TL;DR

Das US-Supreme-Court-Urteil Trump v. Slaughter entfernt den Kündigungsschutz der FTC-Commissioner und macht die Behörde damit politisch steuerbar. Weil die EU-Kommission den EU-US-Datentransfer auf eine unabhängige US-Aufsicht aufgebaut hat, bröckelt nun auch das Data Privacy Framework. Für Unternehmen bedeutet das: AVV und „Server in Frankfurt" reichen nicht mehr aus, wenn der Anbieter dem US-CLOUD Act unterliegt. Betroffen sind besonders KI-Chatbots wie Claude, ChatGPT oder Gemini, über die sensible Daten in die USA gelangen können.

Das Urteil: Ein Dammbruch, kein Detail

Am 29. Juni 2026 hat der Oberste Gerichtshof der USA in der Rechtssache Trump v. Slaughter die Unabhängigkeit der Federal Trade Commission (FTC) für verfassungswidrig erklärt. Mit 6 zu 3 Stimmen kippten die Richter den seit Humphrey's Executor (1935) geltenden Entlassungsschutz für FTC-Mitglieder.

Die Begründung folgt der Unitary Executive Theory: Die gesamte vollziehende Gewalt liege beim Präsidenten, der Behördenmitglieder folglich nach Belieben entlassen könne. Die FTC ist damit keine unabhängige Kontrollinstanz mehr, sondern potenziell weisungsgebundenes Werkzeug der Exekutive.

Das ist deshalb so gravierend, weil die EU-Kommission ihren Angemessenheitsbeschluss – die Erlaubnis, personenbezogene Daten überhaupt in die USA zu übermitteln – ausdrücklich auf eine unabhängige, durchsetzungsfähige US-Aufsicht stützt. Diese Prämisse ist mit dem Urteil hinfällig. Details zum Urteil finden sich bei IAPP und Baker Botts.

Warum AVV und „EU-Rechenzentrum" das Problem nicht lösen

Hier liegt der eigentliche Sprengstoff, den viele Unternehmen unterschätzen: Weder ein Auftragsverarbeitungsvertrag (AVV) noch ein Serverstandort in Europa schützen zuverlässig vor dem Zugriff durch US-Behörden.

Der Grund ist der US CLOUD Act: Er verpflichtet US-Unternehmen, Daten an US-Behörden herauszugeben – unabhängig davon, wo auf der Welt diese Daten gespeichert sind. Ein Rechenzentrum in Frankfurt ändert daran nichts, solange der Betreiber dem US-Recht unterliegt. Der AVV regelt die Verarbeitung im Verhältnis Kunde–Anbieter, aber er kann US-Hoheitsrecht nicht außer Kraft setzen. Das heißt nicht, dass der AVV überflüssig wäre – im Gegenteil, er bleibt für eine DSGVO-konforme Auftragsverarbeitung Pflicht. Er allein reicht nur nicht aus, um US-Behördenzugriffe abzuwehren.

Wie real dieses Risiko ist, zeigte sich bereits vor dem neuen Urteil: Anton Carniaux, Chefjustiziar von Microsoft France, musste im Juni 2025 vor dem französischen Senat unter Eid einräumen, nicht garantieren zu können, dass Daten französischer Bürger nicht an US-Behörden gelangen – trotz europäischer Rechenzentren und aller vertraglichen Zusicherungen. Diese Aussage war schon damals ein Alarmsignal. Mehr dazu lesen Sie bei Security Insider.

Mit dem Wegfall der FTC-Unabhängigkeit verschiebt sich die Lage von „theoretisches Restrisiko" zu „strukturell ungesicherter Zugriff": Die Instanz, die europäische Betroffenenrechte in den USA durchsetzen sollte, ist nun politisch steuerbar.

Kurz gesagt: Das Marketing-Versprechen „Ihre Daten sind sicher, weil sie in einem EU-Rechenzentrum liegen" ist damit weitgehend zur Beruhigungsformel ohne rechtliche Substanz geworden. Wer die Hintergründe vertiefen will, findet in unserem Artikel Die Cloud-Falle eine ausführliche Analyse.

KI-Chatbots: Das offene Scheunentor

Bei KI-Tools wie Claude, ChatGPT oder Google Gemini kumulieren die Risiken. Diese Dienste stammen ausschließlich von US-Konzernen – und genau hier setzt der CLOUD Act an.

Konkrete Gefahren:

  1. Direkter Datenexport: Jede Eingabe mit Kundennamen, Gesundheits- oder Vertragsdaten ist potenziell ein regulierter Drittlandtransfer nach Kapitel V DSGVO.
  2. Wegbrechende Rechtsgrundlage: Fällt das Data Privacy Framework, verlieren auch Standardvertragsklauseln (SCCs) ihre Schutzwirkung – denn schon Schrems II verlangte zusätzliche Garantien, die angesichts des CLOUD Act kaum tragfähig sind.
  3. Unkontrollierbarer Behördenzugriff: Ohne unabhängige FTC fehlt der Mechanismus, der europäische Rechte durchsetzen sollte.

Beispiel: Eine Steuerkanzlei in Frankfurt, die Mandantenakten von einem US-KI-Dienst zusammenfassen lässt, kann sich weder auf den AVV noch auf einen etwaigen EU-Serverstandort verlassen. Das Bußgeldrisiko nach DSGVO ist real – und die bisherige „Absicherung" existiert faktisch nicht. In unserem Artikel DSGVO-konforme KI im Mittelstand zeigen wir, worauf es wirklich ankommt.

Handlungsempfehlungen: Jetzt handeln, nicht abwarten

  • Datenflüsse schonungslos kartieren: Welche KI-Tools sind im Einsatz, welche Daten fließen wohin – und wer ist der rechtliche Betreiber?
  • AVV und Serverstandort neu bewerten: Beides ist notwendig, aber nicht hinreichend. Entscheidend ist, ob der Anbieter dem CLOUD Act unterliegt.
  • Konsequente Datenminimierung: Keine personenbezogenen oder sensiblen Daten in Chatbots – im Zweifel anonymisieren oder pseudonymisieren.
  • Echte EU-Souveränität prüfen: On-Premise-Modelle, ein lokaler KI-Server oder eine souveräne Lösung wie GeckoAI reduzieren das Risiko strukturell. Lesen Sie dazu auch Eigene KI vs. ChatGPT: Lohnt sich ein lokaler KI-Server?.
  • Enterprise-Verträge nutzen: Business-Versionen schließen die Nutzung von Eingaben zu Trainingszwecken vertraglich aus – ein wichtiger, aber gegenüber dem CLOUD-Act-Problem nicht ausreichender Baustein.
  • Behörden im Blick behalten: Stellungnahmen von EU-Kommission, Europäischem Datenschutzausschuss (EDSA) und dem Bundesbeauftragten für den Datenschutz (BfDI) genau verfolgen.

Was jetzt passieren könnte: Die nächsten Monate im Blick

Die EU-Kommission wird sich zum Data Privacy Framework positionieren müssen – möglicherweise mit einer neuen Prüfung oder ergänzenden Garantien. Der Europäische Datenschutzausschuss (EDSA) dürfte Stellung nehmen, und nationale Datenschutzbehörden wie der BfDI werden konkret prüfen, ob Unternehmen ihre Drittlandtransfers neu begründen müssen. Auch der EuGH könnte erneut gefragt werden, sollte eine Klage im Stil von Schrems III anhängig werden.

Für Betriebe ändert sich daran erst einmal wenig – außer dass die bisherige Rechtsgrundlage wackliger wird. Genau deshalb lohnt es sich jetzt, vorzusorgen statt zu warten.

Fazit

Das Urteil Trump v. Slaughter ist kein Randthema des US-Verfassungsrechts, sondern ein Angriff auf die tragende Annahme des transatlantischen Datenschutzes. In Kombination mit dem CLOUD Act entlarvt es die beiden populärsten Sicherheitsversprechen – AVV und EU-Rechenzentrum – als unzureichend. Der Angemessenheitsbeschluss gilt formal weiter, bis EU-Kommission oder EuGH ihn kippen. Doch wer bis dahin abwartet, verwaltet ein Risiko, das sich bereits materialisiert hat.

Datensouveränität ist keine Frage des Serverstandorts mehr, sondern der Rechtsunterworfenheit des Anbieters. Wer das versteht, kann seine KI-Strategie jetzt neu aufstellen – statt in ein paar Monaten unter Zeitdruck reagieren zu müssen.

Datensouveränität statt Compliance-Trickserei: Wie GeckoAI den Schlamassel umgeht

Wer das FTC-Urteil ernst nimmt, merkt schnell: Das Problem lässt sich nicht mit einem neuen AVV-Punkt oder einem „EU-Cloud"-Haken in den AGB lösen. Die einzige wirkliche Lösung ist technische und rechtliche Unabhängigkeit vom US-Rechtsraum.

Genau hier setzt GeckoAI an:

  • Lokale oder EU-gehostete Instanz: Ihre Daten laufen nicht über US-Anbieter, sondern bleiben in Ihrer Kontrolle.
  • Kein CLOUD Act, kein Drittlandtransfer: Keine verdeckte Datenweitergabe an US-Behörden, weil der Betreiber schlicht nicht dem US-Recht unterliegt.
  • DSGVO-konform by Design: Datenminimierung, Transparenz und Auftragsverarbeitung werden technisch umgesetzt, nicht nur in den AGB beschönigt.
  • Für den Mittelstand gemacht: Keine Enterprise-Monströsität, sondern eine KI-Lösung, die im Bayerischen Wald funktioniert.

Statt also abzuwarten, ob EuGH oder EU-Kommission das Data Privacy Framework kippen, können Sie jetzt auf eine Infrastruktur setzen, die das Problem von vornherein vermeidet. Mehr über GeckoAI erfahren.

Wenn Sie wissen wollen, welche KI-Tools in Ihrem Betrieb wirklich DSGVO-konform sind, melden Sie sich bei uns. Wir analysieren Ihre Datenflüsse und zeigen Ihnen, wie Sie mit lokalen, souveränen Lösungen nachrüsten – ohne Schnickschnack und ohne US-Cloud.