Neue Datenschutzregelungen in Russland lassen viele Fragen offen

DeutschlandRussland

Am 21. Juli 2014 hat der Präsident der Russischen Föderation das föderale Gesetz Nr. 242-FZ unterzeichnet, durch das die aktuellen Regelungen des Verfahrens zur Verarbeitung persönlicher Daten in Informations- und Telekommunikationsnetzwerken in Russland erheblich geändert werden. Danach müssen alle in Russland tätigen Unternehmen, die personenbezogene Daten von russischen Staatsbürgern verarbeiten, diese ausschließlich auf in Russland befindlichen Datenbanken und Servern speichern.

Das neue Gesetz tritt ein Jahr früher als ursprünglich vorgesehen bereits am 1. September 2015 in Kraft und hat bereits für viel Aufsehen gesorgt. Kritisiert werden insbesondere die aus dem weit gefassten Gesetzeswortlaut resultierenden Unklarheiten bezüglich der konkreten Anwendung und Auslegung der neuen Vorschriften. Gerügt wird auch die aufwendige praktische Umsetzung, die die betroffenen Unternehmen zur Errichtung oder Anmietung von Datenbanken und Servern in Russland verpflichtet. Übergangsfristen für die betroffenen Unternehmen sind nach der aktuellen Gesetzeslage nicht vorgesehen. Unternehmen wie Google, eBay und PayPal haben nach öffentlich zugänglichen Informationen für die Umsiedlung der Datenbanken nach Russland bereits die ersten Vorkehrungen getroffen.

I. Die neuen Regelungen

Die wichtigste Neuregelung sieht vor, dass personenbezogene Daten russischer Staatsbürger nur auf Servern gespeichert werden dürfen, die sich physisch innerhalb der Russischen Föderation befinden. Der Begriff „personenbezogene Daten“ ist dabei weit gefasst. Es sind darunter alle Informationen zu verstehen, durch die eine bestimmte oder bestimmbare natürliche Person identifiziert werden kann. Erfasst sind zum Beispiel Angaben zum Namen, Wohnsitz oder Passdaten. Allein die Speicherung einer Telefonnummer oder E-Mail-Adresse sollte nach der aktuellen Ansicht der zuständigen Behörde nicht unter den Anwendungsbereich der neuen Vorschriften fallen. Es ist jedoch nicht auszuschließen, dass auch diese Daten künftig erfasst werden.

Die neuen Vorschriften finden auf jedes russische Unternehmen Anwendung, das solche Daten erfasst, systematisiert, sammelt, lagert, modifiziert, speichert oder abruft. Die in Russland registrierten Niederlassungen und Repräsentanzen ausländischer Unternehmen sind von der Speicherpflicht ebenfalls betroffen. Genauso ausländische Unternehmen, die zwar keine Präsenz in Russland unterhalten, jedoch Russland-bezogenes Geschäft betreiben. So kann es ausreichend sein, wenn ein ausländisches Unternehmen eine Website auf Russisch betreibt und dabei auf die russische Währung oder auf den Waren- und Dienstleistungsvertrieb an die russischen Bürger hinweist. Die Datenschutzpflichten gelten dagegen nicht für ausländische Unternehmen, die personenbezogene Daten russischer Staatsangehöriger im Ausland erheben, vorausgesetzt das die Daten nicht für das Russlandgeschäft benutzt werden.

Der Begriff „Datenbank“ ist ebenfalls sehr weit auszulegen. Nach inoffiziellen Angaben der zuständigen Behörde können auch Excel- oder Word-Dateien, die Daten über russische Bürger beinhalten, als Datenbanken betrachtet werden. Mangels einer klaren Definition ist sogar nicht auszuschließen, dass Outlook als Datenbank angesehen wird.

II. Bei Verstößen drohen hohe Geldbußen und Webseiten-Sperrungen

Sanktionen im Datenschutzbereich werden derzeit erheblich verschärft. Am 24. Februar 2015 hat die russische Staatsduma in der ersten Lesung einem neuen Gesetzentwurf zugestimmt. Dieser sieht eine erhebliche Anhebung der Geldbußen für Verstöße gegen die neuen Vorschriften vor. Im Falle von schwerwiegenden Pflichtverletzungen kann die zuständige Behörde Bußgelder in Höhe von bis zu EUR 4.500 verhängen. Bei geringen Verstößen werden die Unternehmen zunächst gewarnt. Die Berechnungsgrundlage für die Höhe der Geldbußen ist jedoch unklar. Der Gesetzgeber sowie die zuständigen Behörden haben insbesondere noch nicht klargestellt, ob die aufgeführten Einbußen streng pro „Verstoß“ oder eher pro „betroffenen Datensatz“ angewandt werden. Die zuständige Aufsichtsbehörde für den Datenschutz (Roskomnadzor) kann zudem bei Verstößen den Zugang zu der Website des jeweiligen Unternehmens einschränken oder sogar sperren. Es ist damit zu rechnen, dass der Gesetzesentwurf bis zu der finalen Lesung noch geändert wird.

III. Praktische Umsetzung und Auslegung

Die zuständigen Behörden haben bestätigt, dass personenbezogene Daten, die vor dem 1. September 2015 erhoben wurden, nicht der Speicherpflicht auf russischem Staatsgebiet unterliegen. Die vor diesem Datum erhobenen Daten über russische Staatsbürger können jedoch lediglich genutzt oder übertragen, nicht aber aktualisiert oder verändert werden.

Es kann zudem festgestellt werden, dass nur die Erfassung, Systematisierung, Ansammlung, Speicherung, Aktualisierung, Modifizierung und der Abruf von Daten russischer Bürger nicht in Datenbanken außerhalb Russlands erfolgen darf. Die Verwendung, Übertragung (Verbreitung, Gewährung des Zugangs), De-personalisierung, Sperrung, Löschung und Entfernung solcher Daten kann nach den neuen Vorschriften auch weiterhin außerhalb der russischen Föderation durchgeführt werden.

Unklar sind die Regelungen bezüglich der Vervielfältigung der Daten. Konstellationen, in denen sich die Hauptdatenbank außerhalb Russlands befindet und mit einer zweiten Datenbank in Russland synchronisiert wird, erfüllen voraussichtlich die Anforderungen des neuen Gesetzes nicht. Ebenso inkompatibel mit den neuen Vorschriften ist die gleichzeitige Speicherung der Daten in russischen und ausländischen Datenbanken. Noch zu klären ist, ob die nur vorübergehende Aufzeichnung, Lagerung, Systematisierung oder der Abruf personenbezogener Daten außerhalb Russlands im Rahmen des Zugriffs auf die russischen Datenbanken erlaubt sind. In vielen Fällen ist es nämlich kaum möglich, die Daten außerhalb Russlands ohne jegliche Speicherung, zumindest für einen begrenzten Zeitraum, zu verwenden.

IV. Aktuelle Entwicklungen

Die konkrete Anwendung und praktische Umsetzung der neuen Regelungen bleiben unsicher. Die Positionen der zuständigen Behörden werden nur über inoffizielle Auslegungen, Antworten auf bestimmte Fragen und sektorbezogene Diskussionen bekannt.

Das Ministerium für Kommunikation und Massenmedien hat neulich zwei Verordnungsentwürfe für die russische Regierung vorbereitet. Es geht um die Verordnung über das „Register der Rechtsverletzer“ und die Verordnung über die „Konformitätsprüfung“. Diese sollten vor allem verfahrensrechtliche und technische Aspekte der Umsetzung der neuen Datenschutzbestimmungen regeln. Sie werden voraussichtlich am 1. September 2015, d.h. gleichzeitig mit den neuen Datenschutzregelungen, in Kraft treten.

  1. Verordnung über das „Registers der Rechtsverletzer“ Der erste Entwurf regelt das Verfahren für die Führung eines „Registers der Rechtsverletzer“. Dieses enthält Informationen über Gesellschaften, die die neuen Datenschutzbestimmungen nicht beachtet haben. Die eher technischen Vorschriften bestimmen die Schaffung, Umsetzung und Funktionsweise eines solchen Registers. Dieses sollte entweder durch Roskomnadzor oder ein von ihm benanntes russisches Unternehmen betrieben werden. Die Grundlage für die Eintragung der Informationen in das Register werden wirksame Gerichtsentscheidungen sein. Im Falle einer Verurteilung können hier Domänennamen, Netzwerkadressen sowie Websites der zuwiderhandelnden Gesellschaften eingetragen werden.
  2. Verordnung über die „Konformitätsprüfung“ Durch den zweiten Entwurf werden die Befugnisse von Roskomnadzor zur Überprüfung der Einhaltung der neuen Vorschriften geregelt. Dieser Verordnungsentwurf wird noch in der Öffentlichkeit diskutiert. Gemäß der Verordnung kann Roskomnadzor plan- und außerplanmäßige Untersuchungen durchführen, dies in Form einer „Vor-Ort“- oder „Schreibtisch“-Überprüfung. Die Behörde kann zudem eine sogenannte „systematische Beobachtung“ aufnehmen. Die formellen Anforderungen an solche Beobachtungen sind im Gegensatz zu den Überprüfungen eher gering. Sie können durch Roskomnadzor nach eigenem Ermessen und gemäß seinen internen Verfahrensgrundsätzen eingeleitet werden. Im Falle eines Verstoßes kann Roskomnadzor dem jeweiligen Unternehmen die Unterbrechung oder Aufsetzung der Verarbeitung von personenbezogenen Daten anordnen. Der Aufsichtsbehörde wird ferner die Befugnis eingeräumt, aller unrichtigen oder gesetzwidrig gewonnenen Daten zu blockieren oder zu löschen.

V. Fazit

Die neuen Datenschutzregelungen lassen viele Fragen offen. Es ist derzeit nur schwer möglich, sich ein klares Bild über die künftigen Anforderungen zu machen. Angesichts des Inkrafttretens der Regelungen zum 1. September 2015 können es sich die betroffenen Unternehmen jedoch nicht mehr leisten, bis zu einer Klärung der Lage abzuwarten.

Jedes betroffene Unternehmen steht somit vor der Aufgabe, sich ein Bild über die Übereinstimmung der eigenen IT-Infrastruktur mit den neuen Regeln zu machen. Dazu wird in der Regel ein IT-Audit erforderlich sein. Ergebnis dieses Audits sollte eine Zustandsbeschreibung der IT-Struktur sein, aus der sich erforderliche Maßnahmen und gewisse Grauzonen ableiten lassen werden. Insbesondere die geplante Verschärfung der Bußgeldvorschriften in diesem Bereich macht eine solche Reaktion trotz aller Vorläufigkeit der Regelungen erforderlich.