Daten russischer Bürger müssen in Russland gespeichert werden

Neue Bestimmungen zu personenbezogenen Daten sind in Kraft getreten: Praktische Erfah-rungen bei der Erfüllung der neuen gesetzlichen Anforderungen. / Falk Tischendorf und Andrey Slepov, BEITEN BURKHARDT

© Thorben Wengert/pixelio.de

Am 1. September 2015 sind die Änderungen im Gesetz Nr. 152-FS „Über personenbezogene Daten“ in Kraft getreten. Jetzt muss jeder Operator bei der Erfassung von personenbezogenen Daten russischer Staatsbürger (mit oder ohne Internetnutzung) die Speicherung, Änderung und andere Arten der Verarbeitung personenbezogener Daten, die mit dem Erstellen oder der Aktualisierung von Datenbanken verbunden sind, mit Hilfe von Datenbanken sicherstellen, die sich in Russland befinden. Die für die Einhaltung des Gesetzes zuständige russische Aufsichtsbehörde Roskomnadsor plant bereits jetzt für den Zeitraum von September bis Dezember 2015 Prüfungen bei mehreren Unternehmen.

 

Gesetzesauslegung von Roskomnadsor nicht verbindlich
Über einen Zeitraum von mehr als einem Jahr hat die Geschäftswelt, auch unter Teilnahme von Roskomnadsor, lebhaft über die Auslegung der gesetzlichen Anforderungen diskutiert. Zu besonders strittigen Fragen hat die Aufsichtsbehörde inzwischen ihr Verständnis über den Regelungsgehalt des Gesetzes mitgeteilt, wobei hier zu berücksichtigen ist, dass Roskomnadsor im Grunde nicht berechtigt ist, verbindliche Auslegungen des Gesetzes vorzunehmen. Da es sich aber um die zuständige Aufsichtsbehörde handelt, ist deren Auffassung in der Praxis gleichwohl von Bedeutung. Hiernach ist es unter anderem zulässig, in Russland gespeicherte Daten zu kopieren und ins Ausland weiterzuleiten, wenn diese von russischen Datenbanken extrahiert und aktualisiert werden. Ferner kann bei Verstößen gegen das Gesetz eine Internetseite in Russland aufgrund einer Gerichtsentscheidung gesperrt werden, wenn sich die Internetseite an russisches Publikum richtet, wofür zum Beispiel das Vorliegen einer Offerte in russischer Sprache spricht.

Unterschiedliche Lösungsansätze für Unternehmen
Wie bereits ausgeführt, haben die Auslegungen von Roskomnadsor keine verbindliche Wirkung, so dass zu diesen wie auch zu vielen anderen Fragen abzuwarten bleibt, wie die Rechtsprechung das Gesetz auslegt. Da das Gesetz aber schon in Kraft getreten ist, müssen die Operatoren nunmehr selbständig entscheiden, welcher Gesetzesauslegung sie folgen und wie sie die Bestimmungen des Gesetzes umsetzen. Dies führt dazu, dass Unternehmen ganz unterschiedliche Lösungsansätze wählen, um die Anforderungen des Gesetzes einzuhalten.

Einige Unternehmen kaufen oder mieten Serverkapazitäten in Russland, um mit deren Hilfe Datenbanken zu speichern, die personenbezogene Daten enthalten. Diese Option wählen hauptsächlich große Unternehmen, die große Mengen von personenbezogenen Daten speichern. Das sind vor allem Unternehmen, die im Bereich des E-Commerce tätig sind. Dieses Vorgehen ist mit einem nicht zu unterschätzenden Zeit-, Kosten- und Ressourcenaufwand verbunden. Jedoch kann gerade auf diese Weise den Anforderungen des Gesetzes weitgehend entsprochen werden. Die Risiken für die Unternehmen, die aufgrund ihres Tätigkeitsschwerpunktes in erster Linie der Regelung des Gesetzes unterliegen, können so vermieden oder deutlich verringert werden.

Auf rechtliche Risiken achten
Andere Unternehmen wählen eine kombinierte Vorgehensweise, wobei technische und organisatorische Maßnahmen verbunden werden. Diese Vorgehensweise ist zwar mit einem geringeren Aufwand, jedoch mit erhöhten rechtlichen Risiken verbunden, wenn bestehende Datenbanken mit personenbezogenen Daten russischer Staatsbürger nicht vollständig nach Russland übertragen werden. Hierzu gehören unter anderem folgende Maßnahmen, die keine vollständige Übertragung von Serverkapazitäten nach Russland vorsehen:

  • Personenbezogene Daten werden zunächst in einem in Russland befindlichen Informationssystem erfasst und gespeichert. Anschließend werden die Daten mit Hilfe verschiedener technischer Lösungen im selben oder in einem geringeren Umfang in Informationssysteme übertragen, die sich im Ausland befinden. Alternativ befinden sich außerhalb Russlands (zum Beispiel am Hauptsitz des Unternehmens) Serverkapazitäten, die die Funktion des Informationssystems unterstützen (zum Beispiel Mail-Server Gateway), in denen aber keine unmittelbare Speicherung der personenbezogenen Daten, die in Russland bleiben, erfolgt.

  • Ersterfassung und -speicherung der Daten in einem Informationssystem in Russland (zum Beispiel auf einem Mail-Server). Dabei sind das Kopieren der Daten aus einem solchen System in Form einer Sicherungskopie und die Übermittlung dieser Kopie ins Ausland zulässig. Voraussetzung dafür, dass dieses System unter Berücksichtigung der gesetzlichen Anforderungen funktioniert, ist die Notwendigkeit, die Daten unter Verwendung einer in Russland befindlichen Datenbank zu aktualisieren (zum Beispiel E-Mail-Adressen) und zu extrahieren (zum Beispiel Durchsicht der E-Mails aus dem Archiv).

  • Ersterfassung und -speicherung der Daten in einem Informationssystem in Russland (zum Beispiel unter Verwendung eines CRM-Systems). Dabei darf den Mitarbeitern eines ausländischen Unternehmens der Gruppe über entsprechende Verbindungskanäle Zugriff auf die Daten in diesem System gewährt werden, wobei die Zugriffsregeln lokal festzulegen sind. Die russischen Mitarbeiter müssen ihre schriftliche Zustimmung zur Weitergabe ihrer Daten an Dritte erteilen.

Rechtsfolgen bei Gesetzesverstoß
Manchen Unternehmen, die nur eine geringe Menge von Personaldaten speichern und verarbeiten, erscheinen die mit einer Datenbanklokalisierung verbundenen hohen Kosten nicht gerechtfertigt. Daher vertreten sie die Auffassung, die Anforderungen des Gesetzes nicht einhalten zu müssen. Allerdings sollten sich diese Unternehmen vergegenwärtigen, dass bei Nichteinhaltung des Gesetzes nicht nur bei Vorliegen der entsprechenden Voraussetzungen die Internetseite des Unternehmens gesperrt werden kann, sondern auch Verwaltungsstrafen – Geldstrafen in Höhe von 10.000 Rubel (ca. EUR 150) – vorgesehen sind, deren Strafrahmen sehr wahrscheinlich in Kürze deutlich erhöht wird.

Darüber hinaus haftet auch der Leiter einer Organisation. Sollte es sich bei diesem um einen ausländischen Staatsbürger handeln, ist zu beachten, dass diesem bei Vorliegen von zwei oder mehr Verwaltungsstrafen innerhalb von drei Jahren die Einreise nach Russland verweigert werden kann.

Nicht zu vergessen ist auch, dass ein festgestellter Gesetzesverstoß innerhalb der in einer Anordnung festgesetzten Frist zu beseitigen ist. Die Nichtbefolgung dieser Anordnung kann die Einstellung der Tätigkeit des Unternehmens und damit im Ergebnis einen Schaden für das Geschäft des Unternehmens zur Folge haben.

Zeitig handeln und absichern
Grundsätzlich ist allen Unternehmen, die sich mit dieser Thematik noch nicht enger befasst haben, dringend zu empfehlen, eine Bestandsliste ihrer vorhandenen Informationssysteme, Standorte von Datenbanken und des Umfanges bzw. der Arten der zu verarbeitenden Daten zu erstellen. Anschließend ist eine Vergleichsanalyse durchzuführen, die es jedem Unternehmen erlaubt, im konkreten Einzelfall technische Lösungen zu finden, die den Bestimmungen des Gesetzes entsprechen und die Tätigkeit des Unternehmens nicht beeinträchtigen.