Datensouveränität

US Supreme Court schwächt FTC: Warum Europa bei der Datensouveränität jetzt handeln muss

US Supreme Court schwächt FTC: Warum Europa bei der Datensouveränität jetzt handeln muss

US-Urteil erschüttert Datenschutzabkommen: Europas Daten bleiben verwundbar

Das Urteil des US Supreme Court zur Unabhängigkeit der Federal Trade Commission könnte weit über die amerikanische Behördenlandschaft hinausreichen. Es stellt ausgerechnet jene Institution infrage, die eine zentrale Rolle bei der Durchsetzung des EU-US Data Privacy Framework spielt. Für europäische Unternehmen wird damit deutlich: Ein europäischer Serverstandort allein schafft noch keine echte Datensouveränität.

Supreme-Court-Urteil verändert die Machtverhältnisse

Der US Supreme Court hat am 29. Juni 2026 in der Rechtssache Trump v. Slaughter entschieden, dass der amerikanische Präsident Mitglieder der Federal Trade Commission, kurz FTC, grundsätzlich auch ohne besonderen Grund entlassen darf. Damit erklärte das Gericht den gesetzlichen Schutz der FTC-Kommissare vor politisch motivierter Abberufung für verfassungswidrig.

Das mit sechs zu drei Stimmen gefällte Urteil stärkt die Kontrolle des Präsidenten über bislang weitgehend unabhängig arbeitende Bundesbehörden. Zugleich wurde damit ein mehr als 90 Jahre alter Präzedenzfall aufgehoben, auf dem die institutionelle Eigenständigkeit der FTC wesentlich beruhte.

Auf den ersten Blick handelt es sich um eine innenpolitische Auseinandersetzung über die Machtverteilung innerhalb der US-Regierung. Für Europa besitzt die Entscheidung jedoch eine unmittelbare datenschutzpolitische Dimension.

Die FTC ist ein Grundpfeiler des transatlantischen Datenschutzes

Die FTC soll in den USA unter anderem dafür sorgen, dass Unternehmen ihre Verpflichtungen aus dem EU-US Data Privacy Framework einhalten. US-Unternehmen, die sich für das Framework zertifizieren lassen, verpflichten sich zur Einhaltung bestimmter Datenschutzgrundsätze. Verstöße gegen diese Zusagen können von der FTC als unlautere oder irreführende Geschäftspraktiken verfolgt werden.

Das seit Juli 2023 geltende Framework ermöglicht es europäischen Unternehmen, personenbezogene Daten unter bestimmten Voraussetzungen an zertifizierte US-Organisationen zu übertragen. Die Europäische Kommission kam in ihrem Angemessenheitsbeschluss zu dem Ergebnis, dass die Vereinigten Staaten für solche Datentransfers ein mit der Europäischen Union vergleichbares Schutzniveau gewährleisten.

Genau an dieser Stelle entfaltet das Supreme-Court-Urteil seine Brisanz. Wenn die politische Führung die personelle Besetzung einer Aufsichts- und Durchsetzungsbehörde unmittelbar kontrollieren kann, stellt sich die Frage, ob diese Behörde noch als hinreichend unabhängig angesehen werden kann.

Datenschutzorganisationen wie noyb sehen deshalb die rechtliche Grundlage des Frameworks erheblich erschüttert. Das bedeutet allerdings nicht, dass der Angemessenheitsbeschluss mit dem Urteil automatisch unwirksam geworden ist. Eine solche Entscheidung müsste zunächst von der Europäischen Kommission oder letztlich vom Europäischen Gerichtshof getroffen werden.

Das dritte transatlantische Datenschutzmodell gerät unter Druck

Die Entwicklung erinnert an ein bekanntes Muster. Bereits die beiden Vorgängerregelungen des aktuellen Frameworks konnten einer gerichtlichen Überprüfung in Europa nicht standhalten.

Der Europäische Gerichtshof erklärte 2015 zunächst das Safe-Harbor-Abkommen für ungültig. Im Jahr 2020 folgte mit dem sogenannten Schrems-II-Urteil das Aus für den EU-US Privacy Shield. In beiden Fällen ging es im Kern darum, ob europäische personenbezogene Daten in den USA tatsächlich einen Schutz genießen, der den Anforderungen des EU-Rechts entspricht.

Das EU-US Data Privacy Framework sollte diese strukturellen Defizite beheben. Das jüngste Urteil zeigt jedoch erneut, wie stark transatlantische Datentransfers von politischen Entscheidungen und institutionellen Konstruktionen in den Vereinigten Staaten abhängig bleiben.

Für Unternehmen entsteht dadurch kein unmittelbares Verbot amerikanischer Cloud- oder Softwaredienste. Das Risiko einer erneuten rechtlichen Neubewertung wächst jedoch. Verantwortliche sollten deshalb nicht darauf warten, bis ein mögliches „Schrems III“-Urteil bestehende Transfermechanismen erneut infrage stellt.

Europäischer Speicherort bedeutet noch keine europäische Kontrolle

Viele Anbieter reagieren auf die Souveränitätsdebatte mit europäischen Rechenzentren oder sogenannten EU Data Boundaries. Diese Maßnahmen können Datenschutz und Compliance verbessern. Sie lösen das grundlegende Problem aber nicht automatisch.

Entscheidend ist nicht nur, wo Daten gespeichert werden. Ebenso relevant ist, wer den Anbieter kontrolliert, welchem Recht das Unternehmen unterliegt, wer die Infrastruktur betreibt und welche Behörden unter bestimmten Voraussetzungen Zugriff verlangen können.

Ein US-amerikanischer Anbieter bleibt grundsätzlich dem amerikanischen Rechtsraum verbunden – auch dann, wenn seine Server in Frankfurt, Paris oder Dublin stehen. Ebenso können Fernzugriffe, Supportleistungen, Metadatenverarbeitung, Schlüsselverwaltung oder konzerninterne Weisungsbefugnisse neue Abhängigkeiten schaffen.

Datensouveränität muss deshalb über den physischen Speicherort hinausgedacht werden. Sie umfasst die gesamte technische, organisatorische und rechtliche Lieferkette.

Digitale Souveränität wird zur strategischen Managementaufgabe

Europäische Organisationen sollten das Urteil als Anlass nehmen, ihre Abhängigkeiten systematisch zu erfassen. Dazu gehören nicht nur große Cloud-Plattformen, sondern auch Identitätsdienste, Security-Lösungen, SaaS-Anwendungen, Backup-Systeme und zentrale Verwaltungsplattformen.

Besonders kritisch sind Dienste, die weitreichende Zugriffsrechte besitzen. Identity- und Access-Management-Systeme kontrollieren beispielsweise, wer auf Anwendungen, Daten und Infrastrukturen zugreifen darf. Eine Abhängigkeit in diesem Bereich betrifft damit nicht nur einzelne Datensätze, sondern den digitalen Kontrollpunkt der gesamten Organisation. Unternehmen sollten daher prüfen:

  • welchem Rechtsraum ihre Anbieter unterliegen,
  • wo Daten, Metadaten und Sicherungskopien verarbeitet werden,
  • wer Verschlüsselungsschlüssel kontrolliert,
  • welche Unterauftragnehmer beteiligt sind,
  • ob ein Anbieterwechsel technisch und wirtschaftlich realistisch ist,
  • und ob europäische Alternativen für besonders sensible Systeme verfügbar sind.

Dabei geht es nicht um einen pauschalen Ausschluss amerikanischer Technologie. Gefragt ist vielmehr ein belastbares Risikomanagement, das geopolitische, rechtliche und technische Abhängigkeiten gleichermaßen berücksichtigt.

Europas Antwort muss strukturell sein

„Das Urteil des US Supreme Court erwähnt den Datenschutz mit keinem Wort. Dennoch könnte es den Datenverkehr zwischen Europa und den Vereinigten Staaten stärker beeinflussen als manche Datenschutzregulierung der vergangenen Jahre“, erklärt Mark Raun Moritzen, Vice President Strategy and Corporate Development bei Omada Identity .

Nach seiner Einschätzung bestätigt die Entscheidung, was viele regulierte europäische Organisationen bereits erkannt haben: „Daten in Europa zu speichern reicht nicht mehr aus. Solange der Softwareanbieter oder Infrastrukturbetreiber amerikanisch ist, bleibt ein strukturelles Risiko bestehen.“

Echte Souveränität erfordert daher mehr als regionale Hosting-Angebote. Sie muss den Speicherort, die Infrastruktur, den Betrieb, die Unternehmenskontrolle und den geltenden Rechtsrahmen einbeziehen.

Das Urteil ist nicht der Auslöser dieser Entwicklung. Es ist jedoch ein weiteres deutliches Warnsignal. Europa muss digitale Souveränität jetzt als strategische Resilienzaufgabe verstehen – bevor die nächste juristische Entscheidung Unternehmen erneut zu hektischen und kostspieligen Umstellungen zwingt.