Drohende Strafen bei Nichteinhaltung der Datenschutzgrundverordnung

PrintMailRate-it

von ​Tatiana Vukolova
 

Seit dem 25. Mai 2018 gilt die Verordnung Nr. 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Verordnung 95/46/EG (Datenschutzgrundverordnung, im Folgenden „Verordnung” oder „DSGVO”).

 
Die Geltung der Verordnung in der Russischen Föderation ist durch ihre exterritoriale Natur bedingt. Bspw. unterliegen russische Unternehmen, die im Rahmen ihrer Tätigkeiten personenbezogene Daten von EU-Staatsangehörigen verarbeiten, unmittelbar dieser Verordnung. Im Wesentlichen betrifft dies Unternehmen, die Verhaltensmonitoring durchführen und EU-Staatsangehörigen Waren und Dienstleistungen anbieten, insb.: Internet-Shops, Mobilfunkdienstleister, Buchungsdienste, Reiseveranstalter, Beförderungs- und Finanz­dienstleister. Die Verordnung gilt auch für Staatsangehörige von Nicht-EU-Ländern, die sich in der EU aufhalten.

 
Die Nichteinhaltung der DSGVO-Anforderungen führt zur Auferlegung eines Bußgelds gegen das Unternehmen in Höhe von bis zu 20 Mio. Euro oder bis zu 4 Prozent des Jahresgewinns (der höhere Betrag ist maßgeblich). Außerdem kann das europäische Aufsichtsorgan die Verarbeitung personenbezogener Daten in der EU einstellen oder verbieten.

 
Um die Verhängung der genannten Sanktionen auszuschließen, müssen Unternehmen die DSGVO-Anfor­derungen insb. an die Einwilligung zur Verarbeitung, an die Dokumentierung der Verarbeitungsvorgänge und an die Übereinstimmung mit den Grundsätzen der Datenverarbeitung (Rechtmäßigkeit, zweckmäßige Erhe­bung, Minimierung der Datenmenge, Genauigkeit, Einschränkung der Datenspeicherung, Geheimhaltung) einhalten. 

 
Schwierigkeiten können im Verhältnis der DSGVO-Regelungen zu den Anforderungen der russischen Gesetz­gebung entstehen. Das Föderale Gesetz Nr. 152-FZ „Über personenbezogene Daten” vom 27. Juli 2006 (im Folgenden „Gesetz Nr. 152-FZ”) sowie die DSGVO beruhen auf dem Übereinkommen des Europarats vom Jahr 1981 zum Schutze des Menschen bei der automatischen Verarbeitung personenbezogener Daten sowie auf der EU-Datenschutzverordnung 95/46/EG. Einerseits haben die beiden Dokumente dank dieser Tatsache insb. im Hinblick auf die Grundsätze der Datenverarbeitung viele Gemeinsamkeiten. Andererseits gibt es aber zwischen den Rechtsakten auch einige Unterschiede. Bspw. legt die DSGVO das Recht des Betroffenen auf Erhalt und Übergabe seiner personenbezogenen Daten von einem Verantwortlichen zum anderen fest sowie, dass die Erteilung der Einwilligung zur Datenverarbeitung auf Internetseiten nur durch aktive Handlungen erfolgen darf. Die Verordnung erklärt die Europäische Kommission zur Aufsichtsbehörde und sieht im Falle einer Verletzung des Datenschutzes eine obligatorische Meldung innerhalb von 72 Stunden vor.

 
Gemäß Art. 27 Abs. 4 der Verordnung muss der Verantwortliche oder der Auftragsverarbeiter einen Vertreter beauftragen, der zusätzlich zu diesem oder an seiner Stelle bei sämtlichen Fragen im Zusammenhang mit der Verarbeitung zur Gewährleistung der Einhaltung dieser Verordnung als Anlaufstelle dient. Die Befugnisse des Vertreters sind in der Verordnung nur allgemein beschrieben. Somit kann nicht ausgeschlossen werden, dass ein in der EU ansässiges Unternehmen sein Tochterunternehmen zur Einhaltung der EU-Datenschutzregelungen auffordert.

 
Praktisch entsteht die folgende strittige Situation. Falls das russische Tochterunternehmen diese Aufforderung zur Einhaltung der EU-Regelungen zur Übertragung personenbezogener Daten annimmt, verpflichtet es sich damit, alle Anforderungen des EU-Vertreters bezüglich jeglicher Übertragung personenbezogener Daten zu erfüllen. Frage: Kann das russische Unternehmen die Anforderungen erfüllen?

 
Einerseits sind die Bestimmungen der europäischen Verordnung anzuwenden, weil das Tochterunternehmen die Daten von EU-Staatsangehörigen verarbeitet. Andererseits unterliegt das Tochterunternehmen dem Gesetz Nr. 152-FZ, weil es seinen Sitz in der Russischen Föderation hat.

 
Gemäß Abschn. 5, Art. 18 des Gesetzes Nr. 152-FZ „Über personenbezogene Daten” sind Operatoren personen­bezogener Daten bei der Sammlung von personenbezogenen Daten, unter anderem über das Internet, verpflichtet, die Speicherung, Systematisierung, Ansammlung, Aufbewahrung, Präzisierung (Aktualisierung, Änderung) und Extrahierung von personenbezogenen Daten russischer Staatsangehöriger unter Verwendung von sich in der Russischen Föderation befindenden Datenbanken sicherzustellen.

  
Gemäß Abschn. 1, Art. 12 des Gesetzes Nr. 152-FZ muss die Übertragung personenbezogener Daten ins Ausland, an eine ausländische Behörde eines fremden Staates, an eine ausländische natürliche oder juristische Person (grenzüberschreitende Übertragung personenbezogener Daten) gemäß diesem Föderalen Gesetz erfolgen und kann zum Schutz der Grundlagen der verfassungsmäßigen Ordnung der Russischen Föderation, der Moral, der Gesundheit, der Rechte und rechtmäßigen Interessen der Staatsangehörigen, zur Gewähr­leistung der Landesverteidigung und Sicherheit des Staates verboten oder eingeschränkt werden.

 

Gemäß Abschn. 1, Art. 22 des Gesetzes Nr. 152-FZ muss der Operator vor Beginn der Verarbeitung personen­bezogener Daten die zuständige Behörde für den Schutz der Rechte von Subjekten personenbezogener Daten über seine Absicht, personen­bezogene Daten zu verarbeiten, benachrichtigen. Die Benachrichtigung muss unter anderem die Angaben zur Vornahme oder Nichtvornahme der grenzüberschreitenden Übertragung von personen­bezogenen Daten während ihrer Verarbeitung enthalten.

 
Somit sieht das russische Gesetz kein direktes Verbot der Übermittlung jeglicher angefragter Informationen an die ausländische Muttergesellschaft in der EU (an den Vertreter) vor. Jedoch darf das russische Tochter­unternehmen keine personenbezogenen Daten russischer Staatsangehöriger übertragen, falls dieses der Gesetzgebung der Russischen Föderation widerspricht. Die Übertragung muss im Voraus aus Sicht der Sicherheit bewertet werden.

 
In dieser Situation ist die Analyse der im Unternehmen verwendeten Datenverarbeitungsverfahren empfehlens­wert. Zu diesem Zweck sind die durch die russische Gesetzgebung vorgesehenen Bestimmungen in Bezug auf die grenzüberschreitende Datenübertragung zu beachten. Somit kann das russische Unternehmen in Überein­stimmung mit Abschn. 5, Art. 18 des Gesetzes Nr. 152-FZ über die Nutzung der Datenbanken, die sich in der Russischen Föderation befinden, in einem speziellen Vertrag eine Bestimmung über die Übertragung perso­nenbezogener Daten im durch die Gesetzgebung der Russischen Föderation festgelegten Verfahren vorsehen. Dieses Verfahren schließt die Übertragung personenbezogener Daten zu einem bestimmten Zweck und für eine bestimmte Dauer ein. Alternativ zum Vertrag über die grenzüberschreitende Datenübertragung kann ein Memorandum oder eine Zusatzvereinbarung zur Regelung dieser Frage abgeschlossen werden.

   

Viele russische Unternehmen haben sich bereits auf die neuen Anforderungen vorbereitet. Bspw. hat die OAO „RZhD” (russische Eisenbahn) beim Inkrafttreten der Verordnung ihre Verkaufssoftware angepasst und die Regeln des Fahrkartenverkaufs auf ihrer Webseite aktualisiert. Die „Sberbank” arbeitet an der Implemen­tierung eines einheitlichen Verfahrens zur Verarbeitung und zum Schutz personenbezogener Daten, das den russischen und europäischen Anforderungen entspricht.

 
Unternehmen, die ihre Software mit den Anforderungen der Verordnung noch nicht in Einklang gebracht haben, empfehlen wir Folgendes:

 

          • Eine umfassende Bewertung der im Unternehmen angewendeten Methoden und Mittel der Datenverarbeitung durchzuführen, eine Inventur durchzuführen und Datenflüsse zu analysieren;
  • Die Vereinbarung über die Verarbeitung personenbezogener Daten („Terms of use”) anzupassen;
  • Eine interne Datenschutzregelung auszuarbeiten und den min. Berichtsumfang für den Verantwortlichen und den Auftragsverarbeiter zu bestimmen;
  • Eine für den Datenschutz zuständige Person zu bestellen.

 

 Aus dem Newsletter

Kontakt

Contact Person Picture

Dr. Tatiana Vukolova

Juristin (Russland)

Associate Partner

+7 495 9335 120
+7 495 9335 121

Anfrage senden

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu