter für ausländische Kunden faktisch offline gehen kann, zeigen aktuelle Fälle aus der Exportkontrollpraxis regelmäßig: US-Sanktionsrecht und Exportkontrollen wirken extraterritorial und ohne Vorwarnzeit – betroffen sein können nicht nur Software- oder Cloud-Zugänge, sondern auch Banking-Anbindungen, Zahlungsdienstleister oder SaaS-Plattformen, sobald ein Anbieter, ein Mutterkonzern oder auch nur ein einzelner Servicebaustein unter US-Jurisdiktion fällt.
Genau dieses Muster
– politische Einzelentscheidung, sofortige globale Wirkung und Verwirrung, ohne Vorwarnzeit
– ist der Kern des Risikos, um das es hier geht.
Am 12. Juni 2026 ordnete das US-Handelsministerium per Exportkontrollrecht an, dass Anthropic seine Modelle Claude Fable 5 und Claude Mythos 5 sämtlichen ausländischen Staatsangehörigen sperren müsse – unabhängig davon, ob sie sich innerhalb oder außerhalb der USA aufhielten, einschließlich ausländischer Mitarbeiter von Anthropic selbst.
Resilienz statt Reflex
Wir hören oft die naheliegende Reaktion: „wir haben doch keine europäische Alternative, wir kommen ohne die US-Hyperscaler nicht aus“… in einigen Bereichen mag das auch nachvollziehbar sein. Aber nicht für jeden Use-Case, für alle Datenverarbeitungen und für immer. Heute ist der europäische Markt für Cloud-Infrastruktur, Kollaborationstools, E-Mail und Kommunikation in Bewegung und deutlich breiter aufgestellt, als viele Unternehmen wahrnehmen. Viele Länder wie Frankreich arbeiten intensiv daran, ihre Souveränität zurückzugewinnen, auch in der Verwaltung.
Das bedeutet nicht, dass jeder morgen seine gesamte IT (re-) migrieren muss. Es bedeutet, dass Diversifizierung eine strategische Entscheidung ist, keine ideologische.
Man muss sich mit den Risiken ernsthaft befassen, um vernünftige Entscheidungen zu treffen.
Daten sind selbst in europäischen Rechenzentren von US-Unternehmen wie Microsoft, AWS etc. nicht vor dem Zugriff von US-Behörden geschützt. Selbst wenn die Daten die EU nie verlassen werden sich US-Behörden auf den Cloud-Act berufen, wenn sie – oder der Präsident – es „im US-Interesse für erforderlich“ erachtet.
Haben Sie sich die Frage ernsthaft gestellt, ob das ein Risiko für Ihr Business, Ihre Daten, Ihre Beschäftigten oder gar Sie selbst bedeuten kann?
Business-Continuity
Ein Unternehmen, das seine Betriebsfähigkeit vollständig auf eine Rechtsgrundlage gestützt hat, die zum dritten Mal in elf Jahren ins Wanken gerät, trägt kein Compliance-Risiko mehr – es trägt ein Business-Continuity-Risiko.
Und dieses Risiko lässt sich zumindest in großen Teilen reduzieren:
durch realistische Risikobetrachtungen, Diversifizierung kritischer Dienste, durch belastbare Transferfolgenabschätzungen (TIA) mit echten Alternativszenarien, durch eine realistische Exit-Strategie für den Ernstfall. Für kritische Infrastrukturen, Zulieferer im Miltärbereich und ähnlichen sind diese Überlegungen Pflichtprogramm!
Genau dabei unterstützen wir unsere Mandanten – nicht mit Alarmismus, sondern mit einer nüchternen Bestandsaufnahme:
Wo hängt Ihr Betrieb an einer einzigen, politisch verwundbaren Rechtsgrundlage? Und was wäre der erste sinnvolle Schritt, das zu ändern?
Quellen:
- US Supreme Court, Trump v. Slaughter, No. 25-332 (29.06.2026);
- Durchführungsbeschluss (EU) 2023/1795 (EU-US Data Privacy Framework);
- noyb, „US Supreme Court just blew up EU-US Data Transfers“ (29.06.2026) / https://noyb.eu/de/us-supreme-court-just-blew-eu-us-data-transfers;
- Schreiben von noyb an die Europäische Kommission (30.06.2026); EuGH, Schrems I (C-362/14) und Schrems II (C-311/18).
- Handelsblatt.com zur Antropic Sperre: https://www.handelsblatt.com/technik/ki/kuenstliche-intelligenz-anthropic-sperrt-top-ki-modell-nach-regierungs-anordnung/100232698.html
Stand: 01.07.2026. Die Lage entwickelt sich derzeit schnell weiter – dieser Beitrag gibt eine Einschätzung zum aktuellen Zeitpunkt wieder und ersetzt keine Rechtsberatung im Einzelfall. Das Symbolbild wurde mit KI-Unterstützung erstellt.