Der 29. Juni 2026 war ein Montag. In Washington fällte der Supreme Court ein Urteil, das auf den ersten Blick eine rein amerikanische Verfassungsfrage klärt: Darf der Präsident die Kommissare der Federal Trade Commission ohne Grund entlassen? Antwort des Gerichts, mit 6:3 Stimmen: Ja, darf er.
Klingt nach Innenpolitik. Ist es aber nicht. Denn mit diesem Urteil ist die rechtliche Grundlage für den Datenverkehr zwischen Europa und den USA ins Rutschen geraten. Und mit ihr die bequeme Illusion, dass man Integrationstiefe maximieren kann, ohne jemals über den Ausgang nachzudenken.
Der Reihe nach.
Was da eigentlich entschieden wurde
In den USA gibt es Behörden, die bewusst so gebaut wurden, dass der Präsident nicht direkt hineinregieren kann. Die FTC — grob gesagt die US-Verbraucherschutz- und Wettbewerbsbehörde — ist so eine. Der Kongress hat 1914 ins Gesetz geschrieben: Der Präsident darf die Kommissare dieser Behörde nur entlassen, wenn sie nachweislich ihre Pflichten verletzt haben. Nicht einfach, weil ihm ihre Entscheidungen nicht passen. Die Idee dahinter: Manche Entscheidungen sollen nach Fakten getroffen werden, nicht nach Tageslaune des Weißen Hauses.
Der Auslöser des Verfahrens: Präsident Trump entließ 2025 eine FTC-Kommissarin — ohne Angabe eines Grundes, nur mit dem Hinweis, ihre Arbeit passe nicht zu den Prioritäten seiner Regierung. Sie klagte. Und hier wird die Geschichte historisch pikant, denn exakt dasselbe ist schon einmal passiert: 1935 wollte Präsident Roosevelt einen FTC-Kommissar loswerden, der ihm politisch im Weg stand. Damals entschied der Supreme Court einstimmig: Geht nicht, das Gesetz gilt. Dieses Urteil — Humphrey’s Executor v. United States — war 91 Jahre lang das Fundament für sämtliche unabhängigen US-Bundesbehörden.
Am 29. Juni 2026 hat der Supreme Court in der Sache Trump v. Slaughter dieses Fundament abgeräumt. Die Begründung, vereinfacht: Die US-Verfassung legt die gesamte ausführende Gewalt in die Hände des Präsidenten. Die FTC führt Bundesgesetze aus — sie ermittelt, kontrolliert Unternehmen, verhängt Strafen. Wer Gesetze ausführt, muss dem Präsidenten unterstehen. Also darf er diese Leute jederzeit entlassen. Aus jedem Grund oder ganz ohne.
Die Konsequenz: FTC-Kommissare sind ab sofort Angestellte auf Zuruf. Wer eine Entscheidung trifft, die dem Weißen Haus nicht gefällt, kann am nächsten Morgen gehen. Die Behörde ist damit nicht mehr unabhängig — nicht wegen einer bestimmten Person im Amt, sondern strukturell. Und dieselbe Logik trifft nach Einschätzung von Beobachtern rund zwei Dutzend weitere US-Behörden, die bisher als unabhängig galten. Einzige ausdrückliche Ausnahme bislang: die Notenbank. Im Parallelfall Trump v. Cook untersagte das Gericht am selben Tag vorläufig die Entlassung einer Fed-Gouverneurin. Die Fed ist heilig. Alle anderen nicht.
Warum uns das in Europa etwas angeht
Das EU-Recht ist an einer Stelle unmissverständlich: Personenbezogene Daten dürfen nur in Länder außerhalb der EU fließen, wenn dort eine unabhängige Stelle über den Datenschutz wacht. Das steht in der Grundrechtecharta und im AEUV. Das ist keine Verhandlungsmasse, das ist Primärrecht.
Die EU-Kommission hat 2023 mit dem EU-US Data Privacy Framework festgestellt: Passt schon, in den USA übernimmt die FTC diese Aufsichtsrolle. Die Datenschutzorganisation noyb hat nachgezählt: Der Angemessenheitsbeschluss beruft sich 259-mal auf die Unabhängigkeit der FTC. Zweihundertneunundfünfzig Mal. Die gesamte Architektur des Abkommens wurde um eine Eigenschaft herum gebaut, von der der oberste Gerichtshof der USA jetzt entschieden hat, dass es sie nicht geben darf.
Das ist der Punkt, den man wirklich verstehen muss, und deshalb schreibe ich ihn so deutlich: Es steht nicht “die Unabhängigkeit ist gerade politisch gefährdet”. Es steht “die Unabhängigkeit ist verfassungswidrig”. Es gibt nichts zu reparieren. Kein neues Abkommen, keine Nachbesserung, kein freundlicherer Präsident ändert etwas daran — das Problem liegt jetzt in der US-Verfassungsauslegung selbst. Zwei Rechtsordnungen fordern einander widersprechende Dinge: Die EU verlangt eine unabhängige Aufsicht, die US-Verfassung verbietet sie. Das ist keine politische Krise, die man aussitzt. Das ist ein struktureller Widerspruch mit Aktenzeichen.
Wer das Muster kennt, ahnt den nächsten Akt: Safe Harbor fiel vor dem EuGH (Schrems I). Der Nachfolger Privacy Shield fiel vor dem EuGH (Schrems II). Jetzt hat noyb die EU-Kommission einen Tag nach dem Urteil zur geordneten Aufhebung aufgefordert und eine Klage angekündigt. Schrems III ist unterwegs — mit dem feinen Unterschied, dass diesmal niemand mehr mühsam beweisen muss, dass die US-Aufsicht nicht unabhängig ist. Man muss nur auf das Urteil zeigen.
Formal gilt noch alles. Und genau das ist die Falle.
Ja, der Angemessenheitsbeschluss bleibt in Kraft, bis die EU-Kommission ihn aufhebt oder der EuGH ihn kippt. Die Wirtschaftsverbände raten zur Besonnenheit, und juristisch ist daran nichts falsch. Wer heute Daten auf Basis des Data Privacy Framework in die USA überträgt, handelt nicht rechtswidrig.
Aber “formal noch gültig” ist eine Zustandsbeschreibung, keine Strategie. Und der beliebte Plan B wackelt gleich mit: Wer auf Standardvertragsklauseln ausweichen will, muss ein Transfer Impact Assessment vorlegen — eine Bewertung, ob die Daten im Zielland tatsächlich geschützt sind. Jedes dieser Assessments, das sich auf die FTC oder die anderen Aufsichtsmechanismen des Frameworks gestützt hat, ist seit dem 29. Juni neu zu schreiben. Beim Plan B gibt es keinen Bestandsschutz.
Was das konkret heißt: ein Blick in den eigenen Maschinenraum
Machen wir es greifbar. Nehmen wir ein ganz normales deutsches Unternehmen, sagen wir 500 Mitarbeiter, sauber aufgestellt: Microsoft 365 mit Exchange Online, Teams und SharePoint, Identitäten in Entra ID (das frühere Azure AD), und die Arbeitsplätze laufen teilweise als Cloud-PC über Windows 365. Nichts Exotisches — das ist der deutsche Mittelstand im Jahr 2026.
Schauen wir uns an, was da eigentlich fließt.
Die Identität zuerst, denn sie ist das Fundament. In Entra ID liegt jeder Mitarbeiter als Datensatz: Name, E-Mail, Abteilung, Gruppenzugehörigkeiten, dazu jedes einzelne Anmeldeereignis mit Zeitstempel, Gerät und IP-Adresse. Das sind personenbezogene Daten in Reinkultur — und zwar die Sorte, an der alles andere hängt. Jede Anwendung, jeder Zugriff, jede Berechtigung authentifiziert sich gegen dieses Verzeichnis.
Dann der Cloud-PC. Bei Windows 365 steht der Rechner nicht mehr unter dem Schreibtisch, sondern in einem Azure-Rechenzentrum. Der komplette Arbeitsplatz — Dateien, Zwischenablage, jede Sitzung — ist ein Dienst eines US-Anbieters. Das ist maximale Integrationstiefe, wörtlich genommen: Es gibt keinen lokalen Rest mehr, den man behalten könnte.
“Aber mein Tenant liegt doch in Frankfurt!” Ja, und das ist auch nicht wertlos. Microsoft hat mit der EU Data Boundary erheblich investiert: Kundendaten und pseudonymisierte personenbezogene Daten werden für M365, Azure und Co. grundsätzlich in EU/EFTA-Rechenzentren gespeichert und verarbeitet. Nur: Microsoft dokumentiert selbst, dass es weiterhin Übertragungen aus dieser Grenze heraus gibt — beim Support-Zugriff durch Personal außerhalb der EU, bei globalen Security-Operations, bei einzelnen Diensten sogar by design. Und ein Remote-Zugriff aus den USA auf Daten in Frankfurt ist datenschutzrechtlich ein Drittlandtransfer. Datenresidenz beantwortet die Frage, wo Daten ruhen. Sie beantwortet nicht, wer von wo darauf zugreift.
Genau für diese Rest-Transfers braucht es eine Rechtsgrundlage. Und diese Rechtsgrundlage heißt: Data Privacy Framework. Oder eben Standardvertragsklauseln mit einem Transfer Impact Assessment, das sich — na? — auf die Aufsichtsmechanismen stützt, die der Supreme Court gerade zerlegt hat. Der Kreis schließt sich.
Und jetzt die entscheidende Frage: Wie kommt man da raus? Hier zeigt sich, dass Exit-Capability keine einzelne Zahl ist, sondern pro Schicht dramatisch unterschiedlich ausfällt. Word gegen ein anderes Office-Paket tauschen? Lästig, aber machbar — ein Schulungsproblem. Exchange Online migrieren? Ein echtes Projekt, Monate, aber es gibt erprobte Wege. Entra ID ablösen? Das ist eine Operation am offenen Herzen. Wer sein Identitätssystem wechselt, fasst jede Anwendung, jede Berechtigung, jeden Automatismus im Unternehmen an. Und der Cloud-PC setzt noch einen drauf: Da gibt es nichts zu migrieren, da muss der Arbeitsplatz als solcher neu gebaut werden.
Das ist der Punkt, den die Pauschaldebatte “Cloud ja oder nein” seit Jahren verfehlt: Die Abhängigkeit sitzt nicht in den Apps. Sie sitzt in der Identitäts- und Plattformschicht darunter. Wer seine Exit-Capability ehrlich bewerten will, muss sie schichtweise bewerten — und wird feststellen, dass sie ausgerechnet dort am kleinsten ist, wo die personenbezogenen Daten am dichtesten liegen.
Die eigentliche Diagnose steht im Kleingedruckten
Das Handelsblatt zitiert die Spitzenverbände der deutschen Wirtschaft, und wenn man genau hinliest, liefern sie die Diagnose gleich mit: Ein abrupter Wegfall der US-Dienste wäre für viele Unternehmen kaum aufzufangen. Gleichwertige europäische Alternativen ließen sich nicht überall sofort einführen, weil Schnittstellen, Datenmigration, Sicherheitsprüfungen, Schulungen und Vertragsänderungen Zeit kosten.
Liebe Verbände: Das ist keine Beschreibung eines Rechtsproblems. Das ist die Definition fehlender Exit-Capability.
Ich habe hier schon einmal aufgeschrieben, dass Souveränität nicht zum Nulltarif zu haben ist. Digitale Souveränität ist kein Marketing-Label und kein Gefühl, sondern ein messbarer Trade-off: Integrationstiefe gegen Exit-Capability. Wer tief integriert, gewinnt Effizienz, Komfort und Features — und bezahlt mit der Fähigkeit, gehen zu können. Beides gleichzeitig maximieren geht nicht. Das war nie verboten. Man musste sich nur ehrlich entscheiden.
Die deutsche Wirtschaft hat sich entschieden. Zehn Jahre lang, zwei EuGH-Urteile lang, wurde die Integrationstiefe maximiert — Azure, Office 365, AWS, Salesforce, tief verdrahtet in E-Mail, Kollaboration, Vertrieb, Kundendaten. Und die beiden gerichtlichen Warnschüsse wurden als Betriebsunfälle abgehakt, nicht als Muster erkannt. Wer nach Schrems II kein Transferinventar und keine Exit-Szenarien aufgebaut hat, hat heute keine überraschende Rechtsunsicherheit. Er hat ein selbstgewähltes Klumpenrisiko, dem gerade der dritte Brief zugestellt wird.
Um Missverständnissen vorzubeugen: Das ist kein Plädoyer für den panischen Cloud-Exit bis Quartalsende. Wer jetzt hektisch migriert, macht denselben Fehler in die andere Richtung — Entscheidung nach Schlagzeile statt nach Analyse. Es ist auch keine Trump-Kritik; das US-Verfassungsrecht geht mich als deutschen Berater herzlich wenig an. Der Präsident hat nicht die Abhängigkeit geschaffen. Die Abhängigkeit war unsere Entscheidung. Das Urteil ist nur die Rechnung.
Was jetzt konkret zu tun ist
Für alle, die den Trade-off ab heute ernst nehmen wollen, ist das Programm unspektakulär und genau deshalb wirksam:
Erstens: Transferinventar. Welche personenbezogenen Daten fließen wohin, auf welcher Rechtsgrundlage, über welche Dienste? Wer das nicht binnen einer Woche beantworten kann, hat sein erstes Arbeitspaket gefunden.
Zweitens: Transfer Impact Assessments neu bewerten. Alles, was sich auf FTC, PCLOB oder den Data Protection Review Court stützt, ist Stand 29. Juni Makulatur und muss neu begründet werden — oder ehrlicherweise als nicht mehr begründbar markiert werden.
Drittens: Exit-Capability pro Dienst bewerten. Nicht pauschal, sondern konkret und schichtweise: Was kostet der Ausstieg aus Dienst X in Monaten und Euro? Wo liegen die Daten, wie kommen sie raus, was ersetzt die Funktion? Diese Zahl gehört ab sofort in jede Verlängerungsentscheidung — als Bewertungskriterium, nicht als Fußnote.
Viertens: Nicht auf schnelle Reparatur wetten. Wer seine Planung darauf baut, dass Brüssel und Washington das schon wieder hinbiegen, wettet gegen ein Verfassungsurteil. Die Quote ist schlecht.
Das ist keine Raketenwissenschaft. Das ist Lifecycle-Management für Abhängigkeiten — die Sorte Hausaufgabe, die man immer auf nächstes Quartal schieben konnte, weil formal ja alles galt.
Exit-Capability hat jetzt ein Datum
Am Ende ist dieses Urteil für Europa fast ein Geschenk, so unbequem es ist. Es beendet eine Debatte, die zehn Jahre lang im Ungefähren geführt wurde. Digitale Souveränität war lange ein Sonntagsredenthema — jeder dafür, keiner zuständig, Budget woanders. Jetzt hat der Trade-off ein Datum, ein Aktenzeichen und eine Zahl: 29. Juni 2026, Trump v. Slaughter, 259 Verweise auf eine Unabhängigkeit, die es nicht mehr geben darf.
Man kann von diesem Urteil halten, was man will. Aber man kann nicht mehr so tun, als wäre Exit-Capability eine akademische Größe. Sie ist der Unterschied zwischen einem Unternehmen, das jetzt einen Plan abarbeitet, und einem, das jetzt einen Anwalt anruft.
Der Notausgang ist keine Deko. Man muss ihn kennen, bevor es brennt.


Kommentar verfassen