Datenschutzrecht in Russland: Verarbeitung von persönlichen Daten von russichen Staatsbürgern nur auf russischen Servern erlaubt?


  1. Müssen die in Russland ansässigen Gesellschaften einen Datenschutzbeauftragten benennen? Gibt es hierzu eine gesetzliche Verpflichtung, die gegebenenfalls straf- oder bußgeldbewehrt ist?

    Das russische Datenschutzgesetz („DSG“) verlangt von russischen juristischen Personen die Benennung eines Datenschutzbeauftragten[1]. Obgleich der Wortlaut der Norm nicht von einer Pflicht, sondern von einer Maßnahme in eigenen Angelegenheiten spricht, nimmt die Rechtsprechung eine Pflicht des Unternehmens zur Benennung eines Datenschutzbeauftragten an[2]. Dabei differenziert das Gesetz nicht zwischen Umsatzvolumina oder der Anzahl der Mitarbeiter im Unternehmen. In kleinen Unternehmen wir diese Aufgabe praktisch in Personalunion durch den Geschäftsführer wahrgenommen, der sich selbst ernennt.

    2. Müssen die in Russland ansässigen Gesellschaften eine Data Protection Policy haben und gegebenenfalls veröffentlichen?

    Die Einführung einer Data Protection Policy ist für Gesellschaften mit Sitz in Russland zu empfehlen. Eine Verpflichtung hierzu ergibt sich zwar nicht eindeutig aus dem Gesetz. In der Konsequenz der erwähnten Rechtsprechung zum Datenschutzbeauftragten ist von einer Pflicht zur Einführung einer Datenschutzordnung auszugehen, denn die Einführung einer Datenschutzordnung ist demselben „Pflichtenkatalog“ wie der Pflicht zur Benennung eines Datenschutzbeauftragten zu entnehmen.[3] Die Rechtslage bleibt in dieser Frage aber strittig.

    Weiter sieht Art. 18.1 Abs. 2 DSG die Pflicht zur Veröffentlichung der Geschäftsordnung zum Datenschutz, z.B. im Internet, vor[4].

    3. Welche Datenschutzvorschriften gelten bezüglich personenbezogener Daten russischer Staatsangehöriger? Gelten diese datenschutzrechtlichen Vorschriften auch für russische Staatsangehörige, die bei Gesellschaften mit Sitz außerhalb Russlands beschäftigt sind und auch außerhalb des russischen Staatsgebiets tätig sind? Ändert sich an der rechtlichen Bewertung etwas, falls diese Mitarbeiter ganz oder zeitweise auch auf russischem Staatsgebiet für tätig sind?

    4. Dürfen personenbezogene Daten russischer Staatsangehöriger zukünftig nur noch in Russland automatisiert verarbeitet werden?

    Das russische Datenschutzgesetz differenziert gegenwärtig nicht nach der Zugehörigkeit zu Staatsbürgerschaften. Es beinhaltet Auskunfts- und Sorgfaltspflichten gegenüber Betroffenen und statuiert Schutzmaßnahmen für persönliche Daten. Das DSG richtet sich in erster Linie an Staatsbehörden und nur sekundär an den privaten Sektor. Insgesamt ist das Gesetz sehr allgemein gehalten. Es enthält generalklauselartige Eingriffsbefugnisse des Staates. Außerdem ist eine Haftung gegenüber den Betroffenen für immaterielle Schäden vorgesehen.

    Ein konkreter Bezug auf Arbeitsverhältnisse in Unternehmen ist nur an einer Stelle verankert, nämlich in Art. 22 Abs. 2 Nr.1 DSG der im Hinblick auf das Arbeitsrecht Arbeitgeber von der Benachrichtigungspflicht gegenüber der Datenschutzaufsichtsbehörde befreit.

    Ab dem 01.09.2016 tritt eine wichtige Neuerung in Kraft[5], die im Hinblick auf russische Staatsbürger eine Datenverarbeitung nur noch auf in Russland befindlichen Servern zulässt. Zwar sind hier Ausnahmen vorgesehen. Diese betreffen jedoch nicht Privatunternehmen. Derzeit wird die Vorverlegung des Inkrafttretens auf den 1.1.2015 diskutiert. Es empfiehlt sich daher, die Entwicklung in dieser Hinsicht zu beobachten.

Vgl. Art. 15 Abs. 5 DSG nF:. „Bei der Erhebung von persönlichen Daten, insbesondere durch das Informations- und Telekommunikationsmittel „Internet“, ist der Operator verpflichtet, die Aufzeichnung, Systematisierung, Zusammenfassung, Speicherung, Präzisierung (Aktualisierung, Änderung), Codierung der persönlichen Daten von Bürgern der Russischen Föderation durch Datenbanken, die sich auf dem Territorium der Russischen Föderation befinden, sicherzustellen, mit Ausnahme der in den Punkten 2, 3, 4,8 Abs. 1 Art. 6 dieses Gesetzes vorgesehenen Fälle.“ Aktuelle Anm. Die russischsprachige Wirtschaftszeitung „Kommersant“ berichtete am 23.10.2014, dass nach einem Treffen mit hochrangigen Vertretern ausländischer Investoren (darunter vier Dax-Konzerne) Ministerpräsident Medwedjew die Revidierung der Gesetzesnovelle in Erwägung zieht, da sich die Konzerne über die Erschwerung von Cloud-Lösungen und internationalisierten Prozessen beschwerten.

Flankierend hat der Gesetzgeber auch die Mitteilungspflicht über die Verarbeitung von persönlichen Daten an die Aufsichtsbehörde[1] durch die Angabe des Standortes der Datenbank erweitert. Eine solche Benachrichtigungspflicht ist jedoch für die Durchführung von Arbeits- oder zivilrechtlichen Vertragen nicht erforderlich[2].

Mit der Gesetzesnovelle werden auch die Aufsichts- und Kontrollrechtlichen Befugnisse der Behörden in anderen Gesetzes erweitert[3].

Die Anwendung des russischen DSG auf ausländische Unternehmen, die Daten russischer Staatsbürger verarbeiten, ist mit der herrschenden Meinung abzulehnen[4]. Allerdings fallen nach Meinung der Aufsichtsbehörde „Roskomnadzor“ Niederlassungen (Repräsentanzen, Filialen) ausländischer Unternehmen in Russland in den Anwendungsbereich des DSG[5]. Mit Niederlassung ist eine registrierte Niederlassung in Russland gemeint.

Daneben sind noch zwei weitere Aspekte relevant. Zum einen können ordnungsrechtliche Maßnahmen außerhalb des russischen Hoheitsbereichs nicht vollzogen werden. Im arbeitsrechtlichen Bereich besteht mangels Mitteilungspflicht an die Aufsichtsbehörde wenig Anlass für ordnungsrechtliche Maßnahmen. Zum anderen ist eine zivilrechtliche Haftung gegenüber Betroffenen nur theoretischer Natur, denn nach dem Schutzzweck der Norm fragt sich, welcher immaterieller Schaden aufgrund des Serverstandorts im Ausland einem Betroffenen entstehen kann. Das Gesetz reguliert überdies völlig an der russischen Realität vorbei, die sich um Compliancevorschriften wenig kümmert.

5. Welche Sanktionen drohen in Russland ansässigen Gesellschaften oder gegebenenfalls auch anderen außerhalb Russlands ansässigen Gesellschaften, falls personenbezogene Daten russischer Staatsangehöriger auch außerhalb Russlands automatisiert verarbeitet werden?

Das russische Ordnungswidrigkeitengesetz sieht marginale Bußgelder vor:

  • Art. 13.11. OWiG RFDie Verletzung der gesetzlichen Verpflichtungen beim Erheben, Aufbewahren, Nutzen und Verbreiten von Informationen über natürliche Personen (personenbezogener Daten) wird mit Bußgeld in Höhe von fünf bis zehn Tausend Rubel (100-200 EUR) geandet.
  • Art. 19.7. OWiG RF, Die Nichterfüllung der Benachrichtigungspflicht wird mit Bußgeld von drei bis fünftausend Rubel (bis 80-100 EUR) geahndet.

Insofern erweist sich das Ordnungswidrigkeitengesetz derzeit als „zahnloser Tiger“. Eine Strafbarkeit im Sinne des Strafrechts ist nicht vorgesehen.

Art. 23 abs. 5.1 Nr. 6 DSG sieht die Möglichkeit des Entzugs von tätigkeitsbezogenen Lizenzen (Genehmigungen) vor, allerdings nur in engen Grenzen, „sofern die erlaubnispflichtige Tätigkeit ein Verbot zur Übermittlung von persönlichen Daten ohne schriftliche Zustimmung des Inhabers der Daten voraussetzt“.
[1] Föderaler Aufsichtsdienst im Bereich der Telekommunikation, Informationstechnologien und Massenkommunikation – Roskomnadzor.

[2] Art. 22 Abs. 2 Nr. 1 DSG.

[3] Vgl. „Gesetz zum Schutz juristischer Personen und Einzelunternehmer durch staatliche und kommunale Aufsicht und Kontrolle“ Föderales Gesetz Nr. 294-ФЗ vom 26.12.2008.

[4] Alexej Volkov, O „zaprete chranenija personal´nych dannych rossijan za granicej“ [Zum „Verbot der Aufbewahrung personenbezogener Daten von Russen im Ausland“], Beitrag vom 4.7.2014; Natalia Belomestnova, Zapret na chranenije personal´nych dannych rossijan za rubežom: kogo eto kosnetsja i kak s etim žit´ [Verbot der Aufbewahrung personenbezogener Daten von Russen im Ausland: Wer ist betroffen und wie man damit umgehen soll], Beitrag vom 10.7.2014.

[5] Stellungnahme von Roskomnadzor: „Die Vorschriften des Föderalen Gesetztes „Über personenbezogene Daten“ sind auf die Repräsentanzen ausländischer juristischer Personen anwendbar, die personenbezogene Daten auf dem Territorium der Russischen Föderation verarbeiten.“

 

[1] Gemäß Art. 18.1 Abs. 1 Nr. 1 i.V.m. Art. 22.1 Abs. 1 DSG.

[2] Beschluss des Föderalen Wirtschaftsgerichts des Nordwestlichen Bezirks v. 29.4.2013 Az. А44-5910/2012.

[3] Gemäß Art. 18.1 Abs. 1 Nr. 2 DSG.

[4] Beschluss des Föderalen Wirtschaftsgerichts des Nordwestlichen Bezirks v. 29.4.2013 Az. А44-5910/2012.

[5] Novelliert durch Art. 4 FZ Nr. 242-ФЗ.