Zum Inhalt springen
Julian Pscheid ·

EU-US-Datenübermittlungen nach dem FTC-Urteil des Supreme Court: Was das für Ihre Meeting-Daten bedeutet

Das FTC-Urteil des Supreme Court schwächt die rechtliche Grundlage für EU-US-Datenübermittlungen. Was es für das Data Privacy Framework, SCCs und Ihre Meeting-Daten bedeutet.

Eine europäische Fachkraft prüft Unterlagen an einem Schreibtisch mit EU-Flagge und einem Datenschutz-Hologramm in warmem Licht
Schnelle Antwort Am 29. Juni 2026 entschied der US Supreme Court in Trump v. Slaughter, dass die Federal Trade Commission nicht mehr unabhängig sein muss. EU-Recht verlangt in jedem Land, in das personenbezogene Daten übermittelt werden, eine unabhängige Datenschutzaufsicht, und das EU-US Data Privacy Framework stützte sich auf die Unabhängigkeit der FTC, um diese Anforderung zu erfüllen. Über Nacht ändert sich nichts, weil das Framework gültig bleibt, bis die Europäische Kommission oder die EU-Gerichte es kippen. Aber der rechtliche Boden unter EU-US-Übermittlungen hat sich verschoben, und Unternehmen, die sich auf EU-Standardvertragsklauseln stützen, müssen ihre Dokumentation neu prüfen. Wenn Sie Hedy nutzen, vermeiden die wichtigsten Teile bereits eine US-Übermittlung: Die Spracherkennung läuft auf Ihrem Gerät, und Nutzer der EU-Region erhalten Speicherung und KI-Verarbeitung innerhalb Europas.

Unser DSGVO-Berater hat uns am Morgen der Entscheidung darauf hingewiesen. Es lohnt sich, sie zu verstehen, statt reflexartig zu reagieren, und die Kurzfassung ist einfach: Das Urteil ist für EU-US-Datenübermittlungen relevant, aber noch wurde nichts abgeschaltet.

Auf einen Blick

MechanismusStatus nach dem UrteilWas zu tun ist
EU-US Data Privacy FrameworkVorerst rechtlich gültig, aber seine rechtliche Grundlage ist untergrabenPlanen Sie über die nächsten zwei bis drei Jahre eine mögliche Rücknahme durch die Kommission oder eine gerichtliche Anfechtung ein
Standardvertragsklauseln (SCCs)Weiterhin ein gültiger Mechanismus, aber schwerer ehrlich zu begründenAktualisieren Sie Ihre Transfer Impact Assessment jetzt
Transfer Impact Assessments (TIAs)Müssen nun eine US-Aufsichtsbehörde berücksichtigen, die nicht mehr unabhängig istÜberarbeiten Sie sie, beginnend mit Ihren sensibelsten Daten
Hedy On-Device-TranskriptionNicht betroffen: Das Audio verlässt Ihr Gerät nieNichts, es funktioniert standardmäßig so
Hedy lokale KI-InferenzNicht betroffen: Die Analyse läuft ebenfalls auf Ihrem Gerät, daher wird nichts irgendwohin gesendetAktivieren Sie Local AI Processing (optional, standardmäßig deaktiviert)
Hedy EU-DatenresidenzKeine transatlantische Übermittlung: Ihre Daten werden auf EU-Servern gespeichert und die Inferenz läuft in der EUWählen Sie bei der Registrierung die EU-Region

Was der Supreme Court tatsächlich entschieden hat

Am 29. Juni 2026 entschied der Supreme Court Trump v. Slaughter mit 6 zu 3 Stimmen. Das Gericht entschied, dass der Präsident FTC-Mitglied Rebecca Slaughter ohne wichtigen Grund entlassen durfte, und hob damit Humphrey’s Executor auf, einen Präzedenzfall aus dem Jahr 1935, der es dem Kongress erlaubt hatte, die Leitung bestimmter Behörden vor willkürlicher Entlassung zu schützen.

Die Wirkung ist direkt. FTC-Kommissare dienen nun nach dem Ermessen des Präsidenten. Die Behörde, die der Kongress überparteilich und unabhängig angelegt hatte, ist verfassungsrechtlich nicht mehr unabhängig von der Exekutive.

Warum ein US-Urteil Ihre EU-Daten erreicht

Auf den ersten Blick geht es in dem Fall um präsidentielle Macht, nicht um Datenschutz. Die Verbindung läuft über EU-Recht.

Wenn die EU entscheidet, dass ein Nicht-EU-Land personenbezogene Daten ausreichend schützt, um sie ohne zusätzliche Garantien zu empfangen, erlässt sie einen Angemessenheitsbeschluss. Eine Voraussetzung ist, dass das Land eine unabhängige Behörde zur Aufsicht über den Datenschutz hat. Das im Juli 2023 angenommene EU-US Data Privacy Framework ist dieser Angemessenheitsbeschluss für die Vereinigten Staaten, und die Europäische Kommission stützte sich bei ihrer Entscheidung 259-mal auf die Unabhängigkeit der FTC. Dieselbe Logik betrifft den Data Protection Review Court und das Privacy and Civil Liberties Oversight Board, die anderen US-Stellen, die das Framework als unabhängige Kontrollinstanzen behandelt.

Fällt die Unabhängigkeit weg, wirkt die Grundlage, auf der die Kommission aufgebaut hat, instabil. Wie noyb es formulierte: Die Begründung, die die gesamte Konstruktion getragen hat, hält nicht mehr.

Was das für die Mechanismen bedeutet, auf die Unternehmen setzen

Drei Dinge sollten getrennt bleiben.

Das Data Privacy Framework ist nicht weg. Es bleibt rechtlich gültig, bis die Europäische Kommission es zurücknimmt oder der Gerichtshof der Europäischen Union es für nichtig erklärt. noyb, die von Max Schrems geführte Organisation, hat die Kommission bereits aufgefordert, es geordnet zurückzunehmen, und sagt, sie werde die Frage vor Gericht bringen. Ein Urteil könnte zwei bis drei Jahre dauern. Das ist der Weg, der 2015 Safe Harbor und 2020 Privacy Shield beendet hat, daher gehört eine dritte Ungültigerklärung in Ihre Planung, nicht in die Fußnoten.

Standardvertragsklauseln haben einen Haken. SCCs sind die Absicherung, auf die die meisten Unternehmen zurückfallen, aber sie funktionieren nur, wenn Sie zusätzlich eine Transfer Impact Assessment durchführen, die zeigt, dass das Zielland die Daten in der Praxis schützt. Diese Bewertung muss nun eine Aufsichtsbehörde berücksichtigen, die nicht mehr unabhängig ist.

Carsten Wittmann, ein Berater für DSGVO- und KI-Compliance, der Hedy berät, formulierte das Problem klar:

Ohne eine unabhängige FTC können Sie nicht mehr zu dem Schluss kommen, dass alle erforderlichen Kriterien erfüllt sind.

Der Rat in dieser Phase ist maßvoll, nicht alarmistisch. Aktualisieren Sie Ihre Transfer Impact Assessments jetzt, erfassen Sie, wohin Ihre Daten gehen, und beginnen Sie mit Ihrer sensibelsten Verarbeitung. Geben Sie aber kein Framework auf, das noch in Kraft ist. Der Fehler nach Schrems II war, bis zum letzten Moment zu warten und dann zu improvisieren.

Wo Hedy ehrlich steht

Wir möchten hier lieber offen sein, als so zu tun, als stünde Hedy außerhalb des Problems. Hedys Pfad über die US-Region nutzt dieselben EU-Standardvertragsklauseln (Modul 2) und dieselbe Transfer Impact Assessment, die auch der Rest der Branche nutzt, und dieser Pfad ist von diesem Urteil wie jeder andere betroffen. Das vollständige Rahmenwerk, einschließlich unseres AVV, der SCCs, TIA und technischen Maßnahmen, ist in unserem Beitrag zur DSGVO-Konformität und in unserem Trust Center dokumentiert.

Was Hedy unterscheidet, ist kein clevererer Vertrag. Es sind zwei Teile der Funktionsweise von Hedy, die überhaupt nie von einer US-Übermittlungsentscheidung abhängen.

Die zwei Dinge, die nicht von einer Übermittlungsentscheidung abhängen

On-Device-Spracherkennung. Hedy transkribiert Ihr Gespräch auf Ihrem eigenen Telefon, Tablet oder Computer. Das Audio, der sensibelste Teil jedes Meetings, wird auf Hardware, die Sie kontrollieren, zu Text und wird nie an einen Server gesendet, um transkribiert zu werden. Das funktioniert auf jeder Plattform, die Hedy unterstützt, gleich. Für diesen Schritt findet keine Übermittlung in die Vereinigten Staaten oder irgendwo andershin statt. Wie Carsten sagt: „Lokale Verarbeitung auf dem Gerät ist immer möglich.“ Hedy kann dies auf unterstützten Geräten noch weiterführen: Mit aktiviertem Local AI Processing läuft auch die KI-Analyse auf Ihrem Gerät, sodass überhaupt nichts über das Gespräch irgendwohin gesendet wird.

EU-Datenresidenz mit EU-Inferenz. Wenn Sie die EU-Region wählen, werden Ihre Gesprächsdaten auf europäischen Servern gespeichert, und jeder Teil der KI-Analyse läuft auf Infrastruktur innerhalb der EU. Das können wir garantieren: Für EU-Residenz-Konten verlässt Inferenz Europa nie. Unser primärer Inferenzanbieter, Nebius, ist selbst ein europäisches Unternehmen mit Sitz in den Niederlanden und Betrieb in EU-Rechenzentren. Zur Ausfallsicherheit halten wir Failover-Kapazität bei einigen weiteren Anbietern vor, deren Inferenz ebenfalls innerhalb der EU läuft, auch wenn diese Unternehmen ihren Hauptsitz in den Vereinigten Staaten haben. So oder so werden Ihre Gespräche in Europa analysiert, statt über den Atlantik geschickt zu werden. Das vollständige Bild finden Sie in unserem Beitrag zur EU-Datenresidenz.

Das adressiert einen berechtigten Einwand, den Carsten anspricht. Wo Ihre Daten verarbeitet werden, ist die erste Frage, und für EU-Residenz-Konten lautet die Antwort immer Europa. Wer diese Verarbeitung betreibt, ist die zweite. EU-Datenresidenz, die vollständig von einem US-Unternehmen betrieben wird, senkt das Risiko, entfernt es aber nicht vollständig, weil eine US-Muttergesellschaft weiterhin durch US-Recht erreicht werden kann. Einen europäischen Anbieter als primären Provider zu haben, ist die stärkste Version der Antwort, mit US-Unternehmen nur als EU-basiertem Failover.

Zwei ehrliche Einschränkungen. Einige operative Dienste, darunter Account-Login, Abrechnung und Fehlerberichte, laufen weiterhin für alle über US-Infrastruktur, und keiner davon enthält Ihre Gesprächsinhalte. Session-Recap-E-Mails sind die Ausnahme: Sie enthalten Ihre Sitzungszusammenfassungen und Notizen und werden über US-basierte E-Mail-Infrastruktur versendet. Wenn das für Sie relevant ist, können Sie sie deaktivieren und Ihre Recaps stattdessen in der App lesen. Und bestehende Nutzer in der US-Region bleiben dort, bis sie wechseln; die europäische Einrichtung gilt für die EU-Region.

Was EU-Unternehmen jetzt tun sollten

Carstens Empfehlung, die dem Konsens unter Datenschutzjuristen entspricht, lautet: Behandeln Sie ein mögliches Scheitern des Frameworks als Szenario, auf das Sie sich vorbereiten, nicht als Risiko, das Sie weg hoffen.

  1. Inventarisieren Sie Ihre Übermittlungen. Listen Sie auf, welche Anbieter personenbezogene Daten in den Vereinigten Staaten halten, wofür und auf welcher Rechtsgrundlage.
  2. Aktualisieren Sie Ihre Transfer Impact Assessments. Bilden Sie ab, dass die US-Aufsicht nicht mehr unabhängig ist, und dokumentieren Sie Ihre Begründung.
  3. Beginnen Sie mit sensiblen Daten. Gesundheitsdaten, Finanzdaten, Beschäftigtendaten und Daten Minderjähriger zuerst.
  4. Prüfen Sie bei jeder Verlängerung EU-basierte Alternativen. Sie müssen heute nicht alles herausreißen, aber jeder neue Vertrag ist eine Chance, Exposition zu reduzieren.

Für eine Käufersicht auf die Bewertung von Meeting-Tools speziell führen unsere DSGVO-Checkliste für KI-Meeting-Tools und unser Vergleich DSGVO-konformer KI-Meeting-Tools durch die wichtigsten Kriterien.

Was noch unsicher ist

Zwei Entwicklungen könnten das Bild verändern. Die Europäische Kommission könnte die Anforderung einer “unabhängigen Behörde” weniger streng lesen, auch wenn das eine unbequeme Abkehr von ihrem eigenen Standard wäre. Oder die US-Position könnte sich mit der Zeit verschieben. Beides ist kurzfristig unwahrscheinlich, und beides würde Jahre brauchen. Bis dahin ist die ehrliche Beschreibung Unsicherheit, nicht Klärung. Genau deshalb ist eine Architektur, die die Übermittlung vermeidet, im Moment mehr wert als ein Vertrag, der sie überdeckt.

Das Fazit

Das Urteil hat nichts abgeschaltet, aber es hat den Boden unter EU-US-Datenübermittlungen verschoben, und die Richtung ist klar. Die dauerhaften Schutzmaßnahmen sind diejenigen, die Ihre Daten gar nicht erst über den Atlantik senden. Mit Hedy bleibt die Spracherkennung auf Ihrem Gerät, und Nutzer der EU-Region behalten sowohl Speicherung als auch KI-Verarbeitung innerhalb Europas.

Aktualisieren Sie auf die neueste Version und wählen Sie während des Onboardings die EU-Region, oder setzen Sie unabhängig von Ihrem Standort auf Verarbeitung auf dem Gerät. Die vollständige Compliance-Dokumentation befindet sich in unserem Trust Center unter trust.hedy.ai.

Häufig gestellte Fragen

Macht das Supreme-Court-Urteil EU-US-Datenübermittlungen rechtswidrig?

Nein. Das EU-US Data Privacy Framework bleibt rechtlich gültig, bis die Europäische Kommission es zurücknimmt oder der Gerichtshof der Europäischen Union es für nichtig erklärt. Das Urteil schwächt die rechtliche Grundlage, auf der das Framework aufgebaut wurde, aber über Nacht ändert sich nichts. Unternehmen, die sich auf EU-Standardvertragsklauseln stützen, sollten ihre Transfer Impact Assessments jetzt aktualisieren, statt zu warten, bis ein Gericht sie dazu zwingt.

Ist das EU-US Data Privacy Framework tot?

Noch nicht. Das Framework bleibt in Kraft. noyb, geführt von Max Schrems, hat die Europäische Kommission aufgefordert, es geordnet zurückzunehmen, und plant eine gerichtliche Anfechtung, was zwei bis drei Jahre dauern könnte. Das ist derselbe Weg, der 2015 Safe Harbor und 2020 Privacy Shield beendet hat, daher ist eine dritte Ungültigerklärung ein Szenario, für das Sie planen sollten.

Funktionieren Standardvertragsklauseln nach diesem Urteil noch?

SCCs sind weiterhin ein gültiger Übermittlungsmechanismus, aber sie halten nur, wenn Ihre Transfer Impact Assessment zeigt, dass das Zielland die Daten in der Praxis schützt. Da die FTC nicht mehr unabhängig ist, lässt sich diese Bewertung bei Übermittlungen in die Vereinigten Staaten schwerer ehrlich abschließen. Aktualisieren Sie Ihre TIAs, um die Änderung abzubilden, und priorisieren Sie sensible Daten.

Betrifft dieses Urteil meine Hedy-Daten?

Die wichtigsten Teile von Hedy vermeiden eine US-Übermittlung vollständig. Die Spracherkennung läuft auf Ihrem eigenen Gerät, sodass Ihr Audio nie irgendwohin gesendet wird, um transkribiert zu werden. Wenn Sie die EU-Region wählen, werden Ihre Gesprächsdaten in Europa gespeichert und die KI-Analyse läuft auf Infrastruktur innerhalb der EU. Hedys Pfad über die US-Region nutzt SCCs und eine Transfer Impact Assessment wie die meisten Tools, ist also wie der Rest der Branche betroffen.

Was sollten EU-Unternehmen jetzt tun?

Gehen Sie gestaffelt vor: Inventarisieren Sie, wohin Ihre Daten gehen, aktualisieren Sie Ihre Transfer Impact Assessments, beginnen Sie mit Ihrer sensibelsten Verarbeitung und prüfen Sie bei jeder Vertragsverlängerung EU-basierte Alternativen. Behandeln Sie ein mögliches Scheitern des Frameworks als Szenario, für das Sie planen, nicht als Randrisiko. Unternehmen, die nach Schrems II gewartet haben, mussten am Ende unter Zeitdruck improvisieren.

JP

About the author

Julian Pscheid is the founder and CEO of Hedy AI, a real-time AI meeting coach used by tens of thousands of professionals worldwide. He writes about how AI is changing the way people prepare for, capture, and understand important conversations.

Ihr nächstes Meeting wird Ihr bestes bisher

Kostenlos starten. Keine Kreditkarte, kein Bot in Ihren Anrufen, keine Aufzeichnungen, die irgendwohin gesendet werden. Nur Echtzeit-Coaching auf Ihrem Gerät.