Med mer än 15 års erfarenhet som advokat, sin roll som medgrundare av en rådgivande kommitté för dataskydd och sitt aktiva deltagande i förfaranden inför EU-domstolen – tillsammans med Max Schrems och Thomas Lohninger – är Katharina Raabe-Stuppnig en av de mest inflytelserika rösterna inom europeisk dataskyddslagstiftning. På sin advokatbyrå på Wickenburggasse i Wien berättar hon om sin yrkesbana, utmaningarna med GDPR och den växande komplexitet som orsakas av EU:s nya digitala lagar.
Från medierätt till dataskydd: Expert i Österrike
Katharina Raabe-Stuppnig inledde sin karriär inom medierätt. Hon gav råd till förlag och telekommunikationsföretag om konkurrensrätt, reklam och medieansvar. Bryggan till dataskyddet var nästan automatisk: “Många klienter kom till mig och sa: Du känner till våra processer och vår intresseavvägning – kan du också hjälpa oss med dataskydd?”
När GDPR trädde i kraft hamnade dataskydd mer i centrum av företagens verklighet. Bötesbelopp i miljonklassen ökade trycket. Företagen behöver tydliga koncept – och förlitar sig på befintliga partnerskap. Som ett resultat av detta utvecklades dataskyddslagstiftningen från ett marginellt ämne till det centrala fokuset i hennes arbete.
“Min önskan skulle vara att stärka den europeiska ekonomin – genom europeiska alternativ. Den digitala strategin och datalagen är ett steg i rätt riktning. Frågan är bara: Kommer det att komma i tid?”
Mag. Kathrina Raabe-Stuppnig
Dataskydd som möjliggörare
Sedan införandet av GDPR 2018 har behovet av juridiskt stöd ökat enormt – och är fortsatt stort. Detta beror inte minst på att förordningen inte gör någon skillnad mellan stora och små företag. Alla måste uppfylla samma standarder.
“Ett fungerande system för hantering av dataskydd är en verklig möjliggörare idag”, förklarar Raabe-Stuppnig. “Det ger företagen en överblick över system, processer och risker – och utgör grunden för optimering och effektivitetsökningar.”
Samtidigt blir miljön alltmer komplex: Ny lagstiftning som NIS-2, Cyber Resilience Act, AI Act eller Data Act ställer ytterligare krav på företag – inom alla branscher. De som redan har skapat en stabil grund för dataskydd har en klar fördel.
Strategier för digital omvandling
De frågor som företag vänder sig till advokatbyrån med idag är många:
- Hur påverkar NIS-2 mig om jag är leverantör av kritisk infrastruktur?
- Vilka policyer behöver jag för AI-lagen?
- Hur hanterar jag nya rättigheter till tillgång till uppgifter enligt datalagen – utan att äventyra den nivå av dataskydd som jag hittills har byggt upp?
Förutom juridiska bedömningar spelar strategiska frågor en allt viktigare roll: Var ska ansvarsområdena placeras i företaget? Hur balanserar man efterlevnad, cybersäkerhet och innovation? Raabe-Stuppnig och hennes team hjälper företag inte bara med implementeringen utan även med positioneringen inom det nya rättsliga ramverket.
EU vs. USA: Olika grundinställningar
En särskilt känslig fråga är användningen av programvara från tredje land, t.ex. av amerikanska hyperscalers. Även om det finns lagar om dataskydd även i USA, säger Raabe-Stuppnig, gäller skyddet i första hand amerikanska medborgare. För EU-medborgare är dessa bestämmelser mycket svagare.
“Problemet ligger i viktningen: NSA:s säkerhetsintressen har ofta företräde framför dataskyddet för icke-amerikaner. EU-domstolen har redan konstaterat denna oproportionerlighet två gånger – och därmed upphävt centrala principer som Safe Harbor och Privacy Shield.”
Förändring i medvetenhet i Europa sedan 2018
Sedan GDPR trädde i kraft har medvetenheten i Europa förändrats påtagligt. Företag är idag mycket mer känsliga när det gäller hantering av personuppgifter. Den mediala uppmärksamheten kring dataskyddsdomar och uppmärksammade fall har spelat en central roll i detta.
“Vi har skapat en guldstandard för dataskydd i Europa”, sammanfattar Raabe-Stuppnig. “Och det är glädjande att se hur många företag som aktivt strävar efter att inte bara uppfylla denna standard, utan att använda den som en konkurrensfördel.”
Vad gör dataöverföring till USA så känslig – och hur ser rättsläget ut i EU idag?
Debatten om dataskydd mellan EU och USA är komplex – och framför allt mycket dynamisk ur juridisk synvinkel. Till skillnad från länder som Schweiz, för vilka EU-kommissionen har utfärdat ett s.k. beslut om adekvat skyddsnivå, var och är situationen med USA mycket mer komplicerad. I ett sådant beslut anges att personuppgifter får överföras till ett tredje land eftersom det där finns en nivå på dataskyddet som är jämförbar med EU:s. I länder som Kina eller Ryssland – och under lång tid även i USA – saknades ett sådant beslut.
Databehandling i USA – en juridisk balansgång
Så snart företag arbetar med leverantörer av databehandlingstjänster i USA måste de till exempel vidta ytterligare skyddsåtgärder för att upprätthålla den nivå av dataskydd som krävs enligt GDPR. Detta innebär mer arbete, fler kontrollskyldigheter – och större risker.
Ett praktiskt exempel: Även om du väljer en serverplats inom EU för amerikanska molnleverantörer kvarstår problemet – till exempel om det europeiska dotterbolaget är underordnat ett amerikanskt moderbolag. I en nödsituation kan amerikanska myndigheter som NSA kräva att få tillgång till uppgifterna – även via en intern kommandokedja. En serverplacering i EU minskar risken, men eliminerar den inte helt och hållet.
Från Safe Harbor till ramverket för datasekretess: En översikt
Historien om dataskyddsavtalen mellan EU och USA ser ut som en rad juridiska bakslag:
- Safe Harbor var det första avtalet som frivilligt införde vissa dataskyddsstandarder för amerikanska företag. Det upphävdes 2015 genom domen i målet Schrems I.
- Privacy Shield var efterföljaren – en reviderad version av Safe Harbor. Men även detta avtal ogiltigförklarades av EU-domstolen 2020 i domen Schrems II.
- Som svar på detta trädde Data Privacy Framework i kraft, på grundval av vilket EU-kommissionen återigen har antagit ett beslut om adekvat skyddsnivå för USA.
Det nya beslutet vilar dock återigen på en skakig grund
Detta beror på att Data Privacy Framework baseras på en exekutiv order från den amerikanska presidenten – dvs. en order som teoretiskt sett kan återkallas när som helst. Kritikerna tvivlar därför på den långsiktiga stabiliteten i detta ramverk. En stämningsansökan mot beslutet om adekvat skyddsnivå har redan lämnats in till EU-domstolen – utfallet är öppet.
Dessutom är den ansvariga amerikanska tillsynsmyndigheten PCLOB för närvarande oförmögen att agera eftersom tre av dess fem chefer har avskedats av ex-president Trump. Resultatet är en stor osäkerhet om hur stabil dataskyddsmekanismen i USA egentligen är.
Hur viktigt är ramverket för datasekretess för företag i EU?
Om du planerar på lång sikt och vill fokusera på datasäkerhet bör du inte lita blint på ramverket för datasekretess. Den rättsliga situationen kan förändras snabbt – precis som tidigare. Konsekvensbedömningar av dataöverföring (TIA) kräver mycket arbete, och överträdelser kan leda till stränga straff: upp till 4 % av den globala årsomsättningen.
USA:s molntjänster är (fortfarande) användbara – men inte utan risk
För närvarande kan molntjänster från amerikanska leverantörer användas i enlighet med dataskyddsbestämmelserna, förutsatt att lämpliga skyddsåtgärder som standardavtalsklausuler och tekniska säkerhetsåtgärder genomförs. Men det finns fortfarande en kvarstående risk. Det är särskilt problematiskt att det fortfarande inte finns någon end-to-end-kryptering som är lämplig för daglig användning för alla typer av användning – till exempel vid pågående behandling av data (“data in use”).
Användningen av amerikanska tjänster bör därför alltid bedömas individuellt: Hur känsliga är de uppgifter som behandlas? Vilka säkerhetsåtgärder vidtas? Och i vilken utsträckning kan företaget faktiskt dämpa riskerna?
Mellan svart och vitt och realism: Hur företag ska hantera dataskydd och molnleverantörer
Frågan om huruvida företag endast ska använda programvara och molntjänster med europeiskt ursprung – ett “allt eller inget” – låter först som en tydlig ståndpunkt. Men det är just detta som dataskyddsexperten Katharina Raabe-Stuppnig varnar för. En sådan princip är inte bara opraktisk, utan också svår att motivera för myndigheterna. I stället måste varje beslut om att använda programvara eller molntjänster fattas från fall till fall – beroende på hur känsliga de behandlade uppgifterna är och vilka skyddsåtgärder som konkret kan vidtas.
Låt dig inte invaggas i en falsk känsla av säkerhet – inte ens med Privacy Framework
Ett annat ämne som just nu upptar många företag: Vad händer om EG-domstolen upphäver det nya ramverket för dataskydd mellan EU och USA – som “Safe Harbor” och “Privacy Shield” gjorde tidigare? Svaret på detta är tydligt: en
Men advokaten gör också klart: Om Data Privacy Framework faktiskt skulle falla och därmed proportionaliteten i dataöverföringen till USA i grunden skulle ifrågasättas, skulle TIA också nå sina gränser. Hoppet står då till kompletterande tekniska och organisatoriska åtgärder – framför allt kryptering.
Kryptering: Ambition och verklighet skiljer sig åt
Dataskyddsmyndigheterna och EU-domstolen kräver en tydlig lösning från amerikanska molnleverantörer: data ska endast lagras i krypterad form och nyckeln ska hanteras utanför leverantören – helst i Europa och under kontroll av det dataansvariga företaget eller en europeisk förvaltare. Syftet med denna så kallade “external key management”-lösning är att säkerställa att endast krypterade, dvs. oanvändbara, data kan vidarebefordras även om amerikanska myndigheter som NSA skulle få tillgång till dem.
Enligt Katharina Raabe-Stuppnig kan den här typen av kryptering i praktiken bara användas för säkerhetskopieringsdata. Så snart data
Europas roll: Möjligheter genom datalagen
Trots dessa utmaningar ser advokaten optimistiskt på framtiden: EU:s datalag sätter en viktig kurs. Molnleverantörer ska vara skyldiga
Frågan är om Europa fortfarande kommer att kunna göra detta i tid för att kunna agera mer självständigt och säkert i det digitala rummet. Raabe-Stuppnig är ändå övertygad: Den politiska viljan finns där – och med riktad finansiering och reglering kan det snart uppstå livskraftiga europeiska alternativ.
Att generellt avstå från lösningar från tredje land är varken praktiskt genomförbart eller juridiskt nödvändigt. Företagen måste noga överväga hur känsliga deras uppgifter är, vilka partners som är lämpliga – och vilka skyddsåtgärder de kan genomföra konkret. De som redan förlitar sig på SCC, TIA och kryptering är inte bara på den säkra sidan juridiskt, utan stärker också sin europeiska position i den digitala konkurrensen.
