Schrems III kommt: Was ein US-Urteil für Datentransfers europäischer Unternehmen bedeutet

- Das EU-US Data Privacy Framework steht auf der Kippe: Ein Urteil des US Supreme Court hat die Unabhängigkeit der US-Datenschutzbehörde FTC aufgehoben – und damit die Grundlage für transatlantische Datentransfers erschüttert.
- Betroffen ist nahezu jedes europäische Unternehmen, das US-Tools wie Microsoft 365, Google Workspace, Salesforce oder AWS nutzt und dabei personenbezogene Daten in die USA überträgt.
- Das DPF ist formal noch gültig – erfahrungsgemäß dauert eine Aufhebung zwei bis drei Jahre. Wer jetzt handelt, vermeidet späteren Zeitdruck und sichert sich einen strategischen Vorteil.
- Standardvertragsklauseln (SCCs) bleiben eine Alternative, erfordern aber für jeden einzelnen Datentransfer ein eigenes Transfer Impact Assessment (TIA) – das bedeutet deutlich mehr Aufwand als bisher.
- Digitale Souveränität wird zum Wettbewerbsvorteil: Unternehmen, die Datentransfers jetzt dokumentieren und europäische Alternativen prüfen, sind rechtlich abgesichert und gewinnen einen wertvollen Differenzierungsfaktor.
Hintergrund: Warum ist der transatlantische Datenschutzrahmen in Gefahr?
Seit Juli 2023 regelt das EU-US Data Privacy Framework (DPF) den Datentransfer zwischen der EU und den USA. Es ist bereits der dritte Versuch eines transatlantischen Datenschutzabkommens: Safe Harbor scheiterte 2015 vor dem Europäischen Gerichtshof, der 2020 auch den Nachfolger, das Privacy Shield, für ungültig erklärt hatte. Damals befand das Gericht, dass US-Behörden zu weitreichend auf europäische Daten zugreifen konnten und Betroffene dagegen kaum rechtlich vorgehen konnten.
Das DPF sollte diese Lücken schließen. Es bildet die rechtliche Grundlage für fast jeden US-Datentransfer in Europa. Bisher überwacht die US-Handelsaufsichtsbehörde (Federal Trade Commission, FTC) als unabhängige Behörde, ob US-Unternehmen die europäischen Datenschutzanforderungen einhalten.
Wie wichtig die Unabhängigkeit der FTC ist, zeigt ein Blick in den Angemessenheitsbeschluss der EU-Kommission: Dort wird sie genau 259 Mal erwähnt. Der US Supreme Court hat jetzt allerdings entschieden, dass die FTC nicht länger unabhängig vom Präsidenten sein muss.
Was steht im FTC-Urteil?
In seinem Urteil Trump vs. Slaughter entschied das Gericht, dass der US-Präsident FTC-Kommissare jederzeit und ohne Angabe von Gründen entlassen darf. Die FTC ist damit keine unabhängige Behörde mehr, sondern politisch steuerbar.
Max Schrems, der österreichische Datenschutzaktivist, der bereits Safe Harbor und Privacy Shield vor dem EuGH zu Fall gebracht hat, und seine Organisation noyb haben die EU-Kommission bereits aufgefordert, den Angemessenheitsbeschluss aufzuheben. Da es bereits das dritte Grundsatzverfahren vor dem EuGH wäre, das Schrems führt, spricht man von Schrems III.
Was bedeutet Schrems III für Unternehmen?
Unternehmen müssen nicht sofort mit Bußgeldern rechnen, wenn sie weiterhin mit US-Tools arbeiten. Das DPF ist formal noch in Kraft und der Angemessenheitsbeschluss bleibt so lange gültig, bis die EU-Kommission ihn aufhebt oder der EuGH ihn für nichtig erklärt. Das dauert erfahrungsgemäß zwei bis drei Jahre.
- Was in dieser Zeit weiterhin gilt: Nicht jeder Datentransfer in die USA ist automatisch problematisch. Die DSGVO betrifft nur personenbezogene Daten, also Informationen, die sich einer konkreten Person zuordnen lassen. Anonymisierte oder rein geschäftliche Daten können weiterhin fließen. Auch einzelne, klar begründete Transfers bleiben in Ausnahmefällen zulässig, etwa wenn ein Vertrag mit der betroffenen Person die Übermittlung zwingend erfordert.
- Was hingegen rechtlich riskant wird: Unternehmen, die Kundendaten, Mitarbeiterdaten oder andere personenbezogene Informationen dauerhaft über US-Dienste verarbeiten, müssen künftig mit Konsequenzen rechnen.
Sind auch Standardvertragsklauseln betroffen?
Viele Unternehmen arbeiten parallel zum DPF mit Standardvertragsklauseln (SCCs) als Absicherung. Diese Vertragsklauseln, die die EU-Kommission bereitstellt, sollen einen angemessenen Datenschutz vertraglich garantieren. Sie gelten als Rückfalloption, wenn kein Angemessenheitsbeschluss existiert.
Das Problem: SCCs erfordern eine interne Risikoabschätzung, ein Transfer Impact Assessment (TIA). Damit können Unternehmen bewerten, ob das Datenschutzniveau im Zielland ausreicht. Wer sich künftig nicht mehr auf das DPF stützen kann und stattdessen auf SCCs ausweicht, muss für jeden betroffenen Datentransfer eine solche Bewertung durchführen.
Das bedeutet: Unternehmen, die mit SCCs arbeiten, müssen künftig voraussichtlich mehr Transfer Impact Assessments durchführen.
Welche Tools sind konkret vom neuen FTC-Urteil betroffen?
Praktisch jedes Unternehmen, das US-amerikanische Software einsetzt, ist potenziell von Schrems III betroffen:
- Microsoft 365 (Teams, SharePoint, OneDrive)
- Google Workspace (Gmail, Drive, Meet)
- Salesforce
- Amazon Web Services (AWS)
- Weitere US-Cloud-Dienste, bei denen personenbezogene Daten in die USA übertragen werden
Was sollten Unternehmen jetzt tun?
Die letzten Schrems-Urteile haben gezeigt, dass Änderungen an den rechtlichen Grundlagen für US-Datentransfer in Europa einen massiven Mehraufwand für Hunderttausende Unternehmen bedeuten können. Betroffene Unternehmen müssen beispielsweise vor dem Einsatz neuer Tools komplexe Einzelregelungen implementieren und leben zum Teil jahrelang in Rechtsunsicherheit.
Wer früh handelt, hat einen echten Vorteil. Proliance empfiehlt folgende Sofortmaßnahmen:
- Datentransfers sauber dokumentieren: Welche personenbezogenen Daten fließen in die USA? An welche Anbieter? Auf welcher Rechtsgrundlage? Eine Datenschutzplattform wie Proliance 360 vereinfacht die nahtlose Dokumentation von Datentransfers.
- Auf mehr TIAs einstellen: Wenn das DPF wegfällt und Datentransfers mit SCCs abgesichert werden, sind künftig mehr TIAs durchzuführen.
- Alternativen prüfen: Gibt es europäische Alternativen zu genutzten US-Tools? Welche Daten könnten auf EU-Server verlagert werden? Bei Cloud-Diensten bietet das SEAL-Framework Orientierung darüber, welche Anbieter unabhängig von den USA sind.
- Datenschutzbeauftragten einbinden: Interne oder externe Datenschutzbeauftragte sollten aktiv in die Bewertung der Lage einbezogen werden.
- Entwicklungen verfolgen: Noyb hat eine Klage angekündigt, weshalb der EuGH sich bereits mit dem DPF befasst. Die Lage kann sich jederzeit ändern.
Fazit: Mit Vorbereitung und digitaler Souveränität handlungsfähig bleiben
Nach Safe Harbor und dem Privacy Shield wackelt nun auch das Data Privacy Framework. Wer jetzt seinen Software-Stack kritisch bewertet, Datentransfers dokumentiert und Alternativen prüft, ist rechtlich auf der sicheren Seite und gewinnt einen strategischen Vorteil: Unternehmen, die ihre digitale Souveränität verbessern, gewinnen einen wertvollen Differenzierungsfaktor.
Das sagt Alexander Ingelheim, Co-Gründer und CEO von Proliance: „Wer jetzt nicht anfängt, seinen Datentransfer zu dokumentieren und Alternative zu prüfen, wird in zwölf bis 18 Monaten unter Zeitdruck stehen. Digitale Souveränität bekommt damit einen weiteren Vorteil.“
Die Datenschutzexperten bei Proliance beraten Sie gern und zeigen Ihnen konkrete Handlungsoptionen auf, bevor die Zeit knapp wird.
Sie haben noch Fragen? Wir haben die Antworten
Ein Urteil des US Supreme Court (Juni 2026) hat die Unabhängigkeit der US-Datenschutzbehörde FTC aufgehoben und damit die Grundlage des EU-US Data Privacy Frameworks erschüttert. Betroffen ist fast jedes Unternehmen, das US-Tools wie Microsoft 365, Google Workspace oder AWS nutzt. Proliance unterstützt Sie dabei, Ihre Datentransfers rechtssicher zu bewerten.
Nein, das Data Privacy Framework ist formal noch in Kraft. Erfahrungsgemäß dauert eine Aufhebung zwei bis drei Jahre. Dennoch sollten Unternehmen jetzt handeln: Datentransfers dokumentieren, und Alternativen prüfen. Proliance 360 vereinfacht die lückenlose Dokumentation Ihrer Datentransfers.
SCCs bleiben grundsätzlich eine gute Alternative zum DPF. Doch während das DPF pauschal für zertifizierte US-Anbieter gilt, erfordern SCCs für jeden einzelnen Datentransfer eine eigene TIA. Wer zehn US-Tools einsetzt, muss künftig also zehn separate Prüfungen durchführen. Die Datenschutzexperten von Proliance beraten Sie gern dazu, wie Sie den Aufwand gering halten.
Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.





Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.










