Am 28. Januar 2017, rechtzeitig zum Europäischen Datenschutztag, wurde der Gesetzentwurf für eine Bußgeld-Erhöhung bei Datenschutzverstößen von der russischen Staatsduma (das Parlamentsunterhaus) in dritter Lesung verabschiedet.
Im Folgenden zunächst die aktuelle Rechtslage bei Datenschutzverstößen:
Seit Jahren werden folgende Sanktionen im Art. 13.11 des Ordnungswidrigkeitsgesetzbuches in Übereinstimmung mit der Ratifizierung der Europäische Datenschutzkonvention festgelegt (gültig bis zum 1. Juli 2017). Datenschutzverstöße werden mit Bußgelder in folgender Höhe sanktioniert:
- für Bürger – in Höhe von 4,8 bis zu 8 Euro (von 300 bis zu 500 Rubel).
- für Juristische Person – in Höhe von 80 bis zu 160 Euro (von 5.000 bis zu 10.000 Rubel).
Die Bußgelder fallen unabhängig von den Datenarten und dem Datenumfang einmal an. Darüber hinaus bestand das Problem darin, dass die Geldbußen für die Verstöße gegen die Datenschutzvorschriften im Vergleich mit dem Aufwand der für eine Datenschutzcompliance anfällt recht niedrig sind. In anderen Worten: Datenschutz lohnt sich nicht. Deswegen kam es oft vor, dass Unternehmen die Entscheidung trafen, keine Schutzmaßnahmen zu ergreifen, und stattdessen eine Geldstrafe in Kauf zu nehmen. Um dieses gesetzeswidrige Verhalten abzustellen, wird der Bußgeldrahmen durch eine Gesetzänderung des Art. 13.11. des Ordnungswidrigkeitsgesetzbuches der Russischen Föderation nunmehr erhöht.
Seit Januar 2017 steht der Gesetzentwurf (Gesetz Nr. 13-FZ) nun und wurde von Präsident Wladimir Putin am 7. Februar 2017 unterschrieben. Die Änderungen treten am 01. Juli 2017 in Kraft.
Besondere Aufmerksamkeit sollte dabei den folgenden Aspekten zuteilwerden:
Sieben Arten der Verstöße werden durch das Gesetz definiert.
[1] Ordnungswidrigkeitsgesetzbuch Nr. 195-FZ
Für EU-Verhältnisse sind die Bußgelder nach wie vor überschaubar. Neu ist aber, dass nunmehr mehrere Verstöße auch strafschärfend berücksichtigt werden können. Es bleibt abzuwarten, wie die Behörden Strafen künftig berechnen werden.
Ein interessantes Detail noch: Es werden keine Strafen für den Fall festgelegt, dass die Daten nicht in Russland gespeichert werden. Eine explizit strafbewährte Sanktion hierfür fehlt, obwohl die Daten russischer Staatsbürger gemäß Art. 18 Abs. 5 Gesetz über personenbezogenen Daten zuerst in Russland gespeichert und verarbeitet werden müssen. Ob der Gesetzgeber diese Regelung zukünftig noch einmal ändert, bleibt auch abzuwarten.
Eine weitere wesentliche Neuerung ist, dass Roskomnadsor (Aufsichtsbehörde) die Befugnis erhalten hat, Unternehmen gerichtlich zu belangen. Bislang (und bis Juli 2017) muss der Roskomnadsor festgestellte Verstöße bei der Staatsanwaltschaft melden, um entsprechende Verfahren vor Gericht zu bringen.
Über die Anforderungen an rechtskonforme Datenverarbeitung in Russland haben wir schon hier berichtet.