Montag, der 29. Juni 2026, wird in die Geschichte des Datenschutzes eingehen. Still und leise, fast nebenbei, hat der US Supreme Court mit seiner Entscheidung in Trump v. Slaughter das Fundament zerstört, auf dem das gesamte EU-US Data Privacy Framework ruhte. Kein EuGH-Urteil, keine neue Verordnung war nötig – die US-Verfassung selbst hat dem Deal den Stecker gezogen.
Was passiert ist
Der Oberste Gerichtshof der USA hat entschieden, dass die Federal Trade Commission (FTC) nicht unabhängig sein darf. Die Begründung folgt der „Unitary Executive Theory“: Der Präsident muss die volle Kontrolle über alle Exekutivbehörden haben. Alle Gesetze, die Behörden Unabhängigkeit garantieren, sind damit verfassungswidrig.
Das ist der Todesstoß für den Datenschutzdeal. Denn die Europäische Kommission hat sich in ihrem Durchführungsbeschluss 2023/1795 sage und schreibe 259 Mal auf die „unabhängige“ FTC als Aufsichtsbehörde berufen. Artikel 16(2) AEUV und Artikel 8(3) der Grundrechtecharta verlangen aber zwingend unabhängige Datenschutzbehörden – auch in Drittländern. Diese Unabhängigkeit existiert in den USA nun nicht mehr. Punkt.
Ein Kartenhaus, das die Kommission selbst gebaut hat
Max Schrems nennt es treffend: ein rechtliches Kartenhaus. Schon „Safe Harbour“ (Schrems I) und „Privacy Shield“ (Schrems II) kippte der EuGH wegen US-Überwachungsgesetzen und fehlendem Rechtsschutz. Das dritte Abkommen 2023 war weitgehend eine Kopie der gescheiterten Vorgänger – nur mit einem neuen Anstrich: dem „Data Protection Review Court“, der in Wahrheit eine Behörde im Justizministerium ist, die per Executive Order „unabhängig“ gemacht wurde. Eine Order, die jeder Präsident jederzeit ändern kann.
Die Kommission hat unter Industrie-Druck ein Konstrukt abgesegnet, das von Anfang an auf Sand gebaut war. Jetzt, wo der Sand weggespült ist, darf sie nicht so tun, als sei nichts passiert.
Was jetzt folgt – und was folgen muss
Rechtlich bleibt der Beschluss formal in Kraft, bis die Kommission ihn aufhebt oder der EuGH ihn kippt. Aber die faktische Grundlage ist weg. Unternehmen, die sich auf Standardvertragsklauseln (SCCs) oder Binding Corporate Rules (BCRs) stützen, müssen ihre Transfer Impact Assessments unverzüglich aktualisieren – und werden feststellen: Rechtmäßig ist das nicht mehr.
Die Kommission muss jetzt handeln. Einen geordneten Ausstieg aus der US-Cloud einleiten. Digital souverän werden – nicht als Schlagwort, als Notwendigkeit. noyb hat den formellen Brief geschrieben; die Klage vor dem EuGH folgt. Doch zwei bis drei Jahre Verfahren sind Zeit, die wir nicht haben.
Meine Position als Kommunalpolitiker und Organisator
Ich sehe das nicht nur als Datenschützer. Ich sehe das als jemand, der in Köln Vereine organisiert, Veranstaltungen plant, Mitgliedsdaten verwaltet. Viele von uns nutzen US-Cloud-Dienste – für Newsletter, Umfragen, Mitgliederverwaltung, Videokonferenzen. Wir tun das, weil es bequem ist. Weil die Alternativen mühsam scheinen.
Diese Bequemlichkeit hat jetzt ihren Preis: Rechtsunsicherheit. Abmahngefahr. Bußgelder. Und vor allem: Wir übergeben die Daten unserer Mitglieder, Engagierten, Nachbarn in ein System, das nachweislich keine unabhängige Aufsicht mehr hat.
Was wir tun können – ab sofort
-
Bestandsaufnahme: Welche US-Dienste nutzen wir? Wo fließen personenbezogene Daten hin?
-
Alternativen prüfen: Es gibt europäische Anbieter für fast jeden Anwendungsfall – oft DSGVO-konform by design, nicht nur by contract.
-
Verträge prüfen: SCCs reichen nicht mehr, wenn die Transfer Impact Assessment scheitert. Anbieter müssen echte EU-Hosting-Optionen bieten (keine „EU-Region“ auf US-Servern).
-
Druck machen: Auf Landes- und Bundesebene für digitale Souveränität eintreten. Förderprogramme für Open-Source- und EU-Hosting-Lösungen nutzen.
-
Mitglieder informieren: Transparenz schaffen. Vertrauen ist unsere Währung.
Fazit
Der Supreme Court hat uns den Spiegel vorgehalten: Wir haben uns auf ein Versprechen verlassen, das die US-Verfassung nicht hält. Die Kommission hat weggesehen. Jetzt sind wir dran – als Vereine, als Unternehmen, als öffentliche Stellen, als Zivilgesellschaft.
Digital souverän zu sein heißt nicht, die USA auszugrenzen. Es heißt: Wir entscheiden, wo unsere Daten liegen – und unter welchem Recht sie geschützt sind. Alles andere ist Fahrlässigkeit.
