US-Urteil zur FTC-Unabhängigkeit: Was das für Krankenhäuser bedeutet

| Keine Kommentare

Ein Urteil des US Supreme Court erschüttert die rechtliche Grundlage des transatlantischen Datenaustauschs – und bringt auch Anbieter unter Druck, auf die Krankenhäuser täglich angewiesen sind.

Was ist passiert?

Ende Juni 2026 hat der Oberste Gerichtshof der USA in der Rechtssache Trump v. Slaughter entschieden, dass die Unabhängigkeit der Federal Trade Commission (FTC) verfassungswidrig ist. Die FTC untersteht damit künftig direkt den politischen Weisungen des US-Präsidenten.

Das klingt zunächst nach einem rein amerikanischen Verfassungsstreit. Für den europäischen Datenschutz hat die Entscheidung jedoch weitreichende Konsequenzen: Das EU-US Data Privacy Framework (DPF) – der aktuelle Rechtsrahmen für den Transfer personenbezogener Daten zwischen der EU und den USA – beruft sich in seinem Angemessenheitsbeschluss 259 Mal auf die Kontrollrolle der FTC. Mit dem Urteil ist die Unabhängigkeit dieser Behörde formal hinfällig. Die Datenschutzorganisation Noyb hat die EU-Kommission bereits formell aufgefordert, das Abkommen aufzuheben.

Solange die Kommission das DPF nicht widerruft oder der Europäische Gerichtshof (EuGH) es für nichtig erklärt, bleibt es formell in Kraft. Bis zu einer endgültigen EuGH-Entscheidung – Experten rechnen mit zwei bis drei Jahren – droht jedoch eine Phase erheblicher Rechtsunsicherheit. Max Schrems, der bereits zweimal frühere EU-US-Datentransferabkommen vor dem EuGH zu Fall gebracht hat, bereitet auch diesmal den Klageweg vor.

Unmittelbare Betroffenheit: Eher die Anbieter als das Krankenhaus direkt

Für Krankenhäuser ist die gute Nachricht: Eine direkte, sofortige Haftung entsteht in der Regel nicht. Das liegt vor allem daran, dass Krankenhäuser beim Einsatz von Cloud-Diensten oder Software-as-a-Service-Lösungen vertraglich verlangen müssen, dass Anbieter ein C5-Testat des Bundesamts für Sicherheit in der Informationstechnik (BSI) vorweisen. Das C5-Testat (Cloud Computing Compliance Criteria Catalogue) schreibt unter anderem vor, dass Datenspeicherung und -verarbeitung in einer nachweislich sicheren Umgebung erfolgen – und enthält Anforderungen an Transparenz und Datenschutz, die US-amerikanische Hyperscaler ohne europäische Rechenzentren und entsprechende vertragliche Absicherungen nur schwer erfüllen können.

Die unmittelbaren Folgen trägt damit zunächst die Anbieterseite. Softwareanbieter, Dienstleister und Hersteller von Krankenhaus-IT, die bislang auf AWS, Microsoft Azure oder Google Cloud in amerikanischen Rechenzentren gesetzt haben, stehen nun vor einer Wahl: Sie akzeptieren die wachsende Rechtsunsicherheit und riskieren bei einer EuGH-Entscheidung gegen das DPF ohne gültige Rechtsgrundlage für den Datentransfer dazustehen. Oder sie migrieren auf europäische Cloud-Alternativen – etwa Angebote nach dem EUCS-Standard (EU Cybersecurity Certification Scheme for Cloud Services) oder Dienste souveräner europäischer Anbieter.

Was Krankenhäuser jetzt im Blick haben sollten

Auch wenn der Handlungsdruck zunächst bei den Anbietern liegt, sollten Krankenhäuser das Thema nicht passiv beobachten. Empfehlenswerte Maßnahmen:

  • Vertragsgrundlagen prüfen. Bestehende Verträge mit IT-Dienstleistern sollten daraufhin geprüft werden, auf welcher Rechtsgrundlage ein etwaiger Transfer personenbezogener Daten in die USA beruht – ob auf dem DPF, auf Standardvertragsklauseln (SCCs) oder auf verbindlichen Unternehmensregeln (BCRs). Auch SCCs und BCRs sind infolge des Urteils unter Druck geraten, da sie regelmäßig auf US-Prüfinstanzen verweisen, deren Unabhängigkeit nun ebenfalls fraglich ist.
  • Anbieter aktiv befragen. Krankenhäuser können und sollten bei ihren Dienstleistern nachfragen, ob und wie diese auf das Urteil reagieren – und ob eine Migration auf europäische Infrastruktur geplant ist. Das schärft das eigene Risikobild und setzt die richtigen Anreize auf Anbieterseite.
  • C5-Anforderung konsequent einhalten. Das C5-Testat bleibt das zentrale Schutzinstrument beim Einkauf von Cloud-Diensten. Es sollte bei Neuverträgen und Verlängerungen ohne Ausnahme eingefordert werden.
  • Entwicklungen beobachten. Die Lage ist im Fluss. Ob und wann die EU-Kommission das DPF widerruft oder der EuGH erneut tätig wird, bleibt abzuwarten. Krankenhäuser sollten das Thema in ihrer Datenschutz- und IT-Sicherheits-Governance verankern.

Fazit

Das Urteil des US Supreme Court ist ein weiteres Kapitel in der langen Geschichte der Rechtsunsicherheit beim transatlantischen Datentransfer. Für Krankenhäuser bedeutet es kurzfristig vor allem: Die Anbieter ihrer IT-Systeme geraten unter Druck, und wer konsequent auf das C5-Testat setzt, ist strukturell besser aufgestellt als andere. Mittelfristig beschleunigt das Urteil einen Trend, der ohnehin an Fahrt aufnimmt – die Verlagerung kritischer Infrastruktur auf europäische Cloud-Angebote.

Quellen: heise.de (30.06.2026), noyb.eu, Urteil des US Supreme Court „Trump v. Slaughter“ (Az. 25–332)

Schreibe einen Kommentar