Schrems III – Was das EuGH-Urteil 2026/2027 für deutsche KMU bedeutet
Schrems III – Was das EuGH-Urteil 2026/2027 für deutsche KMU bedeutet
Max Schrems hat es zweimal geschafft. Safe Harbor (2015) — gekippt. Privacy Shield (2020) — gekippt. Jetzt steht der dritte Anlauf: Schrems III, gerichtet gegen den EU-US Data Privacy Framework (DPF). Die meisten Datenschutzjuristen rechnen mit einem dritten Sieg der Kläger. Verschärft wird die Lage durch den CLOUD Act und parallel die neue NIS2-Pflicht sowie die Erfüllbarkeitsprobleme des BSI-IT-Grundschutzes mit Microsoft 365.
Was bedeutet das für Ihr Unternehmen?
Worum geht es?
Der EU-US Data Privacy Framework ist der dritte Versuch der EU-Kommission, einen rechtlichen Rahmen für Datenübertragungen in die USA zu schaffen, nachdem die ersten beiden gescheitert sind.
Schrems' zentraler Vorwurf: Das DPF ändert nichts an der Grundlage des Problems — US-Geheimdienste haben weiterhin Zugriff auf personenbezogene Daten von EU-Bürgern über FISA Section 702 und Executive Order 12333. Trump 2.0 hat diese Zugriffe sogar verstärkt.
Warum die Kläger gute Karten haben
- Strukturelle Argumentation: Das DPF basiert auf US-Versprechen, nicht auf Gesetzesänderungen
- Trump-Faktor: Die zweite Trump-Administration hat 2025 das Privacy and Civil Liberties Oversight Board (PCLOB) politisch besetzt und entkernt — eine Säule des DPF
- Präzedenzfall: Der EuGH hat in Schrems I und II mit deutlichen Worten geurteilt; eine Kehrtwende wäre schwer zu begründen
- CJEU-Generalanwalt-Indikationen: Die ersten Gutachten lassen einen kläger-freundlichen Tenor erkennen
Was passiert nach einem Urteil zugunsten der Kläger?
Die ungefähre Choreographie kennen wir aus Schrems II:
- Adequacy Decision wird ungültig — sofortige Wirkung
- Übergangsfrist wahrscheinlich 3–6 Monate
- Standardvertragsklauseln (SCCs) mit zusätzlichen Schutzmaßnahmen werden zur Notlösung — aber Aufsichtsbehörden prüfen härter
- Datenexporte in die USA werden faktisch sehr schwierig
Konkret: Microsoft 365, Google Workspace, AWS, Salesforce, Slack, Zoom werden rechtlich noch fragwürdiger als heute.
Konkrete Bußgeld-Risiken
Vorbild Schrems II-Folge:
| Fall | Bußgeld |
|---|---|
| Meta (Irland, 2023) | 1,2 Mrd. € |
| Amazon (Luxemburg, 2021) | 746 Mio. € |
| WhatsApp (Irland, 2021) | 225 Mio. € |
| H&M (Hamburg, 2020) | 35 Mio. € |
Auch KMU sind betroffen: Es gibt mehrere Bußgelder im unteren bis mittleren sechsstelligen Bereich wegen Nutzung von US-Cloud-Diensten ohne tragfähige Rechtsgrundlage.
Was Unternehmen jetzt tun sollten
Sofort (vor dem Urteil)
- Datenfluss-Audit: Welche personenbezogenen Daten gehen in welche US-Dienste?
- Transfer Impact Assessment (TIA) pro US-Dienst dokumentieren
- Backup-Plan für die wichtigsten Tools entwickeln (Was, wenn DPF morgen fällt?)
Mittelfristig (12 Monate)
- EU-Alternative pilotieren — eine Abteilung, ein Tool nach dem anderen
- Migrationsbudget einplanen — Notfall-Migration nach Urteil ist 3–5x teurer
- AVV-Klauseln neu verhandeln mit US-Anbietern (oft erfolglos, aber dokumentiert)
Strukturell
- EU-First-Policy etablieren: Neue Tools werden zuerst aus EU-Anbietern geprüft, nur bei Lücken zu US-Anbietern gegriffen
- Souveränität als Compliance-Anforderung in Lieferantenverträge schreiben
Welche Tools sind sofort einsatzbereit?
Was wir bei europioneer für Sie aufsetzen:
- E-Mail & Kalender: Mailcow / Stalwart + Nextcloud
- Office-Suite: ONLYOFFICE / Collabora
- Datei-Speicher: Nextcloud
- Team-Chat: Element/Matrix
- Videocalls: Element Call / Jitsi / BigBlueButton
- Passwortmanager: Vaultwarden
- Single Sign-On: Keycloak
- CRM: EspoCRM, SuiteCRM, Odoo
- Projektmanagement: OpenProject
Alle gehostet in Deutschland, vollständig DSGVO-konform, kein CLOUD Act.
Fazit
Schrems III ist keine Frage des Ob, sondern des Wann. Wer 2026 noch ohne Plan auf US-Cloud setzt, betreibt bewusstes Compliance-Risiko. Wer migriert, kauft sich Rechtssicherheit — und spart in den meisten Fällen sogar Geld.