Zum Inhalt springen

US Supreme Court gefährdet EU-US DPF – DS News KW 27-2026

    migosens Datenschutz Talk KW 27
    Moderation:
    avatar
    David Schmidt
    avatar
    Gregor Wortberg

    Was ist in der KW 27 in der Datenschutzwelt passiert, was ist für Datenschutzbeauftragte interessant?

      Veröffentlichungen & Veranstaltungen

    • BSI veröffentlicht Sicherheitsinformation zu KI und Cybersicherheit
    • EDPB & AMLA arbeiten an Leitlinien für Informations­teilung

     

    Weitere Infos, Blog und Newsletter finden Sie unter: https://migosens.de/newsroom/

    X: https://x.com/ds_talk?lang=de

    Übersicht aller Themenfolgen: https://migosens.de/datenschutz-podcast-themenfolgen/

    (als eigener Feed: https://migosens.de/show/tf/feed/ddt/)

    Instagram: https://www.instagram.com/datenschutztalk_podcast/

    Folge hier kommentieren:https://migosens.de/us-supreme-court-gefaehrdet-eu-us-dpf-ds-news-kw-27-2026

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Transkript zur Folge:

    Sollen wir das machen aus Jux und Dollerei, weil wir ganz wild sind heute?
    Herzlich willkommen zum Datenschutz-Talk, eurem wöchentlichen Datenschutz-Update der Migosens.
    Heute ist Freitag, der 3. Juli 2026 und unser Redaktionsschluss war heute um
    9.30 Uhr. Wir schauen heute gemeinsam mit euch auf die wichtigsten Datenschutzthemen der Woche.
    Und wir sind in meinem Fall Gregor Wortberg und bei mir ist David Schmidt.
    Grüß dich Gregor.
    Hallo David. Ja, zwei interessante Meldungen haben wir, vor allem in den Headlines.
    Wir konnten es ja schon vernehmen, aber welche Themen hast du denn sonst noch mitgebracht?
    Ich berichte über die Entscheidung des US-Supreme-Court, die das EU-US-Datenabkommen bedroht.
    Und dann spreche ich noch über die neuesten Pläne unserer großen Koalition hinsichtlich
    Reformen im Datenschutz.
    Und einen Lesetipp habe ich noch dabei. Wie sieht es bei dir aus?
    Ich möchte nicht wertend sein, aber du hast die Clickbait-Titel abgekriegt auf jeden Fall.
    Ich beschäftige mich mit der niederländischen Aufsichtsbehörde,
    die eine aber auch wirklich sehr interessante Liste zur DSFA-Erforderlichkeit veröffentlicht hat.
    Und darüber hinaus berichte ich noch vom Treffen der Datenschützer der G7-Staaten,
    nennen wir es mal so, die sich in Paris getroffen haben. Darüber hinaus habe
    ich auch noch einen Lesetipp dabei.
    Ja, fassen wir es mal so zusammen. Ich habe die Clickbait-Titel aber dafür auch
    die, die vielleicht für ein bisschen mehr Bauchschmerzen sorgen.
    Dann starten wir mit dem US-Supreme Court. Dieser hat eine wichtige Entscheidung
    getroffen in der Rechtssache Trump vs.
    Slaughter, die die Unabhängigkeit der Federal Trade Commission gegenüber der
    US-Regierung verneint.
    In der Entscheidung ging es eigentlich um die Rechtmäßigkeit von Entlassung
    hochrangiger Beamter durch Präsident Donald Trump.
    Betroffene Personen hatten sich vor dem Supreme Court dagegen gewehrt.
    Dieser sah jetzt aber die Entlassung überraschenderweise als rechtmäßig an und
    betonte außerdem, dass die US-amerikanische Verfassung.
    Dahingehend auszulegen sei, dass der US-Präsident die uneingeschränkte Kontrolle
    über alle Bundesbehörden verfügen muss.
    Die FTC, die auch für die Datenschutzaufsicht in der USA zuständig ist,
    ist nach Ansicht des Supreme Courts also nicht unabhängig,
    was wiederum das EU-US Data Privacy Framework, also den Angemessenheitsbeschluss
    zwischen der EU oder von der EU, für die USA erheblich gefährdet.
    Die EU-Kommission hatte auf die unabhängige Kontrolle durch die FTC gesetzt,
    wobei diese im Angemessenheitsbeschluss der Kommission ganze 259 Mal erwähnt wird.
    Erste Reaktionen sind auch schon publik geworden. Datenschutzaktivist Max Schrems
    fordert die EU auf, ihren Angemessenheitsbeschluss zurückzuziehen,
    da es jetzt keine unabhängige Aufsichtsbehörde mehr in den USA gebe.
    Das Abkommen bleibt aber natürlich trotzdem erstmal formal bestehen,
    aber alle, die zur Legitimierung von Datentransfers in die USA aktuell darauf
    setzen, werden natürlich mit erheblicher Rechtsunsicherheit konfrontiert.
    Aktuell ist die Sache aus meiner Sicht noch zu heiß, um konkrete Handlungsempfehlungen abzuleiten.
    Die nächsten Wochen werden zeigen, was tatsächlich zu tun sein wird.
    Absehbar ist aber zumindest, dass die Risikobetrachtung hinsichtlich Datentransfers
    in den USA noch einmal mehr angepasst werden muss.
    Und es ist, denke ich, auch noch wahrscheinlicher, dass der EuGH sich in Zukunft
    irgendwie damit beschäftigen werden muss.
    Genau, Max Schrems hatte ja eigentlich gesagt, dass er diesmal jemand anderen
    gerne den Vortritt lassen möchte für Schrems 3 oder wie es dann auch immer heißen wird.
    Aber das gießt jetzt natürlich nochmal Benzin ins Feuer.
    Hat auf jeden Fall in der Datenschutzwelt polarisiert in dieser Woche diese Nachricht.
    Dann möchte ich mit euch gemeinsam einmal in die Niederlande blicken.
    Die niederländische Datenschutzaufsichtsbehörde hat eine vorläufige Liste veröffentlicht,
    welche Verarbeitungstätigkeiten aufhört, welche eben künftig keine Durchführung
    einer Datenschutzfolgenabschätzung mehr erfordern.
    Gerichtet ist diese, nochmals zu betont vorläufige Liste, an kleinere verantwortliche
    Stellen, also Selbstständige oder auch Arbeitgeber mit bis zu 250 Beschäftigten.
    Natürlich erstmal nur in den Niederlanden, aber, denke ich, sehr interessant,
    kann man sicherlich vielleicht auch für sich auch nochmal beobachten.
    Ableitung aus Mitnehmen. Interessant für Unternehmen finde ich hier insbesondere,
    dass Verarbeitung personenbezogener Daten von Arbeitnehmerinnen und Arbeitnehmern,
    sofern diese erfolgen, um gesetzliche
    Verpflichtungen in den Bereichen Buchhaltung, Personalverwaltung,
    Lohn- und Gehaltsabrechnung und so weiter,
    um denen halt nachkommen zu können, sich auf der Liste dann wiederfinden.
    Und dies kann in der Praxis dann zum Beispiel bei der Einführung neuer IT-Systeme
    oder auch der Digitalisierung jetzt zum Beispiel von der Personalakte dann deutlich
    entlasten, was so einen Aufwand nochmal, bürokratischen Aufwand vielleicht auch nochmal angeht.
    Dies gilt nicht natürlich, wenn Profiling stattfindet oder besondere Kategorien
    personenbezogener Daten, einschließlich auch biometrischer Daten verarbeitet werden.
    Wenn es da jetzt auch zum Beispiel um die systematische Überwachung von Arbeitnehmern gilt.
    Solche Sachen sind da dann auch schon explizit ausgeschlossen.
    Weiterhin soll keine DSFA mehr erforderlich sein bei der Videoüberwachung durch
    KMU und Wohnungseigentümergemeinschaften in nicht öffentlich zugänglichen Bereichen
    zum Schutz des Eigentums.
    Hier ist allerdings auch die unbedingte Zweckerforderlichkeit natürlich zu beachten.
    Also wenn jetzt Mitarbeiter oder andere Personen erfasst werden,
    sollte das auch in der Bewertung natürlich berücksichtigt werden,
    was das Risiko dann natürlich dann auch anbelangt.
    Weitere Beispiele betreffen Webseiten, Gesundheitsdienstleister,
    Vereine und auch Kitas, die da auch nochmal entlastet werden sollen.
    Es ist natürlich kein Freifahrtschein, so eine Whitelist, datenschutzrechtliche
    Vorgaben müssen natürlich auch weiterhin eingehalten werden.
    Und natürlich auch noch irgendwo mit Vorsicht zu genießen, weil es erstmal vorläufig
    ist und natürlich auch in den Niederlanden erstmal nur veröffentlicht wurde.
    Aber wenn man da jetzt einen persönlichen Wunsch äußern darf,
    in Deutschland kennen wir ja bisher nur so die Muss-Liste von der DSK.
    Also wann muss ich eine DCFA durchführen?
    Vielleicht gibt es ja im europäischen Sinne eine Abstimmung und man übernimmt
    da was von unseren niederländischen Nachbarn.
    Ja, wäre eine gute Sache, wenn die Behörden hierzulande auch von der Möglichkeit
    Gebrauch machen würden, eine Whitelist aufzustellen und nicht nur eine Blacklist.
    Das vorgestellte Koalitionspaket der SPD und Union sieht tiefgreifende Reformen
    im Datenschutz und bei der Transparenz vor.
    So möchte die Bundesregierung darauf hinwirken, dass die EU eine Verringerung
    der Reichweite der Datenschutz-Grundverordnung verabschiedet.
    Konkret sollen nach der Vorstellung der Regierung KMUs aus dem Anwendungsbereich der DSGVO fallen.
    Das wäre natürlich ein radikaler Schritt, der viele Probleme mit sich bringt.
    Zum einen müssten KMUs erstmal eindeutig definiert werden und zum anderen wäre
    es natürlich auch ein schwerer Schlag gegen den Datenschutz insgesamt.
    Es bleibt daher zu hoffen, dass die Absichten der Bundesregierung nur solche
    bleiben und im Rahmen des digitalen Omnibus wird ja bereits über Abstufungen
    der Pflichten aus der DSGVO diskutiert.
    Eine derartige Einschränkung des Anwendungsbereichs der DSGVO generell war bisher
    aber noch kein Thema und ich glaube, wir sind auch alle der Meinung,
    dass das auch so bleiben sollte.
    Ganz genau. Da wird sicherlich auch interessant sein, wie kontrovers das auch
    noch weiter, auch auf europäischer Ebene natürlich, dann diskutiert wird. Ja.
    Und du bleibst ja auch in Europa, Gregor.
    Ja, ganz genau. In Paris fanden nämlich am 25. und 26. Juni der Roundtable der
    Datenschutzbehörden der G7 statt.
    Für Deutschland nahm der stellvertretende Bundesbeauftragte für den Datenschutz
    und die Informationsfreiheit Andreas Hartl teil.
    Am Ende des Roundtables wurden auch ein paar Beschlüsse gefasst.
    Kernpunkt der Beschlüsse ist der Schutz von Kindern im digitalen Raum.
    Die Behörden unterstützen dabei datenschutzfreundliche Verfahren zur Altersverifikation,
    sagen aber auch, dass diese natürlich erstmal die Privatsphäre respektieren
    sollten und da streichen auch nochmal die Botschaft, ja, es sollte geprüft werden,
    aber halt auch nicht um jeden Preis und mit unnötiger Datensammlung.
    Weitere Themen waren KI-generierte Defaults, vernetzte Geräte im Haushalt,
    Smart Glasses, Und aber auch die sogenannte Gentic AI, also Agenten künstliche
    Intelligenz, um das jetzt mal ganz direkt ins Deutsche zu übersetzen.
    Das sind halt KI-Systeme, die mit größerer Eigenständigkeit Aufgaben ausführen
    oder Entscheidungen vorbereiten.
    Und hier stellen sich ganz praktische Fragen nach Verantwortlichkeit,
    Kontrolle und aber auch Nachvollziehbarkeit.
    Gerade wenn vielleicht auch mehrere Anbieter, Modelle und Datenquellen an einer
    Tätigkeit beteiligt sind.
    Schließlich wollen die G7-Datenschutzbehörden ihre Zusammenarbeit bei der Durchsetzung,
    auch bei internationalen Datentransfers dann auch nochmal verstärken.
    Das Ganze soll unter dem Leitbild Data-Free-Flow with Trust möglich gemacht werden.
    Sehr schön. Damit kommen wir schon zu den Lesetipps, den angekündigten.
    Meiner kommt vom Bundesamt für Sicherheit in der Informationstechnik.
    Dieses hat eine neue IT-Sicherheitsinformation veröffentlicht,
    die sich mit den Auswirkungen von Entwicklungen im Bereich KI auf die Cybersicherheit
    von Organisationen befasst.
    Die Veröffentlichung soll Organisationen relevante Hinweise und Empfehlungen
    bieten, um sich besser auf die Herausforderungen im Bereich Cybersicherheit vorzubereiten.
    Die Informationen sind auf der Webseite des BSI frei zugänglich.
    Mein Hinweis kommt vom Europäischen Datenschutzausschuss und der erarbeitet
    aktuell mit der Anti-Geldwäschebehörde AMLA gemeinsame Leitlinien,
    die dann auch im Jahr 2027 zur Konsultation gestellt werden sollen.
    Die Leitlinien sollen sich damit befassen, wie Finanzinstitute unter Artikel
    75 der neuen Anti-Geldwäsche-Verordnung Informationen austauschen dürfen und
    zugleich Datenschutz wahren.
    Die Leitlinien sollen eben praktische Datenschutz-Safeguards für Geldwäschepartnerschaften
    erläutern, wenn sie denn dann umgesetzt werden.
    Und damit möchte ich mich für diese Woche auch wieder recht herzlich bei dir
    bedanken, David, denn wir sind am Ende unserer Nachrichten und Leseempfehlungen
    für diese Woche angeschrieben. Hat wieder sehr viel Spaß gemacht.
    Finde ich auch. Danke dir, Gregor.
    Und euch zu Hause wünschen wir, wie immer, wenn ihr uns am Freitag hört,
    ein schönes Wochenende. und ansonsten natürlich einen sonnigen Start in die
    neue Woche und freuen uns auf nächste Woche mit euch. Bis bald.
    Bis bald.