Russlands neuer Datenschutz – Herausforderung für Online-Unternehmen

Ab September 2015 müssen die persönlichen Daten russischer Bürger auf Servern gespeichert werden, die sich physisch auf russischem Territorium befinden. Wenn Unternehmen die neuen Anforderungen nicht erfüllen, müssen sie mit Geldbußen rechnen. Letztendlich kann die russischen Telekom-Aufsichtsbehörde Roskomnadsor sogar den Zugang zu ihrer Website blockieren.

Eine große Anzahl ausländischer und inländischer Unternehmen sind betroffen – von Amazon und Facebook bis theoretisch sogar ein Hotel in Berlin, das die Namen russischer Gäste auf seinen Computern gespeichert hat. Jedoch unterscheiden sich die Herausforderungen bei der Einhaltung des Gesetzes je nach Art des Unternehmens und der Datenbankarchitektur erheblich (siehe Details im Whitepaper von East-West Digital News und EY).

Viele Unternehmen haben bereits einen großen Aufwand betrieben, um die Anforderungen des Gesetzes rechtzeitig zu erfüllen, wie die öffentlichen Ankündigungen von Apple, Booking.com, eBay, PayPal, Alibabas Tochter AliExpress und des internationalen Zahlungsdienstleisters PayU während der vergangenen Monaten zeigen.

Einige Firmen aus dem E-Commerce-Bereich wie KupiVip und La Redoute hatten die Einführung des Gesetzes bereits vor einigen Jahren vorausgeahnt und ihre Daten von ausländischen auf russische Server übertragen.

Google, SAP, Samsung, Lenovo und IBM haben laufenden Arbeiten zur Datenübertragung nach Russland angekündigt.

Viele Unternehmen konnten die Frist bis zum 1. September jedoch nicht einhalten. Ob Facebook beabsichtigt, russische personenbezogene Daten nach Russland zu übertragen, bleibt weiterhin unklar. Das Unternehmen wies jedoch darauf hin, dass Benutzerinformationen keine personenbezogenen Daten darstellten.

Einige Unternehmen erwägen sogar, sich aufgrund der Komplexität der neuen Regelungen und der gegenwärtig ungünstigen wirtschaftlichen Entwicklungen ganz vom russischen Markt zurückzuziehen

Roskomnadsor hat indes angekündigt, dass rechtmäßige Unternehmen bei Verstößen gegen das neue Gesetz bis zum Ende des Jahres keinerlei Sanktionen zu befürchten hätten.

Bestimmte Unternehmen, deren Tätigkeit durch ein internationales Abkommen oder besondere Rechtsvorschriften geregelt wird, sind unterdessen nicht von dem neuen Gesetz betroffen. Dies gilt beispielsweise für Fluglinien und Buchungssysteme für Flugtickets.

Grundlegende rechtliche Anforderungen für den Umgang mit personenbezogenen Daten in Russland

• Personenbezogene Daten können nur mit dem – vorzugsweise schriftlichen – Einverständnis des Datensubjekts (also der Person, auf die sich die Daten beziehen) erhoben, gespeichert und genutzt werden.
• Ab September 2015 müssen personenbezogene Daten mittels Informationsdatenbanken verarbeitet werden, die sich physisch auf russischem Territorium befinden.
• Datenverarbeiter, die personenbezogene Daten speichern, haften für die Geheimhaltung solcher Daten, die nicht weitergegeben, mit Dritten geteilt oder ohne Einwilligung der betroffenen Person offengelegt werden dürfen.
• Der vollständige Schutz personenbezogener Daten soll durch eine Reihe gesetzlich festgelegter organisatorischer und technischer Maßnahmen erreicht werden.

Diese Regelungen gelten speziell für personenbezogene Daten, die nicht mit nutzerbezogenen Daten verwechselt werden sollten. Nach russischem Recht besteht das Hauptmerkmal “personenbezogener Daten” darin, dass sich mittels dieser eine einzelne spezifische Person unter vielen Personen identifizieren lasse.

In Partnerschaft mit NetMediaEurope haben East-West Digital News und EY ein Whitepaper veröffentlicht, das die rechtlichen und organisatorischen Aspekte dieser Angelegenheit ausführlich erläutert. Zum Download Ihres kostenlosen Exemplars klicken Sie bitte auf folgenden Link: http://www.ewdn.com/files/personaldatastorage.pdf

East-West Digital News ist ein Newssite für digitale Nachrichten und Entwicklungen in Russland