02.07.2026

Trump v. Slaughter: Was das US-Urteil für Europas Datenschutz bedeutet

Paukenschlag aus Washington: Mit Trump v. Slaughter hat der US Supreme Court einen mehr als 90 Jahre alten Präzedenzfall aufgehoben. Der Präsident kann Mitglieder der Federal Trade Commission künftig grundsätzlich auch dann entlassen, wenn keiner der bislang gesetzlich vorgesehenen Entlassungsgründe vorliegt.

Auf den ersten Blick ist das eine innenpolitische Entscheidung über die Macht des US-Präsidenten. Kein Datenschutzurteil. Kein neues Überwachungsgesetz. Keine Änderung der DSGVO.

Und doch sollten europäische Unternehmen genau hinsehen. Denn die Federal Trade Commission, kurz FTC, ist ein wichtiger Bestandteil des EU-US Data Privacy Framework (DPF). Sie soll dafür sorgen, dass US-Unternehmen die Datenschutzversprechen einhalten, auf deren Grundlage personenbezogene Daten aus Europa in die USA übertragen werden dürfen.

Wird diese Behörde stärker politisch steuerbar, stellt sich eine unangenehme Frage: Wie belastbar sind transatlantische Datenschutzgarantien, wenn ihre Durchsetzung von den Prioritäten der jeweiligen US-Regierung abhängen kann?

Das Urteil bringt das DPF nicht über Nacht zu Fall. Es einfach als amerikanische Innenpolitik abzutun, wäre jedoch ebenso bequem wie kurzsichtig.

Was hat der Supreme Court in Trump v. Slaughter entschieden?

Ausgangspunkt des Verfahrens war die Entlassung der demokratischen FTC-Kommissarin Rebecca Kelly Slaughter durch US-Präsident Donald Trump. Nach dem Federal Trade Commission Act konnten FTC-Kommissare bislang nur wegen festgelegter Gründe wie Pflichtvernachlässigung, Ineffizienz oder Fehlverhalten aus dem Amt entfernt werden.

Der Supreme Court erklärte diesen Schutz mit sechs zu drei Stimmen für verfassungswidrig. Nach Auffassung der Mehrheit liegt die ausführende Gewalt beim Präsidenten. Beamte und Behördenleiter, die diese Gewalt in seinem Namen ausüben, müssen deshalb grundsätzlich auch von ihm abberufen werden können.

Damit hob das Gericht die noch verbliebene Wirkung des Grundsatzurteils Humphrey’s Executor v. United States aus dem Jahr 1935 ausdrücklich auf. Dieses hatte es dem Kongress erlaubt, Mitglieder bestimmter unabhängiger Kommissionen vor politisch motivierten Entlassungen zu schützen.

Die unmittelbare Konsequenz: Die FTC ist künftig deutlich enger an die politische Führung im Weißen Haus gebunden. Ein Präsident kann Kommissare entlassen, wenn sie seine regulatorischen oder politischen Ziele nicht mittragen.

Das bedeutet nicht, dass der Präsident nun sämtliche US-Institutionen uneingeschränkt kontrolliert. Ernennungen können weiterhin der Zustimmung des Senats bedürfen. Außerdem lässt das Urteil Ausnahmen für Einrichtungen offen, die keine exekutive Gewalt ausüben oder eine besondere historische Stellung besitzen.

Die Richtung ist dennoch eindeutig: Die bisherige institutionelle Distanz zwischen Präsident und FTC ist weitgehend verschwunden.

Was ist die FTC – und warum ist sie für europäische Daten relevant?

Die FTC ist keine Datenschutzbehörde nach europäischem Vorbild. Die USA verfügen bis heute nicht über eine mit der DSGVO vergleichbare, umfassende Datenschutzaufsicht auf Bundesebene.

Die FTC ist in erster Linie eine Wettbewerbs- und Verbraucherschutzbehörde. Sie verfolgt unter anderem Unternehmen, die Verbraucher täuschen, unfaire Geschäftspraktiken anwenden oder öffentlich abgegebene Datenschutz- und Sicherheitsversprechen nicht einhalten.

Genau hier kommt das EU-US Data Privacy Framework ins Spiel:

US-Unternehmen können sich beim Department of Commerce für das Framework zertifizieren und sich zur Einhaltung bestimmter Datenschutzgrundsätze verpflichten. Verstößt ein Unternehmen gegen diese öffentlich erklärten Verpflichtungen, kann dies nach Section 5 des FTC Act als unfaire oder irreführende Geschäftspraxis verfolgt werden. Die FTC bezeichnet sich selbst als zentrale Durchsetzungsbehörde für die kommerziellen Verpflichtungen des Frameworks.

Einfach formuliert:

Europäische Unternehmen dürfen sich bei zertifizierten US-Anbietern auf bestimmte Datenschutzversprechen verlassen. Die FTC soll mit dafür sorgen, dass diese Versprechen nicht nur auf dem Papier stehen.

Damit ist die FTC zwar nicht für sämtliche Bestandteile des Data Privacy Framework verantwortlich. Sie spielt aber eine wesentliche Rolle bei dessen praktischer Durchsetzung gegenüber Unternehmen.

Ist das EU-US Data Privacy Framework nun ungültig?

Die kurze Antwort darauf ist: nein. Das Urteil des Supreme Court hebt weder den europäischen Angemessenheitsbeschluss noch die Verpflichtungen zertifizierter US-Unternehmen auf. Datenübermittlungen an teilnehmende Unternehmen bleiben grundsätzlich weiterhin auf Basis des Frameworks möglich. Auch die gesetzlichen Befugnisse der FTC bestehen fort. Sie kann weiterhin gegen Unternehmen vorgehen, die ihre Datenschutzversprechen verletzen.

Was sich verändert, sind die institutionellen Voraussetzungen, unter denen die Behörde diese Befugnisse ausübt.

Durchsetzungsprioritäten können künftig stärker von der politischen Agenda des Präsidenten abhängen. Eine neue Regierung könnte schneller Einfluss darauf nehmen,

·       welche Branchen besonders intensiv kontrolliert werden,

·       welche Datenschutzverstöße Priorität erhalten,

·       wie aggressiv Verfahren geführt werden,

·       und wie eng die FTC mit europäischen Datenschutzbehörden zusammenarbeitet.

Das ist mehr als eine theoretische Frage: Der Europäische Datenschutzausschuss kritisierte bereits bei der ersten Überprüfung des Data Privacy Framework, dass es zu wenige proaktive Kontrollen und strukturelle Durchsetzungsmaßnahmen durch FTC und Department of Commerce gebe. Er forderte ausdrücklich mehr eigenständige Prüfungen, anstatt überwiegend auf Beschwerden betroffener Personen zu warten.

Eine politisch leichter steuerbare Behörde beseitigt diese Bedenken nicht. Sie kann sie vielmehr verschärfen.

Datenschützer fordern bereits Konsequenzen

Die Datenschutzorganisation noyb bewertet das Urteil besonders scharf. Sie sieht die für das Framework vorausgesetzte Unabhängigkeit der FTC infrage gestellt und hat die Europäische Kommission aufgefordert, den Angemessenheitsbeschluss zurückzunehmen.

Diese Einschätzung ist zunächst die Position einer Datenschutzorganisation – noch keine gerichtliche Feststellung.

Sie zeigt aber, wo die nächste rechtliche Auseinandersetzung liegen könnte: Bietet das US-System europäischen Bürgern weiterhin einen Schutz, der dem europäischen Niveau im Wesentlichen gleichwertig ist?

Das EU-US Data Privacy Framework hat gerichtliche Auseinandersetzungen ohnehin noch nicht endgültig überstanden. Das Gericht der Europäischen Union wies im September 2025 zwar eine Klage gegen den Angemessenheitsbeschluss ab. Gegen diese Entscheidung läuft jedoch die Berufung vor dem Europäischen Gerichtshof.

Trump v. Slaughter ist damit nicht automatisch der nächste „Schrems-Moment“. Das Urteil liefert Kritikern des Frameworks aber ein zusätzliches Argument.

Was sich durch das Urteil ändert – und was nicht

Was sich nicht unmittelbar ändert

·      Das EU-US Data Privacy Framework bleibt zunächst gültig.

·      Zertifizierte US-Unternehmen bleiben an ihre Verpflichtungen gebunden.

·      Die FTC behält ihre gesetzlichen Durchsetzungsbefugnisse.

·      Bestehende technische Sicherheitsmaßnahmen von Cloud-Anbietern verändern sich nicht.

·      Der CLOUD Act wird durch das Urteil weder erweitert noch eingeschränkt.

·      Für Unternehmen entsteht allein aus dem Urteil kein sofortiges Verbot von Datentransfers.

Was sich verändert

·      FTC-Kommissare können leichter aus politischen Gründen entlassen werden.

·      Die Behörde kann schneller auf die Linie einer neuen Regierung ausgerichtet werden.

·      Regulierungs- und Durchsetzungsprioritäten können stärker schwanken.

·      Die langfristige institutionelle Stabilität des DPF wird angreifbarer.

·      Unternehmen erhalten einen weiteren Anlass, ihre Abhängigkeit von US-Rechts- und Aufsichtsstrukturen zu überprüfen.

Datensicherheit ist nicht dasselbe wie Datenschutz

Das Urteil macht US-Cloud-Dienste nicht plötzlich weniger sicher. Verschlüsselung, Zugriffskontrollen, Backups, Zwei-Faktor-Authentifizierung oder Schutz vor Cyberangriffen funktionieren unabhängig davon, wer die FTC leitet. Diese Maßnahmen gehören zur Datensicherheit.

Beim Datenschutz geht es dagegen darum, ob personenbezogene Daten rechtmäßig verarbeitet werden, welche Rechte Betroffene besitzen und ob Verstöße tatsächlich verfolgt werden.

Trump v. Slaughter betrifft vor allem diese zweite Ebene. Das Urteil verändert nicht die Technik, sondern die institutionellen Rahmenbedingungen, unter denen Datenschutzregeln in den USA durchgesetzt werden.

Für Unternehmen ist diese Unterscheidung wichtig: Ein Anbieter kann technisch hervorragend abgesichert sein und trotzdem rechtlichen oder politischen Risiken unterliegen, die außerhalb seiner eigenen Sicherheitsarchitektur entstehen.

Warum das Urteil vor allem eine Frage der Datensouveränität ist

Die größte Bedeutung besitzt der Fall deshalb für die Datensouveränität.

Datensouveränität bedeutet, Kontrolle über geschäftskritische Informationen zu behalten. Dazu gehören nicht nur personenbezogene Daten, sondern auch Verträge, Konstruktionspläne, Forschungsdaten, Finanzinformationen, M&A-Unterlagen oder geistiges Eigentum.

Diese Kontrolle hängt nicht allein davon ab, in welchem Land ein Server steht.

Entscheidend ist die gesamte Kontrollkette:

·      Wo hat der Anbieter seinen Unternehmenssitz?

·      Welchem Recht unterliegt er?

·      Wo befinden sich Muttergesellschaft und Eigentümer?

·      Welche Unterauftragnehmer werden eingesetzt?

·      Welche staatlichen Zugriffsrechte bestehen?

·      Auf welchen internationalen Abkommen basiert die Verarbeitung?

·      Welche Behörden überwachen die Einhaltung?

·      Wie schnell können sich die politischen Rahmenbedingungen verändern?

Der CLOUD Act zeigt, dass der Standort eines Rechenzentrums allein nicht genügt, wenn ein Anbieter zugleich der US-amerikanischen Rechtsordnung unterliegt. Trump v. Slaughter ergänzt diese Diskussion um eine weitere Ebene: Auch die Verlässlichkeit der Aufsicht und Rechtsdurchsetzung kann von politischen Veränderungen abhängen.

(H2) Handlungstipp: Diese Punkte sollten Sie unbedingt prüfen

Unsere Einordnung: Wer sensible Daten verarbeitet, sollte sich nicht allein auf Zertifikate, Vertragsklauseln oder einen europäischen Serverstandort verlassen. Entscheidend ist, wie viele rechtliche, institutionelle und geopolitische Abhängigkeiten hinter einer Lösung stehen.

Was Unternehmen jetzt prüfen sollten

Das Urteil löst keinen akuten Zwang zum Anbieterwechsel aus. Es ist aber ein guter Anlass, bestehende Datenflüsse und Cloud-Abhängigkeiten nüchtern zu überprüfen.

Unternehmen sollten insbesondere klären:

Welche Daten werden in die USA übertragen?

Nicht jede Datei besitzt denselben Schutzbedarf. Bei besonders sensiblen Informationen ist eine stärkere Begrenzung von Drittlandtransfers sinnvoll als bei allgemein zugänglichen oder unkritischen Daten.

Auf welcher Rechtsgrundlage erfolgt die Übertragung?

Unternehmen sollten dokumentieren, ob ein Anbieter das Data Privacy Framework, Standardvertragsklauseln oder andere Transfermechanismen nutzt.

Wer steht tatsächlich hinter dem Anbieter?

Ein Rechenzentrum in Frankfurt oder Paris macht einen US-amerikanischen Konzern nicht automatisch zu einem europäischen Anbieter. Unternehmenssitz, Konzernstruktur und rechtliche Zuständigkeit gehören deshalb ebenso in die Bewertung wie der Serverstandort.

Besteht eine realistische Alternative?

Unternehmen benötigen nicht für jeden Dienst sofort eine rein europäische Lösung. Für geschäftskritische Dokumente, vertrauliche Projekte und besonders schützenswerte Daten sollte jedoch geprüft werden, ob sich unnötige Drittlandabhängigkeiten vermeiden lassen.

Wie flexibel lässt sich ein Anbieter wechseln?

Datensouveränität zeigt sich auch darin, ob Daten vollständig exportiert und bei Bedarf zu einem anderen Anbieter übertragen werden können. Technische und vertragliche Lock-in-Effekte sollten deshalb Teil jeder Anbieterbewertung sein.

Made and hosted in Germany reduziert Abhängigkeiten

Ein deutscher Anbieter macht internationale Entwicklungen nicht bedeutungslos. Er kann die Abhängigkeit von ihnen aber deutlich reduzieren.

Bei netfiles befinden sich Unternehmenssitz, Entwicklung und Hosting in Deutschland. Die Daten werden in deutschen Rechenzentren in München und Nürnberg verarbeitet. netfiles besitzt keine US-Muttergesellschaft und unterliegt nicht dem US CLOUD Act.

Für Unternehmen bedeutet das:

·       keine notwendige Übertragung von Daten in die USA,

·       keine Abhängigkeit vom EU-US Data Privacy Framework für die Nutzung der netfiles Datenräume,

·       eine klare rechtliche Zuordnung innerhalb Deutschlands,

·       und eine Datenverarbeitung, die nicht von wechselnden politischen Prioritäten einer US-Aufsichtsbehörde abhängt.

Das ersetzt keine technischen Sicherheitsmaßnahmen. Es ergänzt sie um rechtliche und organisatorische Klarheit.

Denn echte Datensouveränität entsteht erst dann, wenn Technologie, Hosting, Unternehmensstruktur und geltendes Recht zusammenpassen.

Fazit: Kein Zusammenbruch über Nacht – aber ein deutliches Warnsignal

Trump v. Slaughter ist kein Datenschutzurteil. Es macht das EU-US Data Privacy Framework nicht automatisch ungültig und transatlantische Datenübermittlungen nicht unmittelbar rechtswidrig.

Das Urteil verändert jedoch einen wichtigen Teil der institutionellen Grundlage, auf der europäische Unternehmen und Behörden bislang vertraut haben. Eine zentrale US-Durchsetzungsbehörde kann künftig stärker von der politischen Agenda des Präsidenten geprägt werden.

Wie stark sich das tatsächlich auf den Datenschutz und das DPF auswirkt, werden die kommenden Monate und weitere Gerichtsverfahren zeigen.

Die grundsätzliche Erkenntnis steht jedoch schon heute fest:

Datensouveränität darf nicht davon abhängen, dass politische, rechtliche und institutionelle Rahmenbedingungen in einem Drittstaat dauerhaft stabil bleiben.

Unternehmen müssen deshalb nicht in Panik verfallen. Sie sollten aber ehrlich prüfen, welche Abhängigkeiten notwendig sind – und welche sich bei besonders sensiblen Daten längst vermeiden lassen.

Erfahren Sie mehr – netfiles ist Ihr souveräner Daten-Partner

Europäische Cloud-Lösungen sind keine Notlösung – sie sind die strategisch richtige Wahl für Unternehmen, die Kontrolle über ihre Daten behalten wollen.

Überzeugen Sie sich selbst – testen Sie netfiles 14 Tage kostenlos. Keine US-Abhängigkeit, voller Funktionsumfang. Jetzt kostenlos testen →

Haben Sie Fragen zur Cloud-Souveränität? Sprechen Sie mit unserem Team →

10 Jahre 2-Faktor-Authentifizierung Aktivitätsprotokoll Analyse Android Anwenderbericht Anwendungsbeispiel Archiv Archivierung Asset Management Automatische Benachrichtigungen Berichte BGH Urteil Bildvorschau Board Room Branding BSI C5 Business Continuity Checkliste Cloudspeicher Collaboration Common Data Environment (CDE) Compliance Customizing Cyber-Sicherheit Dateitransfer Dateiversand Datenaustausch Datenraum Datenraum-Export Datenraumindex Datenschutz Datensicherheit Datensouveränität Datentresor Datenversand Deal Room digitale Souveränität Disclaimer Diskussionen Distressed M&A Dokumentvorschau DORA Download Drag-and-Drop DSGVO Due Diligence E-Mail E2EE Einführungsvideo Einrichtung Ende-zu-Ende-Verschlüsselung Erscheinungsbild ESG Etiketten Export Favoriten Features Gremienkommunikation Grosse Dateien versenden Gruppen und Benutzer HelpCenter Hilfe Homeoffice Immobilien Immobilien-Lebenszyklus Indexierung Insolvenzen iOS iPad App ISO 22301 ISO 27001 Kennwortsicherheit Kontextmenü Kooperation Kundenservice Lesezeichen Login M&A M&A-Datenraum Made in Germany Managed File Transfer Mandantenkommunikation Mergers & Acquisitions Mobile App Navigation netfiles Neue Version Notizen Office Dokumente Online-Datenraum-Archiv Ordnerbeschreibungen Ordnerstruktur OTP Passkey Patriot Act Pen-Test Personalie Preise Projektraum Q&A Q&A-Download Schwärzung Sicherer Dateiversand Sicherheit Sitzungsmanagement SOC 2 Sprache Startseite Suche Support Thumbnail Tipps Transaktion Ungelesene Dokumente Upload US CLOUD Act Venture Capital Verschlüsselung Versionierung Video Videokonferenz Virtueller Datenraum Wasserzeichen Weblinks Wiki Wirtschaftsspionage Zertifizierung zip Zugriffsrechte