Personenbezogene Daten müssen in Russland gespeichert werden

Im Rahmen der russischen Staats- und Bürgersicherheit (Anti-Terror-Gesetzgebung) wurde ein Gesetz erlassen, welches Unternehmen dazu verpflichtet, personenbezogene Daten russischer Staatsbürger in Russland zu verarbeiten und zu speichern. Das stellt viele ausländische Unternehmen vor neue Herausforderungen. In diesem Beitrag erläutern wir Ihnen die Einzelheiten zu diesem Gesetz.

Diese gesetzliche Neuerung soll bereits im September 2015 in Kraft treten, also in 3 Monaten. Im Dezember 2014 wurde per Gesetz der Zeitpunkt des Inkrafttretens von September 2016 auf September 2015 vorverlegt.

Ausschlaggebend ist der neue Absatz 5 des 18 Artikels des russischen Datenschutzgesetzes, welcher durch das russischen Bundesgesetzes N 242-FZ am 21. Juli 2014 ergänzt wurde. Absatz 5 schreibt vor, dass personenbezogene Daten russischer Staatsbürger zukünftig nur innerhalb der Russischen Föderation und somit auf Servern in Russland verarbeitet und gespeichert werden dürfen. Eine Server- und Datenlokalisierung wird damit notwendig.

Der Wortlaut des Gesetzes ist sehr weit gefasst und lässt (Umsetzungs-)Fragen offen. Die zuständige Aufsichtsbehörde Roskomnadzor (=Föderaler Dienst für die Aufsicht im Bereich der Telekommunikation, Informationstechnologie und Massenkommunikation) erläuterte auf Nachfragen von Wirtschaftsverbänden, die wesentlichen Punkte des Gesetzes:

  • Jedes Unternehmen ist betroffen, das personenbezogene Daten russischer Staatsangehöriger selbst erhebt und speichert. Unerheblich ist, ob der Sitz des Unternehmens in Russland liegt oder nicht.
  • Nach dem Datenschutzgesetz werden personenbezogene Daten als „beliebige Informationen, die in einem direkten oder indirekten Verhältnis zu einer bestimmten oder bestimmbaren natürlichen Person stehen“, angesehen. Dazu zählen zum Beispiel: E-Mail-Adressen, private Online-Korrespondenz, etc.
  • Erfasst sollen nur personenbezogene Daten russischer Staatsbürger, die in Russland ihren Wohnsitz haben. Daten russischer Staatsbürger, die außerhalb Russlands leben, sind nicht betroffen.
  • Unternehmen müssen einen Prozess zur Identifizierung der russischen Staatsangehörigen einrichten.
  • Daten, die in der Vergangenheit gespeicherte wurden, sind ebenfalls betroffen, sofern die Daten noch genutzt werden.
  • Es ist nicht ausreichend, die personenbezogenen Daten russischer Staatsbürger auf russischem Territorium zu speichern, die Verarbeitung soll ebenfalls in Russland erfolgen.
  • Erlaubt ist (bleibt), Kopien personenbezogener Daten in Länder außerhalb Russlands zu senden. Dies unter Einhaltung der geltenden datenschutzrechtlichen Grundsätze.

Wirtschaftsverbände (wie zum Beispiel die Außenhandelskammer Moskau) kritisieren die negativen Folgen. Diese werden insbesondere für die russische Wirtschaft gesehen, weil durch das Gesetz die Zusammenarbeit mit ausländischen Wirtschaftsakteuren gefährdet wird. Die AHK Moskau meint, dass diese neuen Datenschutz-Regelungen für in Russland tätige Unternehmen eine Isolationsgefahr bedeutet. Laut der russische Assoziation für elektronische Kommunikation (RAEK (=Российской Ассоциации Электронных коммуникаций)) führten ähnliche Gesetze in anderen Ländern zum Rückgang der Dienstleistungsangebote und zu wirtschaftlichen Verlusten.

Personenbezogene Daten – so sind Unternehmen betroffen

Das Gesetz gilt für jedes Unternehmen, welche Daten russischer Staatsbürger erfasst. Die Umsetzung ist für Unternehmen mit einer Niederlassung, Filiale, Betriebsstätte oder Repräsentanzen in Russland schwer genug. Wie ist es jedoch bei Unternehmen, die nicht physisch in Russland tätig sind, wie zum Beispiel Dienstleistungsunternehmen?

Hier sieht die RAEK die neuen Regelungen kritisch und befürchtet vor allem Einschnitte in der Tourismus-Branche. Die Forderung nach Datenlokalisierung könne das Dienstleistungsangebot erheblich einschränken. So bestehe die Gefahr, dass die Buchung eines Flugtickets auf der Internetseite einer ausländischen Fluggesellschaft unmöglich werde, weil die Datenerfassung und -speicherung nicht innerhalb Russlands erfolgt. Das Gleiche gelte auch für die Online-Reservierung von Hotels im Ausland.

Ausländische Unternehmen, die bisher in Russland ohne Server auskamen, werden nun gezwungen Server in Russland zu installieren bzw. Server anzumieten und Daten dort zu hinterlegen. Dies betrifft zum Beispiel auch Internetriesen wie Google, Microsoft und Facebook.

Übergangsfristen sind nicht vorgesehen.

Die Nichteinhaltung der Server- und Datenlokalisierung kann mit einer Geldbuße in Höhe von aktuell rund 150 Euro geahndet werden. Derzeit ist die unklar, ob die Geldbuße pro Vorfall oder pro Datensatz gelten soll. Die Geldbuße ist eventuell für einige Unternehmen verkraftbar. Weniger verkraftbar ist jedoch die vorgesehene Sperrung der Internetseiten des Unternehmens, bis zur Behebung des Verstoßes.

Personenbezogene Daten – So sollten Unternehmen handeln

Unternehmen, die personenbezogene Daten russischer Staatsbürger bearbeiten und speichern, sollten schnell handeln. Insbesondere für internationale Unternehmen mit weltweiten IT-Systemen ist eine derartige Sonderbehandlung dieser Datensätze schwierig. Entsprechende Projekte sollten schnellstmöglich aufgesetzt werden.

Bei der Implementierung des Prozesses zur Identifizierung von russischen Staatsangehörigen sind die jeweiligen Datenschutzgesetze der weiteren beteiligten Länder zu beachten.

Wie oben beschrieben, können die erhobenen und gespeicherten Daten an Dritte gesendet sowie auf ausländischen Servern gespeichert werden. Hier ist zu beachten, dass entsprechende Genehmigungen vorliegen sollten. Zum Beispiel, dass Mitarbeiter dieser Handhabung im Arbeitsvertrag zugestimmt haben oder dies in der Betriebsordnung vereinbart ist. Ebenfalls gilt es die Geschäftsbedingungen zu überprüfen.

Personenbezogene Daten – Offene Fragen

Das Gesetz ist noch nicht in Kraft und begleitende Erläuterungen wurden noch nicht veröffentlicht. Aus diesem Grund sind noch einige Umsetzungsfragen offen. Zu den offenen Fragen zählen:

  • Hinsichtlich der Speicherung der Daten russischer Beschäftigter durch deren ausländische Arbeitgeber hat das russische Ministerium für Kommunikations- und Fernmeldewesen mitgeteilt, dass in diesem Fall keine Pflicht zur Speicherung der Daten in Russland besteht. Ob die russische Aufsichtsbehörde für den Datenschutz („Roskomnadzor“) diese Ansicht teilt, ist derzeit nicht bekannt.
  • Derzeit ist noch nicht abschließend geklärt, ob die Speicherpflicht in Russland auch auf Rechtsverhältnisse, die bereits vor dem Inkrafttreten der neuen Regelungen entstanden sind, anzuwenden ist.
  • Offen ist auch die Frage, wie die Verwendung von Daten zwischen Unternehmen in verschiedenen Ländern mit Office-Systemen wie CRM (Customer Relationship Management) gestaltet werden soll.
  • Ebenfalls ist die Berechnungsgrundlage unklar, also ob dies pro Vorfall oder pro betroffenen Datensatz gelten soll.

Des Weiteren möchten wir darauf hinweisen, dass aktuell ein intensiver Austausch/Diskussion zwischen  Wirtschaftsverbänden und  staatlichen Organen stattfindet. Die weitere Entwicklung bleibt  spannend und sollte eng verfolgt werden.

Bei der Umsetzung entsprechender IT-Projekte ist die Begleitung durch erfahrene Experten empfehlenswert. Die russischen, deutschen und internationalen Experten von RUFIL CONSULTING unterstützen Sie gerne.

Quelle: http://www.consultant.ru/document/cons_doc_LAW_166121/