Regelverk
Schrems III-beredskap: vad händer med dina verktyg om DPF faller?
Två gånger har EU-domstolen ogiltigförklarat USA-avtalen för dataöverföring (Schrems I och II). Nu prövas det tredje, Data Privacy Framework, redan i EU-domstolen, samtidigt som tre samtidiga chocker i USA skakar dess grund. Här är beredskapsläget för verktygen i vår katalog, i tre färger.
Historien har upprepat sig två gånger: Safe Harbor föll 2015 (Schrems I, C-362/14), Privacy Shield föll 2020 (Schrems II, C-311/18). Båda gångerna stod tusentals företag plötsligt utan laglig grund för sina USA-överföringar. Efterträdaren Data Privacy Framework (DPF) gäller fortfarande (kommissionens adekvansbeslut från juli 2023 är varken upphävt eller tillbakadraget), men trycket är nu större än någonsin.
Rättsläget i korthet (per 15 juli 2026)
- DPF prövas redan i EU-domstolen. Tribunalen ogillade den första ogiltighetstalan i september 2025 (Latombe-målet, T-553/23), men domen är överklagad och ligger nu hos EU-domstolen (C-703/25 P). Inget förhandlingsdatum är satt.
- Tre chocker i USA på kort tid: Högsta domstolen slog den 29 juni 2026 fast i Trump v. Slaughter att FTC-kommissionärers avsättningsskydd är grundlagsstridigt, ett oberoende som adekvansbeslutet hänvisar till ett par hundra gånger. Tillsynsorganet PCLOB står utan ledamöter sedan januari 2026, efter avskedanden i januari 2025. Och övervakningslagen FISA 702 löpte ut den 12 juni 2026 utan omauktorisering (befintliga certifieringar gäller dock in i 2027).
- noyb agerar. Den 30 juni 2026 krävde Max Schrems organisation i ett formellt brev till kommissionen att adekvansbeslutet dras tillbaka “under ordnade former”, och aviserade en egen ogiltighetstalan, målet som redan kallas Schrems III. Beräknad processtid: 2–3 år.
- Motbilden finns. Ledande akademiker (Christakis, Propp, Swire) argumenterar att Slaughter-domen inte träffar DPF:s klagomekanism DPRC, bara FTC:s kommersiella tillsyn. Kommissionen har “noterat” domen men inte agerat.
- Och viktigast för svenska företag: IMY råder till beredskap. I ett uttalande den 3 juli 2026 konstaterar IMY att adekvansbeslutet fortfarande gäller, men att organisationer bör “vara förberedda på hur de ska gå vidare om adekvansbeslutet skulle upphävas”.
Det är exakt den beredskapen den här sidan ger dig. Vi förutspår inte utfallet, men beredskap är billig och panik i efterhand är dyr.
Trafikljuset: 55 % grönt, 24 % gult, 21 % rött
🟢 Grönt: 101 verktyg (55 %). Svensk eller EU/EES-leverantör med EU-datalagring, samt verktyg som körs helt lokalt på din egen dator. Om DPF faller påverkas de i princip inte, eftersom datan aldrig lämnar EU:s jurisdiktion. Hit hör de flesta svenska verktygen (hela listan) och europeiska val som Mistral och Nextcloud.
🟡 Gult: 44 verktyg (24 %). Antingen leverantörer utanför EU som lagrar i EU (bolagets jurisdiktion kvarstår), eller EU-leverantörer utan bekräftad EU-lagring. Här är frågan: vilar någon del av behandlingen på DPF? Kontrollera leverantörens lista över underleverantörer.
🔴 Rött: 38 verktyg (21 %). Leverantör utanför EU och ingen EU-datalagring: behandlingen sker i praktiken i USA (eller annat tredjeland) och vilar typiskt på DPF eller standardavtalsklausuler (SCC). Faller DPF måste dessa omprövas. Observera noybs brasklapp: även SCC-spåret påverkas, eftersom konsekvensbedömningarna (TIA) åberopar samma amerikanska tillsynsstrukturer. SCC är en fallback som kräver ny bedömning, inte en fristad.
Filtrera själv: CLOUD Act-statusen visar varje verktygs härkomst, och i utforska-vyn kan du filtrera på EU-datalagring.
Vad du bör göra nu (inte sen)
- Inventera dina röda verktyg. Vilka tjänster du använder lagrar data i USA? Det är dem ett DPF-fall träffar först.
- Kontrollera DPF-certifieringen hos dina amerikanska leverantörer. EDPB:s uppdaterade vägledning (januari 2026) säger att exportörer ska verifiera att mottagarens certifiering är aktiv och täcker rätt datatyper (särskilt HR-data). Sök i registret på dataprivacyframework.gov.
- Identifiera vad som är känsligt. Marknadsföringstext i ett USA-verktyg är en icke-fråga. Kunddata och personuppgifter är den verkliga exponeringen.
- Ha en europeisk reservplan per kategori. Du behöver inte byta i dag, men vet vart du skulle byta. Våra “Europeiska alternativ”-sidor och jämförelser finns för exakt det.
- Följ processen. Vi bevakar Latombe-överklagandet, noybs talan och kommissionens besked under Nyheter och uppdaterar den här sidan vid varje större steg.
Lärdomen från Schrems II
När Privacy Shield föll i juli 2020 kom domen utan övergångsperiod: den gällde omedelbart, och drygt 5 000 certifierade företag berördes (dagens DPF-register omfattar cirka 2 800 organisationer). Dröjsmålen blev dyra: Meta fick 2023 rekordboten 1,2 miljarder euro för fortsatta USA-överföringar, och både österrikiska och franska tillsynsmyndigheter underkände vanlig Google Analytics-användning. Företag som redan visste var deras data fanns hanterade omställningen på dagar. Resten fick ägna månader åt kartläggning under tidspress. Den här gången kan du tillhöra den första gruppen.
Detta är en lägesbild, inte juridisk rådgivning. Uppdaterad 15 juli 2026. Nästa uppdatering när noybs talan lämnas in eller kommissionen agerar.
Källor
- IMY – Amerikansk dom kan påverka överföringar till USA (3 juli 2026)
- noyb – US Supreme Court just blew up EU-US Data Transfers (30 juni 2026)
- Tribunalen – Latombe mot kommissionen, T-553/23 (dom 3 sept 2025)
- EDPB – FAQ om Data Privacy Framework, v2.0 (jan 2026)
- IAPP – motanalys: Slaughter-domen fäller inte DPF:s klagomekanism (8 juli 2026)
Verktyg som nämns
Mistral (Le Chat)
Mistral AI
Frankrikes svar på ChatGPT och en av få europeiska AI-modeller i toppklass, med EU-datalagring.
- Europeisk modell i toppklass
- EU-datalagring
- Något svagare än de största amerikanska
Bäst för: Dig som vill ha en kraftfull AI-chatt inom EU.
Nextcloud
Nextcloud
Tysk plattform för filer, samarbete, chatt och kalender, Europas stora alternativ till Google Workspace och Microsoft 365.
- Heltäckande: filer, chatt, kalender, dokument
- Tyskt, kan köras på egna EU-servrar
- Kräver drift för egen server
Bäst för: Företag som vill ha kontroll över filer och samarbete inom EU.
Proton Mail
Proton
Krypterad e-post från Schweiz, byggd för integritet. Populärt europeiskt alternativ till Gmail och Outlook.
- Stark kryptering och integritet
- Data behandlas som standard i Schweiz, som har EU-adekvansbeslut
- Schweiz står utanför EU (men har adekvansbeslut)
Bäst för: Företag som vill ha säker e-post utanför de amerikanska jättarna.
Detta är allmän information, inte juridisk rådgivning. Se Så bedömer vi.