Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Obligatorische Lokalisierung persönlicher Daten russischer Staatsangehöriger ab dem 1. September 2015

PrintMailRate-it

von Marina Yankovskaya und Alexandra Nechaeva, Rödl & Partner Moskau

 
Am 1. September 2015 tritt das Föderale Gesetz Nr. 242-FZ vom 21. Juli 2014 (im Folgenden „Gesetz Nr. 242-FZ”) in Kraft, welches wesentliche Änderungen des geltenden Gesetzes über personenbezogene Daten vorsieht, so regelt es unter anderem ein Verbot der Speicherung personenbezogener Daten von Staatsangehörigen der Russischen Föderation (im Folgenden „Personenbezogene Daten”) außerhalb Russlands. Insbesondere sieht das Föderale Gesetz Nr. 242-FZ dabei vor, dass bei der Sammlung Persönlicher Daten, darunter über das Internet, der Operator verpflichtet ist, die Speicherung, Systematisierung, Ansammlung, Aufbewahrung, Präzisierung (Aktualisierung, Änderung) und Extraktion Personenbezogener Daten unter Verwendung der sich in der Russischen Föderation befindenden Datenbanken sicherzustellen.
 
Obwohl das Gesetz Nr. 242-FZ bereits am 21. Juli 2014 beschlossen wurde, dauern die Diskussionen über die praktische Anwendung der gegebenen Änderungen bis jetzt an.
 
Diskutiert wird hierbei vor allem die Frage, wen genau die durch das Gesetz Nr. 242-FZ eingebrachten Änderungen betreffen, wie auch folgende wichtige Aspekte: 
  • Was gilt als Personenbezogene Daten?
  • Was ist eine Datenbank?
  • Betrifft das Gesetz Nr. 242-FZ auch Datenbanken, die vor dem 1. September 2015 angelegt wurden?
  • Ist die grenzüberschreitende Übermittlung Personenbezogener Daten nach dem 1. September 2015 und deren weitere Nutzung außerhalb der Russischen Föderation zulässig?
     
  • Wen wird das Gesetz Nr. 242-FZ betreffen?

    Das Gesetz Nr. 242-FZ betrifft in erster Linie Unternehmen mit ausländischen Investitionen, ausländische Unternehmen mit Niederlassungen und Repräsentanzen in der Russischen Föderation, die mit den russischen Staatsangehörigen im geschäftlichen Verkehr zusammenwirken und die Personenbezogenen Daten ihrer Kunden sowie russischen Mitarbeiter und Bewerber auf Servern außerhalb der Russischen Föderation speichern.
     
Jedoch betrifft gemäß den Kommentaren der zuständigen kontrollierenden Behörde – Roskomnadsor das Gesetz Nr. 242-FZ auch ausländische Unternehmen, die keine Niederlassungen oder Repräsentanzen in der Russischen Föderation haben und deren Tätigkeit sich auf dem Territorium der Russischen Föderation erstreckt. 
 
Zu solchen Unternehmen gehören insbesondere Organisationen, welche ihre Waren und Dienstleistungen im Internet anbieten. 
 
Zur Begründung dieser erweiterten Auslegung entgegen dem allgemeinen Territorialprinzip der Geltung von nationalen Gesetzen beruft sich Roskomnadsor darauf, dass der durch das Gesetz festgelegte Begriff „Operator personenbezogener Daten” kein nationales Merkmal enthält.1 Zurzeit trifft Roskomnadsor Maßnahmen zur Ausarbeitung von Kriterien der Ausrichtung der Tätigkeit von Websites auf das Territorium der Russischen Föderation.2
 

Was fällt unter den Begriff „Personenbezogene Daten”?

Der Umfang des Begriffs „Personenbezogene Daten” hat sich zum Zeitpunkt der Verabschiedung des Gesetzes Nr. 242-FZ im Vergleich zur ersten Fassung des Gesetzes über persönliche Daten vom Jahre 2006 erheblich geändert. 
 
Zurzeit sind unter Personenbezogenen Daten alle Informationen zu verstehen, die direkt oder indirekt einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden (Subjekt der personenbezogenen Daten). Diese weit gefasste Definition erlaubt es, praktisch jegliche Daten über eine natürliche Person als Personenbezogene Daten einzustufen. 
 
Es ist anzumerken, dass diese Definition nicht durch den russischen Gesetzgeber neu geschaffen wurde, sondern die durch das 1981 beschlossene Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten festgelegte Definition praktisch wiedergibt. 
 
Aber nicht alle Informationen sind für die Bestimmung (Identifikation) einer Person in verschiedenen Situationen gleichermaßen relevant.
 
So gibt es Identifikationen, die eine natürliche Person eindeutig bestimmen, und zwar insbesondere die Nummer und Serie des Passes; Sozialversicherungsnummer; individuelle Steuernummer; Nummer der Bankkarte; biometrische Daten3  und Daten, die allein nicht als Personenbezogene Daten eingestuft werden können, zum Beispiel Geburtsdatum, Familienstand, sozialer Status, Vermögenslage, Ausbildung, Beruf usw. 
 
Gemäß der russischen Rechtsprechung gelten dabei die folgenden Datensätze als Personenbezogene Daten: Nachname, Vorname, Vatersname, Geburtsjahr, -Monat, -Datum, Wohnanschrift; Nachname, Vorname, Vatersname, Position. In Einzelfällen der russischen Rechtsprechung wird die Telefonnummer einer natürlichen Person auch unter den Begriff der „Personenbezogenen Daten” eingestuft.
 
Nach Ansicht von Roskomnadsor sind Nachname, Vorname und Vatersname (möglicherweise Nachname mit Initialen) sowie beliebige Informationen, die das Subjekt aus einem bereits eingeschränkten Personenkreis aussondern, als Personenbezogene Daten zu betrachten.4 In diesem Zusammenhang entsteht die Frage, ob die geschäftliche E-Mail-Adresse eines Mitarbeiters, die seinen Nachnamen und Vornamen enthält, sowie seine Position und Arbeitsstelle in der Unterschrift im Text der E-Mail auch als Personenbezogene Daten nach dem russischen Gesetz über personenbezogene Daten gelten. Roskomnadsor hat bislang keine offiziellen Erläuterungen bezüglich der E-Mail-Adressen abgegeben. In inoffiziellen Gesprächen geben Experten von Roskomnadsor zu, dass jede E-Mail-Adresse als personenbezogene Daten gilt.
 

Was ist eine Datenbank?

Viele Menschen assoziieren den Begriff „Datenbank” in erster Linie mit elektronischen Informationssystemen. Jedoch gilt nach Ansicht von Roskomnadsor jegliche Speicherung personenbezogener Daten unabhängig vom Datenträger, insbesondere jegliche Tabelle im Format Word oder Excel, als Datenbank. 
 

Grenzüberschreitende Übermittlung Personenbezogener Daten

Gemäß den Erklärungen von Roskomnadsor können Personenbezogene Daten ab dem 1. September 2015 außerhalb der Russischen Föderation nur als Kopie der Datenbank oder eines Teils der Datenbank gespeichert werden.
 
Personenbezogene Daten, die vor dem 1. September 2015 ins Ausland übertragen wurden, können dort weiter verwendet werden, wenn die ursprüngliche Datenbank in der Russischen Föderation aufbewahrt wird. Bei Vorhandensein eines Verbots für die Speicherung Persönlicher Daten im Gesetz Nr. 242-FZ ist anzumerken, dass die Frage der Verwendung einer Datenbank eher eine Kollisionsfrage ist. Möglicherweise werden in Zukunft weitere Änderungen in den Teil des Gesetzes über personenbezogene Daten eingebracht, der die Verarbeitung personenbezogener Daten betrifft. Entsprechende Änderungen werden bereits ausgearbeitet,5 mit dem Ziel, diese Kollision zu beseitigen. Der genaue Inhalt der geplanten Änderungen ist dagegen noch nicht bekannt. 
 

Arbeit mit Personenbezogenen Daten

Bei der Arbeit mit Personenbezogenen Daten sind die festgelegten Anforderungen an die Verarbeitung personenbezogener Daten zu berücksichtigen, insbesondere müssen der Inhalt und der Umfang der zu verarbeitenden personenbezogenen Daten den vorausgesetzten Zielen der Verarbeitung entsprechen. Die zu verarbeitenden personenbezogenen Daten dürfen im Hinblick auf die angegebenen Ziele der Verarbeitung nicht unverhältnismäßig erscheinen.
 
Personenbezogene Daten dürfen zudem nicht länger gespeichert werden, als dies für die Ziele der Verarbeitung dieser Daten erforderlich ist, sofern die Dauer der Speicherung nicht durch föderale Gesetze oder einen Vertrag festgelegt ist, in dem das Subjekt personenbezogener Daten als eine Partei oder Begünstigter auftritt. 
 
Die Verarbeitung Personenbezogener Daten erfolgt hierbei grundsätzlich mit Zustimmung des Subjekts Personenbezogener Daten. Bei Ausfertigung der Zustimmungen der Subjekte Personenbezogener Daten sind Anforderungen in Bezug auf Form und Inhalt dieser Zustimmung zu berücksichtigen.
 

Haftung für Verstöße gegen die Gesetzgebung über Personenbezogene Daten

Die Kontrolle über die Einhaltung des Gesetzes über personenbezogene Daten obliegt der zuständigen staatlichen Behörde (Roskomnadsor). Roskomnadsor ist berechtigt, Operatoren personenbezogener Daten sowohl auf eigene Initiative hin als auch auf die Beschwerden von Subjekten persönlicher Daten, Medien, staatlichen Behörden zu überprüfen.
 
Bei der Aufdeckung von Verstößen kann der Zugang zu Webseiten, auf denen personenbezogene Daten veröffentlicht werden, eingeschränkt werden.
 
Bei dem Verstoß gegen Regeln über die Erhebung, Speicherung, Nutzung oder Verbreitung der Daten können gegen die Operatoren personenbezogener Daten Bußgelder bis zu 10.000 Rubel gemäß Art. 13.11. des Ordnungswidrigkeitengesetzbuches für jeden einzelnen Gesetzesverstoß verhängt werden.
 
Am 24. Februar 2015 wurde ein Gesetzentwurf über die Einbringung von Änderungen in den Art. 13.11. des Ordnungswidrigkeitengesetzbuches der Russischen Föderation in erster Lesung verabschiedet, der eine wesentliche Erhöhung des Bußgeldes für den Verstoß gegen die Gesetzgebung über personenbezogene Daten vorsieht.
 
Zum Zeitpunkt der Verfassung des vorliegenden Artikels sieht der Gesetzentwurf eine Belangung für acht Tatbestände vor:
  • für den Verstoß gegen die Anforderungen an die Angaben, die von der schriftlichen Zustimmung des Subjekts personenbezogener Daten zur Verarbeitung seiner personenbezogenen Daten umfasst werden – Bußgelder bis zu 50.000 Rubel,
  • für die Verarbeitung personenbezogener Daten ohne die Zustimmung des Subjekts personenbezogener Daten und das Fehlen anderer durch die Gesetzgebung über personenbezogener Daten festgelegten Bedingungen zur Verarbeitung personenbezogener Daten – Bußgelder bis zu 50.000 Rubel,
  • für die Verarbeitung spezieller Kategorien personenbezogener Daten in nicht durch die Gesetzgebung vorgesehenen Fällen – Bußgelder bis zu 300.000 Rubel,
  • für die unterlassene Veröffentlichung des Dokumentes in Fällen, die vom Gesetzgeber vorgesehen wurden, zum uneingeschränkten Zugang zu dem Dokument, das die Politik des Operators in Bezug auf die Verarbeitung personenbezogener Daten usw. festlegt – Bußgelder bis zu 30.000 Rubel,
  • für die unterlassene Vorlage der Informationen, die die Verarbeitung seiner personenbezogenen Daten betreffen, beim Subjekt der personenbezogenen Daten – Bußgelder bis zu 40.000 Rubel,
    die Nichterfüllung der Anforderung an die Präzisierung, Sperrung oder Vernichtung personenbezogener Daten in bestimmten Fällen innerhalb der festgelegten Fristen – Bußgelder bis zu 45.000 Rubel,
  • für die Nichterfüllung der Verpflichtungen zur Einhaltung der Bedingungen, die gemäß der Gesetzgebung die Unversehrtheit personenbezogener Daten bei Aufbewahrung der Datenträger usw. sicherstellen,
  • durch den Operator bei Verarbeitung personenbezogener Daten ohne Verwendung von Automatisierungsmitteln – Bußgelder bis zu 50.000 Rubel.
     
  • Im Rahmen der zukünftigen Änderungen der rechtlichen Regulierung der Verarbeitung von Personenbezogenen Daten ist zu empfehlen, dass Unternehmen die Praxis der Sammlung und Verarbeitung personenbezogener Daten von natürlichen Personen analysieren, den Inhalt der Zustimmungen zur Verarbeitung und grenzüberschreitenden Übertragung personenbezogener Daten überprüfen und Maßnahmen zur Einhaltung der anderen Vorschriften des Gesetzes über personenbezogene Daten und Vorschriften des Gesetzes Nr. 242-FZ treffen.
     
 
1 Wissenschaftlich-praxisorientierter Kommentar zum Föderalen Gesetz „Über  persönliche Daten“ in der Fassung vom stellvertretenden Leiter des Föderalen Aufsichtsdienstes für Kommunikation, Informationstechnologien und Massenkommunikation, Bibliothek der „Rossijskaja Gaseta“, Ausgabe Nr. 11 2015, Artikel 3.
2 Roskomnadsor, Beirat: Mitteilungen über Sitzungen des Beirates, http://pd.rkn.gov.ru/advisory-council/activity/subject1/news4223.htm
3 Wissenschaftlich-praxisorientierter Kommentar zum Föderalen Gesetz „Über persönliche Daten“ in der Fassung vom stellvertretenden Leiter des Föderalen Aufsichtsdienstes für Kommunikation, Informationstechnologien und Massenkommunikation, Bibliothek der „Rossijskaja Gaseta“, Ausgabe Nr. 11 2015, Artikel 3.
4 Wissenschaftlich-praxisorientierter Kommentar zum Föderalen Gesetz „Über persönliche Daten“ in der Fassung vom stellvertretenden Leiter des Föderalen Aufsichtsdienstes für Kommunikation, Informationstechnologien und Massenkommunikation, Bibliothek der „Rossijskaja Gaseta“, Ausgabe Nr. 11 2015, Artikel 3.
5 Roskomnadsor, Beirat: Mitteilungen über Sitzungen des Beirates, http://pd.rkn.gov.ru/advisory-council/activity/subject1/news4223.htm

 Aus dem Newsletter

Kontakt

Contact Person Picture

Alexey Sapozhnikov

Rechtsanwalt

Partner

+7 495 9335 120
+7 495 9335 121

Anfrage senden

 Mehr zum Thema

Deutschland Weltweit Search Menu