Zur Erforderlichkeit einer Datenschutzunterrichtung im russischen Onlinegschäft
Eine Datenschutzunterrichtung entsprechend des deutschen § 10 TMG ist nicht erforderlich. Die Mitteilung der überlassenen Daten ist nur auf Verlangen des Berechtigten zu übermitteln. Es ist aber die Einführung einer Datenschutzrichtlinie (data-protection-policy) zu empfehlen.
Weiter sieht Art. 18.1 Abs. 2 des Datenschutzgesetz Russlands (RusDSG) die Pflicht zur Veröffentlichung der Datenschutzrichtline z.B. im Internet, vor[1].
Ab dem 01.09.2015 trat eine wichtige Neuerung in Kraft[2], die im Hinblick auf russische Staatsbürger eine Datenverarbeitung nur noch auf in Russland befindlichen „Datenbanken“ (Servern) zulässt. Zwar sind hier Ausnahmen vorgesehen. Diese betreffen jedoch nicht Privatunternehmen:
„Vgl. Art. 15 Abs. 5 DSG nF:. Bei der Erhebung von persönlichen Daten, insbesondere durch das Informations- und Telekommunikationsmittel „Internet“, ist der Operator verpflichtet, die Aufzeichnung, Systematisierung, Zusammenfassung, Speicherung, Präzisierung (Aktualisierung, Änderung), Codierung der persönlichen Daten von Bürgern der Russischen Föderation durch Datenbanken, die sich auf dem Territorium der Russischen Föderation befinden, sicherzustellen, mit Ausnahme der in den Punkten 2, 3, 4,8 Abs. 1 Art. 6 dieses Gesetzes vorgesehenen Fälle.“.
Welche Sanktionen drohen, falls personenbezogene Daten russischer Staatsangehöriger auch außerhalb Russlands automatisiert verarbeitet werden?
Das russische Ordnungswidrigkeitengesetz sieht marginale Bußgelder vor:
- 13.11. OWiG RFDie Verletzung der gesetzlichen Verpflichtungen beim Erheben, Aufbewahren, Nutzen und Verbreiten von Informationen über natürliche Personen (personenbezogener Daten) wird mit Bußgeld in Höhe von fünf bis zehn Tausend Rubel (100-200 EUR) geandet.
- 19.7. OWiG RF, Die Nichterfüllung der Benachrichtigungspflicht wird mit Bußgeld von drei bis fünftausend Rubel (bis 80-100 EUR) geahndet.
Insofern erweist sich das Ordnungswidrigkeitengesetz derzeit als „zahnloser Tiger“. Eine Strafbarkeit im Sinne des Strafrechts ist nicht vorgesehen.
Art. 23 abs. 5.1 Nr. 6 DSG sieht sie Möglichkeit des Entzugs von tätigkeitsbezogenen Lizenzen (Genehmigungen) vor, allerdings nur in engen Grenzen, „sofern die erlaubnispflichtige Tätigkeit ein Verbot zur Übermittlung von persönlichen Daten ohne schriftliche Zustimmung des Inhabers der Daten voraussetzt“.
Die Anwendung des russischen DSG auf ausländische Unternehmen, die Daten russischer Staatsbürger verarbeiten, ist mit der herrschenden Meinung abzulehnen[3]. Allerdings fallen nach Meinung der Aufsichtsbehörde „Roskomnadzor“ Niederlassungen (Repräsentanzen, Filialen) ausländischer Unternehmen in Russland in den Anwendungsbereich des DSG[4]. Mit Niederlassung ist eine registrierte Niederlassung in Russland gemeint.
[1] Beschluss des Föderalen Wirtschaftsgerichts des Nordwestlichen Bezirks v. 29.4.2013 Az. А44-5910/2012.
[2] Novelliert durch Art. 4 FZ Nr. 242-ФЗ.
[3] Alexej Volkov, O „zaprete chranenija personal´nych dannych rossijan za granicej“ [Zum „Verbot der Aufbewahrung personenbezogener Daten von Russen im Ausland“], Beitrag vom 4.7.2014; Natalia Belomestnova, Zapret na chranenije personal´nych dannych rossijan za rubežom: kogo eto kosnetsja i kak s etim žit´ [Verbot der Aufbewahrung personenbezogener Daten von Russen im Ausland: Wer ist betroffen und wie man damit umgehen soll], Beitrag vom 10.7.2014.
[4] Stellungnahme von Roskomnadzor: „Die Vorschriften des Föderalen Gesetztes „Über personenbezogene Daten“ sind auf die Repräsentanzen ausländischer juristischer Personen anwendbar, die personenbezogene Daten auf dem Territorium der Russischen Föderation verarbeiten.“