Zum Inhalt springen Zur Navigation springen
Russland: Neues Datenschutzgesetz ab September 2015

Russland: Neues Datenschutzgesetz ab September 2015

International agierende Unternehmen sollten ihren Geschäften mit Bezug zu Russland, insbesondere mit russischen Staatsbürgern, besondere Aufmerksamkeit zukommen lassen. Ab September 2015 dürfen personenbezogene Daten russischer Bürger ausschließlich auf russischem Staatsgebiet gespeichert und verarbeitet werden. Die Daten müssen in einer Primärdatenbank auf einem russischen Server hinterlegt werden.

Das Gesetz im Einzelnen

Sitz / Niederlassung

Das Gesetz betrifft alle Unternehmen, die Daten russischer Bürger erheben, speichern oder verarbeiten. Dabei wird nicht unterschieden zwischen russischen Unternehmen, ausländischen Unternehmen mit Niederlassungen in Russland oder ausländischen Unternehmen ohne Standort in Russland. Entscheidend ist allein, dass die angebotenen Leistungen oder Waren von russischen Kunden genutzt werden.

Russische Staatsbürger mit Wohnsitz in Russland

Die Anwendbarkeit erstreckt sich nicht auf alle Personen mit russischer Staatsangehörigkeit, sondern nur auf russischer Staatsbürger, die ihren Wohnsitz in Russland haben. Das heißt Daten russischer Staatsangehöriger, die außerhalb Russlands leben, sind von der Regelung nicht betroffen. Tatsächlich wäre die Regelung andernfalls auch nicht umsetzbar gewesen, da Unternehmen im Regelfall nicht die Nationalität ihrer Kunden abfragen (dürfen), bevor sie über einen Vertragsschluss entscheiden.

Zeitliche Anwendbarkeit

Ursprünglich sollte das Gesetz im September 2016 in Kraft treten. Im Dezember letzten Jahren wurde es jedoch dahingehend abgeändert, dass es bereits zum September 2015 in Kraft tritt.

Eine Übergangsregelung wurde nicht eingeführt.

Auch in der Vergangenheit gespeicherte Daten fallen unter den Anwendungsbereich, soweit die Daten heute noch genutzt werden.

Aussonderung der Daten

Unternehmen können wählen zwischen der kompletten Speicherung ihrer Datensätze in Russland oder der Aussortierung der russischen Daten. Dazu sollten sie einen Prozess zur Identifizierung der russischen Staatsangehörigen, auf die das Gesetz anwendbar ist, einrichten.

Speicherung und Verarbeitung

Die Primärdatenbank muss sich auf russischem Staatsgebiet befinden und ihr Standort muss innerhalb der gesetzlich vorgeschriebenen Frist der zuständigen Aufsichtsbehörde (Roskomnadsor, russische Aufsichtsbehörde für Massenmedien, Telekommunikation und Datenschutz) mitgeteilt werden. Die dort erfolgende Art der Datenverarbeitung ist festgeschrieben:

  • Erfassen
  • Aufnehmen
  • Systematisieren
  • Speichern
  • Aufbewahren
  • Anpassen
  • Abfragen
  • Benutzen
  • Weitergeben
  • Entpersonalisieren
  • Sperren
  • Löschen/ Vernichten

Im Ausland dürfen die Datenbanken entweder als eine gleichwertige Kopie der russischen Datenbank oder als ein Teil davon aufbewahrt werden. Die Übermittlung der Kopien ins Ausland wird dann als zulässig angesehen, wenn die aktuell schon geltenden datenschutzrechtlichen Grundsätze eingehalten werden. Nicht ausreichend ist es jedoch, nur eine Kopie der betroffenen personenbezogenen Daten auf russischem Territorium zu speichern.

Auch für die Kopie ist festgelegt, welche Verarbeitungsschritte erfolgen dürfen:

  • Benutzen
  • Weitergeben
  • Entpersonalisieren
  • Sperren
  • Löschen/ Vernichten

Sanktionen

Bei Verstößen gegen die neue gesetzliche Regelung drohen Geldstrafen oder die Sperrung der Internetseite.

Derzeit beträgt die Geldstrafe umgerechnet zwischen 150 € und 4.500 €, wobei unklar ist, ob sich die Strafe auf einen kompletten Vorfall oder jeden einzelnen Datensatz beziehen soll.

Empfindlicher wird Unternehmen treffen, dass die zuständige Behörde den Zugang zu Internetseiten sperren lassen kann. Dies ist auch ohne Gerichtsbeschluss möglich, wenn sie sie als Bedrohung der öffentlichen Ordnung einstuft.

Kritik

Gegen dieses Gesetz lassen sich mannigfaltige Einwände erheben. Die zwei Hauptkritikpunkte sind einerseits der Vorwurf der Zensur und andererseits die zweifelhafte Umsetzbarkeit.

Blogger und Internet-Experte Anton Nossik hält das Gesetz für eine Zensurmaßnahme zum Nachteil von sozialen Medien:

„Mit dem Gesetz soll ein weiterer quasi-legaler Vorwand geschaffen werden, um Facebook, Twitter, YouTube und alle anderen Dienste zu schließen“

Für viele Unternehmen stellt sich die Frage, wie die von diesem Gesetz betroffenen Daten ausgesondert und separat auf einem russischen Server gespeichert werden können, ohne unzumutbaren finanziellen und zeitlichen Aufwand betreiben zu müssen.

Vermutlich werden einige nach erfolgter Risikoabwägung zu dem Schluss kommen, die ersten Sanktionen abzuwarten. Für Unternehmen, für die diese Strategie nicht in Frage kommt, empfiehlt es sich, schnellstmöglich fachkundige Unterstützung einzuholen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Was bedeutet diese Änderung denn für den Alltag? Hat Russland hier irgendwelche Möglichkeiten dagegen vorzugehen? Geht es hierbei vielleicht auch nur um die schlechte politsche Stellung beider Seiten? Unser Unternehmen liefert Ware an Endkunden nach Russland. Bei der doch geringen Menge an Kunden macht es für uns keinen Sinn so eine Inverstition zu tätigen. Ich bitte hierzu um eine kurze Rückmeldung da uns dieser Bericht beunruhigt. Vielen Dank

    • Wie das Gesetz tatsächlich in der Praxis umgesetzt wird, ist auch für uns unabsehbar. Bei gesetzeswidrigem Verhalten kann Russland entweder ein Bußgeld verhängen, wobei die Durchsetzung im Ausland problematisch sein dürfte, oder den Zugriff auf die Internetseite aus Russland sperren. Teilweise ergreifen Unternehmen, die vom Anwendungsbereich dieses Gesetzes erfasst sind, vorerst keine Maßnahmen, sondern warten die weitere Entwicklung ab.

      Einen Rechtsrat können wir an dieser Stelle jedoch nicht erteilen.

      • Schönen guten Tag,
        wir arbeiten in der Marktforschung und fragen uns nun, wie und ob dieses Gesetz tatsächlich umgesetzt wurde. Gibt es hierzu aktuelle Informationen? Über eine kurze Rückmeldung würden wir uns sehr freuen.
        Mit freundlichen Grüßen,
        Mafo B.

        • Leider haben wir zum aktuellen Stand nur sehr rudimentäre Informationen, da die Russische Aufsichtsbehörde Hinweise und Informationen nur in der russischen Sprache anbietet. Es ist bis dato nur bekannt, dass die Aufsichtsbehörde einen Auditplan veröffentlicht hat, die die anstehenden Audits aufzeigt. Dazu gehören: Microsoft, Samsung, Hewlett-Packard, VKontakte, Cronwell Hotels, Chrysler, Volkswagen und UniCredit Bank. Die gesamte Liste kann der anstehenden Audits kann auf der Seite der Russischen Aufsichtsbehörde eingesehen werden.

  • Hallo zusammen, wie verhält es sich für Russische Firmen, die Cloud Services von einem Hersteller mit einem EU Server nutzen möchten?

    • Auch bei der Nutzung von Cloud-Services – unabhängig davon, ob sich diese inner- oder außerhalb der EU befinden – gilt, dass die Daten russischer Bürger in einer Primärdatenbank in Russland gespeichert werden müssen, dies der russischen Aufsichtsbehörde mitgeteilt werden muss und dass die datenschutzrechtlichen Grundsätze wie im Artikel beschrieben eingehalten werden müssen.

  • wie ist es, wenn wir komplett anonyme daten in russland erheben. kunden geben in russischen geschäften an einem terminal ihr feedback ein. drücken auf smiley. wer da feedback gibt ist nicht bekannt. solche daten sind nicht personalisiert und fallen damit auch nicht unter die regelung, oder?

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.