Internationale Datenübermittlungen
Datenübermittlungen in die USA stehen seit Jahren im besonderen Fokus der europäischen Datenschutzaufsicht. Mit dem Urteil des U.S. Supreme Court vom 29. Juni 2026 in der Sache „Trump v. Slaughter“ (No. 25‑332) kommt eine weitere Facette hinzu:
Das Gericht hat entschieden, dass die bisherige Schutzklausel, die Mitglieder der Federal Trade Commission (FTC) vor einer Abberufung durch den Präsidenten nur „aus wichtigem Grund“ („for cause“) schützt, gegen die US‑Verfassung verstößt. Der Präsident erhält damit erweiterte Einflussmöglichkeiten auf die Leitung und Ausrichtung dieser zentralen Regulierungsbehörde.
Für Verantworltiche in der EU stellt sich die Frage, ob und wie sich die veränderte Stellung der FTC auf die Verlässlichkeit US‑amerikanischer Datenschutz‑Rahmenbedingungen auswirkt – und damit auf die Bewertung von Datenübermittlungen in die USA sowie der Nutzung US‑Dienstleister im Unternehmensalltag.
1. Die FTC als Schlüsselakteur für Datenschutz
Die FTC ist eine der wichtigsten Behörden für den Schutz von Verbraucherrechten, einschließlich Datenschutz und Datensicherheit. Sie überwacht unter anderem:
- die Einhaltung von Zusagen, die Unternehmen im Rahmen transatlantischer Datenregelungen machen (z.B. frühere und aktuelle Angemessenheitsmechanismen),
- irreführende oder unfaire Geschäftspraktiken im Umgang mit personenbezogenen Daten,
- Datenschutz‑ und Sicherheitsversprechen großer Plattformen und Cloud‑Dienste.
Die FTC ist somit ein zentraler Pfeiler der Durchsetzungsebene im US‑System. Wenn US‑Cloudanbieter, Kommunikationsplattformen oder Service‑Provider gegenüber europäischen Kunden bestimmte Datenschutzstandards zusagen, spielt die FTC bei der Kontrolle und Sanktionierung von Verstößen eine wesentliche Rolle.
Für Organisationen in der EU ist das relevant, weil viele Unternehmen IT‑Lösungen – von Collaboration‑Tools bis hin zu teilweise cloudbasierten Fachanwendungen – auf US‑Infrastruktur oder Konzernstrukturen nutzen.
2. Was ändert „Trump v. Slaughter“ an der Stellung der FTC?
Mit dem Urteil „Trump v. Slaughter“ stellt der Supreme Court klar, dass die gesetzliche Konstruktion, nach der FTC‑Kommissare nur aus bestimmten, eng definierten Gründen durch den Präsidenten aus dem Amt entfernt werden dürfen, die verfassungsmäßige Kompetenz des Präsidenten unzulässig beschränke.
Die sogenannte „for‑cause‑Removal“‑Klausel wird als mit der US‑Verfassung unvereinbar eingestuft.
Welche Konsequenzen ergeben sich für die Praxis hieraus:
- Die FTC ist weniger stark als „unabhängige“ Behörde geschützt, ihre Leitung ist politisch leichter austauschbar.
- Die Exekutive erhält größere Steuerungsmöglichkeiten über Prioritäten und strategische Ausrichtung der Behörde.
- Kurswechsel in der US‑Politik können sich schneller und deutlicher auf die Praxis der Durchsetzung von Datenschutz‑ und Verbraucherschutzrecht auswirken.
Für europäische Unternehmen ist dies deshalb bedeutsam, weil Angemessenheitsbeschlüsse und andere Transfermechanismen nicht nur auf Gesetze, sondern auch auf die tatsächliche Effektivität und Stabilität der zuständigen Behörden gestützt werden.
3. Auswirkungen auf internationale Datenübermittlungen für Ihr Unternehmen
Wie lässt sich die Entscheidung vor dem Hintergrund internationaler Datenübermittlungen und des Einsatzes von US‑Dienstleistern in europäischen Unternehmen einordnen?
- Institutionelle Verlässlichkeit als Risikofaktor
Bei der Bewertung, ob ein Drittland ein angemessenes Schutzniveau bietet, ist die Fähigkeit der Institutionen, Datenschutzrecht verlässlich durchzusetzen, zentral. Wenn eine Behörde wie die FTC stärker unter politischer Kontrolle steht, kann dies die Einschätzung beeinflussen, wie stabil und vorhersehbar Enforcement‑Entscheidungen tatsächlich sind. - Mögliche Verschiebungen bei Durchsetzungsprioritäten
Sollte die FTC unter der jeweiligen Regierung Datenschutzverstöße weniger priorisieren oder bestimmte Branchen – z.B. große Plattformanbieter – milder behandeln, kann dies die faktische Belastbarkeit der Datenschutzzusagen dieser Auftragsverarbeiter schwächen.
Für viele Unternehmen, die als Verantwortliche auf externe IT‑Dienstleister angewiesen sind, wäre dies ein relevanter Risikofaktor. - Relevanz für Angemessenheitsbeschlüsse und Standardvertragsklauseln
Die EU achtet bei Angemessenheitsbeschlüssen auf das gesamte Gefüge eines Drittlandes: Rechtsrahmen, Rechtsschutzmöglichkeiten und unabhängige Kontrollinstanzen.
Änderungen in der institutionellen Unabhängigkeit können dazu führen, dass bestehende Beschlüsse oder deren Auslegung kritisch hinterfragt werden. In der Praxis gewinnt damit die Qualität technischer und organisatorischer Schutzmaßnahmen auf Seiten des Verantwortlichen zusätzliche Bedeutung.
4. Konkrete Implikationen für Verantwortliche
Auch wenn das Urteil keinen unmittelbaren Verbotseffekt für US‑basierte IT‑Dienste entfaltet, sollten Verantwortliche ihre Datenübermittlungen in die USA überprüfen und ggf. weiter absichern:
- Bewusste und dokumentierte Transfergrundlagen
Halten Sie für jede Verarbeitung klar fest,- ob und welche personenbezogenen Daten das Unternehmen in die USA (oder an US‑Unternehmen) übermittelt,
- welche Transfergrundlage genutzt wird (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules etc.),
- wie die faktische Durchsetzung und das Schutzniveau aktuell bewertet werden.
- Stärkung technischer Schutzmaßnahmen für personenbezogene Daten
Es wird entscheidend sein, Risiken durch starke technische Maßnahmen zu mitigieren:- wo immer möglich: Verarbeitung besonderer Kategorien personenbezogener Daten nach Artikel 9 wie z.B. sensibler Gesundheitsdaten ausschließlich innerhalb der EU / des EWR,
- Ende‑zu‑Ende‑Verschlüsselung und robuste Schlüsselverwaltung,
- strenge Zugriffskonzepte, Rollen‑ und Rechtekonzepte,
- Datensparsamkeit und Pseudonymisierung, insbesondere bei Auswertungs‑ oder Forschungszwecken.
- Differenzierte Auswahl von US‑Dienstleistern
Neben Funktionalität und Kosten der Lösungen sollten Sie US‑Dienstleister anhand folgender Kriterien bewerten:- dokumentierte Datenschutz‑ und IT‑Sicherheitskonzepte,
- bisherige Verfahren und Aufsichtsmaßnahmen (z.B. durch FTC),
- Transparenzberichte, Zertifizierungen und Audit‑Reports,
- klare vertragliche Zusagen zur Information bei Rechtsänderungen oder behördlichen Zugriffen.
- Integration in das Risiko‑ und Informationssicherheitsmanagement
Bewertungsprozesse für internationale Datenübermittlungen sollten in das bestehende Informationssicherheits‑ und Risikomanagement eingebettet sein. Für Krankenhäuser und größere Einrichtungen empfiehlt sich eine Verzahnung mit ISMS‑Strukturen (z.B. nach ISO 27001), um technische, organisatorische und rechtliche Aspekte zusammenzuführen.
5. Empfehlungen für Verantwortliche, Datenschutzbeauftragte und CISOs
Vor dem Hintergrund des Urteils „Trump v. Slaughter“ empfehlen wir folgende Schritte:
- Aktualisierung bestehender Risikoanalysen:
Überprüfen Sie bestehende Bewertungen zu US‑Transfers und ergänzen Sie den Faktor „institutionelle Durchsetzung und politische Steuerbarkeit von Behörden“ als eigenen Aspekt. - Identifikation kritischer Prozesse:
Analysieren Sie, in welchen Prozessen besonders schutzbedürftige Gesundheitsdaten verarbeitet werden und ob dort US‑Dienstleister oder US‑bezogene Infrastruktur beteiligt ist (z.B. Telemedizin, Forschungskooperationen, Kommunikations‑ und Collaboration‑Tools). - Sensibilisierung von Leitung und IT:
Informieren Sie Geschäftsführung und IT‑Verantwortliche kurz und prägnant über die Entscheidung und ihre potenzielle Bedeutung für internationale Transfers – nicht, um Alarm zu schlagen, sondern um ein realistisches Risikobewusstsein zu schaffen. - Stärkung vertraglicher und organisatorischer Schutzmechanismen:
Ergänzen Verträge mit Dienstleistern um klare Informationspflichten bei Änderungen der Rechtslage und behalten Sie sich vertraglich vor, bei wesentlichen Verschlechterungen des Schutzniveaus Anpassungen oder Kündigungen vorzunehmen.
6. Fazit: Verfassungsrechtliche Weichenstellung als Datenschutzsignal
Die Entscheidung des Supreme Court in „Trump v. Slaughter“ ist primär eine verfassungsrechtliche Weichenstellung zur Stellung unabhängiger Behörden. Für europäische Gesundheitsdienstleister ist sie zugleich ein Signal: Institutionelle Stabilität und politische Unabhängigkeit der Durchsetzungsbehörden in Drittstaaten sind ein wichtiger Faktor bei der Bewertung internationaler Datenübermittlungen.
Je stärker zentrale Behörden wie die FTC politisch steuerbar werden, desto mehr gewinnt die eigene Gestaltungsmacht von Verantwortlichen in der EU an Bedeutung – durch sorgfältige Dienstleisterauswahl, robuste technische und organisatorische Maßnahmen und eine konsequente Dokumentation der Transferentscheidungen.
Wir werden die weitere Entwicklung aufmerksam beobachten und Sie über relevante Änderungen informieren, sobald absehbar ist, ob und wie sich die neue Stellung der FTC konkret auf Datenschutzprogramme und transatlantische Regelwerke auswirkt.
Praxis‑Checkliste: 10 Fragen zu Ihren US‑Dienstleistern
Zur praktischen Orientierung können Sie folgende Fragen als kurzen Check nutzen – etwa im Rahmen von Risikoanalysen oder Projektfreigaben:
- Inventar:
Haben wir eine aktuelle Übersicht, welche Systeme und Dienste mit Bezug zu US‑Anbietern im Haus eingesetzt werden (inkl. Cloud, Collaboration, Sicherheits‑Tools, Forschungsplattformen)? - Datenkategorien:
Welche Arten von personenbezogenen Daten werden über diese Dienste verarbeitet oder übertragen – insbesondere: Gesundheitsdaten, Mitarbeiterdaten, abrechnungsrelevante Daten? - Transfergrundlagen:
Auf welche konkrete Rechtsgrundlage stützen wir die Übermittlung in die USA (Angemessenheitsbeschluss, SCC, BCR)? Ist dies nachvollziehbar und dokumentiert? - Technische Schutzmaßnahmen:
Sind für kritische Daten technisch angemessene Schutzmaßnahmen implementiert (Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen, Logging)? - Standort‑ und Zugriffsbezug:
Wissen wir, wo die Daten tatsächlich gespeichert werden und welche Konzerngesellschaften Zugriff haben (inkl. etwaiger US‑Muttergesellschaften)? - Dienstleister‑Due‑Diligence:
Liegen uns Informationen zu Sicherheit und Compliance des Dienstleisters vor (z.B. Zertifikate, Audit‑Reports, Privacy‑Statements, Hinweise zu FTC‑Verfahren)? - Vertragliche Regelungen:
Sind aktuelle Auftragsverarbeitungsverträge und Standardvertragsklauseln abgeschlossen, und enthalten sie Regelungen zu Informationspflichten bei Rechts‑/Behördenänderungen? - Transparenz gegenüber Betroffenen:
Informieren wir Betroffene in unseren Datenschutzhinweisen klar über eingesetzte US‑Dienstleister, Datenkategorien, Zwecke und etwaige Risiken? - Risikomanagement und Monitoring:
Gibt es einen definierten Prozess, mit dem wir Änderungen in der US‑Rechtslage (inkl. Entwicklungen bei Behörden wie der FTC) beobachten und bei Bedarf unsere Bewertung anpassen? - Exit‑Strategien:
Haben wir für besonders kritische Prozesse Alternativen zu US‑Dienstleistern geprüft und dokumentiert, um bei einer Verschlechterung des Schutzniveaus handlungsfähig zu bleiben?