Met meer dan 15 jaar ervaring als advocaat, haar rol als medeoprichter van een adviesraad voor gegevensbescherming en haar actieve deelname aan procedures voor het Europees Hof van Justitie – samen met Max Schrems en Thomas Lohninger – is Katharina Raabe-Stuppnig een van de invloedrijkste stemmen in de Europese wetgeving op het gebied van gegevensbescherming. In haar advocatenkantoor in de Wickenburggasse in Wenen praat ze over haar professionele pad, de uitdagingen van de GDPR en de toenemende complexiteit als gevolg van nieuwe digitale EU-wetten.
Van mediawet tot gegevensbescherming: Expert in Oostenrijk
Katharina Raabe-Stuppnig begon haar carrière in het mediarecht. Ze adviseerde uitgeverijen en telecommunicatiebedrijven over mededingingsrecht, reclame en mediaverantwoordelijkheid. De brug naar gegevensbescherming was bijna automatisch: “Veel klanten benaderden me en zeiden: Jij kent onze processen en onze belangenafweging – kun je ons ook ondersteunen met gegevensbescherming?”
Toen de GDPR van kracht werd, kwam gegevensbescherming meer centraal te staan in de bedrijfsrealiteit. Miljoenenboetes verhoogden de druk. Bedrijven hebben behoefte aan duidelijke concepten – en vertrouwen op bestaande partnerschappen. Als gevolg daarvan ontwikkelde het gegevensbeschermingsrecht zich van een marginaal onderwerp tot de centrale focus van haar werk.
“Mijn wens zou zijn om de Europese economie te versterken – door Europese alternatieven. De digitale strategie en de Data Act zijn een stap in de goede richting. De vraag is alleen: komt het op tijd?”
Mag. Kathrina Raabe-Stuppnig
Gegevensbescherming als facilitator
Sinds de invoering van de GDPR in 2018 is de behoefte aan juridische ondersteuning enorm toegenomen – en blijft groot. Dit komt niet in de laatste plaats doordat de verordening geen onderscheid maakt tussen grote bedrijven en kleine bedrijven. Ze moeten allemaal aan dezelfde normen voldoen.
“Een goed functionerend beheersysteem voor gegevensbescherming is vandaag de dag een echte enabler”, legt Raabe-Stuppnig uit. “Het geeft bedrijven een overzicht van systemen, processen en risico’s – en vormt de basis voor optimalisatie en efficiëntieverhoging.”
Tegelijkertijd wordt de omgeving steeds complexer: nieuwe wetgeving zoals NIS-2, de Cyber Resilience Act, de AI Act of de Data Act stelt extra eisen aan bedrijven – in alle sectoren. Degenen die al een stabiel fundament voor gegevensbescherming hebben gelegd, hebben een duidelijk voordeel.
Strategieën voor digitale transformatie
De vragen waarmee bedrijven zich vandaag tot het advocatenkantoor wenden, zijn talrijk:
- Wat betekent NIS-2 voor mij als leverancier van kritieke infrastructuur?
- Welke beleidsregels heb ik nodig voor de AI Act?
- Hoe ga ik om met nieuwe toegangsrechten voor gegevens volgens de Data Act – zonder het niveau van gegevensbescherming dat ik tot nu toe heb opgebouwd in gevaar te brengen?
Naast juridische beoordelingen spelen strategische vragen een steeds belangrijkere rol: Waar moeten verantwoordelijkheden in het bedrijf worden ondergebracht? Hoe breng je compliance, cyberbeveiliging en innovatie in balans? Raabe-Stuppnig en haar team ondersteunen bedrijven niet alleen bij de implementatie, maar ook bij de positionering binnen het nieuwe wettelijke kader.
EU vs. VS: verschillende basishoudingen
Een bijzonder gevoelige kwestie is het gebruik van software uit derde landen – bijvoorbeeld door Amerikaanse hyperscalers. Hoewel er in de VS ook wetten voor gegevensbescherming zijn, zegt Raabe-Stuppnig, geldt de bescherming voornamelijk voor Amerikaanse burgers. Voor EU-burgers zijn deze regels veel zwakker.
“Het probleem zit hem in de weging: De veiligheidsbelangen van de NSA gaan vaak boven de gegevensbescherming van niet-Amerikanen. Het Europees Hof van Justitie heeft deze disproportionaliteit al twee keer vastgesteld – en daarmee centrale principes zoals Safe Harbor en Privacy Shield omvergeworpen.”
Verandering in bewustzijn in Europa sinds 2018
Sinds de GDPR van kracht is, is het bewustzijn in Europa merkbaar veranderd. Bedrijven gaan tegenwoordig veel gevoeliger om met persoonlijke gegevens. De media-aandacht rond uitspraken over gegevensbescherming en spraakmakende zaken heeft hierin een centrale rol gespeeld.
“We hebben een gouden standaard voor gegevensbescherming in Europa gecreëerd”, vat Raabe-Stuppnig samen. “En het is verheugend om te zien hoeveel bedrijven er actief naar streven om niet alleen aan deze standaard te voldoen, maar deze ook te gebruiken als concurrentievoordeel.”
Wat maakt gegevensoverdracht naar de VS zo gevoelig – en wat is op dit moment de juridische situatie in de EU?
Het debat over gegevensbescherming tussen de EU en de VS is complex en vooral juridisch gezien zeer dynamisch. In tegenstelling tot landen als Zwitserland, waarvoor een zogenaamde adequaatheidsbeschikking van de EU-Commissie is afgegeven, was en is de situatie met de VS veel gecompliceerder. In zo’n besluit staat dat persoonsgegevens mogen worden doorgegeven aan een derde land omdat het niveau van gegevensbescherming daar vergelijkbaar is met dat van de EU. In landen als China of Rusland – en lange tijd ook in de VS – ontbrak een dergelijk besluit.
Gegevensverwerking in de VS – een juridische evenwichtsoefening
Zodra bedrijven bijvoorbeeld werken met dienstverleners voor gegevensverwerking in de VS, moeten ze extra beschermende maatregelen nemen om het door de GDPR vereiste niveau van gegevensbescherming te handhaven. Dit betekent meer inspanning, meer controleplicht – en meer risico.
Een praktisch voorbeeld: Zelfs als je voor Amerikaanse cloudproviders een serverlocatie binnen de EU kiest, blijft het probleem bestaan – bijvoorbeeld als de Europese dochteronderneming ondergeschikt is aan een Amerikaans moederbedrijf. In geval van nood kunnen Amerikaanse autoriteiten zoals de NSA toegang eisen tot de gegevens – ook via een interne commandostructuur. Een serverlocatie in de EU vermindert het risico, maar sluit het niet volledig uit.
Van Safe Harbor tot het Data Privacy Framework: Een overzicht
De geschiedenis van de gegevensbeschermingsovereenkomsten tussen de EU en de VS leest als een aaneenschakeling van juridische tegenslagen:
- Safe Harbor was de eerste overeenkomst die vrijwillig bepaalde gegevensbeschermingsnormen oplegde aan Amerikaanse bedrijven. Het werd in 2015 vernietigd door het Schrems I-arrest.
- Privacy Shield was de opvolger – een herziene versie van Safe Harbor. Maar ook deze overeenkomst werd in 2020 door het Europees Hof van Justitie ongeldig verklaard in het Schrems II-arrest.
- Als reactie hierop werd het Data Privacy Framework van kracht, op basis waarvan de EU Commissie opnieuw een adequaatheidsbesluit voor de VS heeft aangenomen.
Het nieuwe besluit heeft echter opnieuw een wankele basis
Dit komt omdat het Data Privacy Framework gebaseerd is op een uitvoerend bevel van de Amerikaanse president – d.w.z. een bevel dat theoretisch op elk moment kan worden ingetrokken. Critici twijfelen daarom aan de stabiliteit van dit kader op de lange termijn. Er is al een rechtszaak tegen de adequaatheidbeschikking aangespannen bij het Europese Hof van Justitie – de uitkomst is nog niet bekend.
Bovendien kan de verantwoordelijke Amerikaanse toezichthouder PCLOB momenteel niet optreden omdat drie van zijn vijf managers zijn ontslagen door ex-president Trump. Het resultaat: grote onzekerheid over hoe stabiel het mechanisme voor gegevensbescherming in de VS werkelijk is.
Hoe belangrijk is het Data Privacy Framework voor bedrijven in de EU?
Als je plannen maakt voor de lange termijn en je wilt focussen op gegevensbeveiliging, moet je niet blind vertrouwen op het Data Privacy Framework. De juridische situatie kan snel veranderen – net als in het verleden. Data Transfer Impact Assessments (TIA) vergen veel inspanning en overtredingen kunnen leiden tot zware boetes: tot 4% van de wereldwijde jaaromzet.
Amerikaanse clouddiensten zijn (nog steeds) bruikbaar – maar niet zonder risico
Op dit moment kunnen clouddiensten van Amerikaanse providers worden gebruikt in overeenstemming met de regelgeving voor gegevensbescherming, op voorwaarde dat passende beschermende maatregelen zoals standaard contractuele clausules en technische beveiligingsmaatregelen worden geïmplementeerd. Maar er blijft een restrisico. Het is vooral problematisch dat er nog steeds geen end-to-end encryptie is die geschikt is voor dagelijks gebruik voor alle soorten gebruik – bijvoorbeeld bij de lopende verwerking van gegevens (“gegevens in gebruik”).
Het gebruik van Amerikaanse diensten moet daarom altijd individueel worden beoordeeld: hoe gevoelig zijn de verwerkte gegevens? Welke veiligheidsmaatregelen worden er genomen? En in hoeverre is het bedrijf in staat om risico’s daadwerkelijk op te vangen?
Tussen zwart-wit en realisme: hoe bedrijven moeten omgaan met gegevensbescherming en cloudproviders
De vraag of bedrijven alleen software en clouddiensten van Europese oorsprong mogen gebruiken – een “alles of niets” – klinkt op het eerste gezicht als een duidelijk standpunt. Maar dit is precies waar gegevensbeschermingsdeskundige Katharina Raabe-Stuppnig voor waarschuwt. Een dergelijk principe is niet alleen onpraktisch, maar ook moeilijk te rechtvaardigen voor autoriteiten. In plaats daarvan moet elke beslissing om software of clouddiensten te gebruiken per geval worden genomen – afhankelijk van hoe gevoelig de verwerkte gegevens zijn en welke beschermingsmaatregelen concreet kunnen worden genomen.
Laat je niet verleiden tot een vals gevoel van veiligheid, zelfs niet met Privacy Framework
Een ander onderwerp dat veel bedrijven momenteel bezighoudt: Wat gebeurt er als het Europese Hof van Justitie (HvJ) het nieuwe Data Privacy Framework tussen de EU en de VS ongedaan maakt – zoals eerder “Safe Harbor” en “Privacy Shield”? Het antwoord hierop is duidelijk: er zou opnieuw enorme rechtsonzekerheid ontstaan. Dit is precies de reden waarom Kargl bedrijven nu al adviseert om niet uitsluitend op het kader te vertrouwen, maar om daarnaast standaard contractuele clausules (SCC’s) af te spreken. Deze moeten altijd een zogenaamde Transfer Impact Assessment (TIA) bevatten – d.w.z. een risicoanalyse voor gegevensoverdracht naar derde landen.
Maar de advocaat maakt het ook duidelijk: als het Data Privacy Framework daadwerkelijk zou vallen en daarmee de proportionaliteit van gegevensoverdracht naar de VS fundamenteel in twijfel zou worden getrokken, zouden ook TIA’s hun grenzen bereiken. De hoop is dan gevestigd op aanvullende technische en organisatorische maatregelen – vooral encryptie.
Encryptie: Aspiratie en realiteit lopen uiteen
De gegevensbeschermingsautoriteiten en het Europees Hof van Justitie eisen een duidelijke oplossing van Amerikaanse cloudproviders: gegevens mogen alleen versleuteld worden opgeslagen en de sleutel moet buiten de provider worden beheerd – idealiter in Europa en onder controle van het bedrijf dat verantwoordelijk is voor de gegevens of een Europese trustee. Het doel van deze zogenaamde “externe sleutelbeheer”-oplossing is om ervoor te zorgen dat zelfs in het geval van toegang door Amerikaanse autoriteiten zoals de NSA, alleen versleutelde, d.w.z. onbruikbare, gegevens kunnen worden doorgegeven.
In de praktijk kan dit type versleuteling volgens Katharina Raabe-Stuppnig echter alleen echt worden geïmplementeerd voor back-upgegevens. Zodra gegevens
De rol van Europa: Kansen door de Data Act
Ondanks deze uitdagingen is de advocaat optimistisch over de toekomst: De EU Data Act zet een belangrijke koers uit. Cloudproviders worden verplicht om multicloudstrategieën mogelijk te maken, d.w.z. om het probleemloos overstappen tussen providers te ondersteunen – zonder hoge overstapkosten. Dit is een actieve inspanning om de Europese soevereiniteit in de digitale ruimte te versterken en op de lange termijn meer alternatieven te creëren voor Amerikaanse hyperscalers.
De vraag blijft of Europa dit nog op tijd zal kunnen om onafhankelijker en veiliger te kunnen handelen in de digitale ruimte. Toch is mevrouw Raabe-Stuppnig vol vertrouwen: De politieke wil is er – en met gerichte financiering en regelgeving zouden er snel levensvatbare Europese alternatieven kunnen komen.
Een algemeen afzien van oplossingen uit derde landen is praktisch noch wettelijk verplicht. Bedrijven moeten zorgvuldig afwegen hoe gevoelig hun gegevens zijn, welke partners geschikt zijn – en welke beschermingsmaatregelen ze concreet kunnen implementeren. Degenen die al vertrouwen op SCC’s, TIA’s en encryptie zitten niet alleen juridisch aan de veilige kant, maar versterken ook hun Europese positie in de digitale concurrentie.
