Dataskydd i Europa - sproof

Katharina Raabe-Stuppnig inledde sin karriär inom medierätt. Hon gav råd till förlag och telekommunikationsföretag i frågor som rörde konkurrensrätt, reklam och medieansvar. Bryggan till dataskydd kom nästan automatiskt: "Många klienter kom till mig och sa: Du känner till våra processer och vår intresseavvägning - kan du också hjälpa oss med dataskydd?"

När GDPR trädde i kraft flyttade dataskyddet mer in i centrum av företagens verklighet. Bötesbelopp i miljonklassen ökade trycket. Företagen behövde tydliga koncept - och förlitade sig på befintliga partnerskap. Som ett resultat av detta utvecklades dataskyddslagstiftningen från en perifer fråga till ett centralt fokus för deras verksamhet.

Sedan införandet av GDPR 2018 har behovet av juridiskt stöd ökat enormt - och är fortsatt stort. Det beror inte minst på att förordningen inte gör någon skillnad mellan stora och små företag. Alla måste uppfylla samma standarder.

"Ett fungerande ledningssystem för dataskydd är en verklig möjliggörare idag", förklarar Raabe-Stuppnig. "Det ger företagen en överblick över system, processer och risker - och utgör grunden för optimering och ökad effektivitet."

Samtidigt blir miljön alltmer komplex: ny lagstiftning som NIS-2, Cyber Resilience Act, AI Act och Data Act ställer ytterligare krav på företag - inom alla branscher. De som redan har skapat en stabil grund för dataskydd har nu en klar fördel.

De frågor som företag vänder sig till advokatbyrån med idag är många:

• Hur påverkar NIS-2 mig om jag är leverantör av kritisk infrastruktur?

• Vilka policyer behöver jag för AI-lagen?

• Hur hanterar jag nya rättigheter till datatillgång enligt datalagen - utan att äventyra den nivå av dataskydd som jag hittills har byggt upp?

Utöver de juridiska bedömningarna spelar strategiska frågor en allt viktigare roll: Var ska ansvarsområdena fördelas inom företaget? Hur kan man förena regelefterlevnad, cybersäkerhet och innovationsförmåga? Raabe-Stuppnig och hennes team hjälper företag inte bara med implementeringen utan också med att positionera sig inom det nya rättsliga ramverket.

Användningen av programvara från tredje land - t.ex. av amerikanska hyperscalers - är en särskilt känslig fråga. Även om det finns lagar om dataskydd även i USA, förklarar Raabe-Stuppnig, gäller skyddet i första hand amerikanska medborgare. För EU-medborgare är dessa bestämmelser betydligt svagare.

"Problemet ligger i viktningen: NSA:s säkerhetsintressen har ofta företräde framför dataskyddet för icke-amerikaner. EG-domstolen har redan konstaterat denna oproportionerlighet två gånger - och därmed upphävt centrala principer som Safe Harbor och Privacy Shield."

Sedan GDPR trädde i kraft har medvetenheten i Europa förändrats påtagligt. Företagen är nu mycket mer känsliga när de hanterar personuppgifter. Den mediala uppmärksamheten kring dataskyddsdomar och framträdande fall har spelat en viktig roll i detta.

"Vi har skapat en guldstandard för dataskydd i Europa", sammanfattar Raabe-Stuppnig. "Och det är glädjande att se hur många företag som aktivt strävar efter att inte bara uppfylla denna standard, utan att använda den som en konkurrensfördel."

Debatten om dataskydd mellan EU och USA är komplex - och framför allt mycket dynamisk ur ett juridiskt perspektiv. Till skillnad från länder som Schweiz, för vilka EU-kommissionen har utfärdat ett s.k. beslut om adekvat skyddsnivå, var och är situationen med USA mycket mer komplicerad. I ett sådant beslut anges att personuppgifter får överföras till ett tredje land eftersom dataskyddsnivån där är jämförbar med den i EU. I länder som Kina eller Ryssland - och under lång tid även i USA - fanns inget sådant beslut.

Så snart företag samarbetar med tjänsteleverantörer för databehandling i t.ex. USA måste de vidta ytterligare skyddsåtgärder för att upprätthålla den nivå av dataskydd som krävs enligt GDPR. Detta innebär mer arbete, fler obligatoriska kontroller - och större risker.

Ett praktiskt exempel: även om du väljer en serverplats inom EU för amerikanska molnleverantörer finns problemet kvar - till exempel om det europeiska dotterbolaget kontrolleras av ett amerikanskt moderbolag. I en nödsituation kan amerikanska myndigheter som NSA kräva att få tillgång till uppgifterna - även via en intern kommandokedja. En serverplacering i EU minskar risken, men eliminerar den inte helt och hållet.

Historien om dataskyddsavtalen mellan EU och USA är en serie juridiska bakslag:

• Safe Harbor var det första avtalet som på frivillig basis införde vissa dataskyddsstandarder för amerikanska företag. Det upphävdes 2015 genom domen i målet Schrems I.

• Privacy Shield var efterföljaren - en reviderad version av Safe Harbor. Även detta avtal ogiltigförklarades dock av EU-domstolen i domen Schrems II 2020.

• Som svar på detta trädde Data Privacy Framework i kraft, på grundval av vilket EU-kommissionen återigen antog ett beslut om adekvat skyddsnivå för USA.

Detta beror på att Data Privacy Framework baseras på en exekutiv order från USA:s president - en order som teoretiskt sett kan återkallas när som helst. Kritikerna tvivlar därför på den långsiktiga stabiliteten i detta ramverk. En stämningsansökan mot beslutet om adekvat skyddsnivå har redan lämnats in till EU-domstolen - utfallet är ovisst.

Dessutom är den ansvariga amerikanska tillsynsmyndigheten, PCLOB, för närvarande oförmögen att agera eftersom tre av dess fem styrelseledamöter avskedades av den tidigare presidenten Trump. Resultatet: stor osäkerhet om hur stabil dataskyddsmekanismen i USA egentligen är.

Om du planerar på lång sikt och vill fokusera på datasäkerhet bör du inte lita blint på ramverket för datasekretess. Precis som tidigare kan den rättsliga situationen förändras snabbt. Kostnaden för konsekvensbedömningar av dataöverföring (TIA) är hög, och överträdelser kan leda till stränga straff på upp till 4 % av den globala årsomsättningen.

Molntjänster från amerikanska leverantörer kan för närvarande användas i enlighet med **dataskyddsbestämmelser, förutsatt att **lämpliga skyddsåtgärder som standardavtalsklausuler och tekniska säkerhetsåtgärder genomförs. Men det finns fortfarande en kvarstående risk. Det är särskilt problematiskt att det fortfarande inte finns någon end-to-end-kryptering som är lämplig för daglig användning för alla typer av användning - till exempel för den pågående behandlingen av data ("data in use").

Användningen av amerikanska tjänster bör därför alltid bedömas på individuell basis: Hur känsliga är de uppgifter som behandlas? Vilka säkerhetsåtgärder vidtas? Och i vilken utsträckning kan företaget faktiskt minska riskerna?

Frågan om huruvida företag endast ska använda programvara och molntjänster med europeiskt ursprung - ett "helt eller inte alls" - låter vid första anblicken som ett tydligt ställningstagande. Men det är just detta som dataskyddsexperten Katharina Raabe-Stuppnig varnar för. En sådan princip är inte bara opraktisk, utan också svår att motivera för myndigheterna. Istället måste varje beslut om användning av programvara eller molntjänster fattas från fall till fall - beroende på hur känsliga de behandlade uppgifterna är och vilka specifika skyddsåtgärder som kan vidtas.

Ett annat ämne som just nu sysselsätter många företag: Vad händer om EU-domstolen upphäver det nya ramverket för dataskydd mellan EU och USA - som den tidigare gjort med "Safe Harbor" och "Privacy Shield"? Svaret är tydligt: en enorm rättsosäkerhet skulle uppstå igen. Det är just därför som Kargl redan nu råder företag att inte enbart förlita sig på ramverket, utan att avtala om ytterligare standardavtalsklausuler (SCC). Dessa bör alltid innehålla en konsekvensbedömning av överföringen (TIA) - dvs. en riskanalys för överföring av uppgifter till tredje land.

Advokaten klargör dock också att om Data Privacy Framework faktiskt skulle falla och proportionaliteten i dataöverföringen till USA i grunden skulle ifrågasättas, skulle även TIA nå sina gränser. Hoppet står då till kompletterande tekniska och organisatoriska åtgärder - framför allt kryptering.

Dataskyddsmyndigheterna och EU-domstolen kräver en tydlig lösning från amerikanska molnleverantörer: data ska endast lagras i krypterad form och nyckeln ska hanteras utanför leverantören - helst i Europa och under kontroll av det företag som ansvarar för data eller en europeisk förvaltare. Syftet med denna så kallade "externa nyckelhantering" är att säkerställa att endast krypterad, dvs. oanvändbar, data kan vidarebefordras även om amerikanska myndigheter som NSA skulle få tillgång till den.

Enligt Katharina Raabe-Stuppnig kan denna typ av kryptering dock i praktiken endast användas för backup-data. Så snart data aktivt bearbetas i vardagen krävs tillgång till okrypterat material. Det är just här problemet ligger: Tekniken som möjliggör fullständig databehandling i krypterat tillstånd finns för närvarande bara i mycket begränsad omfattning - till exempel för enkla beräkningar eller uppskattningar i specifika scenarier. Tekniken är ännu inte tillräckligt utvecklad för att kunna användas på bred front, vilket krävs i näringslivet.

Trots dessa utmaningar ser advokaten optimistiskt på framtiden: EU:s datalag kommer att bli en viktig vägvisare. Molnleverantörer kommer att vara skyldiga att möjliggöra multicloud-strategier, dvs. att göra det enkelt att byta mellan olika leverantörer - utan höga kostnader för bytet. Detta är en aktiv insats för att stärka den europeiska suveräniteten i det digitala rummet och skapa fler alternativ till amerikanska hyperscalers på lång sikt.

Frågan kvarstår om Europa kommer att kunna agera mer självständigt och säkert i det digitala rummet med tiden. Raabe-Stuppnig är ändå övertygad: "Den politiska viljan finns där - och med riktat stöd och reglering kan det snart uppstå livskraftiga europeiska alternativ.

Att helt avstå från lösningar från tredje land är varken praktiskt genomförbart eller juridiskt nödvändigt. Företagen måste noga överväga hur känsliga deras uppgifter är, vilka partners som är lämpliga - och vilka specifika skyddsåtgärder de kan vidta. De som redan förlitar sig på SCC, TIA och kryptering är inte bara på den säkra sidan juridiskt, utan stärker också Europas position i den digitala konkurrensen.