Analyse: Transatlantic Data Privacy Framework unter Druck

von | 14.12.2025 | Analyse

Transatlantic Data Privacy Framework unter Druck

Warum Trump v. Slaughter die rechtliche Stabilität von EU-US-Datentransfers gefährdet

Institute Analysis – 4future Institute

Das Transatlantic Data Privacy Framework (TADPF) bildet derzeit die zentrale Rechtsgrundlage für EU-US-Datentransfers und ist damit ein wesentlicher Stabilitätsfaktor für cloud-basierte Geschäftsmodelle, SaaS-Nutzung und digitale Wertschöpfung in Europa. Das Verfahren Trump v. Slaughter betrifft zwar formal einen US-verfassungsrechtlichen Streit über die Unabhängigkeit sogenannter „independent agencies“, hätte im Falle einer Einschränkung der Unabhängigkeit der Federal Trade Commission (FTC) jedoch unmittelbare europarechtliche Konsequenzen: Ohne eine unabhängige Aufsichtsbehörde wäre eine zentrale Voraussetzung des Art. 8 Abs. 3 der EU-Grundrechtecharta nicht mehr erfüllt, womit die Angemessenheitsentscheidung der EU rechtlich inkonsistent würde. Verstärkt wird dieses Risiko durch die exekutive, nicht gesetzlich abgesicherte Konstruktion des Data Protection Review Court, dessen Fortbestand politisch unsicher ist. Für Unternehmen bedeutet dies eine zunehmende rechtliche Volatilität bei Datentransfers, wachsende Compliance-Risiken und sinkende Planungssicherheit für langfristige IT- und Cloud-Investitionen. In der Gesamtschau zeigt sich, dass das TADPF weniger auf strukturell belastbaren rechtsstaatlichen Fundamenten als auf politisch volatilen Annahmen beruht – mit potenziell erheblichen wirtschaftlichen Auswirkungen.

Digitale Souveränität

1. Ausgangslage

Mit dem Transatlantic Data Privacy Framework (TADPF) hat die Europäische Kommission im Jahr 2023 erneut eine Angemessenheitsentscheidung für Datentransfers in die USA getroffen. Ziel war es, nach dem Scheitern von Safe Harbor und Privacy Shield eine rechtlich tragfähige Grundlage für transatlantische Datenflüsse zu schaffen.

Das TADPF wurde von Beginn an nicht als strukturell gleichwertiges Datenschutzsystem konzipiert, sondern als funktional äquivalente Konstruktion, die trotz unterschiedlicher Rechtsordnungen ein im Ergebnis vergleichbares Schutzniveau gewährleisten soll. Diese Argumentation folgt der Linie der Kommission, wurde jedoch bereits zum Zeitpunkt der Verabschiedung als institutionell fragil bewertet.

Aktuelle Entwicklungen in den USA – insbesondere das Verfahren Trump v. Slaughter – stellen nun eine der tragenden Annahmen des TADPF infrage und werfen grundlegende Zweifel an dessen rechtlicher Stabilität auf.

2. Zentrale Voraussetzung des TADPF: Unabhängige Aufsicht

2.1 Der europäische Maßstab

Nach Artikel 8 Absatz 3 der EU-Grundrechtecharta muss die Einhaltung des Datenschutzes durch eine unabhängige Stelle überwacht werden. Der Europäische Gerichtshof hat diese Unabhängigkeit in seiner Rechtsprechung – insbesondere in Schrems I und Schrems II – als zwingende Voraussetzung eines angemessenen Datenschutzniveaus definiert.

Unabhängigkeit bedeutet dabei nicht nur funktionale Trennung, sondern insbesondere:

  • Freiheit von politischer Weisung,

  • institutionelle Absicherung,

  • rechtliche Beständigkeit.

Diese Anforderungen gelten unabhängig davon, ob die Datenverarbeitung durch staatliche Stellen oder private Unternehmen erfolgt.

2.2 Die US-seitige Konstruktion im TADPF

Um diesen Anforderungen zu entsprechen, stützt sich das TADPF auf zwei Kernelemente:

  1. Die Federal Trade Commission (FTC)
    Sie wird als „independent agency“ dargestellt und soll die Einhaltung datenschutzrechtlicher Verpflichtungen durch US-Unternehmen überwachen.

  2. Das Data Protection Review Court (DPRC)
    Ein exekutiv eingerichtetes Gremium, das EU-Bürger:innen einen Rechtsbehelf gegen staatliche Überwachungsmaßnahmen bieten soll.

Die Angemessenheitsentscheidung der EU-Kommission beruht maßgeblich auf der Annahme, dass diese beiden Elemente gemeinsam eine hinreichend unabhängige und effektive Kontrolle gewährleisten.

3. Einordnung: Wer ist Slaughter – und worum geht es in Trump v. Slaughter?

Der Fall Trump v. Slaughter bezieht sich auf Lina M. Slaughter, eine führende Vertreterin der aktuellen Generation von US-Regulierungsbehörden und derzeit Commissioner der Federal Trade Commission (FTC). Sie gilt als profilierte Vertreterin einer stärker durchsetzungsorientierten Regulierung, insbesondere gegenüber großen Technologie- und Plattformunternehmen.

Für das TADPF ist ihre Person nicht aus politischen Gründen relevant, sondern aufgrund der institutionellen Rolle der FTC, die von der EU als unabhängige Aufsichtsinstanz für die kommerzielle Datenverarbeitung in den USA anerkannt wird.

Gegenstand des Verfahrens

Im Verfahren Trump v. Slaughter geht es nicht um Datenschutz, sondern um eine verfassungsrechtliche Grundsatzfrage des US-Rechts:

Wie weit reicht die Unabhängigkeit sogenannter „independent agencies“ – und darf der Präsident deren Führungspersonen jederzeit abberufen oder politisch steuern?

Der Fall reiht sich in eine Serie von Entscheidungen des US Supreme Court ein, die die traditionelle Konstruktion unabhängiger Bundesbehörden zunehmend infrage stellen und die exekutive Kontrolle des Präsidenten stärken.

Relevanz für Europa

Sollte der Supreme Court zu dem Ergebnis kommen, dass die FTC nicht (mehr) institutionell unabhängig agieren darf, hätte dies unmittelbare Auswirkungen auf das TADPF:

  • Die FTC würde faktisch zu einer weisungsgebundenen Exekutivbehörde

  • Ihre Rolle als unabhängige Datenschutzaufsicht wäre aus europäischer Sicht nicht mehr haltbar

  • Eine zentrale Annahme der Angemessenheitsentscheidung würde entfallen

Damit wird ein US-innenpolitischer Verfassungsstreit zu einem externen Risikofaktor für europäische Datenschutz- und Digitalstrategien.

4. Institutionelle Sprengkraft für das TADPF

Die FTC ist keine Datenschutzbehörde im europäischen Sinn, sondern eine Wirtschafts- und Wettbewerbsaufsicht mit datenschutzrechtlichen Kompetenzen. Ihre Anerkennung im TADPF beruht ausschließlich auf der Annahme ihrer institutionellen Unabhängigkeit.

Fällt diese Unabhängigkeit – sei es rechtlich oder faktisch –, entsteht ein strukturelles Defizit:

  • Es existiert keine unabhängige Aufsichtsbehörde für die kommerzielle Datenverarbeitung in den USA

  • Damit liegt ein Verstoß gegen Art. 8(3) GRCh vor

  • Die Angemessenheitsentscheidung verliert ihre rechtliche Konsistenz

Dieser Mangel kann weder durch Selbstzertifizierungen noch durch politische Zusicherungen kompensiert werden.

5. Zweiter Schwachpunkt: Exekutive statt gesetzlicher Absicherung

Zusätzlich zur FTC-Problematik offenbart das TADPF eine weitere strukturelle Schwäche: die vollständige Abhängigkeit von Executive Orders.

Das Data Protection Review Court (DPRC):

  • ist kein Gericht im verfassungsrechtlichen Sinn,

  • beruht ausschließlich auf einer Executive Order,

  • besitzt keine gesetzliche Verankerung,

  • kann jederzeit aufgehoben oder verändert werden.

In einem politischen Umfeld, in dem Executive Orders offen infrage gestellt und kurzfristig revidiert werden können, stellt dies keine stabile rechtsstaatliche Grundlage dar.

6. Szenarien und Risikobewertung

Szenario 1: Einschränkung der FTC-Unabhängigkeit

  • Hohe Wahrscheinlichkeit juristischer Anfechtungen

  • Erneute Prüfung durch den EuGH wahrscheinlich

  • Angemessenheitsentscheidung rechtlich nicht mehr haltbar

Szenario 2: Aufhebung oder Änderung der Executive Order

  • Wegfall des DPRC

  • Sofortige Erosion des TADPF

  • Keine Übergangsmechanismen

Szenario 3: Kombination beider Entwicklungen

  • Praktisch sichere Unhaltbarkeit des TADPF

  • Rückfall auf Standardvertragsklauseln mit erhöhtem Risiko

  • Erneute Rechtsunsicherheit für Unternehmen und Verwaltung

Auswirkungen:

  • Unternehmen: Compliance-Risiken, Re-Architektur von IT-Systemen, Investitionsunsicherheit

  • Öffentliche Verwaltung: Gefährdung rechtmäßiger Datenverarbeitung

  • Digitale Infrastruktur: Milliardeninvestitionen auf rechtlich instabiler Grundlage

7. Einordnung aus Sicht des 4future Institute

Diese Analyse ist keine politische Bewertung der USA und keine grundsätzliche Kritik an transatlantischer Zusammenarbeit. Sie zeigt vielmehr:

Digitale Abhängigkeiten werden dann kritisch, wenn sie auf institutionell instabilen Annahmen beruhen.

Das TADPF verdeutlicht, wie eng Rechtsstaatlichkeit, Governance und digitale Infrastruktur miteinander verknüpft sind. Rechtsstaatliche Stabilität ist damit kein abstraktes Ideal, sondern ein operativer Risikofaktor für digitale Strategien.

Für Europa stellt sich daher weniger die Frage, ob transatlantische Datentransfers wünschenswert sind, sondern ob sie auf dauerhaft tragfähigen rechtsstaatlichen Fundamenten beruhen können.