Speicherung personenbezogener Daten nur in Russland zulässig

Am 1. September 2015 treten wichtige Neuregelungen über die Speicherung personenbezogener Daten in Russland in Kraft, die für viele Unternehmen zu einem erhöhten Aufwand führen werden.

Die Neuregelungen sehen vor, dass Datenbanken mit Personendaten russischer Staatsbürger auf Servern zu speichern sind, die sich physisch in Russland befinden.

Als Personendaten werden nach dem Datenschutzgesetz „beliebige Informationen, die in einem direkten oder indirekten Verhältnis zu einer bestimmten oder bestimmbaren natürlichen Person stehen“, angesehen. Ausländische Unternehmen, die bisher in Russland ohne Server auskamen, werden somit gezwungen, Server in Russland zu installieren und die Daten dort zu hinterlegen, oder aber Server anzumieten. Dies betrifft z.B. auch Internetunternehmen wie Google, Microsoft oder Facebook, aber auch internationale Konzerne. Diese haben bereits begonnen, Rechenzentren in Russland zu errichten oder anzumieten.

Die Gesetzesänderung betrifft alle in Russland tätigen Unternehmen, die personenbezogene Daten von russischen Staatsbürgern bisher auf Servern im Ausland speichern. Sie gelten ausdrücklich auch für Repräsentanzen und Filialen ausländischer Unternehmen, die in Russland registriert sind. Diese Meinung vertritt ebenso Roskomnadsor, die zuständige Aufsichtsbehörde, die gleichzeitig auch der Meinung ist, dass die Neuregelungen auf ausländische Unternehmen ohne Niederlassung in Russland nicht anwendbar sind.

Die Neuregelungen enthalten aber kein ausdrückliches Verbot, Personendaten mit vorheriger Zustimmung der jeweiligen Person parallel auch Dritten zu übermitteln und auf ausländischen Servern zu speichern. In Bezug auf Arbeitnehmer setzt dies entsprechende Klauseln in der Betriebsordnung oder dem jeweiligen Arbeitsvertrag voraus, oder aber z.B. in den Geschäftsbedingungen.

Die Neuregelungen lassen viele Fragen offen. Interessant ist z.B. die Frage, wie die Verwendung von Daten zwischen Unternehmen in verschiedenen Ländern mit Office-Systemen wie CRM (Customer Relationship Management) funktionieren wird. Es ist davon auszugehen, dass noch weitere Ergänzungen zum Datenschutzgesetz kommen werden. Auch die Bußgelder für einen Verstoß werden vermutlich erheblich angehoben. Derzeit beträgt das Bußgeld bis maximal RUB 10.000 (knapp EUR 200). Darüber hinaus kann Roskomnadsor bei Verstößen den Zugang zu den Websites des jeweiligen Unternehmens sperren.