Russland: Neues Datenschutzgesetz ab September 2015

daten 47
Fachbeitrag

International agierende Unternehmen sollten ihren Geschäften mit Bezug zu Russland, insbesondere mit russischen Staatsbürgern, besondere Aufmerksamkeit zukommen lassen. Ab September 2015 dürfen personenbezogene Daten russischer Bürger ausschließlich auf russischem Staatsgebiet gespeichert und verarbeitet werden. Die Daten müssen in einer Primärdatenbank auf einem russischen Server hinterlegt werden.

Das Gesetz im Einzelnen

Sitz / Niederlassung

Das Gesetz betrifft alle Unternehmen, die Daten russischer Bürger erheben, speichern oder verarbeiten. Dabei wird nicht unterschieden zwischen russischen Unternehmen, ausländischen Unternehmen mit Niederlassungen in Russland oder ausländischen Unternehmen ohne Standort in Russland. Entscheidend ist allein, dass die angebotenen Leistungen oder Waren von russischen Kunden genutzt werden.

Russische Staatsbürger mit Wohnsitz in Russland

Die Anwendbarkeit erstreckt sich nicht auf alle Personen mit russischer Staatsangehörigkeit, sondern nur auf russischer Staatsbürger, die ihren Wohnsitz in Russland haben. Das heißt Daten russischer Staatsangehöriger, die außerhalb Russlands leben, sind von der Regelung nicht betroffen. Tatsächlich wäre die Regelung andernfalls auch nicht umsetzbar gewesen, da Unternehmen im Regelfall nicht die Nationalität ihrer Kunden abfragen (dürfen), bevor sie über einen Vertragsschluss entscheiden.

Zeitliche Anwendbarkeit

Ursprünglich sollte das Gesetz im September 2016 in Kraft treten. Im Dezember letzten Jahren wurde es jedoch dahingehend abgeändert, dass es bereits zum September 2015 in Kraft tritt.

Eine Übergangsregelung wurde nicht eingeführt.

Auch in der Vergangenheit gespeicherte Daten fallen unter den Anwendungsbereich, soweit die Daten heute noch genutzt werden.

Aussonderung der Daten

Unternehmen können wählen zwischen der kompletten Speicherung ihrer Datensätze in Russland oder der Aussortierung der russischen Daten. Dazu sollten sie einen Prozess zur Identifizierung der russischen Staatsangehörigen, auf die das Gesetz anwendbar ist, einrichten.

Speicherung und Verarbeitung

Die Primärdatenbank muss sich auf russischem Staatsgebiet befinden und ihr Standort muss innerhalb der gesetzlich vorgeschriebenen Frist der zuständigen Aufsichtsbehörde (Roskomnadsor, russische Aufsichtsbehörde für Massenmedien, Telekommunikation und Datenschutz) mitgeteilt werden. Die dort erfolgende Art der Datenverarbeitung ist festgeschrieben:

  • Erfassen
  • Aufnehmen
  • Systematisieren
  • Speichern
  • Aufbewahren
  • Anpassen
  • Abfragen
  • Benutzen
  • Weitergeben
  • Entpersonalisieren
  • Sperren
  • Löschen/ Vernichten

Im Ausland dürfen die Datenbanken entweder als eine gleichwertige Kopie der russischen Datenbank oder als ein Teil davon aufbewahrt werden. Die Übermittlung der Kopien ins Ausland wird dann als zulässig angesehen, wenn die aktuell schon geltenden datenschutzrechtlichen Grundsätze eingehalten werden. Nicht ausreichend ist es jedoch, nur eine Kopie der betroffenen personenbezogenen Daten auf russischem Territorium zu speichern.

Auch für die Kopie ist festgelegt, welche Verarbeitungsschritte erfolgen dürfen:

  • Benutzen
  • Weitergeben
  • Entpersonalisieren
  • Sperren
  • Löschen/ Vernichten

Sanktionen

Bei Verstößen gegen die neue gesetzliche Regelung drohen Geldstrafen oder die Sperrung der Internetseite.

Derzeit beträgt die Geldstrafe umgerechnet zwischen 150 € und 4.500 €, wobei unklar ist, ob sich die Strafe auf einen kompletten Vorfall oder jeden einzelnen Datensatz beziehen soll.

Empfindlicher wird Unternehmen treffen, dass die zuständige Behörde den Zugang zu Internetseiten sperren lassen kann. Dies ist auch ohne Gerichtsbeschluss möglich, wenn sie sie als Bedrohung der öffentlichen Ordnung einstuft.

Kritik

Gegen dieses Gesetz lassen sich mannigfaltige Einwände erheben. Die zwei Hauptkritikpunkte sind einerseits der Vorwurf der Zensur und andererseits die zweifelhafte Umsetzbarkeit.

Blogger und Internet-Experte Anton Nossik hält das Gesetz für eine Zensurmaßnahme zum Nachteil von sozialen Medien:

“Mit dem Gesetz soll ein weiterer quasi-legaler Vorwand geschaffen werden, um Facebook, Twitter, YouTube und alle anderen Dienste zu schließen“

Für viele Unternehmen stellt sich die Frage, wie die von diesem Gesetz betroffenen Daten ausgesondert und separat auf einem russischen Server gespeichert werden können, ohne unzumutbaren finanziellen und zeitlichen Aufwand betreiben zu müssen.

Vermutlich werden einige nach erfolgter Risikoabwägung zu dem Schluss kommen, die ersten Sanktionen abzuwarten. Für Unternehmen, für die diese Strategie nicht in Frage kommt, empfiehlt es sich, schnellstmöglich fachkundige Unterstützung einzuholen.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Rechtskonforme Datentransfers von Unternehmen in das Ausland
  • Wie geht es weiter nach dem Wegfall von Safe Harbor?
  • Einsatzmöglichkeiten von EU-Standardvertragsklauseln und Binding Corporate Rules

Informieren Sie sich hier über unser Leistungsspektrum: Internationaler Datenschutz

6 Kommentare zu diesem Beitrag

  1. Was bedeutet diese Änderung denn für den Alltag? Hat Russland hier irgendwelche Möglichkeiten dagegen vorzugehen? Geht es hierbei vielleicht auch nur um die schlechte politsche Stellung beider Seiten? Unser Unternehmen liefert Ware an Endkunden nach Russland. Bei der doch geringen Menge an Kunden macht es für uns keinen Sinn so eine Inverstition zu tätigen. Ich bitte hierzu um eine kurze Rückmeldung da uns dieser Bericht beunruhigt. Vielen Dank

    • Wie das Gesetz tatsächlich in der Praxis umgesetzt wird, ist auch für uns unabsehbar. Bei gesetzeswidrigem Verhalten kann Russland entweder ein Bußgeld verhängen, wobei die Durchsetzung im Ausland problematisch sein dürfte, oder den Zugriff auf die Internetseite aus Russland sperren. Teilweise ergreifen Unternehmen, die vom Anwendungsbereich dieses Gesetzes erfasst sind, vorerst keine Maßnahmen, sondern warten die weitere Entwicklung ab.

      Einen Rechtsrat können wir an dieser Stelle jedoch nicht erteilen.

      • Schönen guten Tag,
        wir arbeiten in der Marktforschung und fragen uns nun, wie und ob dieses Gesetz tatsächlich umgesetzt wurde. Gibt es hierzu aktuelle Informationen? Über eine kurze Rückmeldung würden wir uns sehr freuen.
        Mit freundlichen Grüßen,
        Mafo B.

        • Leider haben wir zum aktuellen Stand nur sehr rudimentäre Informationen, da die Russische Aufsichtsbehörde Hinweise und Informationen nur in der russischen Sprache anbietet. Es ist bis dato nur bekannt, dass die Aufsichtsbehörde einen Auditplan veröffentlicht hat, die die anstehenden Audits aufzeigt. Dazu gehören: Microsoft, Samsung, Hewlett-Packard, VKontakte, Cronwell Hotels, Chrysler, Volkswagen und UniCredit Bank. Die gesamte Liste kann der anstehenden Audits kann auf der Seite der Russischen Aufsichtsbehörde eingesehen werden.

    • Auch bei der Nutzung von Cloud-Services – unabhängig davon, ob sich diese inner- oder außerhalb der EU befinden – gilt, dass die Daten russischer Bürger in einer Primärdatenbank in Russland gespeichert werden müssen, dies der russischen Aufsichtsbehörde mitgeteilt werden muss und dass die datenschutzrechtlichen Grundsätze wie im Artikel beschrieben eingehalten werden müssen.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.