Med mere end 15 års erfaring som advokat, sin rolle som medstifter af et rådgivende udvalg for databeskyttelse og sin aktive deltagelse i sager ved EU-Domstolen – sammen med Max Schrems og Thomas Lohninger – er Katharina Raabe-Stuppnig en af de mest indflydelsesrige stemmer inden for europæisk databeskyttelseslovgivning. I sit advokatfirma i Wickenburggasse i Wien taler hun om sin professionelle vej, udfordringerne ved GDPR og den voksende kompleksitet, som EU’s nye digitale love medfører.
Fra medieret til databeskyttelse: Ekspert i Østrig
Katharina Raabe-Stuppnig begyndte sin karriere inden for medieret. Hun rådgav forlag og telekommunikationsvirksomheder om konkurrencelovgivning, reklame og medieansvar. Broen til databeskyttelse var næsten automatisk: “Mange klienter henvendte sig til mig og sagde: Du kender vores processer og vores interesseafvejning – kan du også hjælpe os med databeskyttelse?”
Da GDPR trådte i kraft, flyttede databeskyttelse mere ind i centrum af virksomhedernes virkelighed. Bøder i millionklassen øgede presset. Virksomhederne har brug for klare koncepter – og er afhængige af eksisterende partnerskaber. Som følge heraf udviklede databeskyttelsesloven sig fra et marginalt emne til det centrale fokus i hendes arbejde.
“Mit ønske ville være at styrke den europæiske økonomi – gennem europæiske alternativer. Den digitale strategi og dataloven er et skridt i den rigtige retning. Det eneste spørgsmål er: Kommer det i tide?”
Mag. Kathrina Raabe-Stuppnig
Databeskyttelse som en katalysator
Siden indførelsen af GDPR i 2018 er behovet for juridisk støtte steget enormt – og er fortsat højt. Det skyldes ikke mindst, at forordningen ikke skelner mellem store og små virksomheder. Alle skal leve op til de samme standarder.
“Et velfungerende databeskyttelsessystem er i dag en reel katalysator”, forklarer Raabe-Stuppnig. “Det giver virksomheder et overblik over systemer, processer og risici – og danner grundlag for optimering og effektivitetsforøgelse.”
Samtidig bliver miljøet stadig mere komplekst: Ny lovgivning som NIS-2, Cyber Resilience Act, AI Act eller Data Act stiller yderligere krav til virksomheder – på tværs af alle brancher. De, der allerede har skabt et stabilt fundament for databeskyttelse, har en klar fordel.
Strategier for digital transformation
De spørgsmål, som virksomheder henvender sig til advokatfirmaet med i dag, er mangfoldige:
- Hvordan påvirker NIS-2 mig, hvis jeg er leverandør af kritisk infrastruktur?
- Hvilke politikker skal jeg bruge til AI-loven?
- Hvordan håndterer jeg nye adgangsrettigheder til data i henhold til dataloven – uden at bringe det databeskyttelsesniveau, jeg har opbygget indtil nu, i fare?
Ud over juridiske vurderinger spiller strategiske spørgsmål en stadig vigtigere rolle: Hvor skal ansvaret placeres i virksomheden? Hvordan afbalancerer man compliance, cybersikkerhed og innovation? Raabe-Stuppnig og hendes team hjælper ikke kun virksomheder med at implementere, men også med at positionere sig inden for de nye juridiske rammer.
EU vs. USA: Forskellige grundholdninger
Et særligt følsomt emne er brugen af software fra tredjelande – for eksempel af amerikanske hyperscalere. Selvom der også er databeskyttelseslove i USA, sagde Raabe-Stuppnig, gælder beskyttelsen primært for amerikanske borgere. For EU-borgere er disse regler meget svagere.
“Problemet ligger i vægtningen: NSA’s sikkerhedsinteresser går ofte forud for databeskyttelse af ikke-amerikanere. EU-Domstolen har allerede fundet denne uforholdsmæssighed to gange – og dermed væltet centrale principper som Safe Harbor og Privacy Shield.”
Ændring i bevidsthed i Europa siden 2018
Siden GDPR trådte i kraft, har bevidstheden i Europa ændret sig markant. Virksomheder er i dag meget mere følsomme, når det gælder håndtering af persondata. Medieopmærksomheden omkring databeskyttelsesafgørelser og højprofilerede sager har spillet en central rolle i dette.
“Vi har skabt en guldstandard for databeskyttelse i Europa”, opsummerer Raabe-Stuppnig. “Og det er glædeligt at se, hvor mange virksomheder der aktivt stræber efter ikke bare at opfylde denne standard, men at bruge den som en konkurrencefordel.”
Hvad gør dataoverførsel til USA så følsom – og hvordan er den juridiske situation i EU i dag?
Debatten om databeskyttelse mellem EU og USA er kompleks – og frem for alt meget dynamisk set fra et juridisk synspunkt. I modsætning til lande som Schweiz, hvor EU-Kommissionen har udstedt en såkaldt tilstrækkelighedsbeslutning, var og er situationen med USA meget mere kompliceret. I en sådan afgørelse står der, at personoplysninger kan overføres til et tredjeland, fordi der er et databeskyttelsesniveau, der kan sammenlignes med EU’s. I lande som Kina eller Rusland – og i lang tid også i USA – manglede en sådan beslutning.
Databehandling i USA – en juridisk balancegang
Så snart virksomheder arbejder med udbydere af databehandlingstjenester i USA, skal de f.eks. træffe yderligere beskyttelsesforanstaltninger for at opretholde det databeskyttelsesniveau, som GDPR kræver. Det betyder en større indsats, en større forpligtelse til at kontrollere – og en større risiko.
Et praktisk eksempel: Selv om man vælger en serverplacering inden for EU for amerikanske cloud-udbydere, er problemet der stadig – for eksempel hvis det europæiske datterselskab er underordnet et amerikansk moderselskab. I en nødsituation kan amerikanske myndigheder som NSA kræve adgang til dataene – også via en intern kommandovej. En serverplacering i EU reducerer risikoen, men fjerner den ikke helt.
Fra Safe Harbor til Data Privacy Framework: En gennemgang
Historien om databeskyttelsesaftalerne mellem EU og USA lyder som en række juridiske tilbageslag:
- Safe Harbor var den første aftale, der frivilligt pålagde amerikanske virksomheder visse databeskyttelsesstandarder. Den blev omstødt i 2015 af Schrems I-dommen.
- Privacy Shield var efterfølgeren – en revideret version af Safe Harbor. Men denne aftale blev også erklæret ugyldig af EU-Domstolen i 2020 i Schrems II-dommen.
- Som svar trådte Data Privacy Framework i kraft, og på baggrund af det har EU-Kommissionen endnu engang vedtaget en beslutning om tilstrækkelighed for USA.
Men den nye beslutning hviler igen på et usikkert grundlag
Det skyldes, at Data Privacy Framework er baseret på en bekendtgørelse fra den amerikanske præsident – dvs. en bekendtgørelse, der teoretisk set kan tilbagekaldes når som helst. Kritikere tvivler derfor på den langsigtede stabilitet af denne ramme. Der er allerede anlagt sag mod beslutningen om tilstrækkelighed ved EU-Domstolen – udfaldet er åbent.
Desuden er den ansvarlige amerikanske tilsynsmyndighed PCLOB i øjeblikket ude af stand til at handle, fordi tre af dens fem chefer er blevet afskediget af eks-præsident Trump. Resultatet er stor usikkerhed om, hvor stabil databeskyttelsesmekanismen i USA egentlig er.
Hvor vigtig er Data Privacy Framework for virksomheder i EU?
Hvis du planlægger på lang sigt og ønsker at fokusere på datasikkerhed, bør du ikke stole blindt på Data Privacy Framework. Den juridiske situation kan hurtigt ændre sig – ligesom tidligere. Data Transfer Impact Assessments (TIA) kræver en stor indsats, og overtrædelser kan resultere i alvorlige bøder: op til 4 % af den globale årlige omsætning.
Amerikanske cloud-tjenester er (stadig) brugbare – men ikke uden risiko
I øjeblikket kan cloud-tjenester fra amerikanske udbydere bruges i overensstemmelse med databeskyttelsesreglerne, forudsat at passende beskyttelsesforanstaltninger som f.eks. standardkontraktbestemmelser og tekniske sikkerhedsforanstaltninger er implementeret. Men der er stadig en restrisiko. Det er især problematisk, at der stadig ikke er nogen end-to-end-kryptering, der er egnet til daglig brug til alle typer brug – for eksempel i den løbende behandling af data (“data i brug”).
Brugen af amerikanske tjenester bør derfor altid vurderes individuelt: Hvor følsomme er de behandlede data? Hvilke sikkerhedsforanstaltninger træffes der? Og i hvilket omfang er virksomheden faktisk i stand til at afbøde risici?
Mellem sort-hvid og realisme: Hvordan virksomheder skal forholde sig til databeskyttelse og cloud-udbydere
Spørgsmålet om, hvorvidt virksomheder kun bør bruge software og cloudtjenester af europæisk oprindelse – et “alt eller intet” – lyder umiddelbart som en klar holdning. Men det er præcis, hvad databeskyttelsesekspert Katharina Raabe-Stuppnig advarer imod. Et sådant princip er ikke kun upraktisk, men også svært at retfærdiggøre over for myndighederne. I stedet skal enhver beslutning om at bruge software eller cloud-tjenester træffes fra sag til sag – afhængigt af, hvor følsomme de behandlede data er, og hvilke beskyttelsesforanstaltninger der konkret kan træffes.
Lad dig ikke lulle ind i en falsk følelse af sikkerhed – selv ikke med Privacy Framework
Et andet emne, der i øjeblikket optager mange virksomheder: Hvad sker der, hvis EU-Domstolen underkender de nye rammer for databeskyttelse mellem EU og USA – som “Safe Harbor” og “Privacy Shield” gjorde før? Svaret er klart: Der vil igen opstå massiv juridisk usikkerhed. Det er netop derfor, at Kargl allerede nu råder virksomheder til ikke
Men advokaten gør det også klart: Hvis Data Privacy Framework faktisk skulle falde, og der dermed grundlæggende blev sat spørgsmålstegn ved proportionaliteten af dataoverførsel til USA, ville TIA’er også nå deres grænser. Håbet hviler da på supplerende tekniske og organisatoriske foranstaltninger – frem for alt kryptering.
Kryptering: Ambition og virkelighed afviger fra hinanden
Databeskyttelsesmyndighederne og EU-Domstolen kræver en klar løsning fra amerikanske cloud-udbydere: Data skal kun opbevares i krypteret form, og nøglen skal administreres uden for udbyderen – ideelt set i Europa og under kontrol af den dataansvarlige virksomhed eller en europæisk trustee. Formålet med denne såkaldte “eksterne nøglehåndtering” er at sikre, at selv i tilfælde af adgang fra amerikanske myndigheder som NSA kan kun krypterede, dvs. ubrugelige, data videregives.
I praksis kan denne type kryptering dog ifølge Katharina Raabe-Stuppnig kun anvendes til backup-data. Så snart data behandles aktivt i hverdagen, er der brug for adgang til ukrypteret materiale. Det er netop her, problemet ligger: Teknologien, der muliggør komplet databehandling i krypteret tilstand, findes i øjeblikket kun i meget begrænset omfang – for eksempel til enkle beregninger eller estimater i specifikke scenarier. Det tekniske niveau er endnu ikke tilstrækkeligt til den udbredte brug, der kræves i erhvervslivet.
Europas rolle: Muligheder gennem dataloven
På trods af disse udfordringer ser advokaten optimistisk på fremtiden: EU’s datalov sætter en vigtig kurs. Cloud-udbydere skal forpligtes til at muliggøre multicloud-strategier, dvs. at understøtte problemfri skift mellem udbydere – uden høje skifteomkostninger. Dette er en aktiv indsats for at styrke den europæiske suverænitet i det digitale rum og for at skabe flere alternativer til amerikanske hyperscalere på lang sigt.
Spørgsmålet er, om Europa stadig vil være i stand til at gøre dette i tide til at kunne handle mere uafhængigt og sikkert i det digitale rum. Ikke desto mindre er Raabe-Stuppnig fortrøstningsfuld: Den politiske vilje er der – og med målrettet finansiering og regulering kan der snart opstå levedygtige europæiske alternativer.
Det er hverken praktisk muligt eller lovpligtigt at give afkald på tredjelandsløsninger. Virksomhederne skal nøje afveje, hvor følsomme deres data er, hvilke partnere der er egnede – og hvilke beskyttelsesforanstaltninger de konkret kan gennemføre. De, der allerede benytter sig af SCC’er, TIA’er og kryptering, er ikke kun på den sikre side rent juridisk, men styrker også deres europæiske position i den digitale konkurrence.
