Das Netzwerk LinkedIn, das in Russland geschätzt 5 Millionen Nutzer hat, ist seit Mitte November gesperrt. Die russische Aufsichtsbehörde über Kommunikation, Informationstechnologie und Massenmedien RozKomNadzor hat die Seite auf eine Liste der "Rechtsverletzer" gesetzt und vor Gericht in zwei Instanzen die Sperrung der Seite durchgesetzt.1
RosKomNadzor demonstriert in diesem Verfahren das Verständnis der Behörde von der Anwendung und Auslegung des russischen Datenschutzgesetzes2. Dieses war im September 2015 um Bestimmungen ergänzt worden, die diejenigen, die persönliche Daten russischer Bürger sammeln, verarbeiten und nutzen, verpflichtete, die Speicherung dieser Daten auf Servern in Russland vorzunehmen (sog. Datenlokalisierung).
Die Gesetzesänderung war im Vorfeld heftig diskutiert worden. Die Auswirkungen auf die Geschäftswelt waren erheblich3. Viele Unternehmen versuchten, den Anforderungen des Gesetzes zu folgen und versuchten eine Datenlokalisierung. In einigen wichtigen Punkten war die Anwendung des Gesetzes jedoch weiter unklar. Auf eine behördliche und gerichtliche Rechtsanwendung in der Praxis konnte bislang nicht zurückgegriffen werden.
Jetzt ist in der Sache LinkedIn die Begründung des zweitinstanzlichen (und rechtskräftigen) Urteils veröffentlicht worden4. Dies erlaubt einige Rückschlüsse auf die derzeitige Praxis im Datenschutzrecht.
1. Regionaler Geltungsbereich der russischen Datenschutzregeln
Das Appellationsgericht bestätigt RosKomNadzor in der Auffassung, dass das Gesetz potentiell für jede Person gilt, die persönliche Daten russischer Bürger verarbeitet. Ein Sitz in Russland ist ausdrücklich nicht erforderlich. Ausreichend als Anknüpfungspunkt ist im vorliegenden Fall, dass eine Website betrieben wird, die auf eine Aktivität in der Russischen Föderation gerichtet ist. RosKomNadzor hatte die Bereitstellung der Website in russischer Sprache für ausreichend gehalten und weiter einen Anknüpfungspunkt darin gesehen, daß russische Reklame platziert werden konnte. Das Gericht hat diese Auffassung nunmehr ausdrücklich bestätigt. LinkedIn hatte argumentiert, die Sprache alleine könne nicht genügen, da mit diesem Kriterium russisches Recht potentiell weltweit anzuwenden wäre. Das Gericht stellt nun fest, allein die Tatsache, dass LinkedIn sich gegen die Sperrung der Website in Russland gerichtlich zur Wehr setze, beweise, dass die Tätigkeit auf Russland gerichtet sei.
Diese Argumentation zeigt, dass die Bestimmung des regionalen Geltungsbereichs der Datenschutzregeln extensiv erfolgt. Findet die Behörde Anhaltspunkte für die Anwendung und wehrt sich der Adressat dagegen, ist allein die Nutzung von Rechtsmitteln schon die Bestätigung der behördlichen Vermutung.
2. Persönlicher Geltungsbereich der russischen Datenschutzregeln
LinkedIn hatte sich mit dem Einwand, nicht der richtige Beklagte zu sein, zur Wehr gesetzt. In der Tat führt die Speicherung der russischen Daten gerade nicht die beklagte Betreiberin der Website durch. Auch der Nutzungsvertrag wurde nicht mit dem Betreiber der Website, sondern mit der die Daten speichernden Gesellschaft abgeschlossen.
Behörde und Gericht sehen diesen Einwand als unbeachtlich an und stellen darauf ab, dass der Betreiber der Website jedenfalls die Daten sammle und weitergebe. Die Speicherung durch ein anderes Unternehmen sei als Zusammenwirken zu sehen. Der Betreiber der Website verstößt eben in diesem Zusammenwirken mit Dritten gegen russisches Datenschutzrecht. Die vertragliche Beziehung halten RosKomNadzor und auch das Gericht offenbar für unbeachtlich und verweisen in einer etwas unklaren Passage darauf, dass auch kollisionsrechtlich jedenfalls die zwingenden Normen russischen Rechts beachtet werden müssen. Dazu zählen nach Auffassung des Gerichts offenbar auch die Datenschutzregeln.
Auch in Hinblick auf den persönlichen Geltungsbereich erfolgt die Normauslegung damit extensiv: der eigentliche Normverstoß, nämlich die Speicherung der Daten außerhalb Russlands, muss nicht durch den Sanktionsbetroffenen erfolgen. Es reicht aus, dass dieser im Vorfeld bei der Datensammlung mitgewirkt hat. Eine vertragliche Gestaltung im Verhältnis zum betroffenen russischen Bürger kann daran nichts ändern.
3. Rechtsverstoß
LinkedIn hatte sich gegen die Maßnahmen von RosKomNadzor auch mit dem Hinweis gewehrt, dass eine Rechtsverletzung russischer Bürger gar nicht nachgewiesen sei, da keine Informationen über irgendwelche Beschwerden von Seiten russischer Bürger jemals angeführt worden seien. Dies hält jedoch mit RosKomNadzor auch das Gericht für unbeachtlich. Zwar argumentiert das Gericht an einer Stelle mit dem Umstand, dass neben Daten von Nutzern der Website auch Daten Dritter erhoben würden, verfolgt diese Argumentation aber nicht weiter. Ausreichend sei der Verstoß gegen die Lokalisierungspflicht, also die Pflicht, Daten auf in Russland befindlichen Servern zu speichern.
Es liegt auf der Hand, dass dieses Argument rein formal die Rechtsverletzung bestimmt. Der Normzweck des Datenschutzgesetzes, den Schutz der Rechte russischer Bürger hinsichtlich deren persönlicher Daten zu gewährleisten, gerät dabei aus dem Blick. Es geht letztlich ausschließlich um den physischen Standort des Servers.
4. Prozessverlauf
Das Verfahren gegen LinkedIn wies einige Besonderheiten auf. Bedingt dadurch, dass die Gesellschaft in Russland nicht vertreten ist, waren Benachrichtigungen und Ladungen an Adressen in den USA zugestellt worden und spät (im Fall der Ladung für die erstinstanzliche Verhandlung: einen Tag vor der Verhandlung) zugestellt worden. LinkedIn hatte dies moniert. Das Gericht hielt es allerdings für ausreichend, dass im Verfahren zweiter Instanz alle Einwände vorgebracht werden konnten und sah keine Verfahrensfehler.
Diese Argumentation ist insbesondere für ausländische Unternehmen ohne Präsenz in Russland bedrohlich. Die äußerst "pragmatische" Argumentation hinsichtlich des Verfahrens zeigt deutlich, dass verfahrensrechtliche Einwände in der Regel nicht geeignet sein werden, sich gegen Maßnahmen von RosKomNadzor zur Wehr zu setzen. Die Verzögerung von Verfahren soll offenbar nicht zugelassen werden.
5. Fazit und Ausblick
Die Behandlung des LinkedIn-Falls bestätigt viele Befürchtungen, die bei Inkrafttretens der Neuregelung im September 2015 geäußert worden sind. Die Eingriffsmöglichkeiten der Behörde sind enorm. Die Gerichte sind nicht gewillt, diese Möglichkeiten zu begrenzen und legen die Begrifflichkeiten weit aus. Es geht nicht um den individuellen Schutz russischer Bürger, sondern offensichtlich allein um den Zugriff auf Daten.
Potentiell betroffene Unternehmen – nach der soeben erfolgten extensiven Auslegung also alle – sollten die Regelungen ernst nehmen und nach gangbaren Lösungen suchen. Keine Lösung ist sicherlich, die Regelungen zu ignorieren. Noch weniger kann zugeraten werden, die Kooperation mit RosKomNadzor abzulehnen, wenn die Behörde bereits Beanstandungen ausgesprochen hat.
Es ist nicht zu erwarten, dass der Druck auf die betroffenen Unternehmen nachlässt. Soeben wird laut Presseberichten ein Verfahren gegen Facebook vorbereitet. Pikanterweise klagt hier ein Nutzer, was ein neues Feld eröffnet.
Vgl. CMS Deutschland bloggt. Thomas Heidemann
Vgl. FZ 152
Vgl. Law Now. Thomas Heidemann
Vgl. Fundstelle
Social-Media-Cookies sammeln Informationen darüber, wie Sie Inhalte von unserer Website über die sozialen Medien teilen, oder liefern Analysedaten zu Ihrem Nutzungsverhalten, wenn Sie zwischen Social-Media-Plattformen oder unseren Social-Media-Kampagnen und unseren eigenen Websites navigieren. Wir setzen diese Cookies ein, um die Mischung der Kommunikationswege zu optimieren, über die wir Ihnen unsere Inhalte zukommen lassen. Genauere Informationen zu den eingesetzten Tools finden Sie in unserer Datenschutzerklärung.