Moskau

Das Safe-Harbour-Abkommen zwischen der EU und den USA, das früher als rechtliche Grundlage für die Weitergabe von Daten europäischer Bürger in die USA diente, ist aufgehoben. Die EU-Datenschutzbehörden mussten sich Gedanken darüber machen, wie dies in Zukunft geregelt werden kann.

Während die EU-Datenschützer bei uns noch darüber diskutierten, wie das Safe-Harbour-Urteil des Europäischen Gerichtshofs umgesetzt werden sollte, schlug Russland mit einem neuen Gesetz einen eigenständigen Weg ein. Dieses verbietet seit 1. September 2015 die Speicherung personenbezogener Daten auf Servern im Ausland.

Die russische Lösung ist in diesem Zusammenhang besonders interessant. Denn obwohl bereits einige Länder – wie China, Indien, Indonesien, Kanada oder Australien – die Speicherung bestimmter Daten im Ausland verbieten, ist Russland das erste Land, das diese Anforderung für sämtliche personenbezogenen Daten eingeführt hat.

Personenbezogenen Daten russischer Bürger müssen in Russland vorgehalten werden


 

Das neue Gesetz, das zwei Gesetze aus dem Jahr 2006 zusammenfasst und modifiziert, definiert den zentralen Begriff der „personenbezogenen Daten“ recht unbestimmt und lässt damit den Behörden viel Interpretationsspielraum. Zu den personenbezogenen Daten zählt in diesem Zusammenhang „jede Information, die direkt oder indirekt eine bestimmte oder bestimmbare natürliche Person betrifft“ und eine Identifizierung dieser Person erlaubt, zum Beispiel Name, Geburtsdatum, Passnummer, Wohnanschrift, Telefonnummer. Es ist allerdings unklar, ob eine E-Mail-Adresse dazu gehört oder nicht.

Seit dem 1. September 2015 müssen alle Unternehmen, die in Russland tätig sind, die personenbezogenen Daten russischer Bürger in Rechenzentren innerhalb Russlands vorhalten. Die Serverstandorte sind der Telekommunikations- und Medienaufsichtsbehörde Roskomnadzor (RKN) mitzuteilen. Eine Datenübertragung ins Ausland ist weiterhin zulässig, wenn sie zum Beispiel zum Abschluss, zur Durchführung und zur Erfüllung eines Vertrags notwendig ist.

Bei Nichterfüllung drohen in Russland hohe Bußgelder

Welche Strafen drohen Unternehmen bei der Nichterfüllung der Gesetzesvorschriften? Wenn festgestellt wird, dass Daten rechtswidrig ins Ausland übermittelt wurden, können Bußgelder bis zu 5.000 Euro verhängt und die Webseiten der Unternehmen gesperrt werden. Unternehmen, die ihre Pflichten regelmäßig verletzen, werden in ein Sonderregister beim RKN eingetragen.

Die Erläuterungen auf den Webseiten des Ministeriums für Telekommunikation und Medien sowie der Aufsichtsbehörde RKN sind außergewöhnlich umfangreich, und es gibt viele Unklarheiten darüber, wie die Bestimmungen genau umgesetzt werden sollen. Trotzdem haben die meisten Unternehmen personenbezogene Daten russischer Bürger nach Russland zurückgeholt, in dem sie Server bei den russischen Rechenzentren angemietet oder eigene Datenzentren aufgebaut haben.

Dabei mussten viele Firmen die Erfahrung machen, dass die Datenmigration aus dem Ausland nach Russland mit erheblichem technischem und finanziellem Aufwand verbunden ist. Obwohl die russische IT-Wirtschaft sich außerordentlich gut entwickelt hat, bleibt Russland in Sachen Qualität und Service häufig noch hinter westlichen Standards zurück.

Kann das neue Gesetz einen effektiven Datenschutz gewährleisten?

Das Gesetz muss seine Funktionsfähigkeit und Wirksamkeit im Hinblick auf den Datenschutz erst noch beweisen. Es enthält zu viele rechtliche Unklarheiten und ist unter dem Blickwinkel des Gesetzesvollzugs zu wenig durchdacht. Viele Unternehmen zeigen sich aber kooperativ und sind bereit, Daten russischer Kunden nunmehr vorschriftsmäßig auf Servern in Russland zu speichern.

Bei allen praktischen Unzulänglichkeiten hat das neue russische Gesetz aber – wie auch das Safe-Harbour-Urteil des Europäischen Gerichtshofs von Oktober 2015 – eine neue Phase bei der Ausgestaltung des Datenschutzes und der Datensicherheit eingeleitet.

Mapp ist einer der wenigen ESPs in Europa, die durch die Einrichtung eines eigenen IT-Zentrums in Russland die Voraussetzungen für die Speicherung von Daten russischer Internetnutzer im Inland geschaffen haben und damit die seit September 2015 geltenden Rechtsvorschriften zur Datenspeicherung vollständig erfüllen können.

Share articleShare