Login

|

Help Center

|

+43 50 423

Datenschutz in Europa · sproof

Datenschutzrecht im Wandel: Ein Gespräch mit Expertin Mag. Katharina Raabe-Stuppnig

Philipp Gernerth
Aktualisiert am 02.08.2025
Datenschutzexpertin

Mit mehr als 15 Jahren Erfahrung als Rechtsanwältin, ihrer Rolle als Mitbegründerin eines Datenschutz-Advisory Boards und ihrer aktiven Beteiligung an Verfahren vor dem Europäischen Gerichtshof – gemeinsam mit Max Schrems und Thomas Lohninger – zählt Mag. Katharina Raabe-Stuppnig zu den prägenden Stimmen im europäischen Datenschutzrecht. In ihrer Kanzlei in der Wickenburggasse in Wien spricht sie über ihren beruflichen Weg, die Herausforderungen der DSGVO und die wachsende Komplexität durch neue EU-Digitalgesetze.

Portrait

Mag. Katharina Raabe-Stuppnig, Rechtsanwältin

##Vom Medienrecht zur Datenschutz: Expertin in Österreich

Katharina Raabe-Stuppnig begann ihre Laufbahn im Medienrecht. Sie betreute Verlagshäuser und Telekommunikationsunternehmen in Fragen des Wettbewerbsrechts, der Werbung und der Medienverantwortung. Die Brücke zum Datenschutz ergab sich beinahe automatisch: „Viele Mandant:innen kamen auf mich zu und sagten: Du kennst unsere Prozesse und unsere Interessenabwägungen – kannst du uns auch beim Datenschutz unterstützen?“

Als die DSGVO in Kraft trat, rückte der Datenschutz stärker ins Zentrum der Unternehmensrealität. Bußgelder in Millionenhöhe erhöhten den Druck. Unternehmen brauchten klare Konzepte – und vertrauten dabei auf bestehende Partnerschaften. So entwickelte sich das Datenschutzrecht von einem Randthema zum zentralen Fokus ihrer Tätigkeit.

“Mein Wunsch wäre es, die europäische Wirtschaft zu stärken – durch europäische Alternativen. 
Die Digitalstrategie und der Data Act gehen in die richtige Richtung. Die Frage ist nur: Kommt das rechtzeitig?”

Mag. Kathrina Raabe-Stuppnig

##Datenschutz als Enabler

Seit der Einführung der DSGVO 2018 ist der Bedarf an juristischer Begleitung enorm gestiegen – und bleibt hoch. Das liegt nicht zuletzt daran, dass die Verordnung keine Unterschiede zwischen Großkonzernen und kleinen Unternehmen macht. Alle müssen denselben Standards gerecht werden.

„Ein funktionierendes Datenschutzmanagementsystem ist heute ein echter Enabler“, erklärt Raabe-Stuppnig. „Es verschafft Unternehmen Überblick über Systeme, Prozesse und Risiken – und bildet die Grundlage für Optimierungen und Effizienzsteigerungen.“

Gleichzeitig werde das Umfeld zunehmend komplexer: Neue Gesetzgebungen wie NIS-2, der Cyber Resilience Act, der AI Act oder der Data Act stellen zusätzliche Anforderungen an Unternehmen – quer durch alle Branchen. Wer jetzt schon ein stabiles Datenschutzfundament geschaffen hat, ist klar im Vorteil.

###Strategien für die digitale Transformation

Die Fragestellungen, mit denen sich Unternehmen heute an die Kanzlei wenden, sind vielfältig:

  • Wie betrifft mich NIS-2, wenn ich Lieferant der kritischen Infrastruktur bin?

  • Welche Policies brauche ich für den AI Act?

  • Wie gehe ich mit neuen Datenzugriffsrechten laut Data Act um – ohne mein bisher aufgebautes Datenschutzniveau zu gefährden?

Neben juristischen Einschätzungen spielen strategische Fragen eine immer größere Rolle: Wo sind Zuständigkeiten im Unternehmen anzusiedeln? Wie lassen sich Compliance, Cybersicherheit und Innovationsfähigkeit in Einklang bringen? Raabe-Stuppnig und ihr Team begleiten Unternehmen nicht nur bei der Umsetzung, sondern auch bei der Positionierung innerhalb des neuen rechtlichen Rahmens.

##EU vs. USA: Unterschiedliche Grundhaltungen

Ein besonders sensibles Thema ist die Nutzung von Software aus Drittstaaten – etwa durch US-amerikanische Hyperscaler. Zwar gebe es auch in den USA Datenschutzgesetze, so Raabe-Stuppnig, allerdings gelte der Schutz primär für US-Bürger:innen. Für EU-Bürger:innen seien diese Regelungen deutlich schwächer ausgestaltet.

„Das Problem liegt in der Gewichtung: Die Sicherheitsinteressen der NSA stehen oft über dem Datenschutz von Nicht-Amerikanern. Diese Unverhältnismäßigkeit hat der EuGH bereits zweimal festgestellt – und damit zentrale Grundlagen wie Safe Harbor und Privacy Shield gekippt.“

###Bewusstseinswandel in Europa seit 2018

Seit Inkrafttreten der DSGVO hat sich das Bewusstsein in Europa spürbar verändert. Unternehmen sind heute deutlich sensibler im Umgang mit personenbezogenen Daten. Die mediale Aufmerksamkeit rund um Datenschutzurteile und prominente Fälle hat dabei eine zentrale Rolle gespielt.

„Wir haben in Europa einen Gold-Standard beim Datenschutz geschaffen“, resümiert Raabe-Stuppnig. „Und es ist erfreulich zu sehen, wie viele Unternehmen sich aktiv darum bemühen, diesen Standard nicht nur zu erfüllen, sondern als Wettbewerbsvorteil zu nutzen.“

###Was macht den Datentransfer in die USA so heikel – und wie ist die rechtliche Lage in der EU heute?

Die Datenschutzdebatte zwischen der EU und den USA ist komplex – und vor allem rechtlich hochdynamisch. Anders als bei Ländern wie der Schweiz, für die ein sogenannter Angemessenheitsbeschluss der EU-Kommission vorliegt, war und ist die Situation bei den USA deutlich komplizierter. Ein solcher Beschluss besagt, dass personenbezogene Daten in ein Drittland übertragen werden dürfen, weil dort ein mit der EU vergleichbares Datenschutzniveau herrscht. In Ländern wie China oder Russland – und lange Zeit auch in den USA – fehlte ein solcher Beschluss.

####Datenverarbeitung in den USA – ein rechtlicher Balanceakt

Sobald Unternehmen beispielsweise mit Dienstleistern zur Datenverarbeitung in den USA arbeiten, müssen sie zusätzliche Schutzmaßnahmen treffen, um das in der DSGVO geforderte Datenschutzniveau aufrechtzuerhalten. Das bedeutet mehr Aufwand, mehr Prüfpflicht – und mehr Risiko.

Ein Beispiel aus der Praxis: Auch wenn man bei US-Cloud-Anbietern einen Serverstandort innerhalb der EU wählt, besteht das Problem weiter – etwa dann, wenn das europäische Tochterunternehmen einem US-Mutterkonzern untersteht. Im Ernstfall könnten US-Behörden wie die NSA Zugriff auf die Daten fordern – auch über eine interne Weisungskette. Ein Serverstandort in der EU senkt das Risiko, schließt es aber nicht vollständig aus.

####Von Safe Harbor bis zum Data Privacy Framework: Ein Rückblick

Die Geschichte der Datenschutzabkommen zwischen der EU und den USA liest sich wie eine Abfolge juristischer Rückschläge:

  • Safe Harbor war das erste Abkommen, das US-Unternehmen auf freiwilliger Basis bestimmte Datenschutzstandards auferlegte. Es wurde 2015 durch das Urteil Schrems I aufgehoben.

  • Privacy Shield war der Nachfolger – eine überarbeitete Version von Safe Harbor. Doch auch dieses Abkommen wurde 2020 vom Europäischen Gerichtshof im Schrems II-Urteil für unwirksam erklärt.

  • Als Reaktion darauf trat das Data Privacy Framework in Kraft, auf dessen Basis die EU-Kommission erneut einen Angemessenheitsbeschluss für die USA verabschiedet hat.

####Aber: Der neue Beschluss steht erneut auf wackeligem Fundament

Denn das Data Privacy Framework basiert auf einer Executive Order des US-Präsidenten – also einer Anordnung, die theoretisch jederzeit widerrufen werden kann. Kritiker bezweifeln daher die langfristige Stabilität dieses Rahmens. Bereits heute liegt eine Klage gegen den Angemessenheitsbeschluss vor dem Europäischen Gerichtshof vor – der Ausgang ist offen.

Zudem ist die zuständige US-Aufsichtsbehörde PCLOB derzeit nicht handlungsfähig, weil drei ihrer fünf Leitungspersonen von Ex-Präsident Trump entlassen wurden. Die Folge: große Unsicherheit, wie stabil der Datenschutzmechanismus in den USA wirklich ist.

##Wie wichtig ist das Data Privacy Framework für Unternehmen in der EU?

Wer langfristig plant und auf Datensicherheit setzen will, sollte sich nicht blind auf das Data Privacy Framework verlassen. Die rechtliche Lage kann sich – wie in der Vergangenheit – rasch ändern. Der Aufwand für Data Transfer Impact Assessments (TIA) ist hoch, und bei Verstößen drohen empfindliche Strafen: bis zu 4 % des weltweiten Jahresumsatzes.

##US-Cloud-Dienste sind (noch) nutzbar – aber nicht ohne Risiko

Aktuell lassen sich Cloud-Dienste von US-Anbietern **datenschutzkonform einsetzen, sofern **entsprechende Schutzmaßnahmen wie Standardvertragsklauseln und technische Sicherheitsmaßnahmen implementiert werden. Doch es bleibt ein Rest-Risiko. Besonders problematisch ist, dass es noch keine alltagstaugliche Ende-zu-Ende-Verschlüsselung für alle Nutzungsarten gibt – etwa bei der laufenden Bearbeitung von Daten („data in use“).

Die Nutzung von US-Diensten sollte daher stets individuell bewertet werden: Wie sensibel sind die verarbeiteten Daten? Welche Sicherheitsmaßnahmen werden ergriffen? Und wie stark ist das Unternehmen in der Lage, Risiken tatsächlich abzufedern?

##Zwischen Schwarz-Weiß und Realismus: Wie Unternehmen mit Datenschutz und Cloud-Anbietern umgehen sollten

Die Frage, ob Unternehmen nur noch Software und Cloud Dienste europäischer Herkunft einsetzen sollten – ein „Ganz oder gar nicht“ –, klingt im ersten Moment nach einer klaren Haltung. Doch genau davor warnt Datenschutzexpertin Katharina Raabe-Stuppnig. Ein solches Prinzip sei nicht nur praxisfern, sondern auch schwer gegenüber Behörden vertretbar. Vielmehr müsse jede Entscheidung zur Nutzung von Software oder Cloud-Diensten einzelfallbasiert getroffen werden – abhängig davon, wie sensibel die verarbeiteten Daten sind und welche Schutzmaßnahmen konkret getroffen werden können.

###Nicht in falscher Sicherheit wiegen – auch mit Privacy Framework

Ein weiteres Thema, das viele Unternehmen derzeit beschäftigt: Was passiert, wenn der Europäische Gerichtshof (EuGH) das neue Data Privacy Framework zwischen EU und USA kippt – wie zuvor schon „Safe Harbor“ und „Privacy Shield“? Die Antwort darauf ist klar: Es würde erneut massive Rechtsunsicherheit entstehen. Genau deshalb rät Kargl Unternehmen schon jetzt dazu, sich nicht ausschließlich auf das Framework zu verlassen, sondern ergänzend Standardvertragsklauseln (SCCs) zu vereinbaren. Diese sollten immer auch ein sogenanntes Transfer Impact Assessment (TIA) beinhalten – also eine Risikoanalyse zum Datentransfer in Drittstaaten.

Doch die Rechtsanwältin stellt auch klar: Sollte das Data Privacy Framework tatsächlich fallen und damit die Verhältnismäßigkeit der Datenübermittlung in die USA grundsätzlich infrage stehen, würden auch TIAs an ihre Grenzen stoßen. Die Hoffnung ruht dann auf ergänzenden technischen und organisatorischen Maßnahmen – allem voran auf Verschlüsselung.

##Verschlüsselung: Anspruch und Realität klaffen auseinander

Die Datenschutzbehörden und der EuGH fordern bei US-Cloudanbietern eine klare Lösung: Daten sollen nur verschlüsselt gespeichert und der Schlüssel außerhalb des Anbieters verwaltet werden – idealerweise in Europa und unter Kontrolle des datenverantwortlichen Unternehmens oder eines europäischen Treuhänders. Ziel dieser sogenannten „externen Key-Management“-Lösung ist, dass selbst im Fall eines Zugriffs durch US-Behörden wie die NSA nur verschlüsselte, also unbrauchbare, Daten weitergegeben werden können.

In der Praxis aber, so Katharina Raabe-Stuppnig, sei diese Art der Verschlüsselung nur bei Backup-Daten wirklich umsetzbar. Sobald Daten im Alltag aktiv verarbeitet werden, brauche es zwangsweise Zugriff auf unverschlüsseltes Material. Genau hier liegt das Problem: Die Technologie, die vollständige Datenverarbeitung im verschlüsselten Zustand erlaubt, existiert derzeit nur in stark eingeschränktem Umfang – etwa für einfache Berechnungen oder Schätzungen in spezifischen Szenarien. Für den breitflächigen Einsatz, wie er in der Wirtschaft benötigt wird, ist der Stand der Technik noch nicht ausreichend.

##Die Rolle Europas: Chancen durch den Data Act

Trotz dieser Herausforderungen blickt die Rechtsanwältin optimistisch in die Zukunft: Mit dem EU Data Act werden wichtige Weichen gestellt. Cloudanbieter sollen dazu verpflichtet werden, Multicloud-Strategien zu ermöglichen, also etwa den problemlosen Wechsel zwischen Anbietern zu unterstützen – ohne hohe Wechselkosten. Damit wird aktiv daran gearbeitet, die europäische Souveränität im digitalen Raum zu stärken und langfristig mehr Alternativen zu US-Hyperscalern zu schaffen.

Die Frage bleibt, ob Europa damit noch rechtzeitig kommt, um unabhängiger und sicherer im digitalen Raum agieren zu können. Frau Mag. Raabe-Stuppnig zeigt sich dennoch zuversichtlich: Der politische Wille ist da – und mit gezielter Förderung und Regulierung könnten schon bald tragfähige europäische Alternativen entstehen.

Ein pauschaler Verzicht auf Drittstaatenlösungen ist weder praktikabel noch rechtlich geboten. Unternehmen müssen sorgfältig abwägen, wie sensibel ihre Daten sind, welche Partner in Frage kommen – und welche Schutzmaßnahmen sie konkret umsetzen können. Wer dabei heute schon auf SCCs, TIAs und Verschlüsselung setzt, ist nicht nur rechtlich auf der sicheren Seite, sondern stärkt auch die europäische Position im digitalen Wettbewerb.

Mehr Blog-Einträge

Alle Informationen über die digitale SignaturDie digitale Signatur nimmt Einzug in den Anwaltskanzleien Österreichs.Die Größten in Sachen Hotellerie und Gastronomie: Hogast signiert mit sproof sign. Was ist die qualifizierte elektronische Signatur in EuropaInnovative Lösungen für eine nachhaltige Zukunft: Die Partnerschaft zwischen sproof sign und der Energie AG Oberösterreich
Warum sproof sign?Höchste Sicherheit und Konformität gepaart mit einer "All-in-One"-Funktionalität machen sproof sign zur besten europäischen Alternative auf dem Markt der E-Signatur-Plattform. 100% in Europa entwickelt und gehostet.
Produkt
Anwendungsfälle
Ressourcen
sproof sign ist derzeit der am besten bewertete E-Signatur-Anbieter auf der unabhängigen Bewertungsplattform OMR Reviews und wurde außerdem von der CRIF GmbH mit dem 'ESG SCORE: A' für Nachhaltigkeit ausgezeichnet.
© 2025 sproof GmbH
Impressum
AGB
Datenschutzbestimmungen
Cookies