{"id":93372,"date":"2025-08-27T10:58:32","date_gmt":"2025-08-27T10:58:32","guid":{"rendered":"https:\/\/wp-staging.sproof.com\/dataskyddslagstiftning-i-forandring-ett-samtal-med-experten-katharina-raabe-stuppnig\/"},"modified":"2026-03-23T21:55:40","modified_gmt":"2026-03-23T21:55:40","slug":"dataskyddslagstiftning-i-forandring-ett-samtal-med-experten-katharina-raabe-stuppnig","status":"publish","type":"post","link":"https:\/\/wp-staging.sproof.com\/sv\/dataskyddslagstiftning-i-forandring-ett-samtal-med-experten-katharina-raabe-stuppnig\/","title":{"rendered":"Dataskyddslagstiftning i f\u00f6r\u00e4ndring: En intervju med experten Katharina Raabe-Stuppnig"},"content":{"rendered":"\n
\"Katharina<\/figure>
\n

Med mer \u00e4n 15 \u00e5rs erfarenhet som jurist, sin roll som medgrundare av en r\u00e5dgivande kommitt\u00e9 f\u00f6r dataskydd och sitt aktiva deltagande i f\u00f6rfaranden inf\u00f6r EU-domstolen – tillsammans med Max Schrems och Thomas Lohninger – \u00e4r Katharina Raabe-Stuppnig en av de mest inflytelserika r\u00f6sterna inom europeisk dataskyddslagstiftning. P\u00e5 sin advokatbyr\u00e5 p\u00e5 Wickenburggasse i Wien ber\u00e4ttar hon om sin karri\u00e4r, utmaningarna med GDPR och den v\u00e4xande komplexiteten i EU:s nya digitala lagar. <\/p>\n<\/div><\/div>\n\n

Fr\u00e5n medier\u00e4tt till dataskydd: expert i \u00d6sterrike<\/h2>\n\n

Katharina Raabe-Stuppnig inledde sin karri\u00e4r inom medier\u00e4tt. Hon gav r\u00e5d till f\u00f6rlag och telekommunikationsf\u00f6retag i fr\u00e5gor som r\u00f6rde konkurrensr\u00e4tt, reklam och medieansvar. Bryggan till dataskydd kom n\u00e4stan automatiskt: “M\u00e5nga klienter kom till mig och sa: Du k\u00e4nner till v\u00e5ra processer och v\u00e5r intresseavv\u00e4gning – kan du ocks\u00e5 hj\u00e4lpa oss med dataskydd?” <\/p>\n\n

N\u00e4r GDPR tr\u00e4dde i kraft hamnade dataskyddet mer i centrum av f\u00f6retagens verklighet. B\u00f6tesbelopp i miljonklassen \u00f6kade trycket. F\u00f6retagen beh\u00f6vde tydliga koncept – och f\u00f6rlitade sig p\u00e5 befintliga partnerskap. Som ett resultat av detta utvecklades dataskyddslagstiftningen fr\u00e5n en perifer fr\u00e5ga till ett centralt fokus f\u00f6r deras verksamhet. <\/p>\n\n

\n

“Min \u00f6nskan skulle vara att st\u00e4rka den europeiska ekonomin – genom europeiska alternativ. Den digitala strategin och datalagen \u00e4r p\u00e5 v\u00e4g i r\u00e4tt riktning. Fr\u00e5gan \u00e4r bara: kommer det att komma i tid?”<\/p>\n\n\n\n

Mag. Kathrina Raabe-Stuppnig<\/p>\n<\/blockquote>\n\n

Dataskydd som m\u00f6jligg\u00f6rare<\/h2>\n\n

Sedan inf\u00f6randet av GDPR 2018 har behovet av juridiskt st\u00f6d \u00f6kat enormt – och \u00e4r fortsatt stort. Detta beror inte minst p\u00e5 att f\u00f6rordningen inte g\u00f6r n\u00e5gon skillnad mellan stora och sm\u00e5 f\u00f6retag. Alla m\u00e5ste uppfylla samma standarder. <\/p>\n\n

“Ett fungerande system f\u00f6r hantering av dataskydd \u00e4r en verklig m\u00f6jligg\u00f6rare idag”, f\u00f6rklarar Raabe-Stuppnig. “Det ger f\u00f6retagen en \u00f6verblick \u00f6ver system, processer och risker – och utg\u00f6r grunden f\u00f6r optimering och \u00f6kad effektivitet.” <\/p>\n\n

Samtidigt blir milj\u00f6n alltmer komplex: ny lagstiftning som NIS-2, Cyber Resilience Act, AI Act och Data Act st\u00e4ller ytterligare krav p\u00e5 f\u00f6retag – inom alla sektorer. De som redan har skapat en stabil grund f\u00f6r dataskydd har nu en klar f\u00f6rdel. <\/p>\n\n

Strategier f\u00f6r den digitala omvandlingen<\/h3>\n\n

De fr\u00e5gor som f\u00f6retag v\u00e4nder sig till byr\u00e5n med idag \u00e4r m\u00e5nga och varierande:<\/p>\n\n

    \n
  • Hur p\u00e5verkar NIS-2 mig om jag \u00e4r leverant\u00f6r av kritisk infrastruktur?<\/li>\n\n\n\n
  • Vilka policyer beh\u00f6ver jag f\u00f6r AI-lagen?<\/li>\n\n\n\n
  • Hur hanterar jag nya r\u00e4ttigheter till tillg\u00e5ng till uppgifter enligt datalagen – utan att \u00e4ventyra den niv\u00e5 av dataskydd som jag hittills har byggt upp?<\/li>\n<\/ul>\n\n

    F\u00f6rutom juridiska bed\u00f6mningar spelar strategiska fr\u00e5gor en allt viktigare roll: Var ska ansvarsomr\u00e5dena f\u00f6rdelas inom f\u00f6retaget? Hur kan efterlevnad, cybers\u00e4kerhet och innovationsf\u00f6rm\u00e5ga harmoniseras? Raabe-Stuppnig och hennes team hj\u00e4lper inte bara f\u00f6retagen med implementeringen, utan \u00e4ven med att positionera sig inom det nya regelverket. <\/p>\n\n

    EU vs. USA: Olika grundinst\u00e4llningar<\/h2>\n\n

    Anv\u00e4ndningen av programvara fr\u00e5n tredje land – t.ex. av amerikanska hyperscalers – \u00e4r en s\u00e4rskilt k\u00e4nslig fr\u00e5ga. \u00c4ven om det finns lagar om dataskydd \u00e4ven i USA, f\u00f6rklarar Raabe-Stuppnig, g\u00e4ller skyddet i f\u00f6rsta hand amerikanska medborgare. F\u00f6r EU-medborgare \u00e4r dessa best\u00e4mmelser betydligt svagare. <\/p>\n\n

    “Problemet ligger i viktningen: NSA:s s\u00e4kerhetsintressen har ofta f\u00f6retr\u00e4de framf\u00f6r dataskyddet f\u00f6r icke-amerikaner. EU-domstolen har redan fastst\u00e4llt denna oproportionerlighet tv\u00e5 g\u00e5nger – och d\u00e4rmed upph\u00e4vt centrala principer som Safe Harbour och Privacy Shield.”<\/p>\n\n

    F\u00f6r\u00e4ndring i medvetenhet i Europa sedan 2018<\/h3>\n\n

    Sedan GDPR tr\u00e4dde i kraft har medvetenheten i Europa f\u00f6r\u00e4ndrats p\u00e5tagligt. F\u00f6retagen \u00e4r nu mycket mer k\u00e4nsliga n\u00e4r det g\u00e4ller hanteringen av personuppgifter. Den mediala uppm\u00e4rksamheten kring dataskyddsdomar och framtr\u00e4dande fall har spelat en viktig roll i detta. <\/p>\n\n

    “Vi har skapat en guldstandard f\u00f6r dataskydd i Europa”, sammanfattar Raabe-Stuppnig. “Och det \u00e4r gl\u00e4djande att se hur m\u00e5nga f\u00f6retag som aktivt str\u00e4var efter att inte bara uppfylla denna standard, utan \u00e4ven anv\u00e4nda den som en konkurrensf\u00f6rdel.” <\/p>\n\n

    Varf\u00f6r \u00e4r data\u00f6verf\u00f6ring till USA s\u00e5 k\u00e4nslig – och hur ser r\u00e4ttsl\u00e4get ut i EU idag?<\/h3>\n\n

    Debatten om dataskydd mellan EU och USA \u00e4r komplex – och framf\u00f6r allt mycket dynamisk ur ett juridiskt perspektiv. Till skillnad fr\u00e5n l\u00e4nder som Schweiz, f\u00f6r vilka EU-kommissionen har utf\u00e4rdat ett s.k. adekvansbeslut, var och \u00e4r situationen i USA betydligt mer komplicerad. I ett s\u00e5dant beslut anges att personuppgifter f\u00e5r \u00f6verf\u00f6ras till ett tredje land eftersom dataskyddsniv\u00e5n d\u00e4r \u00e4r j\u00e4mf\u00f6rbar med den i EU. I l\u00e4nder som Kina eller Ryssland – och under l\u00e5ng tid \u00e4ven i USA – fanns inget s\u00e5dant beslut. <\/p>\n\n

    Databehandling i USA – en juridisk balansg\u00e5ng<\/h4>\n\n

    S\u00e5 snart f\u00f6retag samarbetar med tj\u00e4nsteleverant\u00f6rer f\u00f6r databehandling i t.ex. USA m\u00e5ste de vidta ytterligare skydds\u00e5tg\u00e4rder f\u00f6r att uppr\u00e4tth\u00e5lla den niv\u00e5 av dataskydd som kr\u00e4vs enligt GDPR. Detta inneb\u00e4r mer arbete, fler obligatoriska kontroller – och st\u00f6rre risker. <\/p>\n\n

    Ett praktiskt exempel: \u00e4ven om du v\u00e4ljer en serverplats inom EU f\u00f6r amerikanska molnleverant\u00f6rer finns problemet kvar – till exempel om det europeiska dotterbolaget kontrolleras av ett amerikanskt moderbolag. I en n\u00f6dsituation kan amerikanska myndigheter som NSA kr\u00e4va att f\u00e5 tillg\u00e5ng till uppgifterna – \u00e4ven via en intern kommandokedja. En serverplacering i EU minskar risken, men utesluter den inte helt och h\u00e5llet. <\/p>\n\n

    Fr\u00e5n Safe Harbour till ramverket f\u00f6r datasekretess: en tillbakablick<\/h4>\n\n

    Historien om dataskyddsavtalen mellan EU och USA liknar en serie juridiska bakslag:<\/p>\n\n

      \n
    • Safe Harbor var det f\u00f6rsta avtalet som p\u00e5 frivillig basis inf\u00f6rde vissa dataskyddsstandarder f\u00f6r amerikanska f\u00f6retag. Det upph\u00e4vdes 2015 genom domen i m\u00e5let Schrems I. <\/li>\n\n\n\n
    • Privacy Shield var efterf\u00f6ljaren – en reviderad version av Safe Harbour. \u00c4ven detta avtal ogiltigf\u00f6rklarades dock av EU-domstolen i Schrems II-domen 2020. <\/li>\n\n\n\n
    • Som svar p\u00e5 detta tr\u00e4dde Data Privacy Framework i kraft, p\u00e5 grundval av vilket EU-kommissionen \u00e5terigen antog ett beslut om adekvat skyddsniv\u00e5 f\u00f6r USA.<\/li>\n<\/ul>\n\n

      Det nya beslutet bygger dock \u00e5terigen p\u00e5 skakiga grunder<\/h4>\n\n

      Detta beror p\u00e5 att Data Privacy Framework baseras p\u00e5 en exekutiv<\/strong> order fr\u00e5n USA:s president – med andra ord en order som teoretiskt sett kan \u00e5terkallas n\u00e4r som helst.<\/strong> Kritikerna tvivlar d\u00e4rf\u00f6r p\u00e5 den l\u00e5ngsiktiga stabiliteten i detta ramverk. En st\u00e4mningsans\u00f6kan mot beslutet om adekvat skyddsniv\u00e5 har redan l\u00e4mnats in till EU-domstolen – utfallet \u00e4r ovisst. <\/p>\n\n

      Dessutom \u00e4r den ansvariga amerikanska tillsynsmyndigheten, PCLOB<\/strong>, f\u00f6r n\u00e4rvarande of\u00f6rm\u00f6gen att agera eftersom tre av dess fem direkt\u00f6rer avskedades av den tidigare presidenten Trump. Resultatet \u00e4r en stor os\u00e4kerhet<\/strong> om hur stabil dataskyddsmekanismen i USA egentligen \u00e4r. <\/p>\n\n

      Hur viktigt \u00e4r ramverket f\u00f6r datasekretess f\u00f6r f\u00f6retag i EU?<\/h2>\n\n

      Om du planerar p\u00e5 l\u00e5ng sikt och vill fokusera p\u00e5 datas\u00e4kerhet b\u00f6r du inte lita blint p\u00e5 ramverket f\u00f6r datasekretess. Precis som tidigare kan den r\u00e4ttsliga situationen f\u00f6r\u00e4ndras snabbt. Kostnaden f\u00f6r konsekvensbed\u00f6mningar av data\u00f6verf\u00f6ring (TIA)<\/strong> \u00e4r h\u00f6g, och \u00f6vertr\u00e4delser kan leda till str\u00e4nga straff p\u00e5 upp till 4 % av den globala \u00e5rsoms\u00e4ttningen<\/strong>. <\/p>\n\n

      USA:s molntj\u00e4nster \u00e4r (fortfarande) anv\u00e4ndbara – men inte utan risk<\/h2>\n\n

      Molntj\u00e4nster fr\u00e5n amerikanska leverant\u00f6rer kan f\u00f6r n\u00e4rvarande anv\u00e4ndas i enlighet med **dataskyddsbest\u00e4mmelser, f\u00f6rutsatt att **l\u00e4mpliga skydds\u00e5tg\u00e4rder som standardavtalsklausuler<\/strong> och tekniska s\u00e4kerhets\u00e5tg\u00e4rder<\/strong> genomf\u00f6rs. Men det finns fortfarande en kvarst\u00e5ende risk. Det \u00e4r s\u00e4rskilt problematiskt att det fortfarande inte finns n\u00e5gon end-to-end-kryptering som \u00e4r l\u00e4mplig f\u00f6r daglig<\/strong> anv\u00e4ndning f\u00f6r alla typer av anv\u00e4ndning – till exempel f\u00f6r den p\u00e5g\u00e5ende behandlingen av data (“data in use”). <\/p>\n\n

      Anv\u00e4ndningen av amerikanska tj\u00e4nster b\u00f6r d\u00e4rf\u00f6r alltid bed\u00f6mas individuellt:<\/strong> Hur k\u00e4nsliga \u00e4r de uppgifter som behandlas? Vilka s\u00e4kerhets\u00e5tg\u00e4rder vidtas? Och i vilken utstr\u00e4ckning kan f\u00f6retaget faktiskt minska riskerna? <\/p>\n\n

      Mellan svart och vitt och realism: hur f\u00f6retag ska hantera dataskydd och molnleverant\u00f6rer<\/h2>\n\n

      Fr\u00e5gan om huruvida f\u00f6retag endast ska anv\u00e4nda programvara och molntj\u00e4nster med europeiskt ursprung – ett “helt eller inte alls” – l\u00e5ter vid f\u00f6rsta anblicken som ett tydligt st\u00e4llningstagande. Men det \u00e4r just detta som dataskyddsexperten Katharina Raabe-Stuppnig varnar f\u00f6r. En s\u00e5dan princip \u00e4r inte bara opraktisk, utan ocks\u00e5 sv\u00e5r att motivera f\u00f6r myndigheterna. Ist\u00e4llet m\u00e5ste varje beslut om anv\u00e4ndning av programvara eller molntj\u00e4nster fattas fr\u00e5n fall till fall – beroende p\u00e5 hur k\u00e4nsliga de behandlade uppgifterna \u00e4r och vilka specifika skydds\u00e5tg\u00e4rder som kan vidtas. <\/p>\n\n

      L\u00e5t dig inte invaggas i en falsk k\u00e4nsla av s\u00e4kerhet – inte ens med Privacy Framework<\/h3>\n\n

      Ett annat \u00e4mne som just nu syssels\u00e4tter m\u00e5nga f\u00f6retag: Vad h\u00e4nder om EG-domstolen upph\u00e4ver det nya ramverket f\u00f6r dataskydd<\/strong> mellan EU och USA – som den tidigare gjort med “Safe Harbour” och “Privacy Shield”? Svaret \u00e4r tydligt: en enorm r\u00e4ttsos\u00e4kerhet<\/strong> skulle uppst\u00e5 igen. Det \u00e4r just d\u00e4rf\u00f6r som Kargl redan nu r\u00e5der f\u00f6retag att inte enbart f\u00f6rlita sig p\u00e5 ramverket<\/strong>, utan att komma \u00f6verens om ytterligare standardavtalsklausuler (SCC)<\/strong>. Dessa b\u00f6r alltid inneh\u00e5lla en konsekvensbed\u00f6mning av \u00f6verf\u00f6ringen (TIA)<\/strong> – dvs. en riskanalys av data\u00f6verf\u00f6ringen till tredje land. <\/p>\n\n

      Advokaten klarg\u00f6r dock ocks\u00e5 att om Data Privacy Framework faktiskt skulle falla och proportionaliteten i \u00f6verf\u00f6ringen av uppgifter till USA i grunden skulle ifr\u00e5gas\u00e4ttas, skulle \u00e4ven TIA n\u00e5 sina gr\u00e4nser. Hoppet st\u00e5r d\u00e5 till kompletterande tekniska och organisatoriska \u00e5tg\u00e4rder<\/strong> – framf\u00f6r allt kryptering<\/strong>. <\/p>\n\n

      Kryptering: P\u00e5st\u00e5ende och verklighet skiljer sig \u00e5t<\/h2>\n\n

      Dataskyddsmyndigheterna och EU-domstolen kr\u00e4ver en tydlig l\u00f6sning fr\u00e5n amerikanska molnleverant\u00f6rer: data ska endast lagras i krypterad form<\/strong> och nyckeln ska hanteras utanf\u00f6r leverant\u00f6ren<\/strong> – helst i Europa och under kontroll av det f\u00f6retag som ansvarar f\u00f6r data eller en europeisk f\u00f6rvaltare. Syftet med denna s\u00e5 kallade “external key management”-l\u00f6sning<\/strong> \u00e4r att s\u00e4kerst\u00e4lla att endast krypterad, dvs. oanv\u00e4ndbar, data kan vidarebefordras \u00e4ven om amerikanska myndigheter som NSA skulle f\u00e5 tillg\u00e5ng till den. <\/p>\n\n

      Enligt Katharina Raabe-Stuppnig kan<\/strong> denna typ av kryptering dock i praktiken endast anv\u00e4ndas f\u00f6r s\u00e4kerhetskopiering<\/strong> av data<\/strong>. S\u00e5 snart data aktivt bearbetas i vardagen<\/strong> kr\u00e4vs tillg\u00e5ng till okrypterat material. Det \u00e4r just h\u00e4r problemet ligger: Tekniken som m\u00f6jligg\u00f6r fullst\u00e4ndig databehandling i krypterat tillst\u00e5nd<\/strong> finns f\u00f6r n\u00e4rvarande bara i mycket begr\u00e4nsad omfattning<\/strong> – till exempel f\u00f6r enkla ber\u00e4kningar eller uppskattningar i specifika scenarier. Tekniken \u00e4r \u00e4nnu inte tillr\u00e4ckligt<\/strong> utvecklad f\u00f6r att kunna anv\u00e4ndas i s\u00e5 stor utstr\u00e4ckning som kr\u00e4vs i ekonomin. <\/p>\n\n

      EU:s roll: m\u00f6jligheter genom datalagen<\/h2>\n\n

      Trots dessa utmaningar ser advokaten optimistiskt p\u00e5 framtiden: EU:s datalag<\/strong> kommer att bli en viktig v\u00e4gvisare. Molnleverant\u00f6rer kommer att vara skyldiga att m\u00f6jligg\u00f6ra multicloud-strategier<\/strong>, dvs. att st\u00f6dja enkelt byte mellan leverant\u00f6rer – utan h\u00f6ga byteskostnader. Detta kommer aktivt att bidra till att st\u00e4rka den europeiska suver\u00e4niteten i det digitala rummet<\/strong> och skapa fler alternativ till amerikanska hyperscalers<\/strong> p\u00e5 l\u00e5ng sikt. <\/p>\n\n

      Fr\u00e5gan \u00e4r om Europa kommer att kunna agera mer sj\u00e4lvst\u00e4ndigt och s\u00e4kert i det digitala rummet med tiden<\/strong>. Raabe-Stuppnig \u00e4r \u00e4nd\u00e5 \u00f6vertygad: “Den politiska viljan finns d\u00e4r – och med riktat st\u00f6d och reglering kan det snart uppst\u00e5 livskraftiga europeiska alternativ. <\/p>\n\n

      Att generellt avst\u00e5 fr\u00e5n l\u00f6sningar fr\u00e5n tredje land \u00e4r varken praktiskt genomf\u00f6rbart eller juridiskt n\u00f6dv\u00e4ndigt. F\u00f6retagen m\u00e5ste noga \u00f6verv\u00e4ga hur k\u00e4nsliga deras uppgifter \u00e4r, vilka partners som \u00e4r l\u00e4mpliga – och vilka specifika skydds\u00e5tg\u00e4rder de kan vidta. De som redan f\u00f6rlitar sig p\u00e5 SCC, TIA och kryptering<\/strong> \u00e4r inte bara p\u00e5 den s\u00e4kra sidan juridiskt, utan st\u00e4rker ocks\u00e5 Europas position i den digitala konkurrensen. <\/p>\n\n

      <\/p>\n","protected":false},"excerpt":{"rendered":"

      Dataskydd i Europa – sproof<\/p>\n","protected":false},"author":6,"featured_media":93373,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1405],"tags":[],"class_list":["post-93372","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-juridik-foeretagande-och-skatter"],"acf":[],"_links":{"self":[{"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/posts\/93372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/comments?post=93372"}],"version-history":[{"count":3,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/posts\/93372\/revisions"}],"predecessor-version":[{"id":157827,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/posts\/93372\/revisions\/157827"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/media\/93373"}],"wp:attachment":[{"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/media?parent=93372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/categories?post=93372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wp-staging.sproof.com\/sv\/wp-json\/wp\/v2\/tags?post=93372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}