Wurde das US-EU Transatlantic Datentransfer-Abkommen gerade pulverisiert?

Veröffentlicht am 30. Juni 2026 von Günter Born

EU-FlaggeWurde das Trans-Atlantic Data Privacy Framework, das die Verwendung von US-Cloud-Diensten und den Datentransfer privater Daten von EU-Bürgern auf einem Angemessenheitsbeschluss der EU-Kommission regelt gerade "pulverisiert"? Der Oberste Gerichtshof der USA  (US Supreme Court) hat alle eigenständigen  US-Aufsichtsbehörden für verfassungswidrig erklärt. Damit hat dieses Gericht faktisch das Abkommen zwischen der EU und den USA über den Transatlantic-Datentransfer zunichte gemacht, da die Grundlagen, auf denen das Abkommen beruht, gerade entfallen sind.

Einordnung des EU-US-Datentransferabkommens

Unter US-President Biden wurde das "Transatlantic Data Privacy Framework" (TADPF)  mit der EU-Kommission etabliert. Die EU-Kommission sah unter dem Transatlantic Data Privacy Framework (TADPF) das Datenschutzniveau europäischer Bürger in den USA als gleichwertig mit den DSGVO-Regelungen an. Daher wurde ein Angemessenheitsbeschluss gefällt (siehe EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework).

Firmen und Institutionen können sich auf das Transatlantic Data Privacy Framework (TADPF) berufen, wenn persönliche Daten von europäischen Bürgern durch entsprechend benannte US-Unternehmen in die USA transferiert und dort verarbeitet werden. Die gesamten Cloud-Lösungen samt Microsoft 365 basieren auf der Annahme, dass dieser Transfer nach dem TADPF rechtens ist.

Datenschützer hegen Zweifel, dass das Transatlantic Data Privacy Framework (TADPF), welches auf US-Seite nur per Presidential Order in Kraft gesetzt wurde, wirklich mit den DSGVO-Regeln in der EU gleichwertig ist und europäische Bürger ihre Datenschutzrechte vor US-Stellen einfordern können. Ich hatte im Beitrag Bekommt EU-US-Datentransferabkommen Risse? ja angedeutet, dass der aktuelle US-Präsident das Abkommen mit einem Federstrich versenken kann.

Der französische Abgeordnete Philippe Latombe hatte vor, das Abkommen zwischen der EU und den USA, als Trans-Atlantic Data Privacy Framework (TADPF), mit einer Nichtigkeitsklage zu Fall bringen. Diese Nichtigkeitsklage wurde aber 2025 vom EuG abgewiesen (siehe EuG weist Nichtigkeitsklage gegen EU-US-Datentransferabkommen (TADPF) ab).

Schlägt die Entscheidung des US Supreme Court jetzt durch?

Technisch stand der Angemessenheitsbeschluss der EU-Kommission, dass europäische Bürger in den USA das gleiche Datenschutzniveau wie in der EU hätten, schon immer auf tönernen Füßen. Ein Gutachten (siehe Gutachten belegt: Europäische Cloud-Inhalte sind vor US-Zugriff ungeschützt) hatte bereits belegt, dass die in europäischen Cloud-Instanzen von US-Anbietern abgelegten Daten vor einem US-Zugriff ungeschützt seien.

Noyb on TADPF

US-Gericht: Federal Trade Commission (FTC) ist nicht unabhängig

Nun weisen die Datenschutzaktivisten von noyb aus Österreich auf eine neue Entwicklung hin. Am Montag, den 29. Juni 2026, hat der US Supreme Court als höchstes US-Gericht im Verfahren Trump v. Slaughter eine Entscheidung gefällt. Der Oberste Gerichtshof der USA entschied im Fall "Trump gegen Slaughter", dass die US-amerikanische Federal Trade Commission ("FTC") möglicherweise nicht mehr unabhängig ist. Das kommt bezüglich des EU US Transatlantic Datentransfer-Abkommen quasi einem "Erdbeben" gleich.

EU-US Transatlantic Datentransfer-Abkommen ohne Basis

Die Aktivisten von noyb weisen darauf hin, dass die EU grundsätzlich die Ausfuhr personenbezogener Daten in Drittländer seit 1995 verbietet. Ziel ist es, zu verhindern, dass die EU-Datenschutzvorschriften durch die bloße Übermittlung von Daten ins Ausland umgangen werden.

Es gibt zwar Ausnahmen für notwendige Übermittlungen – die von der Buchung eines Hotels bis hin zu komplexen Transaktionen reichen – schreibt noyb. Aber die aktuelle Praxis sieht so aus, dass viele EU-Unternehmen samt Behörden und die EU-Kommission selbst die Verarbeitung personenbezogener Daten einfach an US-amerikanische Cloud-Anbieter ausgelagert haben. Damit fließen die Daten, die in der US-Cloud gespeichert werden, aber in die USA.

Seit dem Jahr 2000 hat die Europäische Kommission wiederholt versucht, den USA ein "angemessenes Datenschutzniveau" im Hinblick auf den Schutz personenbezogener Daten  von EU-Bürgern zu bescheinigen. Nur dann wäre ein freier Datenverkehr zwischen der EU und den USA möglich. Die EU-Kommission ist aber zwei Mal Gericht gescheitert, weil noyb geklagt hatte. Der Europäische Gerichtshof (EuGH) hob die beiden vorherigen Entscheidungen der EU-Kommission im Rahmen des sogenannten "Schrems I"-Urteils (das „Safe Harbour" außer Kraft setzte) und des "Schrems II"-Urteils (das das „Privacy Shield" außer Kraft setzte) auf (siehe auch Links am Artikelende). Diese Urteile fielen aufgrund der US-Überwachungsgesetze und des Mangels an Rechtsbehelfen in den USA.

Dennoch hatte die Europäische Kommission im Jahr 2023 ein drittes Abkommen, das sogenannte "EU-US Data Privacy Framework", das weitgehend eine Kopie der zuvor für nichtig erklärten Abkommen war, zwischen der EU und den USA geschlossen.

EU-Vertragsrecht fordert unabhängige Behörde

Das EU-Vertragsrecht, insbesondere Artikel 16 Absatz 2 AEUV und Artikel 8 Absatz 3 der Charta der Grundrechte, schreibt vor, dass die Aufsicht über Datenschutzangelegenheiten durch eine "unabhängige" Behörde erfolgen muss. Da Drittländer für den Angemessenheitsbeschluss der EU-Kommission über "im Wesentlichen gleichwertige" Schutzvorkehrungen verfügen müssen, ist es erforderlich, dass jedes Drittland, das den freien Datenverkehr personenbezogener Daten aus der EU in Anspruch nehmen möchte, ebenfalls solche Schutzvorkehrungen bietet.

Bislang haben die USA die "unabhängige" FTC als US-Datenschutzbehörde benannt, um die EU-Anforderung einer unabhängigen Aufsicht zu erfüllen. Die EU wiederum hat sich in ihrer Entscheidung zum Datenverkehr zwischen der EU und den USA sage und schreibe 259 Mal auf die FTC als "unabhängige Behörde" gestützt.

Durch das oben zitierte Urteil des US Supreme Court wurde aber am Montag die Unabhängigkeit der FTC gekippt. Damit fällt der Angemessenheitsbeschluss der EU-Kommission zum EU-US Datentransferabkommen in sich zusammen.

US-Gericht stellt Verfassungswidrigkeit der FTC fest

Der Obersten Gerichtshof der USA hat entschieden, dass die Unabhängigkeit der FTC verfassungswidrig ist. Die Richter folgten der "Unitary Executive Theory", wonach der US-Präsident die Macht über alle Exekutivorgane der USA haben muss. Dadurch wurden plötzlich alle US-Gesetze, die verschiedene US-Behörden unabhängig machen, für verfassungswidrig erklärt.

Da sich die EU in fast allen Fällen auf die "Unabhängigkeit" der FTC als Datenschutzbehörde gestützt hat, ist die gesamte rechtliche Struktur des EU-US-Datenschutzrahmens, auf die sich die EU-Kommission stützt, gerade zusammengebrochen.

Auch wenn die gesamte Grundlage der EU-Entscheidung weggefallen ist, bleibt die Entscheidung der Europäischen Kommission formal in Kraft. Dies gilt solange, bis entweder die Europäische Kommission diesen Angemessenheitsbeschluss aufhebt oder der Europäische Gerichtshof die EU-Kommissionsentscheidung (wie in Schrems I und II) für nichtig erklärt.

Die Grundlage des EU-US-Datentransferabkommens ist entfallen

Max Schrems, Datenschutzaktivist bei noyb sagt dazu: "Selbst nach der Logik der Europäischen Kommission ist die Grundlage für jegliches EU-US-Datentransferabkommen hinfällig. Wir fordern die Kommission auf, einen geordneten Ausstieg aus der US-Cloud einzuleiten – was nicht einfach, aber leider unvermeidbar ist. Die Kommission hat unter dem Druck der Industrie ein rechtliches Kartenhaus errichtet. Nun, da dieses eindeutig zusammenbricht, muss sie die Verantwortung übernehmen."

noyb hat sofort ein formelles Schreiben an die Europäische Kommission gerichtet und diese aufgefordert, die entsprechenden Schritte zu unternehmen, um das EU-US-Datenschutzabkommen ordnungsgemäß aufzuheben.

Ergänzung: Derzeit heißt es von der EU-Kommission, dass man das Urteil und die Konsequenzen analysiere.

Nicht heilbar – es läuft auf Konfrontation hinaus

Max Schrems von noyb sagt dazu: "Entscheidend ist, dass der verfassungsrechtliche Rahmen der EU eine unabhängige Aufsicht vorschreibt. Die einzige Möglichkeit, dies zu ändern, wäre ein einstimmiger Beschluss aller EU-Mitgliedstaaten zur Änderung der EU-Verträge." Dies erscheint derzeit aber kaum möglich.

Politisch haben sich zudem bereits viele EU-Mitgliedstaaten einem Ansatz der "digitalen Souveränität" zugewandt und angekündigt, sich von US-Dienstleistern abzukoppeln. Auch einige US-Dienstleister gehen in Richtung einer separaten Datenverarbeitung für die EU.

Da die USA jedoch weiterhin massiven Druck auf die EU ausüben, den Transfer personenbezogener Daten per US-Cloud in die USA aufrechtzuerhalten, wird noyb in den kommenden Wochen zudem eine Klage einreichen, mit dem Ziel, dass der EuGH das derzeitige Abkommen für nichtig erklärt. Ein solches Gerichtsverfahren dauert jedoch in der Regel zwei bis drei Jahre, bis eine endgültige Entscheidung gefällt wird.

Es wird also auf ein Konfrontation vor Gericht und politisch mit der US-Administration hinauslaufen. Ein Szenario, vor dem Beobachter immer gewarnt haben – ich hatte das Thema, dass das EU-US-Datentransferabkommen auf tönernen Füßen steht, regelmäßig hier im Blog angesprochen. Und die Gründung von europäischen Cloud-Dependancen von US-Cloud-Anbietern (Amazon, Microsoft, Google) wird auch nicht helfen, da der US Cloud Act den US-Behörden jederzeit einen weltweiten Zugriff auf die Server und die dort gespeicherten Daten ermöglicht (siehe meinen Beitrag Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern).

Ähnliche Artikel:
Safe Harbor: EuGH erklärt Abkommen für ungültig
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Vorläufige Einigung zwischen EU und USA im Trans-Atlantic Data Privacy Framework
US-Präsident Biden bringt Datenschutzabkommen "Privacy Shield 2.0" auf den Weg
EU-Kommission fällt vorläufige Angemessenheitsentscheidung zum Trans-Atlantic Data Privacy Framework
Stellungnahmen von ESDA und BfDI zum EU-U.S. Data Privacy Framework
Entschließung des EU-Parlaments zum US-EU Framework (Mai 2023)
USA erfüllen Verpflichtungen des EU-U.S. Data Privacy Framework
EU-Kommission fällt Angemessenheitsbeschluss für EU-U.S. Data Privacy Framework

Datenaustausch mit den USA per EU-U.S. Data Privacy Framework, eine Bestandsaufnahme
DSK-Anwendungshinweise zum EU-US Data Privacy Framework (DPF)
Deutsche Industrie warnt vor Ende des EU-US-Datentransfer-Abkommens
Bekommt EU-US-Datentransferabkommen Risse?
EuG weist Nichtigkeitsklage gegen EU-US-Datentransferabkommen (TADPF) ab

Cloud Act: Grenzenloser Datenzugriff
Souveräne EU-Cloud-Debakel: Microsoft kann US-Zugriff nicht verhindern
Gutachten belegt: Europäische Cloud-Inhalte sind vor US-Zugriff ungeschützt

Dieser Beitrag wurde unter Cloud, Problem, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen für den Permalink.

2 Kommentare zu Wurde das US-EU Transatlantic Datentransfer-Abkommen gerade pulverisiert?

  1. rpr sagt:
    30. Juni 2026 um 16:05 Uhr

    Na, dann bin ich mal darauf gespannt wie die Nummer jetzt schön geredet wird.

    Antworten
  2. R.S. sagt:
    30. Juni 2026 um 16:29 Uhr

    Das Abkommen war doch schon vorher das Papier nicht wert, auf dem es stand.
    Die EU hatte keinerlei Kontrollmöglichkeit, ob die USA das Abkommen nun einhalten oder nicht, denn lt. Cloud Act ist es jedem verboten, auch nur mitzuteilen, das ein Datenzugriff von US-Institutionen stattgefunden hat.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht. Wegen Missbrauchs bin ich gezwungen, Name und E-Mail als Pflichtfelder beim Kommentieren zu aktivieren. Wählt ggf. einen (noch nicht benutzten) Alias-Namen und verwendet ggf. eine Dummy-Mail-Adresse (z.B. t@hotkev.com).

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.