Resolution für grenzüberschreitenden Datenverkehr
Auf der diesjährigen Global Privacy Assembly (GPA), die vom 28.10.2024 bis zum 01.11.2024 auf Jersey stattfand, haben Datenschutzbehörden weltweit über die Zukunft und die Standards für den internationalen Datentransfer diskutiert. Ein zentrales Ergebnis war die Verabschiedung einer Resolution für vertrauenswürdigen grenzüberschreitenden Datenverkehr (Data Free Flow with Trust, DFFT). Diese von der deutschen Delegation unter Leitung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), Louisa Specht-Riemenschneider, angestoßene und gemeinsam mit dem Europäischen Datenschutzbeauftragten (EDSB) erarbeitete Resolution legt die Grundlagen für eine vertrauenswürdige Datenübermittlung.
Global Privacy Assembly
Bei der GPA handelt es sich um eine Versammlung internationaler Datenschutzaufsichtsbehörden. Mit über 130 Mitgliedern aus aller Welt ist sie die größte internationale Vereinigung von Datenschutzbehörden. Sie bietet eine Plattform für den Austausch von Erfahrungen und entwickelt durch Expertengruppen Empfehlungen und Richtlinien für den globalen Datenschutz. In der Vergangenheit saß bereits der damalige BfDI, Ulrich Kelber, im Leitungsgremium. Laut einer Pressemitteilung des kanadischen Datenschutzbeauftragten nahmen an der diesjährigen Versammlung Vertreter aus über 90 Ländern teil.
Herausforderungen bei internationaler Datenübertragung
Mit der Zunahme global vernetzter Geschäftsmodelle wächst der Bedarf an Regelungen für den sicheren Datentransfer über Landesgrenzen hinweg. Insbesondere dann, wenn Rechtsordnungen wie die Datenschutzgrundverordnung (DSGVO) nur eine Datenübermittlung an Drittländer zulassen, wenn ein hinreichendes Datenschutzniveau besteht, ergeben sich Schwierigkeiten. Das dies oft nicht der Fall ist, zeigt schon die Tatsache, dass für nur wenige Länder überhaupt Angemessenheitsbeschlüsse vorliegen.
DFFT-Konzept
Das DFFT-Konzept zielt darauf ab, dass Daten international übertragen werden können, ohne den Schutz personenbezogener Daten zu gefährden. Die GPA hat in ihrer Resolution nun wesentliche datenschutzrechtliche Grundsätze für den DFFT festgelegt. Ziel ist es, durch einheitliche Standards einen sicheren und vertrauenswürdigen Datentransfer zu gewährleisten und gleichzeitig den unterschiedlichen nationalen Regelungen gerecht zu werden. Die Resolution sieht vor, dass die Teilnehmerstaaten durch die Schaffung angeglichener Rahmenbedingungen wie Standardvertragsklauseln und Zertifizierungen den internationalen Datenverkehr sicher gestalten.
Technologische Herausforderung: Künstliche Intelligenz
Neben dem grenzüberschreitenden Datenverkehr widmete sich die GPA auch technologischen Entwicklungen, die den Datenschutz betreffen, insbesondere der Künstlichen Intelligenz und den sogenannten Large Language Models (LLM). Die BfDI hielt hierzu einen Vortrag und stellte in diesem Zusammenhang laut einer Pressemitteilung die Arbeit der von ihr geleiteten International Working Group on Data Protection in Technology (Berlin Group) vor.
Fazit
Die Verabschiedung der DFFT-Resolution durch die GPA markiert einen wichtigen Schritt hin zu einem vertrauenswürdigen und sicheren internationalen Datenverkehr. Bei Einhaltung hat die Resolution das Potential einen entscheidenden Beitrag zur Harmonisierung des Datenschutzes im globalen Kontext zu leisten. Es bleibt jedoch abzuwarten, wie die Resolution in den kommenden Jahren umgesetzt wird und welchen Einfluss sie auf die internationale Datenschutzpolitik und -praxis haben wird. In jedem Fall bietet die DFFT-Resolution eine erste Grundlage, um den internationalen Datenverkehr sicherer zu gestalten.