Gibt es überhaupt Datenschutz in Russland? – Diese Frage wird sehr oft und in vielen Varianten gestellt. Wir beantworten sie stets gleichlautend, denn auch das russische Recht schützt personenbezogene Daten, allerdings bestehen Abweichungen gegenüber den EU-Regelungen.

Die Änderungen des „Gesetzes über personenbezogenen Daten“ (Nr. 152-FZ)  vom 01.09.2015 haben das russische Datenschutzrecht jüngst in das Blickfeld der Öffentlichkeit gerückt und eine breite Diskussion ausgelöst. Hierüber haben wir bereits berichtet. Daten russischer Bürger dürfen nur auf Servern in Russland gespeichert werden.

Die Entscheidung Russlands im Jahre 2001, Verhandlungen über den Beitritt zur WTO aufzunehmen, bildet den Ausgangspunkt der Überlegungen für den Schutz bei der Verarbeitung personenbezogener Daten. Um einen angemessenen Schutz der Daten zu gewährleisten, hat Russland dann das Bundesgesetz zur Ratifizierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108)  erlassen. Aus diesem Grund ähneln manche russischen Anforderungen den europäischen.

Im Folgenden stellen wir daher fünf zentrale Anforderungen an der Verarbeitung personenbezogener Daten in Russland dar, die jedes Unternehmen beachten sollte:

1. Datenschutzbeauftragter

Der Verantwortliche (russ.: Operator) ist verpflichtet, einen Datenschutzbeauftragten zu benennen (Abs. 1.1 Art. 18.1 Gesetz 152-FZ). In der Praxis wird regelmäßig ein interner Datenschutzbeauftragter bestellt. Der Datenschutzbeauftragte erhält die Anweisungen direkt von der Geschäftsführung und führt interne Kontrolle im Unternehmen durch.

Eine weitere Aufgabe besteht darin, Mitarbeiter über gesetzliche sowie lokale Datenschutzvorschriften zu informieren. Neben Schulungen kann das z.B. auch heißen, dass die Besonderheiten und Bedingungen zur Verarbeitung personenbezogener Daten in der Organisation schriftlich gesammelt werden und die Mitarbeiter die Einsichtnahme unterzeichnen.

Falls Anfragen und Beschwerden von betroffenen Personen eingehen, stellt der Datenschutzbeauftragte sicher, dass darauf rechtzeitig reagiert wird.

2. Datenschutzkonzept bzw. Verfahrensverzeichnis (russ.: Richtlinien oder Interne Strategien)

Der Verantwortliche ist verpflichtet, Richtlinien zur Verarbeitung personenbezogener Daten, wie etwa Anweisungen, Konzepte, Prozesse usw., im Unternehmen festzulegen und für die Einhaltung unternehmensinterner Vorschriften zu sorgen. Diese Internen Strategien sollen Regelungen zur Durchführung interner Kontrollen und Audits für die Verarbeitung personenbezogener Daten und die Informationen über die umgesetzten Schutzmaßnahmen umfassen.

Dieses Datenschutzkonzept kann auf der offiziellen Webseite des Unternehmens/ der Behörde veröffentlicht werden (Beispiele z.B. hier, hier oder hier).

3. Meldepflicht

Der „Föderale Dienst für die Aufsicht im Bereich der Kommunikation, Informationstechnologie und Massenkommunikation“ (kurz Roskomnadsor) führt, als zuständige Behörde, ein Register der Organisationen, die personenbezogene Daten verarbeiten. Unternehmen müssen daher vor Beginn der Verarbeitung diese bei der Roskomnadsor melden. Im September 2015 hat sich der Umfang dieser Meldepflicht geändert. Die Meldeplicht umfasst auch den physischen Speicherort (Anschrift) der personenbezogenen Daten. Meldungen nach alter Rechtslage sind unzureichend und müssen nach aufsichtsrechtlicher Praxis erneuert/ergänzt werden.

Ein Tätigkeitsbericht  des Roskomnadsor vom 01.09.2016 stellt klar, dass bislang ca. 63.000 (17,5 %) Verantwortliche aktualisierte Meldungen vorgenommen haben.

4. Rechtsgrundlage für die Verarbeitung und Einwilligung

Personenbezogene Daten dürfen nur

  1. auf Grundlage eines entsprechenden Gesetzes oder
  2. auf Basis einer Einwilligung der betroffenen Person

verarbeitet werden (Art. 6 Gesetz 152-FZ).

Das Gesetz über personenbezogenen Daten definiert zwar keine Form für die Einwilligungserklärung, stellt aber Anforderungen an ihren Inhalt. Das Gesetzt enthält eine Liste mit den Angaben, die in einer Einwilligung enthalten sein müssen. Der Betroffene kann seine Einwilligung mit Wirkung für die Zukunft widerrufen bzw.  jederzeit Widerspruch gegen die Verarbeitung einlegen.

5. Kontrolle

Eine Besonderheit in Russland besteht im Hinblick auf die Kontrolle des Datenschutzes. Die oben beschriebenen Anforderungen kann durch drei (!) unterschiedliche Aufsichtsbehörden kontrolliert und sanktioniert werden:

  1. Roskomnadsor – zuständig für den Schutz der betroffenen Person,
  2. FSB – Inlandsgeheimdienst zuständig für IT-Sicherheit (bezüglich der Verschlüsselung),
  3. FSTEC – zuständige für den technischen Schutz von Informationen (z.B. Virenschutz, Firewall, IDS/IPS, Zugriffsschutz usw.).

Den Rechtsrahmen für die Kontrollrechte der Behörden bildet das „Gesetz über den Schutz der Rechte juristischer Personen und Einzelunternehmer bei der Ausübung der staatlichen Kontrolle“. Das Gesetz regelt z.B., dass der Prüfauswand durch staatliche Stellen in Kleinunternehmen insgesamt 50 Stunden/ Jahr nicht übersteigen darf.  Eine Übersicht über die geplanten Kontrollen findet sich auf der Webseite der Generalstaatsanwaltschaft.

ABER: Der genannte Plan ist seit dem 01. September 2015 nicht mehr bindend für die Roskomnadsor. Pläne für die Kontrollen und Tätigkeitsberichte der Roskomnadsor finden sich seitdem auf einer gesonderten Webseite. Entsprechend dem Tätigkeitsbericht aus dem 1. Quartal 2016 wurden 405 Verstöße in 237 planmäßigen Überprüfungen verzeichnet. Die betroffenen Verstöße ließen sich in drei Kategorien einteilen:

 

russland2

Aus dem Bericht ging zudem hervor, dass 25 außerplanmäßige Überprüfungen durchgeführt wurden. Auffällig ist, dass 70% aller Verstöße die nicht fristgemäße Erfüllung von zuvor durch die Aufsichtsbehörde konkret geforderten Anforderungen betreffen. Mit anderen Worten: Die Unternehmen wussten – unter Fristsetzung – von der Notwendigkeit, ihre Prozesse datenschutzkonform zu gestalten.

Die Roskomnadsor hat in den ersten 90 Tagen dieses Jahres zudem 327 Webseitenüberprüfungen durchgeführt. Häufigster Verstoß: Es fehlte die Veröffentlichung eines hinreichend bestimmten Datenschutzkonzepts.

English version.