Datentransfers USA-EU: Supreme Court kippt FTC-Unabhängigkeit
30.06.2026 - 18:56:25 | boerse-global.de
Das Urteil vom 29. Juni 2026 im Fall „Trump gegen Slaughter“ erschüttert die rechtliche Basis für Datentransfers zwischen der EU und den USA.
Die EU-Kommission hatte sich in ihrem Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework (TADPF) mehrfach auf die FTC als unabhängige Aufsichtsorganisation gestützt. Experten sehen diese Grundlage nun gefährdet. Die Datenschutzorganisation noyb kündigte bereits rechtliche Schritte vor dem Europäischen Gerichtshof (EuGH) an.
Was das Urteil für Unternehmen bedeutet
Die Entscheidung trifft den Kern der Datenschutz-Grundverordnung. Artikel 5 DSGVO definiert zentrale Prinzipien wie Rechtmäßigkeit, Transparenz und Datenminimierung. Besonders die Grundsätze der Integrität und Vertraulichkeit rücken durch die drohende Rechtsunsicherheit bei US-Transfers wieder in den Fokus.
Verstöße können teuer werden: Der Bußgeldrahmen sieht Sanktionen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes vor. In der Vergangenheit gab es bereits prominente Verfahren – etwa gegen die Deutsche Wohnen SE. Ein ursprüngliches Bußgeld von 14,5 Millionen Euro wurde später auf 900.000 Euro reduziert.
EuGH präzisiert Betroffenenrechte
Neben den transatlantischen Datenflüssen hat die europäische Rechtsprechung die Rechte von Betroffenen konkretisiert. In einem Urteil vom 19. März 2026 (C-526/24) stellte der EuGH klar: Ein erster Auskunftsantrag nach Artikel 15 DSGVO kann als exzessiv gelten, wenn er in missbräuchlicher Absicht gestellt wird.
Für Schadensersatz nach Artikel 82 DSGVO ist der Nachweis eines tatsächlichen Schadens und eines Kausalzusammenhangs erforderlich. Die bloße Befürchtung eines Datenmissbrauchs reicht nicht. Ein nachgewiesener Kontrollverlust über Daten kann jedoch als immaterieller Schaden gelten.
Das Supreme-Court-Urteil erschüttert die FTC-Unabhängigkeit – und damit die Basis Ihrer US-Datentransfers. Mit unserer kostenlosen Risiko-Checkliste prüfen Sie in 5 Minuten, ob Ihre Datenflüsse betroffen sind, und erhalten konkrete Alternativen. Risiko-Checkliste per E-Mail anfordern
Entlastung für den Mittelstand
Parallel zur verschärften Rechtsprechung gibt es politische Entlastungen. Im Rahmen eines neuen EU-Reformpakets einigten sich Unterhändler auf Erleichterungen für „Small Mid-Caps“. Unternehmen mit weniger als 1.000 Beschäftigten und einem Umsatz bis 200 Millionen Euro sollen bei den DSGVO-Dokumentationspflichten entlastet werden – sofern ihre Datenverarbeitung kein hohes Risiko darstellt. In Deutschland könnten rund 17.930 Unternehmen profitieren.
Neue Regeln für KI und Deepfakes
Gleichzeitig wächst der regulatorische Rahmen. Am 29. Juni 2026 billigte der EU-Rat ein Verbot von KI-generierten sexualisierten Deepfakes. Es tritt am 2. Dezember 2026 in Kraft. Ab dem 2. August 2026 werden erste Transparenzpflichten nach dem EU AI Act verbindlich. Verstöße kosten bis zu 35 Millionen Euro oder sieben Prozent des Jahresumsatzes.
Standardisierte Meldungen und neue Köpfe
Bußgeldrisiko bis 20 Mio. Euro: Sind Ihre US-Datentransfers noch DSGVO-konform? Die kostenlose Checkliste zeigt Ihnen die 5 kritischen Prüfpunkte und liefert sofort umsetzbare Handlungsoptionen. Checkliste jetzt anfordern
Der Europäische Datenschutzausschuss (EDSA) hat ein standardisiertes Formular für die Meldung von Datenpannen entwickelt. Bis zum 5. August 2026 läuft eine öffentliche Konsultation. EDSA-Vorsitzende Anu Talus betonte die Notwendigkeit eines menschenzentrierten Ansatzes bei der Digitalisierung.
In Deutschland gibt es einen neuen Chef für die Datenschutzaufsicht: Dr. Moritz Hennemann wurde für fünf Jahre zum Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) ernannt. Zu seinen Aufgaben gehört die Begleitung des nationalen CRA-Durchführungsgesetzes zur Cyberresilienz-Verordnung. Erste Teile gelten ab Juni 2026, die vollständige Umsetzung wird für Dezember 2027 erwartet.
