Das russische Datenschutzrecht: Speicherung von personenbezogenen Daten

veröffentlicht am 31. Januar 2018


Vor dem Hintergrund der immer weiter zunehmenden Bedeutung von Datenverarbeitungssystemen in Unternehmen, die durch eine wachsende internationale Vernetzung, z.B. mittels zentraler Server und Cloud-Computing, geprägt sind, ist es unerlässlich, die jeweiligen nationalen Bestimmungen zum Umgang mit personenbezogenen Daten zu kennen und zu beachten. Durch eine am 1. Sep­tember 2015 in Kraft getretene Änderung des Gesetzes Nr. 152-FZ „Über personenbezogene Daten” hat gerade der Teil der Speicherung dieser Daten im russischen Datenschutzrecht eine Reihe äußerst relevanter Änderungen erfahren.


Das Thema Datenschutz ist in Russland nicht neu. Im Jahr 2006 wurde das Föderale Gesetz 152-FZ „Über personenbezogene Daten” verabschiedet. Das Gesetz hat dabei mehrere vorausgehende Normen und Akten zu Fragen des Datenschutzes ersetzt. Seitdem wurde das Gesetz mehr als 15 Mal geändert. Beson­dere Aufmerksamkeit hat das Gesetz im Jahr 2015 erfahren, als wesentliche Änderungen in Kraft getreten sind. Dabei wurden viele Fragen aufgeworfen: Was genau sind personenbezogene Daten? Wo müssen die Daten gespeichert werden? Welche Besonderheiten sind bei Datenbanken zu beachten? Welche Pflichten gibt es? Diese Aspekte werden nachfolgend ausführlich betrachtet.


Rechtlicher Rahmen

Vom Anwendungsbereich des Gesetzes sind sämtliche staatlichen und kommunalen Behörden sowie natür­liche und juristische Personen, die personenbezogene Daten verarbeiten, erfasst. Geschützt sind grund­sätzlich die personenbezogenen Daten aller Personen, die sich im Hoheitsgebiet der Russischen Föderation aufhalten. Im Hinblick auf Internetleistungen ist es dabei erforderlich, den vorgesehenen Empfängerkreis einer Webseite zu berücksichtigen. Der Schutz der Daten erfolgt hierbei nach russischem Recht unab­hängig vom Sitz des Unternehmens und richtet sich alleine danach, ob die Tätigkeit des Unternehmens das russische Segment des Internets und den russischen Verbraucher erfasst. Die Frage, ob die personenbe­zogenen Daten einer Person vom Schutz des Gesetzes erfasst sind oder nicht, hat derjenige, der die Daten verarbeitet, selbst zu beantworten. Im Zweifel wird seitens der zuständigen Behörden jedoch davon ausgegangen, dass der Schutzbereich des Gesetzes gilt. Handlungen, die nach dem Gesetz auf jeden Fall in der Russischen Föderation vorgenommen werden müssen, sind
  • die Erfassung,
  • die Systematisierung,
  • die Sammlung,
  • die Speicherung,
  • die Präzisierung (Aktualisierung, Änderung) und
  • der Abruf


von personenbezogenen Daten von Staatsangehörigen der Russischen Föderation.

Einschränkungen des Schutzbereichs ergeben sich zum einen bei russischen Staatsangehörigen außerhalb Russlands und zum anderen bei Flugbuchungssystemen, auf die aufgrund anderweitiger Regulierung das hier besprochene Gesetz nicht anwendbar ist.


Zentrale Begriffe

Personenbezogene Daten sind sämtliche Informationen, die direkt oder indirekt einer bestimmten oder bestimmbaren natürlichen Person (Subjekt personenbezogener Daten) zugeordnet werden. Sofern jedoch die Daten die Identifizierung einer natürlichen Person ohne zusätzliche Informationen nicht ermöglichen, gelten sie nicht als solche.

Der Operator/Nutzer personenbezogener Daten ist eine staatliche bzw. kommunale Behörde, eine juristische oder natürliche Person, die selbstständig oder zusammen mit anderen Personen die Verarbeitung von personenbezogenen Daten organisiert und/oder durchführt und kumulativ die Zwecke der Verarbeitung und die Zusammensetzung der zu verarbeitenden Daten sowie den Umgang mit den personenbezogenen Daten festlegt.


Als Verarbeitung personenbezogener Daten zählt jegliche Handlung, die in Bezug auf sie vorgenommen wird, einschließlich deren

  • Erhebung,
  • Aufzeichnung,
  • Systematisierung,   
  • Ansammlung,
  • Speicherung,
  • Konkretisierung (Erneuerung, Änderung),
  • Abruf,
  • Nutzung,
  • Übermittlung (Verbreitung, Weiterleitung, Zugänglichmachung),
  • Anonymisierung,
  • Sperrung,
  • Löschung und
  • Vernichtung.


Grenzüberschreitende Übertragung personenbezogener Daten

Aktuell und wichtig für internationale Unternehmen mit einer Niederlassung in Russland ist die Frage, ob es möglich ist, die personenbezogenen Daten eigener Mitarbeiter im Ausland aufzubewahren.

Die einschlägigen Vorschriften des Gesetzes 152-FZ regulieren die Tätigkeit derjenigen Personen, die personenbezogene Daten in der Russischen Föderation sammeln, also im Regelfall die Tätigkeit der russischen Tochtergesellschaft einer ausländischen Muttergesellschaft (die selbst nicht Arbeitgeber der russischen Mitarbeiter ist).

Die grenzüberschreitende Übermittlung der Daten muss einen im Voraus bestimmten Zweck der Verarbei­tung haben. Somit muss eine russische juristische Person, die in ihrem Stellenplan Mitarbeiter hat, die Staatsangehörige der Russischen Föderation sind, eine Reihe von Dokumenten als Grundlage für die Vornahme der grenzüberschreitenden Übermittlung der Daten erstellen.

Das Gesetz geht jedoch davon aus, dass die personenbezogenen Daten der Staatsangehörigen der Russischen Föderation im Hoheitsgebiet der Mitgliedsstaaten des Europarates auf Grundlage des „Überein­kommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten” ausreichend angemessen geschützt sind. Die grenzüberschreitende Übermittlung der Daten in einen frem­den Staat, der keinen angemessenen Schutz der Rechte von Subjekten personenbezogener Daten gewährleistet (z.B. USA, Australien), kann lediglich in einigen vom Gesetz ausdrücklich normierten Ausnahmefällen erfolgen.


Datenbanken

Eine Datenbank im Sinne des Gesetzes ist eine systematisierte Erhebung personenbezogener Daten, die von den Datenträgern und von den für ihre Verarbeitung eingesetzten Mitteln (Archive, Karteien, elektro­nische Datenbanken) unabhängig ist (z.B. eine Excel-/Word-Tabelle). Eine solche Auslegung des Begriffs Datenbank ermöglicht die Anwendung der Vorschriften der Gesetzgebung über personenbezogene Daten auf alle Materialien, die solche enthalten – unabhängig davon, auf welche Weise sie erstellt wurden und ob sie in Papierform oder auf einem elektronischen Datenträger verarbeitet werden.

Gemäß den Erläuterungen des Ministeriums für Kommunikation (Minekonomswjas) können personenbe­zogene Daten von Staatsangehörigen der Russischen Föderation im unveränderten Zustand im Ausland gespeichert werden, sofern sie vor dem 1. September 2015 rechtmäßig erhoben wurden. Wurden sie zu einem späteren Zeitpunkt erhoben, ist der Operator/Nutzer verpflichtet, die einschlägigen Bestimmungen einzuhalten.

Im Gesetz finden sich keine Anhaltspunkte zu der Frage, welche Datenbanken technisch für die Speiche­rung von personenbezogenen Daten verwendet werden dürfen. Somit kann der Operator/Nutzer auch Cloud-Technologien einsetzen, wenn er durch entsprechende Dokumente nachweisen kann, dass sich die Datenbanken in der Russischen Föderation befinden.


Pflichten von Operatoren/Nutzern personenbezogener Daten

Das Gesetz schreibt, abgesehen von explizit genannten Ausnahmefällen, vor der Verarbeitung personen­bezogener Daten die Benachrichtigung des Föderalen Aufsichtsdienstes für Kommunikation, Informationstechnologien und Massenkommunikation (nachfolgend „Roskomnadsor”) vor.

Gemäß Punkt 7, Artikel 86 Arbeitsgesetzbuch der Russischen Föderation muss der Arbeitgeber den Schutz personenbezogener Daten von Mitarbeitern vor unrechtmäßiger Verwendung oder Verlust auf eigene Kosten sicherstellen. Gemäß Artikel 87 muss der Arbeitgeber eine interne Vorschrift bezüglich der Speicherung und Nutzung personenbezogener Daten aufstellen und den Schutz der Daten vor unberech­tigter Verwendung oder Verlust sicherstellen. Die Vorschrift sowie die Rechte der Mitarbeiter im Bereich des Schutzes personenbezogener Daten sind den Mitarbeitern gegen Unterschrift bekannt zu geben.

Bei einem Pflichtenverstoß, insbesondere gegen die oben genannten, aber auch gegen weitere daten­schutzrechtliche Pflichten, drohen ernste zivil-, straf-, ordnungs- und disziplinarrechtliche Folgen. Falls personenbezogene Daten unter Verstoß gegen das gesetzlich vorgeschriebene Verfahren verwendet wurden, ist Roskomnadsor zudem berechtigt, den Zugang zu Informationen, die unter Verstoß gegen das russische Datenschutzrecht verarbeitet wurden, auf dem Gerichtswege zu sperren. Das führt unvermeid­lich zu weiterem zeitlichen und finanziellen Aufwand sowie potentiell zu einer dauerhaften Rufschädigung.


Fazit

Aufgrund der tagtäglichen Verwendung personenbezogener Daten sind die diesbezüglichen Regelungen von hoher Praxisrelevanz. Daher sollte deren korrekte Implementierung im Unternehmen stets aufs Neue überprüft und notfalls angepasst werden.


 Kontakt

Dr. Tatiana Vukolova

Juristin

Associate Partner

+7 (495) 9 33 - 51 20
+7 (495) 9 33 - 51 21

Anfrage senden

Deutschland Weltweit Search Menu