{"id":37608,"date":"2025-08-27T10:58:32","date_gmt":"2025-08-27T10:58:32","guid":{"rendered":"https:\/\/wp-staging.sproof.com\/databeskyttelseslovgivning-i-forandring-en-samtale-med-ekspert-katharina-raabe-stuppnig\/"},"modified":"2026-03-23T21:55:47","modified_gmt":"2026-03-23T21:55:47","slug":"databeskyttelseslovgivning-i-forandring-en-samtale-med-ekspert-katharina-raabe-stuppnig","status":"publish","type":"post","link":"https:\/\/wp-staging.sproof.com\/da\/databeskyttelseslovgivning-i-forandring-en-samtale-med-ekspert-katharina-raabe-stuppnig\/","title":{"rendered":"Databeskyttelseslovgivning i forandring: Et interview med ekspert Katharina Raabe-Stuppnig"},"content":{"rendered":"\n
\"Katharina<\/figure>
\n

Med mere end 15 \u00e5rs erfaring som advokat, sin rolle som medstifter af et r\u00e5dgivende udvalg for databeskyttelse og sin aktive deltagelse i sager ved EU-Domstolen – sammen med Max Schrems og Thomas Lohninger – er Katharina Raabe-Stuppnig en af de mest indflydelsesrige stemmer inden for europ\u00e6isk databeskyttelseslovgivning. I sit advokatfirma i Wickenburggasse i Wien fort\u00e6ller hun om sin karriere, udfordringerne med GDPR og den voksende kompleksitet i EU’s nye digitale love. <\/p>\n<\/div><\/div>\n\n

Fra medielovgivning til databeskyttelse: ekspert i \u00d8strig<\/h2>\n\n

Katharina Raabe-Stuppnig begyndte sin karriere inden for medieret. Hun r\u00e5dgav forlag og teleselskaber i sp\u00f8rgsm\u00e5l om konkurrenceret, reklame og medieansvar. Broen til databeskyttelse opstod n\u00e6sten automatisk: “Mange klienter henvendte sig til mig og sagde: Du kender vores processer og vores interesseafvejning – kan du ogs\u00e5 hj\u00e6lpe os med databeskyttelse?” <\/p>\n\n

Da GDPR tr\u00e5dte i kraft, rykkede databeskyttelse mere ind i centrum af virksomhedernes virkelighed. B\u00f8der i millionklassen \u00f8gede presset. Virksomhederne havde brug for klare koncepter – og var afh\u00e6ngige af eksisterende partnerskaber. Som f\u00f8lge heraf udviklede databeskyttelsesloven sig fra et perifert sp\u00f8rgsm\u00e5l til det centrale fokus for deres aktiviteter. <\/p>\n\n

\n

“Mit \u00f8nske ville v\u00e6re at styrke den europ\u00e6iske \u00f8konomi – gennem europ\u00e6iske alternativer. Den digitale strategi og dataloven er p\u00e5 vej i den rigtige retning. Det eneste sp\u00f8rgsm\u00e5l er: Kommer det i tide?”<\/p>\n\n\n\n

Mag. Kathrina Raabe-Stuppnig<\/p>\n<\/blockquote>\n\n

Databeskyttelse som en katalysator<\/h2>\n\n

Siden indf\u00f8relsen af GDPR i 2018 er behovet for juridisk bistand steget enormt – og er fortsat stort. Det skyldes ikke mindst, at forordningen ikke skelner mellem store og sm\u00e5 virksomheder. Alle skal leve op til de samme standarder. <\/p>\n\n

“Et velfungerende databeskyttelsessystem er i dag en reel katalysator”, forklarer Raabe-Stuppnig. “Det giver virksomheder et overblik over systemer, processer og risici – og danner grundlag for optimering og \u00f8get effektivitet.” <\/p>\n\n

Samtidig bliver milj\u00f8et mere og mere komplekst: Ny lovgivning som NIS-2, Cyber Resilience Act, AI Act og Data Act stiller yderligere krav til virksomheder – p\u00e5 tv\u00e6rs af alle sektorer. De, der allerede har skabt et stabilt fundament for databeskyttelse, har nu en klar fordel. <\/p>\n\n

Strategier for den digitale transformation<\/h3>\n\n

De problemer, som virksomheder henvender sig til firmaet med i dag, er mange og varierede:<\/p>\n\n

    \n
  • Hvordan p\u00e5virker NIS-2 mig, hvis jeg er leverand\u00f8r af kritisk infrastruktur?<\/li>\n\n\n\n
  • Hvilke politikker skal jeg bruge til AI-loven?<\/li>\n\n\n\n
  • Hvordan h\u00e5ndterer jeg nye rettigheder til dataadgang i henhold til dataloven – uden at bringe det databeskyttelsesniveau, jeg har opbygget indtil nu, i fare?<\/li>\n<\/ul>\n\n

    Ud over juridiske vurderinger spiller strategiske sp\u00f8rgsm\u00e5l en stadig vigtigere rolle: Hvor skal ansvaret placeres i virksomheden? Hvordan kan compliance, cybersikkerhed og evnen til at innovere harmoniseres? Raabe-Stuppnig og hendes team hj\u00e6lper ikke kun virksomhederne med implementeringen, men ogs\u00e5 med at positionere sig inden for de nye juridiske rammer. <\/p>\n\n

    EU vs. USA: Forskellige grundholdninger<\/h2>\n\n

    Brugen af software fra tredjelande – for eksempel af amerikanske hyperscalere – er et s\u00e6rligt f\u00f8lsomt emne. Selvom der ogs\u00e5 findes databeskyttelseslove i USA, forklarer Raabe-Stuppnig, g\u00e6lder beskyttelsen prim\u00e6rt for amerikanske borgere. Disse regler er betydeligt svagere for EU-borgere. <\/p>\n\n

    “Problemet ligger i v\u00e6gtningen: NSA’s sikkerhedsinteresser g\u00e5r ofte forud for databeskyttelse af ikke-amerikanere. EU-Domstolen har allerede fastsl\u00e5et denne uforholdsm\u00e6ssighed to gange – og dermed v\u00e6ltet centrale principper som Safe Harbour og Privacy Shield.”<\/p>\n\n

    \u00c6ndring i bevidsthed i Europa siden 2018<\/h3>\n\n

    Siden GDPR tr\u00e5dte i kraft, har bevidstheden i Europa \u00e6ndret sig markant. Virksomheder er nu meget mere f\u00f8lsomme, n\u00e5r det g\u00e6lder h\u00e5ndtering af persondata. Medieopm\u00e6rksomheden omkring databeskyttelsesdomme og prominente sager har spillet en vigtig rolle i den forbindelse. <\/p>\n\n

    “Vi har skabt en guldstandard for databeskyttelse i Europa”, opsummerer Raabe-Stuppnig. “Og det er gl\u00e6deligt at se, hvor mange virksomheder der aktivt bestr\u00e6ber sig p\u00e5 ikke bare at opfylde denne standard, men ogs\u00e5 at bruge den som en konkurrencefordel.” <\/p>\n\n

    Hvad g\u00f8r dataoverf\u00f8rsel til USA s\u00e5 f\u00f8lsom – og hvordan er den juridiske situation i EU i dag?<\/h3>\n\n

    Debatten om databeskyttelse mellem EU og USA er kompleks – og frem for alt meget dynamisk set fra et juridisk perspektiv. I mods\u00e6tning til lande som Schweiz, hvor EU-Kommissionen har udstedt en s\u00e5kaldt tilstr\u00e6kkelighedsbeslutning, var og er situationen i USA langt mere kompliceret. I en s\u00e5dan afg\u00f8relse st\u00e5r der, at personoplysninger kan overf\u00f8res til et tredjeland, fordi databeskyttelsesniveauet der er sammenligneligt med niveauet i EU. I lande som Kina eller Rusland – og i lang tid ogs\u00e5 i USA – var der ingen s\u00e5dan beslutning. <\/p>\n\n

    Databehandling i USA – en juridisk balancegang<\/h4>\n\n

    S\u00e5 snart virksomheder samarbejder med tjenesteudbydere om databehandling i for eksempel USA, skal de tr\u00e6ffe yderligere beskyttelsesforanstaltninger for at opretholde det databeskyttelsesniveau, som GDPR kr\u00e6ver. Det betyder en st\u00f8rre indsats, flere obligatoriske kontroller – og st\u00f8rre risiko. <\/p>\n\n

    Et praktisk eksempel: Selv om man v\u00e6lger en serverplacering inden for EU til amerikanske cloud-udbydere, eksisterer problemet stadig – f.eks. hvis det europ\u00e6iske datterselskab er under kontrol af et amerikansk moderselskab. I en n\u00f8dsituation kan amerikanske myndigheder som NSA kr\u00e6ve adgang til dataene – selv via en intern kommandovej. En serverplacering i EU reducerer risikoen, men udelukker den ikke helt. <\/p>\n\n

    Fra Safe Harbour til Data Privacy Framework: et tilbageblik<\/h4>\n\n

    Historien om databeskyttelsesaftaler mellem EU og USA ligner en r\u00e6kke juridiske tilbageslag:<\/p>\n\n

      \n
    • Safe Harbor var den f\u00f8rste aftale om at p\u00e5l\u00e6gge amerikanske virksomheder visse databeskyttelsesstandarder p\u00e5 frivillig basis. Den blev oph\u00e6vet i 2015 med Schrems I-dommen. <\/li>\n\n\n\n
    • Privacy Shield var efterf\u00f8lgeren – en revideret version af Safe Harbour. Men denne aftale blev ogs\u00e5 erkl\u00e6ret ugyldig af EU-Domstolen i Schrems II-dommen i 2020. <\/li>\n\n\n\n
    • Som svar herp\u00e5 tr\u00e5dte Data Privacy Framework i kraft, og p\u00e5 baggrund heraf vedtog EU-Kommissionen endnu en gang en beslutning om tilstr\u00e6kkelighed for USA.<\/li>\n<\/ul>\n\n

      Men den nye beslutning er endnu en gang baseret p\u00e5 et usikkert grundlag<\/h4>\n\n

      Det skyldes, at Data Privacy Framework er baseret p\u00e5 en bekendtg\u00f8relse<\/strong> fra den amerikanske pr\u00e6sident – med andre ord en bekendtg\u00f8relse, der teoretisk set kan tilbagekaldes n\u00e5r som helst.<\/strong> Kritikere tvivler derfor p\u00e5 den langsigtede stabilitet af denne ramme. Der er allerede anlagt sag mod beslutningen om tilstr\u00e6kkelighed ved EU-Domstolen – udfaldet er usikkert. <\/p>\n\n

      Desuden er den ansvarlige amerikanske tilsynsmyndighed, PCLOB<\/strong>, i \u00f8jeblikket ude af stand til at handle, fordi tre af dens fem direkt\u00f8rer blev afskediget af den tidligere pr\u00e6sident Trump. Resultatet er stor usikkerhed<\/strong> om, hvor stabil databeskyttelsesmekanismen i USA egentlig er. <\/p>\n\n

      Hvor vigtig er Data Privacy Framework for virksomheder i EU?<\/h2>\n\n

      Hvis du planl\u00e6gger p\u00e5 lang sigt og \u00f8nsker at fokusere p\u00e5 datasikkerhed, b\u00f8r du ikke stole blindt p\u00e5 Data Privacy Framework. Som tidligere kan den juridiske situation hurtigt \u00e6ndre sig. Omkostningerne til konsekvensanalyser af dataoverf\u00f8rsel (TIA)<\/strong> er h\u00f8je, og overtr\u00e6delser kan resultere i alvorlige b\u00f8der p\u00e5 op til 4 % af den \u00e5rlige globale oms\u00e6tning.<\/strong> <\/p>\n\n

      Amerikanske cloud-tjenester er (stadig) brugbare – men ikke uden risiko<\/h2>\n\n

      Cloud-tjenester fra amerikanske udbydere kan i \u00f8jeblikket bruges i overensstemmelse med **databeskyttelsesbestemmelser, forudsat at ** passende beskyttelsesforanstaltninger s\u00e5som standardkontraktbestemmelser<\/strong> og tekniske sikkerhedsforanstaltninger<\/strong> er implementeret. Men der er stadig en restrisiko. Det er is\u00e6r problematisk, at der stadig ikke er nogen end-to-end-kryptering, der er egnet til daglig<\/strong> brug til alle typer brug – for eksempel til den l\u00f8bende behandling af data (“data i brug”). <\/p>\n\n

      Brugen af amerikanske tjenester b\u00f8r derfor altid vurderes individuelt:<\/strong> Hvor f\u00f8lsomme er de behandlede data? Hvilke sikkerhedsforanstaltninger er der truffet? Og i hvilket omfang er virksomheden faktisk i stand til at mindske risici? <\/p>\n\n

      Mellem sort-hvid og realisme: hvordan virksomheder skal forholde sig til databeskyttelse og cloud-udbydere<\/h2>\n\n

      Sp\u00f8rgsm\u00e5let om, hvorvidt virksomheder kun b\u00f8r bruge software og cloudtjenester af europ\u00e6isk oprindelse – et “helt eller slet ikke” – lyder ved f\u00f8rste \u00f8jekast som en klar holdning. Men det er netop, hvad databeskyttelsesekspert Katharina Raabe-Stuppnig advarer imod. Et s\u00e5dant princip er ikke kun upraktisk, men ogs\u00e5 sv\u00e6rt at retf\u00e6rdigg\u00f8re over for myndighederne. I stedet skal enhver beslutning om brug af software eller cloudtjenester tr\u00e6ffes fra sag til sag – afh\u00e6ngigt af, hvor f\u00f8lsomme de behandlede data er, og hvilke specifikke beskyttelsesforanstaltninger der kan tr\u00e6ffes. <\/p>\n\n

      Lad dig ikke lulle ind i en falsk f\u00f8lelse af sikkerhed – selv ikke med Privacy Framework<\/h3>\n\n

      Et andet emne, der i \u00f8jeblikket optager mange virksomheder: Hvad sker der, hvis EU-Domstolen underkender de nye rammer for databeskyttelse<\/strong> mellem EU og USA – som den tidligere har gjort med “Safe Harbour” og “Privacy Shield”? Svaret er klart: Der vil igen opst\u00e5 massiv retsusikkerhed<\/strong>. Det er netop derfor, at Kargl allerede nu r\u00e5der virksomheder til ikke kun at stole p\u00e5 rammerne,<\/strong> men at aftale yderligere standardkontraktbestemmelser (SCC’er)<\/strong>. Disse b\u00f8r altid omfatte en konsekvensanalyse af overf\u00f8rsler (TIA)<\/strong> – dvs. en risikoanalyse af dataoverf\u00f8rsler til tredjelande. <\/p>\n\n

      Advokaten g\u00f8r det dog ogs\u00e5 klart, at hvis Data Privacy Framework rent faktisk falder, og der grundl\u00e6ggende s\u00e6ttes sp\u00f8rgsm\u00e5lstegn ved proportionaliteten af dataoverf\u00f8rsler til USA, vil TIA’er ogs\u00e5 n\u00e5 deres gr\u00e6nser. S\u00e5 hviler h\u00e5bet p\u00e5 supplerende tekniske og organisatoriske foranstaltninger<\/strong> – f\u00f8rst og fremmest kryptering<\/strong>. <\/p>\n\n

      Kryptering: p\u00e5stand og virkelighed afviger fra hinanden<\/h2>\n\n

      Databeskyttelsesmyndighederne og EU-Domstolen kr\u00e6ver en klar l\u00f8sning fra amerikanske cloud-udbydere: Data b\u00f8r kun opbevares i krypteret form<\/strong>, og n\u00f8glen b\u00f8r administreres uden for udbyderen<\/strong> – ideelt set i Europa og under kontrol af den virksomhed, der er ansvarlig for dataene, eller en europ\u00e6isk administrator. Form\u00e5let med denne s\u00e5kaldte “eksterne n\u00f8gleh\u00e5ndtering”<\/strong> er at sikre, at selv i tilf\u00e6lde af adgang fra amerikanske myndigheder som NSA kan kun krypterede, dvs. ubrugelige, data videregives. <\/p>\n\n

      I praksis kan<\/strong> denne type kryptering if\u00f8lge Katharina Raabe-Stuppnig dog kun anvendes til backup-data<\/strong>. S\u00e5 snart data behandles aktivt i hverdagen,<\/strong> er der brug for adgang til ukrypteret materiale. Det er netop her, problemet ligger: Teknologien, der muligg\u00f8r komplet databehandling i krypteret tilstand,<\/strong> findes i \u00f8jeblikket kun i meget begr\u00e6nset omfang<\/strong> – f.eks. til simple beregninger eller estimater i specifikke scenarier. Det tekniske niveau er endnu ikke tilstr\u00e6kkeligt til<\/strong> udbredt brug, som det kr\u00e6ves i \u00f8konomien. <\/p>\n\n

      Europas rolle: muligheder gennem dataloven<\/h2>\n\n

      P\u00e5 trods af disse udfordringer ser advokaten optimistisk p\u00e5 fremtiden: EU’s datalov<\/strong> vil s\u00e6tte en vigtig kurs. Cloud-udbydere skal forpligtes til at muligg\u00f8re multi-cloud-strategier<\/strong>, dvs. at underst\u00f8tte let skift mellem udbydere – uden h\u00f8je skifteomkostninger. Dette vil aktivt arbejde for at styrke den europ\u00e6iske suver\u00e6nitet i det digitale rum<\/strong> og skabe flere alternativer til amerikanske hyperscalere<\/strong> p\u00e5 lang sigt. <\/p>\n\n

      Sp\u00f8rgsm\u00e5let er, om Europa med tiden<\/strong> vil v\u00e6re i stand til at handle mere uafh\u00e6ngigt og sikkert i det digitale rum. Raabe-Stuppnig er ikke desto mindre fortr\u00f8stningsfuld: “Den politiske vilje er der – og med m\u00e5lrettet st\u00f8tte og regulering kan der snart opst\u00e5 levedygtige europ\u00e6iske alternativer. <\/p>\n\n

      Det er hverken praktisk muligt eller lovpligtigt at give afkald p\u00e5 tredjelandsl\u00f8sninger. Virksomheder skal n\u00f8je afveje, hvor f\u00f8lsomme deres data er, hvilke partnere der er egnede – og hvilke specifikke beskyttelsesforanstaltninger, de kan implementere. De, der allerede benytter sig af SCC’er, TIA’er og kryptering<\/strong>, er ikke kun p\u00e5 den sikre side rent juridisk, men styrker ogs\u00e5 Europas position i den digitale konkurrence. <\/p>\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Databeskyttelse i Europa – sproof<\/p>\n","protected":false},"author":6,"featured_media":37610,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1409],"tags":[],"class_list":["post-37608","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-jura-forretning-og-skat"],"acf":[],"_links":{"self":[{"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/posts\/37608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/comments?post=37608"}],"version-history":[{"count":4,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/posts\/37608\/revisions"}],"predecessor-version":[{"id":157834,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/posts\/37608\/revisions\/157834"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/media\/37610"}],"wp:attachment":[{"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/media?parent=37608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/categories?post=37608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/da\/wp-json\/wp\/v2\/tags?post=37608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}