Schrems III (EU-US-Datenschutzabkommen) 2026: Warum eure US-Tools gerade ein Datenschutz-Risiko werden

Zwei von zwei EU-US-Datenschutzabkommen sind vor dem EuGH gescheitert. Jetzt hat der US Supreme Court die Unabhängigkeit der wichtigsten US-Datenschutzaufsicht gekippt und noyb bereitet die nächste Klage vor. Die Frage ist nicht mehr ob Schrems III kommt, sondern wann.
Am 29. Juni 2026 hat der US Supreme Court im Fall Trump v. Slaughter entschieden, dass der US-Präsident Mitglieder der Federal Trade Commission jederzeit und ohne Begründung entlassen darf. Zwei Tage später forderte noyb, die Organisation von Max Schrems, die EU-Kommission auf, das EU-US Data Privacy Framework zurückzuziehen.
Das Data Privacy Framework ist aktuell noch gültig. Datentransfers in die USA sind nicht über Nacht illegal geworden. Aber das waren sie vor Schrems I auch nicht. Und vor Schrems II auch nicht. Beide Male lautete die Botschaft: „Alles in Ordnung, das Abkommen steht." Bis es fiel. Ihr solltet also jetzt handeln.
Dieser Artikel erklärt, was passiert ist, warum es eure Kundendaten betrifft und was ihr so schnell wie möglich tun solltet.
Was ist am 29. Juni 2026 passiert?
Der US Supreme Court hat mit 6:3 Stimmen entschieden, dass der Schutz, der FTC-Kommissar:innen seit 1935 vor einer grundlosen Entlassung durch den Präsidenten bewahrte, verfassungswidrig ist.
In einfachen Worten:
- Die FTC wird von mehreren Kommissar:innen geleitet
- Diese waren gesetzlich davor geschützt, ohne triftigen Grund gefeuert zu werden
- Der Supreme Court hat diesen Schutz gestrichen – nach 91 Jahren
- Der US-Präsident kann FTC-Mitglieder ab sofort jederzeit und ohne Begründung austauschen
Chief Justice Roberts schrieb: „The FTC unquestionably exercises executive power, and must therefore be controlled by the Chief Executive."
Richterin Sotomayor warnte im Dissent: „Today, the Court discards [this] democratic regime in favor of one that distorts the structure of Government."
Für europäische Unternehmen heißt das: Die Behörde, die kontrollieren soll, ob US-Unternehmen die Datenschutzregeln des EU-US Data Privacy Framework einhalten, ist ab sofort politisch steuerbar.
Warum das EU-US Data Privacy Framework jetzt wackelt
Die FTC: Fundament des DPF
Das EU-US Data Privacy Framework (DPF) ist der dritte Versuch, EU-US-Datentransfers auf eine rechtliche Grundlage zu stellen.Über 3.400 US-Unternehmen sind zertifiziert – darunter die großen Cloud- und SaaS-Anbieter, auf die fast jedes europäische Unternehmen angewiesen ist.
Die FTC ist die Behörde, die dieses System überwacht und durchsetzt. Noyb hat gezählt: Die EU-Kommission verweist in ihrem Angemessenheitsbeschluss 259-mal auf die FTC und deren Unabhängigkeit. Diese Unabhängigkeit ist seit dem 29. Juni 2026 juristisch nicht mehr garantiert.
Noybs Reaktion war unmissverständlich: „The Supreme Court's decision cements the case for tearing up the DPF."
Das PCLOB: Die zweite Bruchstelle
Die FTC ist nicht das einzige Problem. Der EuGH hat in Schrems II deutlich gemacht, dass das Kernproblem die Massenüberwachung durch US-Geheimdienste ist. Dagegen sollte das Privacy and Civil Liberties Oversight Board (PCLOB) schützen, ein Gremium, das die Aufsicht über nachrichtendienstliche Datenzugriffe führt.
Trump hat auch dessen demokratische Mitglieder entlassen. Ein Berufungsgericht hatte die Entlassung zurückgestellt, um das Trump v. Slaughter-Urteil abzuwarten. Es ist jetzt wahrscheinlich, dass die neuen Grundsätze auch auf das PCLOB übertragen werden.
Damit wackeln beide Aufsichtssäulen des DPF gleichzeitig.
Gegenposition: Ist die FTC wirklich der Knackpunkt?
Die Einschätzung ist juristisch umstritten. Prof. Alexander Golland argumentiert auf beck-aktuell (06.07.2026), dass die FTC-Unabhängigkeit als solche kein Dammbruch ist. Der EuGH hatte das Privacy Shield nicht wegen mangelnder FTC-Durchsetzung gekippt, sondern wegen der Befugnisse der US-Nachrichtendienste. Die eigentliche Gefahr liege beim PCLOB und genau dort steht die nächste juristische Auseinandersetzung bevor.

Das Schrems-Muster: Dreimal dasselbe Drehbuch
| Abkommen | Was passierte | Jahr | |
|---|---|---|---|
| Schrems I | Safe Harbor | EuGH erklärt es für ungültig | 2015 |
| Schrems II | Privacy Shield | EuGH erklärt es für ungültig | 2020 |
| Schrems III | Data Privacy Framework | Noyb bereitet Klage vor | 2026 |
Das Drehbuch ist immer dasselbe:
- 1. EU-Kommission schließt Datentransfer-Abkommen mit den USA
- 2. Schrems / noyb klagt
- 3. EuGH kippt das Abkommen, weil US-Überwachung europäische Grundrechte verletzt
- 4. Neue Verhandlungen. Neues Abkommen. Zurück zu Schritt 2.
Zweimal ist dieses Muster durchlaufen worden. Zweimal fiel das Abkommen.
Und diesmal hat sich die Ausgangslage verschlechtert, nicht verbessert.
Was sich seit der DPF-Verabschiedung verschlechtert hat
| Zeitpunkt | Situation |
|---|---|
| Juli 2023 (DPF-Verabschiedung) | FTC unabhängig, PCLOB vollständig besetzt, Executive Order 14086 in Kraft |
| März 2025 | Trump feuert demokratische FTC- und PCLOB-Mitglieder |
| September 2025 | EU-Gericht weist Latombe-Klage ab – aber nur auf Basis Stand 2023 |
| Juni 2026 | Supreme Court kippt FTC-Unabhängigkeit |
| Juli 2026 | Noyb fordert DPF-Rückzug und kündigt Klage an |
Die EU-Kommission hat 2023 ein Abkommen verabschiedet, das auf der Unabhängigkeit von US-Aufsichtsbehörden basiert. Drei Jahre später ist diese Unabhängigkeit durch ein Verfassungsgerichtsurteil aufgehoben. Die Geschäftsgrundlage hat sich fundamental verändert.

Ist das bereits Schrems III?
Noch nicht im Sinne eines EuGH-Urteils. Aber die Maschinerie ist angelaufen:
- Noyb hat die EU-Kommission am 30. Juni 2026 schriftlich aufgefordert, das DPF zurückzuziehen, und eine Klage angekündigt
- Die Latombe-Berufung (C-703/25 P) ist beim EuGH anhängig – der EuGH muss sich mit dem DPF befassen
- Die EU-Kommission hat bisher nicht öffentlich reagiert
Stand 14. Juli 2026 ist die noyb-Klage nach öffentlich verfügbaren Informationen noch nicht formell eingereicht. Aber noyb hat bei Schrems I und II bewiesen: Wenn sie eine Klage ankündigen, kommt sie.
Was hat der Fall Latombe damit zu tun?
Der französische Abgeordnete Philippe Latombe klagte gegen den EU-US-Angemessenheitsbeschluss. Das EU-Gericht (General Court) wies die Klage im September 2025 ab und bestätigte die Gültigkeit des DPF, allerdings ausdrücklich nur auf Basis der Sach- und Rechtslage zum Zeitpunkt der Verabschiedung 2023.
Das Gericht hielt fest: „Wenn sich der Rechtsrahmen in den USA ändert, kann die Kommission beschließen, die Entscheidung auszusetzen, zu ändern oder aufzuheben."
Latombe legte am 31. Oktober 2025 Berufung ein. Das Verfahren läuft beim EuGH unter dem Aktenzeichen C-703/25 P.
Für die Schrems-III-Debatte ist das aus zwei Gründen relevant:
- 1. Der EuGH muss sich mit dem DPF befassen – unabhängig davon, ob noyb eine eigene Klage einreicht.
- 2. Falls der EuGH die Klagebefugnis von Einzelpersonen bejaht, öffnet das die Tür für weitere Individualklagen – auch von noyb.
Ist das Data Privacy Framework noch gültig?
Ja. Noch. Der Angemessenheitsbeschluss bleibt in Kraft, bis die EU-Kommission ihn ändert, aussetzt oder zurücknimmt, oder ein EU-Gericht ihn aufhebt.
Aber „noch gültig" heißt nicht „sicher". Safe Harbor war auch bis zum Tag der Urteilsverkündung gültig. Privacy Shield ebenso. Unternehmen, die sich darauf verlassen hatten, standen danach vor einem Problem, das sie in 48 Stunden nicht lösen konnten.
Wer seine US-Datentransfers nicht durchleuchtet hat, bevor ein Urteil fällt, hat nach dem Urteil keine Zeit mehr dafür.
Sind Google, Microsoft, AWS und andere US-Dienste jetzt illegal?
Nein. So pauschal lässt sich das nicht sagen. Ob ein konkreter US-Dienst datenschutzkonform genutzt werden kann, hängt von mehreren Faktoren ab:
- Werden überhaupt personenbezogene Daten in die USA übertragen? Manche Dienste lassen sich so konfigurieren, dass Daten in der EU bleiben – allerdings garantiert ein EU-Rechenzentrum allein nicht, dass kein Drittlandtransfer stattfindet, etwa wenn US-Mitarbeitende des Anbieters Zugriff haben.
- Ist der konkrete Anbieter bzw. die konkrete US-Gesellschaft DPF-zertifiziert? Nicht jedes Produkt eines US-Konzerns fällt automatisch unter das DPF.
- Welche Transfergrundlage steht im Auftragsverarbeitungsvertrag? DPF-Zertifizierung, Standardvertragsklauseln (SCCs) oder beides?
- Welche Datenarten werden verarbeitet? Anonymisierte Analysedaten sind anders zu bewerten als Gesundheits- oder Beschäftigtendaten.
- Welche technischen Schutzmaßnahmen bestehen? Verschlüsselung schützt nur dann wirksam, wenn der US-Anbieter keinen Zugriff auf die Schlüssel hat.
Jeder Dienst muss einzeln betrachtet werden.
Sind Standardvertragsklauseln die Lösung?
Viele Unternehmen denken: „Wenn das DPF fällt, nutzen wir halt SCCs." So einfach ist es leider nicht.
Der EuGH hat in Schrems II klargestellt: Standardvertragsklauseln allein reichen nicht, wenn das Empfängerland kein ausreichendes Schutzniveau bietet. Unternehmen müssen:
- Ein Transfer Impact Assessment (TIA) durchführen – für jeden Anbieter einzeln
- Zusätzliche Schutzmaßnahmen implementieren – Verschlüsselung, Pseudonymisierung, Zugriffsbeschränkungen
- Prüfen, ob diese Maßnahmen tatsächlich wirksam sind – Verschlüsselung schützt nur, wenn der US-Anbieter keinen Zugriff auf die Schlüssel hat
Für viele gängige Cloud-Dienste ist Punkt 3 das Problem: Der Anbieter muss im Klartext auf die Daten zugreifen können, damit der Dienst funktioniert. In diesen Fällen helfen SCCs allein nicht weiter.
SCCs sind eine Notbremse, kein Rettungsfallschirm.
Was ihr JETZT tun müsst:
1. Dateninventur (diese Woche)
Macht eine Liste. Jetzt. Sie muss nicht perfekt sein, aber zumindest vollständig:
| Frage | Antwort eintragen |
|---|---|
| Welche US-Anbieter setzt ihr ein? | |
| Welche personenbezogenen Daten erhalten sie? | |
| Wo werden die Daten gespeichert? | |
| Wer kann aus den USA auf die Daten zugreifen? | |
| Welche Transfergrundlage steht im Vertrag? |
2. Transfergrundlage prüfen (diesen Monat)
Für jeden Anbieter auf eurer Liste:
- Ist die konkrete US-Gesellschaft DPF-zertifiziert?
- Sind zusätzlich SCCs vereinbart?
- Liegt ein Transfer Impact Assessment vor?
- Ist das TIA nach dem 29. Juni 2026 noch aktuell?
3. Kritische Daten priorisieren
Beginnt mit dem, was am meisten schmerzt:
- Gesundheitsdaten (Versicherungskarten, Patientendaten)
- Beschäftigtendaten (HR-Systeme bei US-Anbietern)
- Kundendatenbanken (CRM, Newsletter, Loyalty)
- Finanzdaten (Payment, Buchhaltung)
4. Plan B vorbereiten, bevor ihr ihn braucht
- EU-/EWR-Alternativen für kritische Systeme recherchieren
- Datenexport und Migration testen (nicht nur planen)
- Vertragslaufzeiten und Kündigungsfristen dokumentieren
- Besonders sensible Prozesse jetzt schon regional aufsetzen
5. Monitoring einrichten
| Quelle | Was beobachten? |
|---|---|
| noyb.eu | Wird die Klage eingereicht? |
| EuGH / EUR-Lex | Fortgang C-703/25 P (Latombe) |
| EU-Kommission | Reaktion auf noyb-Brief, DPF-Review |
| EDPB / BfDI | Stellungnahmen, Leitlinien |
| US-Gerichte | Übertragung der Logik auf PCLOB |

Warum die Serverfrage alles entscheidet
In der Debatte um Schrems III geht es immer um Abkommen, Klauseln, Rechtsgrundlagen. Für Unternehmen gibt es aber eine viel einfachere Frage:
Liegen eure Kundendaten in Europa, bei einem europäischen Anbieter?
Wenn ja, betrifft euch Schrems III nicht. Kein DPF nötig, keine SCCs nötig, kein TIA nötig. Die DSGVO gilt, die Daten bleiben in der EU, der Anbieter unterliegt nicht dem US Cloud Act.
Wenn nein, seid ihr abhängig von einem Rechtsrahmen, der zweimal gefallen ist und gerade zum dritten Mal unter Beschuss steht.
Die Entscheidung für EU-Anbieter und gegen US-Anbieter ist also eine Business-Entscheidung, die ihr jetzt treffen könnt oder die der EuGH für euch irgendwann trifft.
Passcreator: Wallet-Pässe datensicher, made in Germany, europäisch mit EU-Server-Hosting
Passcreator ist eine Wallet-as-a-Service-Plattform, mit der Unternehmen digitale Karten und Pässe für Apple Wallet und Google Wallet erstellen – Kundenkarten, Mitgliedsausweise, Versicherungsnachweise, Gutscheine, Zugangsberechtigungen, Loyalty-Programme.
Der Unterschied zu US-Anbietern: Passcreator verarbeitet alle Daten ausschließlich in Deutschland, gehostet bei Hetzner, entwickelt in Deutschland, betrieben von einem deutschen Unternehmen.
| Prüfpunkt | Passcreator | Typischer US-Anbieter |
|---|---|---|
| Serverstandort | 🇩🇪 Deutschland | 🇺🇸 USA / „global" |
| Cloud Act | ❌ Nicht anwendbar | ⚠️ Anwendbar |
| DPF-Abhängigkeit | ❌ Keine | ⚠️ Vollständig |
| Schrems-III-Risiko | ✅ Keines | 🔴 Hoch |
| DSGVO-Rechtsgrundlage | ✅ EU-Verarbeitung | ⚠️ Drittlandtransfer |
Warum das gerade jetzt relevant ist
Wallet Passes enthalten personenbezogene Daten. Je nach Einsatzzweck sind das:
- Digitale Kundenkarten: Namen, Kundennummern, Kontaktdaten, Treuepunkte
- Digitale Versicherungskarten: Versicherungsnummern, Vertragsdaten, teilweise Gesundheitsinformationen
- Mitgliedsausweise: Personennummern, Zugangslevel, Organisationszugehörigkeit
- Zugangsberechtigungen: Wer darf wann wohin – inkl. Bewegungsdaten
- Event-Tickets & Coupons: Kaufverhalten, Nutzungsmuster, Standortdaten
Bei einem US-Wallet-Anbieter liegen diese Daten auf US-Infrastruktur oder können zumindest von US-Behörden angefordert werden. Bei Passcreator nicht. Kein Drittlandtransfer, kein Cloud Act, kein Schrems-Risiko.
Egal ob Mitgliedsausweise, Kundenkarten, Versicherungsnachweise, Zugangsberechtigungen oder Loyalty-Programme: Eure Wallet-Daten verlassen die EU nicht. Nicht heute, nicht nach einem EuGH-Urteil, nicht wenn das dritte Datenschutzabkommen fällt.

Prüft jetzt, auf welcher Grundlage eure wichtigsten US-Tools Daten verarbeiten. Oder wechselt direkt zu einer Lösung, bei der sich diese Frage gar nicht stellt.
Passcreator für datensichere Wallet-Pässe kostenlos testen mit 100% EU-Hosting.
Europäische Anbieter statt US-Abhängigkeit: Was jetzt möglich ist
Die Schrems-III-Debatte ist kein isoliertes Datenschutzproblem, sie ist Teil einer viel größeren Frage: Wie abhängig wollen wir von US-Technologie sein?
Laut einer repräsentativen Bitkom-Umfrage vom April 2026 halten 93 Prozent der Deutschen ihr Land bei digitalen Technologien für abhängig von anderen Ländern. 99 Prozent finden es wichtig, unabhängiger zu werden. Und ein Drittel hat sich bereits bewusst für einen europäischen Anbieter entschieden.
Gleichzeitig zeigt die Studie das Dilemma: 55 Prozent erscheint ein Wechsel zu europäischen Anbietern zu aufwändig.
Das ist verständlich, wenn es um komplette CRM-Systeme oder Office-Suiten geht. Aber es gibt Bereiche, in denen der Wechsel zu einer europäischen Lösung kein Mammutprojekt ist, sondern in ein paar Stunden oder Tagen erledigt ist.
Der Wechsel zu einem EU-gehosteten Wallet-Pass-Anbieter ist so ein schneller Wechsel.
Der Wechsel, der nicht weh tut
- Kein Migrationsprojekt: Ihr erstellt eure Wallet Passes einfach bei Passcreator statt beim bisherigen Anbieter
- Gleiche Endgeräte: Die Passes landen in Apple Wallet und Google Wallet, eure Kund:innen merken keinen Unterschied
- API-Anbindung: Passcreator bietet eine REST-API, die sich in bestehende Systeme integrieren lässt
- Sofort startbar: Kein langwieriger Onboarding-Prozess, kein Approval-Verfahren über Monate
Mit Passcreator ist der Wechsel zu „made in Europe" tatsächlich einfach.
Versprochen! Sprich einfach mit uns.
Zwischen Panik und Abwarten
Es besteht aktuell kein Grund für einen ungeplanten Sofortausstieg aus allen US-Diensten. Das DPF ist gültig, die Klage ist nicht eingereicht, ein EuGH-Urteil liegt Jahre entfernt.
Es wäre aber genauso fahrlässig, das Thema zu ignorieren. Noybs Track Record zeigt, dass diese Klagen reale Konsequenzen haben. Safe Harbor fiel. Privacy Shield fiel. Beide Male war vorher jahrelang „alles gültig", bis es das nicht mehr war.
Die sinnvollste Reaktion lautet: Rechtliche Grundlage prüfen, kritische Datenflüsse priorisieren und realistische Alternativen vorbereiten.
Fazit: Drei Fragen, drei ehrliche Antworten
Ist Schrems III bereits entschieden? Nein. Es gibt kein EuGH-Urteil und noch keine formell eingereichte Klage von noyb. Aber die Klage ist angekündigt und das Latombe-Verfahren läuft bereits beim EuGH.
Ist das Data Privacy Framework aktuell ungültig? Nein. Der Angemessenheitsbeschluss ist in Kraft. Aber seine Grundlage – die Unabhängigkeit der US-Datenschutzaufsicht – ist seit dem 29. Juni 2026 rechtlich nicht mehr gesichert.
Hat sich das Risiko erhöht? Ja, erheblich. Zwei von zwei Vorgänger-Abkommen sind vor dem EuGH gescheitert. Die Ausgangslage für das dritte ist schlechter als für die beiden davor.
Unternehmen, die ihre Kundendaten in US-Cloud-Diensten verarbeiten, brauchen jetzt einen Plan B. Das DPF fällt nicht morgen und nicht nächste Woche, aber es kommt und dann seid ihr als Unternehmen zu spät dran.
FAQ
Was ist Schrems III?
Schrems III ist die erwartete dritte grundlegende Auseinandersetzung vor dem Europäischen Gerichtshof über die Rechtmäßigkeit von EU-US-Datentransfers. Der Begriff folgt auf Schrems I (2015, Safe Harbor gekippt) und Schrems II (2020, Privacy Shield gekippt). Aktuell ist Schrems III kein abgeschlossenes Verfahren, sondern ein Szenario, auf das sich Unternehmen vorbereiten sollten.
Gibt es schon ein Schrems-III-Urteil?
Nein (Stand: Juli 2026). Das US-Verfahren Trump v. Slaughter ist ein US-Verfassungsrechtsurteil, kein EU-Datenschutzurteil. Noyb hat eine Klage beim EuGH angekündigt, aber noch nicht formell eingereicht. Parallel läuft das Latombe-Berufungsverfahren (C-703/25 P) beim EuGH.
Ist das EU-US Data Privacy Framework noch gültig?
Ja. Der Angemessenheitsbeschluss (EU 2023/1795) bleibt in Kraft, bis die EU-Kommission ihn ändert, aussetzt oder zurücknimmt – oder ein zuständiges EU-Gericht ihn aufhebt. Das ist bisher nicht geschehen.
Sind Datentransfers in die USA jetzt verboten?
Nein. Die Rechtmäßigkeit hängt von der konkreten Transfergrundlage ab: DPF-Zertifizierung, Standardvertragsklauseln (SCCs), Binding Corporate Rules (BCRs) oder Einwilligungen. Jeder Transfer muss einzeln bewertet werden.
Was bedeutet das für Google Analytics, Microsoft 365, AWS oder HubSpot?
Jeder Dienst muss einzeln betrachtet werden: Welche Daten fließen wohin? Welche US-Gesellschaft ist Vertragspartner? Welche Transfergrundlage gilt? Welche technischen Schutzmaßnahmen bestehen? Entscheidend ist, ob personenbezogene Daten in die USA übertragen werden oder ob US-Mitarbeitende Zugriff haben.
Reichen Standardvertragsklauseln als Alternative?
Nicht automatisch. SCCs erfordern ein Transfer Impact Assessment (TIA) und gegebenenfalls zusätzliche technische und organisatorische Maßnahmen. Wenn der US-Anbieter im Klartext auf die Daten zugreifen muss, damit der Dienst funktioniert, ist der Schutz durch Verschlüsselung nicht wirksam – und SCCs allein reichen nicht.
Schützt ein EU-Rechenzentrum vor Schrems III?
Nur wenn der Anbieter selbst kein US-Unternehmen ist und nicht dem US Cloud Act unterliegt. Der Cloud Act verpflichtet US-Unternehmen zur Datenherausgabe – unabhängig vom Serverstandort.
Stand: 15. Juli 2026. Dieser Artikel wird bei neuen Entwicklungen aktualisiert.
Dieser Artikel gibt die Einschätzung von Passcreator wieder und ersetzt keine individuelle Rechtsberatung. Für eure konkrete Datentransfer-Situation wendet euch an eure:n Datenschutzbeauftragte:n oder eine spezialisierte Kanzlei.
Quellen: US Supreme Court, Trump v. Slaughter (Case No. 25-332); EUR-Lex, Durchführungsbeschluss EU 2023/1795; EuGH, C-703/25 P; noyb.eu; beck-aktuell (Prof. Dr. Alexander Golland, 06.07.2026); IAPP; SCOTUSblog; CNBC.