US SUPREME COURT ERSCHÜTTERT DATENTRANSFER IN DIE USA: WAS SCHWEIZER UNTERNEHMEN JETZT WISSEN MÜSSEN
- vor 3 Tagen
- 4 Min. Lesezeit
Kaum wurde mit dem Swiss-U.S. Data Privacy Framework eine neue Grundlage für Datentransfers in die USA geschaffen, sorgt ein Urteil des US Supreme Court bereits für neue Unsicherheit. Im Zentrum steht die Frage, ob die Unabhängigkeit der Federal Trade Commission (FTC), eine US-Behörde – ein wesentlicher Baustein der Datenschutzarchitektur des Swiss-U.S. Data Privacy Framework – weiterhin gewährleistet ist.
Für Schweizer Unternehmen ist dies von grosser Bedeutung. Viele nutzen täglich US-Cloud-Dienste, KI-Anwendungen oder Software-as-a-Service-Lösungen. Fällt die rechtliche Grundlage für Datentransfers weg oder wird sie erneut infrage gestellt, können erhebliche Compliance-Risiken entstehen.
In diesem Beitrag zeigen wir, was genau passiert ist, welche Auswirkungen sich auf das Swiss-U.S. Data Privacy Framework ergeben können und welche Massnahmen Schweizer Unternehmen jetzt prüfen sollten.

Warum Datentransfers in die USA überhaupt ein Datenschutzthema sind
Nach dem Schweizer Datenschutzgesetz dürfen Personendaten grundsätzlich nur dann ins Ausland übermittelt werden, wenn ein angemessenes Datenschutzniveau gewährleistet ist. Die USA gelten traditionell nicht als Staat mit einem dem Schweizer oder europäischen Recht vergleichbaren Datenschutzstandard.
Um dennoch internationale Datentransfers zu ermöglichen, wurden besondere Mechanismen geschaffen. Seit 2024 können sich Schweizer Unternehmen unter bestimmten Voraussetzungen auf das Swiss-U.S. Data Privacy Framework stützen. Dieses erlaubt Datenübermittlungen an zertifizierte US-Unternehmen, ohne dass zusätzliche Garantien erforderlich sind.
Das Urteil des US Supreme Court: Was ist passiert?
Der US Supreme Court hat im Verfahren Trump v. Slaughter entschieden, dass der Präsident stärkeren Einfluss auf bestimmte unabhängige Bundesbehörden ausüben darf. Betroffen sind auch Behörden, deren Unabhängigkeit bisher als wesentliches Element der Gewaltenteilung betrachtet wurde.
Besondere Aufmerksamkeit erhält dabei die Federal Trade Commission (FTC). Diese Behörde spielt eine zentrale Rolle bei der Durchsetzung datenschutzrechtlicher Verpflichtungen gegenüber zertifizierten Unternehmen des Data Privacy Frameworks.
Genau diese institutionelle Unabhängigkeit war jedoch ein wichtiger Faktor bei der Bewertung des Datenschutzniveaus in den USA. Wird die Unabhängigkeit der FTC infrage gestellt, kann dies auch die Grundlage des Datenschutzabkommens beeinträchtigen.
Warum das Urteil für das EU-U.S. und Swiss-U.S. Data Privacy Framework relevant ist
Die Datenschutzabkommen zwischen Europa, der Schweiz und den USA beruhen nicht nur auf vertraglichen Zusicherungen, sondern auch auf der Existenz wirksamer Kontroll- und Rechtschutzmechanismen in den USA. Dazu gehören unabhängige Aufsichtsbehörden und Beschwerdestellen.
Wenn zentrale US-Institutionen nicht mehr als ausreichend unabhängig angesehen werden, könnte dies die Argumentation hinter den Angemessenheitsbeschlüssen schwächen. Datenschutzaktivisten und Organisationen wie NOYB sehen deshalb erhebliche Risiken für die Zukunft des transatlantischen Datenverkehrs.
Bedeutet das Urteil ein sofortiges Verbot von Datentransfers in die USA?
Nein.
Aktuell bleiben sowohl das EU-U.S. Data Privacy Framework als auch das Swiss-U.S. Data Privacy Framework formell in Kraft. Unternehmen können sich weiterhin darauf berufen.
Noyb, eine österreichische NGO, die sich für die Durchsetzung von Datenschutzgesetzen einsetzt, hat einen formellen Brief an die Europäische Kommission gerichtet und sie aufgefordert, das EU-US-Datenabkommen ordnungsgemäss aufzuheben. Relevant ist dies für die Schweiz, weil sich das Swiss-US Data Privacy Framework an das EU Framework anlehnt. Zudem kündigt noyb an, in den kommenden Wochen Klage einzureichen. Damit könnte der EuGH das aktuelle Abkommen für nichtig erklären. Bis zu einer endgültigen Entscheidung dürfte ein solches Verfahren jedoch in der Regel zwei bis drei Jahre dauern.
Dennoch sollten Verantwortliche die Entwicklung aufmerksam verfolgen:
Die rechtliche Stabilität des Frameworks wird erneut hinterfragt
Weitere Gerichtsverfahren sind wahrscheinlich.
Künftige Entscheidungen europäischer oder schweizerischer Behörden könnten Anpassungen erforderlich machen.
Auch Transfer Impact Assessments (TIA) könnten neu bewertet werden müssen.
Mit anderen Worten: Rechtlich gilt das Framework derzeit weiter, faktisch hat sich die Risikolage jedoch verändert.
Welche Risiken bestehen für Schweizer KMU?
1. Nutzung von Cloud-Diensten aus den USA
Viele Unternehmen speichern Kunden-, Mitarbeiter- oder Geschäftsdaten bei Anbietern wie Microsoft, Google oder AWS. Diese Datentransfers beruhen häufig auf dem Data Privacy Framework oder auf Standardvertragsklauseln.
2. Einsatz von KI-Lösungen
Bei zahlreichen KI-Diensten werden Daten zumindest teilweise in den USA bearbeitet. Dies betrifft beispielsweise generative KI, Analyseplattformen oder Automatisierungslösungen. Unternehmen müssen deshalb genau prüfen, auf welcher Grundlage Personendaten verarbeitet und übermittelt werden.
3. Vertragliche Haftungsrisiken
IT-Dienstleister und SaaS-Anbieter verpflichten sich häufig vertraglich zur Einhaltung datenschutzrechtlicher Vorgaben. Werden Datentransfers infrage gestellt, können sich daraus Haftungs- und Gewährleistungsfragen ergeben.
Handlungsempfehlungen für Schweizer Unternehmen
Kurzfristig
Bestehende Datentransfers in die USA inventarisieren.
Verwendete Cloud-, SaaS- und KI-Lösungen überprüfen.
Transfer Impact Assessments aktualisieren.
Abhängigkeiten von US-Anbietern dokumentieren.
Mittelfristig
Datenschutzklauseln und Auftragsbearbeitungsverträge prüfen.
Zusätzliche technische und organisatorische Schutzmassnahmen dokumentieren.
Europäische oder Schweizer Alternativen evaluieren.
Fazit: Noch kein Schrems III – aber ein deutliches WarnsignalDas Urteil des US Supreme Court führt derzeit nicht automatisch zum Wegfall des Swiss-U.S. Data Privacy Frameworks. Es zeigt jedoch, wie stark internationale Datentransfers von politischen und verfassungsrechtlichen Entwicklungen abhängig sind. Für Schweizer Unternehmen besteht aktuell kein Anlass zur Panik. Es gibt jedoch guten Anlass, die eigenen Datentransfers, Verträge, KI-Anwendungen und Cloud-Dienste genauer zu prüfen. Wer sich frühzeitig mit den Risiken auseinandersetzt, kann regulatorische Entwicklungen besser auffangen und bleibt handlungsfähig. |
WEITERE INFORMATIONEN:
WIE ONLAW SIE UNTERSTÜTZT:
Wir unterstützen Unternehmen bei datenschutzrechtlichen Fragen im Zusammenhang mit internationalen Datentransfers. Kontaktieren Sie uns jederzeit gerne.
Ihre Ansprechperson:

Caroline Danner
Rechtsanwältin & Inhaberin ONLAW
Bild von Paul Cariou, Compagnons auf Unsplash..
Kommentare