Die Datenschutzgrundverordnung und ihr Verhältnis zum russischen Datenschutzrecht

PrintMailRate-it

veröffentlicht am 20. März 2018  

 

Am 25. Mai 2018 tritt die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – im Folgenden „DSGVO”) in Kraft und bringt umfangreiche Neuregelungen im Bereich des Schutzes personenbezogener Daten in der EU mit sich.

 

 

 
Die Verordnung löst – als unmittelbar in allen Mitgliedstaaten der EU geltendes Recht – die Richtlinie 95/46/EG aus dem Jahr 1995 ab, die lediglich mittelbare Wirkung für die Mitgliedstaaten entfaltete, sodass bisher die jeweiligen nationalen Datenschutzgesetze der einzelnen Mitgliedsstaaten maßgeblich waren. Nach dem Anwendungsvorrang des Europarechts ist die DSGVO gegenüber dem nationalen Recht – bei bestehenden Konkurrenzsituationen verschiedener Regelungen aus beiden Rechtsordnungen – vorranging anzuwenden, ohne dass die nationale Regelung dadurch insgesamt unwirksam wird. Daher wird auch das neue, am selben Tag wie die DSGVO in Kraft tretende Bundesdatenschutzgesetz in Kollisionsfällen hinter der DSGVO zurücktreten. Durch die EU-weite unmittelbare Geltung der DSGVO sollen die Unterschiede beim Schutzniveau für die Rechte und Freiheiten von Personen in Zusammenhang mit der Verarbeitung personenbezogener Daten in den Mitgliedsstaaten, die durch die unterschiedliche Umsetzung der Richtlinie entstanden sind, nivelliert werden, um somit künftig die bisher bestehenden Hindernisse für den unionsweiten Verkehr solcher Daten und für die Wirtschaftstätigkeit allgemein zu beseitigen.

  
Insbesondere für international agierende Unternehmen ist jedoch von besonderem Interesse, wie die Regelungen der DSGVO mit den datenschutzrechtlichen Regelungen in Staaten außerhalb des Anwendungsbereichs der DSGVO in Einklang gebracht werden können.

  
Seit 1. September 2015 hat es mit der Änderung des Gesetzes Nr. 152-FZ „Über personenbezogene Daten” (nachfolgend „Gesetz 152-FZ”) auch in Russland gravierende Neuerungen beim Datenschutz gegeben.

 
Nachfolgend wird vor diesem Hintergrund dargestellt, wie sich die Anwendungsbereiche der beiden Regelwerke zueinander verhalten und welche neuen Pflichten für russische Gesellschaften mit der DSGVO einhergehen.

 

I. Datenschutzgrundverordnung

1. Anwendungsbereich

a) Räumlicher Anwendungsbereich der DSGVO
Der räumliche Anwendungsbereich der DSGVO orientiert sich gemäß Art. 3  DSGVO an verschiedenen Umständen. Er richtet sich zum einen nach dem Niederlassungsprinzip und zum anderen nach dem Marktortprinzip.

 
Nach dem Niederlassungsprinzip aus Art. 3 Abs. 1 DSGVO ist diese auf die Verarbeitung personenbezogener Daten anwendbar, wenn die Verarbeitung in Bezug auf Tätigkeiten einer Niederlassung in der EU erfolgt und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet oder nicht. Es kommt folglich nicht darauf an, wo die Daten verarbeitet werden, sondern darauf, ob die Daten in Zusammenhang mit der Tätigkeit einer Unternehmensniederlassung in der EU stehen.

 
Demgegenüber gilt das Marktortprinzip aus Art. 3 Abs. 2 DSGVO, wenn ein Unternehmen personenbezogene Daten von EU-Bürgern in der EU erhebt, ohne dort eine Niederlassung zu haben. Dabei müssen zwei Fälle unterschieden werden:

 
Zum einen, wenn ein Unternehmen entgeltlich oder unentgeltlich Waren oder Dienstleistungen in der EU anbietet. Das ist bspw. der Fall, wenn ein russisches Unternehmen Waren auf seiner Internetseite für Bürger in der EU anbietet. Bei der Beurteilung, an wen ein Angebot gerichtet ist, ist dabei eine Gesamtbetrachtung vorzunehmen. Als Leitgedanke kann Erwägungsgrund (23) DSGVO herangezogen werden, wonach bspw. die Verwendung einer Sprache oder Währung, die in einem oder mehreren Mitgliedsstaaten gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren und Dienstleistungen in der Sprache des betreffenden Mitgliedsstaates zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der Union befinden, darauf hindeutet, dass der Verantwortliche beabsichtigt, Personen in der Union Waren oder Dienstleistungen anzubieten.

 
Zum anderen, wenn die Datenverarbeitung in Zusammenhang damit steht, das Verhalten betroffener Personen zu beobachten, soweit dieses in der Union erfolgt. Das umfasst auch das sog. Profiling. Als Beispiel ist etwa die Sammlung von Daten durch die Verwendung von Cookies zu nennen.

 
Mit dem Marktortprinzip entfaltet die DSGVO somit auch exterritoriale Wirkung und ist nicht auf die Anwendung innerhalb der Grenzen der EU beschränkt, weshalb sie auch für russische Unternehmen von Bedeutung sein könnte.

 
b) Sachlicher Anwendungsbereich der DSGVO
Der sachliche Anwendungsbereich der DSGVO erstreckt sich gemäß Art. 2 Abs. 1 auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie auf die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die wesentlichen Begriffsbestimmungen enthält Art. 4 DSGVO.
  • „Personenbezogene Daten” sind nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person”) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
  • „Verarbeitung” ist nach Art. 4 Nr. 2 DSGVO jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

  

2. Wichtigste Änderungen, die nicht EU-ansässige Unternehmen im Rahmen ihrer Tätigkeit beachten sollten

a) Benennung eines EU- Vertreters

Die nicht in der EU- ansässigen Unternehmen, so auch russische, werden nach Inkrafttreten der Verordnung verpflichtet sein, im Rahmen von Art. 3 Abs. 2 DSGVO bei Angebot von Waren und Dienstleistungen an EU- Bürger sowie der Beobachtung des Verhaltens von EU- Bürgern, einen EU-Vertreter zu bestellen. Ein solcher Vertreter ist nach Art. 4 Nr. 17 DSGVO eine in der Europäischen Union niedergelassene natürliche oder juristische Person, die das Unternehmen bei der Ausübung seiner Pflichten nach der DSGVO vertritt, als Kontrollorgan agiert und den Aufsichtsbehörden als Anlaufstelle dient. Eine wichtige Ausnahme zur Regelung bildet insbesondere Art. 27 Abs. 2 DSGVO, der eine Benennung entbehrlich macht, wenn die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt.

 

b) Neue Pflichten für Verantwortliche und Auftragsverarbeiter
Auf diese beiden Gruppen kommt mit dem Inkrafttreten der DSGVO eine Reihe neuer Verpflichtungen zu, die insbesondere den Nachweis der Einhaltung der DSGVO durch die agierenden Personen sichern soll.
Zunächst sollen die Begrifflichkeiten geklärt werden:

 
Ein „Verantwortlicher” i.S.d. Art. 4 Nr. 7 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

 
Ein „Auftragsverarbeiter” i.S.d. Art. 4 Nr. 8 DSGVO ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Die einzelnen Verpflichtungen ergeben sich aus den Art. 25 ff. DSGVO:

 
Zunächst müssen nach Art. 25 Abs. 2 DSGVO sowohl der Verantwortliche als auch der Auftragsverarbeiter die Grundsätze des  „Data Protection by Design” und „Data Protection by Default” zur Gewährleistung des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen beachten. Die beiden Grundsätze dienen dabei nicht nur der Gewährleistung, sondern auch dem Nachweis eines DSGVO- konformen Umgangs mit personenbezogenen Daten. Des Weiteren ist gem. Art. 28 DSGVO als Pflicht im Rahmen der Auftragsdatenverarbeitung vorgesehen, dass sie nur auf Grundlage eines entsprechenden Vertrags und nur unter hinreichender Garantie geeigneter technischer und organisatorischer Maßnahmen zulässig ist, die die Verarbeitung im Einklang mit den Anforderungen der DSGVO und den Schutz der Rechte der betroffenen Person gewährleisten. Als weitere Pflicht setzt Art. 30 DSGVO die Führung eines schriftlichen oder elektronischen Verzeichnisses aller Verarbeitungstätigkeiten voraus, das der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt wird. Diese Pflicht entfällt, wenn das Unternehmen weniger als 250 Mitarbeiter hat. Darüber hinaus müssen der Verantwortliche und der Auftragsverarbeiter die Einhaltung und Umsetzung neuer Rechte, wie das Recht auf Löschung („Recht auf Vergessenwerden”), garantieren.

 
c) Bestellung eines Datenschutzbeauftragten

Nach Art. 37 Abs. 1 DSGVO muss ein Datenschutzbeauftragter insbesondere dann bestellt werden, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs oder ihres Zwecks eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. In Zusammenhang mit Erwägungsgrund 97, ist unter einer Kerntätigkeit jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens ist.

 

Nicht in der EU-ansässige Unternehmen sollten jedoch im Geltungsbereich ihrer Tätigkeit in Deutschland, die in Art. 37 Abs. 4 DSGVO enthaltene Öffnungsklausel beachten. Sie eröffnet einen Anwendungsbereich für das neue Bundesdatenschutzgesetz, das zusammen mit der Datengrundverordnung im Mai in Kraft tritt und im § 38 BDSG (neu) eine restriktivere Regelung in Bezug auf die Bestellung eines Datenschutzbeauftragten trifft, als die Datenschutzgrundverordnung. Danach müssen verarbeitende Stellen (auch Unternehmen) einen Datenschutzbeauftragten bestellen, sofern sie i.d.R. mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Verarbeitet der Verantwortliche personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, hat er unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen. Unterliegt eine automatisierte Datenverarbeitung, die der Verantwortliche einführen will, der Vorabkontrolle, muss ebenfalls unabhängig von der Personenzahl ein Datenschutzbeauftragter bestellt sein. Vorabkontrollpflichtig sind automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen.

 
Vorteilhaft ist jedoch, dass nach Art. 37 Abs. 2 DSGVO eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten bestellen kann, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann.

 
d) Übermittlung von Personendaten an Drittstaaten
Obwohl die DSGVO den Datenaustausch in Konzernen erleichtern soll und auch Erwägungsgrund (48) DSGVO den Hinweis enthält, dass die Übermittlung personenbezogener Daten in einer Unternehmensgruppe – insbesondere für interne Verwaltungszwecke – ein berechtigtes Interesse darstellen kann, ist die unternehmensinterne Datenübermittlung an Drittländer speziellen Voraussetzungen nach Art. 44ff. DSGVO unterworfen:

 
Nach Art. 45 DSGVO kann die Datenübertragung auf Grund eines Angemessenheitsbeschlusses der EU-Kommission erfolgen. Ein solcher Angemessenheitsbeschluss liegt für die Russische Föderation noch nicht vor.

 

Nach Art. 46 DSGVO kann die Datenübermittlung vorbehaltlich geeigneter Garantien stattfinden, diese sind u.a.:
  • Verbindliche interne Datenschutzrichtlinien in den Unternehmen (i.S.v. Art. 47 DSGVO).
  • EU-Standartschutzklauseln (seitens der EU-Kommission) Art. 46 Abs. 2 lit. c) DSGVO.
  • Von der Aufsichtsbehörde genehmigte Standartklauseln Art. 46 Abs. 2 lit. d) DSGVO.
  • Genehmigte Verhaltensregeln nach Artikel 40 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden.
  • Genehmigte Zertifizierungsmechanismen nach Artikel 42 DSGVO, zusammen mit einer rechtsverbindlichen und durchsetzbaren Verpflichtung des Verantwortlichen, die geeigneten Garantien anzuwenden.

  

Art. 49 DSGVO regelt des Weiteren für den Fall, dass kein Angemessenheitsbeschluss und keine Garantien vorliegen, dass die Datenübermittlung in ein Drittland oder an eine internationale Organisation zulässig ist, wenn einer der in Art. 49 Abs. 1 Satz 1 DSGVO genannten Bedingungen vorliegt. Derartige Bedingungen sind unter anderem:
  • Ausdrückliche Einwilligung der betroffenen Person, nach Aufklärung über die Risiken und Informationen.
  • Notwendigkeit der Übermittlung für die Erfüllung eines Vertrages.
  • Datenübertragung dient zur Geltendmachung, zur Ausübung und zur Verteidigung von Rechtsansprüchen.

 

II. Russisches Datenschutzrecht

Der Datenschutz in Russland  hat durch das Inkrafttreten des Gesetzes Nr. 152- FZ „über personenbezogene Daten” am  1. September 2015 wesentliche Änderungen erfahren.

 

1. Sachlicher und persönlicher Anwendungsbereich

Der Anwendungsbereich des Gesetzes Nr. 152 erstreckt sich grundsätzlich auf die Verarbeitung personenbezogener Daten russischer Staatsangehöriger in der Russischen Föderation. Die Verarbeitung kann durch staatliche und kommunale Behörden oder natürliche und juristische Personen als Verantwortliche oder Verarbeiter im Auftrag, die ihren Sitz in der Russischen Föderation haben, ausgeführt werden. Der Begriff Verarbeitung umfasst dabei nach der Definition des § 3 des Gesetzes Nr. 152 die Erfassung, Systematisierung, Sammlung, Speicherung, Modifikation und Abrufung der Daten.

 
Von dem Gesetz sind nicht nur ausschließlich russische Unternehmen betroffen, sondern auch ausländische Unternehmen, die in der RF registrierte Niederlassungen und Repräsentanzen unterhalten. Ebenso sind ausländische Unternehmen betroffen, die zwar keine Präsenz in der RF unterhalten, jedoch nach dem Marktortprinzip russlandbezogene Geschäfte betreiben, insbesondere Waren und Dienstleistungen an russische Verbraucher im Internet anbieten. Dabei ist als Kriterium der Ausrichtung auf russische Verbraucher ausreichend, wenn ein ausländisches Unternehmen eine Webseite auf Russisch betreibt und dabei auf die russische Währung oder  anderweitig auf den Waren- und Dienstleistungsvertrieb in Russland hinweist. Im Umkehrschluss umfasst der Tatbestand des Gesetzes Nr. 152 nicht die Verarbeitung personenbezogener Daten russischer Staatsbürger im Ausland, mit Ausnahme des zuletzt erwähnten Falls. Aufgrund der Schwierigkeiten in der praktischen Umsetzung in Hinblick auf die Feststellung der Staatsbürgerschaft der betroffenen Personen, insbesondere da der Verantwortliche/Auftragsverarbeiter meist keinen Zugang zu diesen hat, und der dafür erforderlichen Trennung personenbezogener Daten anderer Staatsangehöriger, wird das Gesetz faktisch auf alle natürlichen Personen, die in der Russischen Föderation ihren Wohnsitz haben bzw. sich dort dauerhaft aufhalten, angewandt.

  

2. Speicherung auf Primärdatenbanken in der Russischen Föderation

Die wichtigste Neuregelung des Gesetzes Nr. 152 sieht vor, dass personenbezogene Daten russischer Staatsbürger primär nur auf Datenbanken gespeichert werden dürfen, die sich physisch innerhalb der Russischen Föderation befinden (Art. 18 Abs. 5 Punkt 5 Gesetz Nr. 152). Der Begriff „Datenbank“ kann dabei sehr weit ausgelegt werden, insbesondere da mehrere Definitionen des Begriffs in der russischen Gesetzgebung existieren. Gemäß dem Modellgesetz über personenbezogene Daten, verabschiedet in St. Petersburg am 16. Oktober 1999 durch Erlass 14-19 in der 14. Plenarsitzung der Interparlamentarischen Versammlung der GUS-Staaten, ist eine „Datenbank” eine systematisierte Erhebung personenbezogener Daten, die nicht von den Datenträgern und von den für ihre Verarbeitung eingesetzten Mitteln (Archive, Karteien, elektronische Datenbanken) abhängt. Nach Angaben der zuständigen Behörde können auch Excel- oder Word-Dateien, die Daten über russische Bürger beinhalten, als Datenbanken betrachtet werden. Mangels einer klaren Definition ist sogar nicht auszuschließen, dass Outlook als Datenbank angesehen wird.

 
Die Regelung unterliegt jedoch ebenfalls Ausnahmen. Zum einen betrifft sie nicht die Speicherung personenbezogener Daten russischer Staatsangehöriger im Ausland; zum anderen nicht die Speicherung derjenigen Daten, die vor Inkrafttreten des Gesetzes Nr. 152 erhoben wurden. Diese Daten können unverändert auf Datenbanken im Ausland gespeichert werden. Die Verwendung, Übertragung (Verbreitung, Gewährung des Zugangs), Sperrung, Löschung und Entfernung solcher Daten kann nach den neuen Vorschriften auch weiterhin außerhalb der Russischen Föderation durchgeführt werden.

    

3. Datenschutzbeauftragter nach russischem Recht

Gem. Art 18.1 Abs. 1 des Gesetzes Nr. 152 ist jeder Operator (Verantwortliche) einer juristischen Person verpflichtet, einen Verantwortlichen (Datenschutzbeauftragten) für sein Unternehmen zu bestimmen. Seine Aufgabe besteht insbesondere darin, interne datenschutzrechtliche Kontrollen im Unternehmen durchzuführen und Mitarbeiter über gesetzliche Datenschutzvorschriften zu informieren.

 
Das entspricht insoweit nicht den Regelungen der Datenschutzgrundverordnung, die keine generelle Pflicht zur Bestellung eines Datenschutzbeauftragten bestimmt, sondern diese nur in Ausnahmefällen des Art. 37 DSGVO vorsieht.

  

4. Grenzüberschreitende Übertragung personenbezogener Daten

Die einschlägigen Vorschriften des Gesetzes 152-FZ regulieren die Tätigkeit derjenigen Personen, die personenbezogene Daten in der Russischen Föderation sammeln; also im Regelfall die Tätigkeit der russischen Tochtergesellschaft einer ausländischen Muttergesellschaft (die selbst nicht Arbeitgeber der russischen Mitarbeiter ist).

 

Die grenzüberschreitende Übermittlung der Daten muss einen im Voraus bestimmten Zweck der Verarbeitung haben. Somit muss eine russische juristische Person, die in ihrem Stellenplan Mitarbeiter hat, die Staatsangehörige der Russischen Föderation sind, eine Reihe von Dokumenten als Grundlage für die Vornahme der grenzüberschreitenden Übermittlung erstellen.

  

Das Gesetz geht jedoch davon aus, dass die personenbezogenen Daten der Staatsangehörigen der Russischen Föderation im Hoheitsgebiet der Mitgliedsstaaten des Europarates auf Grundlage des „Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten” ausreichend und angemessen geschützt sind. Die grenzüberschreitende Übermittlung der Daten in einen fremden Staat, der keinen angemessenen Schutz von personenbezogenen Daten gewährleistet (z.B. USA, Australien), kann lediglich in einigen vom Gesetz ausdrücklich normierten Ausnahmefällen erfolgen.

 

Im Vergleich zur DSGVO ist die russische Regelung wesentlich strikter, da in der DSGVO eine Reihe von Möglichkeiten besteht, auf Grundlage derer eine grenzüberschreitende Übertragung ermöglicht werden kann. Insbesondere ist nach der DSGVO auch eine grenzüberschreitende Übertragung der Daten mit der bloßen Einwilligung der betroffenen Person möglich, was in Russland ausgeschlossen ist.

  

III. Fazit

Zusammenfassend lässt sich sagen, dass russische Unternehmen, die am Geschäftsleben in Deutschland und der EU teilnehmen wollen, der DSGVO eine große Beachtung schenken sollten, nicht zuletzt aufgrund der verschärften Sanktionsmaßnahmen. Daher sollten russische Unternehmen in erster Linie klären, inwieweit sie von der Verordnung betroffen sind und im Falle einer Überschneidung die entsprechenden Maßnahmen ergreifen.

 

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Deutschland Weltweit Search Menu