
Der US-Supreme Court hat Ende Juni mit 6:3 Stimmen entschieden: Präsident Donald Trump durfte die Kommissarin der Federal Trade Commission (FTC), Rebecca Slaughter, auch ohne Grund entlassen – obwohl der Kongress die FTC gerade vor dieser Form politischer Einflussnahme schützen wollte. Es handelt sich um eine Grundsatzentscheidung zur Gewaltenteilung. Ihre Sprengkraft reicht aber darüber hinaus: Das Schicksal des EU-US-Datenschutzrahmens (EU-US Data Privacy Framework, DPF), der wichtigsten Grundlage für den transatlantischen Datenverkehr, gleicht nun der Chronik eines angekündigten Todes. Wie im gleichnamigen Roman von Gabriel García Márquez sind die Warnzeichen überdeutlich – verhindern lässt sich der tragische Ausgang nicht.
Denn die Entscheidung entzieht dem DPF den Boden. Die Übermittlung personenbezogener Daten aus der EU ist ohne weitere Voraussetzungen nur in Länder mit einem angemessenen Datenschutzniveau zulässig. Unter anderem, weil die USA kein umfassendes Datenschutzgesetz haben, gibt es als Behelfslösung den DPF. Danach ist die Übermittlung an US-Unternehmen zulässig, wenn diese sich verpflichtet haben, Daten aus der EU nur nach bestimmten Grundsätzen zu verarbeiten.
Die FTC ist keine unabhängige Behörde
Die Einhaltung dieser Selbstverpflichtung muss eine unabhängige Behörde überwachen. Das war bisher primär die FTC. Mit dem Urteil des Supreme Court ist aber klar: Die FTC ist nicht mehr ausreichend unabhängig. Der Schutz vor grundloser Abberufung war nach dem DPF ein wesentlicher Garant ihrer Unabhängigkeit und damit tragend für den DPF.
Schon zum Vorgänger des DPF hatte der Europäische Gerichtshof (EuGH) entschieden, dass eine Ombudsperson, die Rechtsschutz gewähren sollte, nicht unabhängig ist, wenn sie nicht durch besondere Garantien gegen ihre Abberufung geschützt ist. Inhaltlich steht die Unabhängigkeit der FTC schon länger infrage: Präsident Trump hat alle unabhängigen Regulierungsbehörden verpflichtet, wesentliche Entscheidungen der Regierung vorzulegen und sich an deren Rechtsauslegung zu halten.
Wie die Täter bei Márquez hat die Kommission nun die Pflicht zu handeln – auch wenn sie es selbst gar nicht will. Sie muss den DPF aussetzen oder aufheben, wenn das Fundament eines angemessenen Datenschutzniveaus wegbricht. Der EuGH hat bereits zum Safe-Harbor-Beschluss, einem Vorgänger des DPF, festgestellt, dass die Kommission in dieser Frage keinen politischen Spielraum hat. Sie darf sich also nicht von Präsident Trumps Zolldrohungen abschrecken lassen.
Viele Wege führen zum EuGH
Handelt sie nicht, kann das Europäische Parlament, der Rat oder ein Mitgliedstaat eine Untätigkeitsklage beim EuGH einreichen. Auch eine Einzelperson könnte gegen eine Übermittlung ihrer Daten in die USA vor einem nationalen Gericht vorgehen, das dann die Sache dem EuGH vorlegt; bereits der Weg nach Luxemburg würde aber leicht mehr als ein Jahr dauern. Datenschutzaufsichtsbehörden können eine Abkürzung nehmen – in Deutschland mit einem Verfahren vor dem Bundesverwaltungsgericht, das allein dazu dient, rasch eine Vorlage an den EuGH zu ermöglichen.
In diesen Verfahren werden die bekannten Schwachpunkte des DPF eine Rolle spielen, die schon seine beiden Vorgänger vor dem EuGH zu Fall brachten: die ausgreifenden Überwachungsbefugnisse der US-Nachrichtendienste und der mangelnde Rechtsschutz dagegen. Das Europäische Gericht (EuG) hat eine Klage des französischen Abgeordneten Philippe Latombe gegen den DPF im September 2025 zwar abgewiesen – doch nur, indem es sich über die strenge Linie des EuGH hinwegsetzte. Der Fall liegt jetzt beim EuGH.
Kaum Schutz vor staatlicher Überwachung
Die Entscheidung ist daher nur eine Atempause. Zudem zeigt sich seit Präsident Trumps Amtsantritt, wie verwundbar die Kontrollinstanzen sind, auf denen das DPF beruht. Der Data Protection Review Court (DPRC), der EU-Bürgern Rechtsschutz gegen Überwachungsmaßnahmen gewähren soll, beruht nur auf einer Executive Order sowie einem Erlass des Attorney General und kann mit einem Federstrich abgeschafft werden – unter Präsident Trump kein theoretisches Szenario. So kann der DPRC aber nicht unabhängig und neutral entscheiden.
Zudem ist das überparteiliche Privacy and Civil Liberties Oversight Board (PCLOB), das Bürgerrechte gegenüber staatlicher Überwachung schützen soll, handlungsunfähig, nachdem Präsident Trump die demokratischen Mitglieder entlassen hat – ohne Begründung.
Anders als die Dorfbewohner bei Márquez dürfen Unternehmen nicht die Warnzeichen ignorieren oder in Lethargie verharren. Sie können das absehbare Ende des DPF nicht verhindern, aber sie können jetzt schon die richtigen Weichen stellen. Zum DPF gibt es keine einfachen Alternativen. Der Rückgriff auf Standardvertragsklauseln und andere geeignete Garantien erfordert eine Übermittlungsfolgenabschätzung (Transfer Impact Assessment, TIA) – angesichts noch immer zu weitreichender Befugnisse der US-Nachrichtendienste und des mangelhaften Rechtsschutzes dagegen dürfte ein positives Ergebnis schwer zu begründen sein.
Damit wird die Datenverarbeitung in der EU durch europäische Anbieter immer attraktiver. Hier decken sich Datenschutz und der Wunsch nach digitaler Souveränität. Die notwendigen Anpassungen brauchen jedoch Zeit, sind unbequem und kostenintensiv. Das Urteil des Supreme Court ist ein Weckruf.
Der Autor ist Rechtsanwalt in Berlin und war Abteilungsleiter im Bundesministerium der Justiz und für Verbraucherschutz.
