18. GDD-Sommer-Workshop
DA+

Kurzbeitrag : Neue gesetzliche Anforderungen an den Personendatenschutz und die Lokalisierung von Datenbanken in Russland : aus der RDV 4/2015, Seite 186 bis 187

Lesezeit 3 Min.

In der Russischen Föderation wurde das föderale Gesetz Nr. 242- FS vom 21.07.2014 – nachfolgend nur „FS-242“ – im Juli 2014 zum Datenschutz verabschiedet, welches nun zum 1. September 2015 in Kraft tritt. Das Gesetz ist auch deshalb so bedeutend für ausländische Unternehmen, weil bei der Verarbeitung personenbezogener Daten russischer Staatsbürger, das verarbeitende Unternehmen verpflichtet wird, diese Daten künftig auf Servern innerhalb der Russischen Föderation zu speichern. Da viele Unternehmen heute ihre Serverlandschaften virtualisiert haben und die Server auf der ganzen Welt verteilt sind (Stichwort „Cloud Computing“), stellt dieses neue Gesetz internationale Konzerne vor erheblichen Herausforderungen.

Die meisten russischen Gesetze zum Datenschutz wurden in den Jahren 2005 und 2006 erlassen. So auch das russische Bundesgesetz über die persönlichen Daten (Föderales Gesetz Nr. 152-FS nachfolgend „FS-152“), welches am 27. Juli 2006 in Kraft gesetzt wurde. Das FS-152 bildet das Rückgrat der russischen Datenschutzgesetze und fordert vom Operator (siehe Art. 3.2), „alle für den Schutz der personenbezogenen Daten gegen unrechtmäßigen oder versehentlichen Zugriff die notwendigen organisatorischen und technischen Maßnahmen zu ergreifen“. Dabei ist der Operator gem. Art. 3.2 jede Behörde, natürliche oder juristische Person, die allein oder gemeinsam mit anderen die Verarbeitung organisiert und/oder Personenbezogene Daten verarbeitet sowie über die Zwecke der Verarbeitung, die Bestandteile der zu verarbeitenden Per sonenbezogenen Daten und das Vorgehen in Bezug auf die Personenbezogenen Daten entscheidet. Der Russia‘s Federal Service for Supervision of Communications, Information Technology and Mass Media (russisch: Роскомнадзор oder „Roskomnadsor“) ist dabei die Regierungsbehörde, die mit der Überwachung beauftragt worden ist.

Nun hat die Verabschiedung des FS-242 vom 21.07.2014 „Über die Änderung einzelner Gesetzgebungsakte der Russischen Föderation über die Verarbeitung von personenbezogenen Daten in Informations- und Telekommunikationsnetzwerken“ Auswirkungen auf folgende Russische Datenschutzgesetze:

  • Föderales Gesetz Nr. 152-FS „Über personenbezogene Daten“ vom 27.07.2006
  • Föderales Gesetz Nr. 149-FS „Über Informationen, Informationstechnologien und den Schutz von Informationen“ vom 27.06.2006 nachfolgend „FS-149“
  • Föderales Gesetz Nr. 294-FS „Über den Schutz der Rechte von juristischen Personen und Einzelunternehmern bei der Ausübung der staatlichen Kontrolle (Aufsicht) und der kommunalen Kontrolle“ vom 26.12.2008 nachfolgend „FS-294“

Nach Änderungen in FS-152 ist der Operator von personenbezogenen Daten (ab dem 1. September 2015) bei der Erhebung dieser Daten (auch per Internet) verpflichtet, die Aufnahme, Systematisierung, Erhebung, Speicherung, Anpassung (Aktualisierung, Änderung) und Abfrage von personenbezogenen Daten russischer Staatsbürger mit Hilfe von Datenbanken, die sich auf dem Hoheitsgebiet der Russischen Föderation befinden, sicherzustellen. Mit der Änderung des FS-149 wird ein Register eingeführt, welches Personen, die die Rechte von Subjekten in Bezug auf deren personenbezogene Daten verletzt haben, registriert. Die Änderung in FS-294 hat zur Folge, dass Unternehmen eine Reihe von Verfahrensgarantien, die bisher bei Prüfungen durch Roskomnadsor gewährt wurden, verlieren.

Gemäß den Änderungen in FS-242 ist der Operator von personenbezogenen Daten (FS-242) ab dem 1. September 2015 bei der Erhebung dieser Daten (auch per Internet) verpflichtet, die Aufnahme, Systematisierung, Anhäufung und Speicherung, Anpassung und Abfrage von personenbezogenen Daten russischer Staatsbürger mit Hilfe von Datenbanken, die sich auf dem Hoheitsgebiet der Russischen Föderation befinden, sicherzustellen. Dabei muss ab dem 1. September 2015 die Benachrichtigung u.a. Angaben über den Standort der Datenbanken enthalten, auf denen die personenbezogenen Daten russischer Staatsbürger gespeichert werden. Die Operatoren von personenbezogenen Daten müssen diese Angaben ab der ersten Übermittlung der Benachrichtigung nach dem 1. September 2015 übermitteln, oder auf Verlangen von Roskomnadsor innerhalb der von der Behörde genannten Fristen, wenn die Benachrichtigung vor dem 1. September 2015 übermittelt wurde. Diese Lokalisierungsanforderungen finden keine Anwendung, wenn die Verarbeitung der personenbezogenen Daten erforderlich ist:

  • um die durch einen internationalen Vertrag der Russischen Föderation oder ein Gesetz vorgesehenen Ziele zu erreichen, um die dem Operator durch die gesetzlichen Vorschriften der Russischen Föderation auferlegten Funktionen, Befugnisse und Pflichten auszuüben und zu erfüllen
  • zur Rechtsprechung und zur Vollstreckung von Gerichtsentscheidungen
  • bei der Erbringung von staatlichen und kommunalen Leistungen
  • zur Ausübung der Berufstätigkeit eines Journalisten und/ oder der legalen Tätigkeit von Massenmedien oder einer schöpferischen Tätigkeit

Nach einer Aussage der in Russland tätigen Kanzlei Beiten und Burkhart sollen eBay, PayPal, AliExpress, Google und andere Unternehmen bereits ihre Zustimmung zur Verarbeitung von personenbezogenen Daten russischer Staatsbürger auf Servern in Russland erklärt haben.