Dem Data Privacy Framework fehlt jetzt die unabhängige Aufsicht in den USA

Am 29. Juni 2026 hat der US Supreme Court in Trump v. Slaughter (No. 25-332) mit 6:3 entschieden, dass der gesetzliche Kündigungsschutz der FTC-Kommissare gegen die Gewaltenteilung verstößt. Damit ist Humphrey's Executor (1935) gekippt. Die FTC ist keine unabhängige Aufsichtsbehörde mehr, sondern dem Belieben des Präsidenten unterworfen. Im Parallelverfahren Trump v. Cook blieb die Fed-Unabhängigkeit zwar erhalten, für klassische Vollzugsbehörden wie die FTC greift die Argumentation aber unmittelbar.

Relevanz für die Aufsichtsfunktion

Art. 16 Abs. 2 AEUV und Art. 8 Abs. 3 GRC verlangen unabhängige Datenschutzaufsicht. Über Art. 45 DSGVO muss ein Drittland im Wesentlichen gleichwertig sein. Die FTC hat diese Rolle im DPF erfüllt, der Durchführungsbeschluss (EU) 2023/1795 verweist mehr als 250 Mal auf sie. Diese Grundlage ist entfallen.

Gleiches gilt für die Rechtsschutzsäule: Der "Data Protection Review Court" ist kein Gericht im Sinne von Art. 47 GRC, sondern eine Stelle im US-Justizministerium, deren Unabhängigkeit allein auf der widerruflichen Executive Order 14086 beruhte. Erlaubt das US-Verfassungsrecht eine unabhängige Exekutivbehörde nicht einmal per Gesetz, kann sie auch nicht per Anordnung entstehen. Dieselbe Logik trifft das PCLOB.

Es besteht damit ein struktureller Normkonflikt: EU-Primärrecht fordert Unabhängigkeit, das US-Verfassungsrecht verbietet sie in dieser Form. Auflösbar wäre das nur durch einstimmige EU-Vertragsänderung oder eine Neuausrichtung des US-Verfassungsrechts.

Was für die DSB-Praxis zählt

Der Beschluss bleibt formal in Kraft, bis ihn die Kommission aufhebt oder der EuGH ihn für nichtig erklärt. Keine automatische Unwirksamkeit, aber die tragende Begründung ist weg. Drei Punkte für die laufende Beratung:

• SCC- und BCR-Nutzer trifft es sofort. Anders als beim DPF gibt es hier keinen Bestandsschutz. Jedes Transfer Impact Assessment, das auf FTC, PCLOB oder Data Protection Review Court gestützt war, ist unmittelbar hinfällig und neu zu bewerten. Bei sauberer Anwendung der Schrems-II-Logik trägt der Transfer nicht mehr.
• Pflichtprogramm ableiten. Transferinventar aus dem VVT (Art. 30), TIA nach EDSA-Empfehlungen 01/2020 neu beurteilen, ergänzende Maßnahmen prüfen (EU-Schlüsselhoheit, Pseudonymisierung), deren Grenze bei FISA 702 und CLOUD Act dokumentieren. Art. 49 nur für notwendige Einzelfälle, nicht für strukturelle Auslagerung. Risikoabwägung nach Art. 5 Abs. 2 nachweisbar festhalten.
• Nicht auf eine schnelle Reparatur setzen. noyb hat die Kommission am 30. Juni 2026 zur geordneten Aufhebung aufgefordert und eine Klage angekündigt.

Das führt zu Schrems III

Die Klage ist absehbar, und sie wird beim EuGH landen. Nach Safe Harbour (Schrems I, C-362/14) und Privacy Shield (Schrems II, C-311/18) wäre das die dritte Nichtigerklärung eines EU-US-Datenschutzdeals in Folge. Diesmal ist die Ausgangslage für die Kommission ungünstiger als je zuvor:

Der Mangel liegt nicht in einer Einschätzungsfrage, sondern in einem offenen Widerspruch zwischen EU-Primärrecht und US-Verfassungsrecht, der politisch kaum kurzfristig zu schließen ist.

Bis zu einer EuGH-Entscheidung vergehen erfahrungsgemäß zwei bis drei Jahre.

Praktisch heißt das für Datenschutzbeauftragte: nicht abwarten! Das DPF ist heute nicht aufgehoben, der strukturelle Befund spricht aber dagegen, die Abhängigkeit von US-Infrastruktur für personenbezogene Daten weiter auszubauen. Wer Inventar, neue Folgenabschätzung und einen realistischen Exit-Pfad jetzt vorbereitet, steht beim nächsten Schritt der Kommission oder einem Schrems-III-Urteil nicht ohne Plan da.

Quellen: US Supreme Court, Trump v. Slaughter, No. 25-332 (29.06.2026); Durchführungsbeschluss (EU) 2023/1795; noyb-Schreiben an die Europäische Kommission (30.06.2026); EuGH C-362/14 (Schrems I), C-311/18 (Schrems II); EDSA-Empfehlungen 01/2020.