Neues Gesetz: Russische Daten sollen in Russland bleiben

Die „Data-Localization-Rule“ stellt neue Anforderungen an in Russland aktive Unternehmen

Keyfacts

  • Personenbezogene Daten russischer Staatsbürger nur noch auf russischen Servern
  • Data-Localization-Rule unabhängig vom Firmensitz
  • Gesetz soll rückwirkend greifen
Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

Eine geplante Änderung des Datenschutzrechts in Russland sorgt derzeit für Aufsehen. Personenbezogene Daten russischer Staatsbürger sollen nur noch auf russischen Servern gespeichert werden dürfen.

KPMG-Expertin Barbara Scheben über mögliche Folgen des Gesetzes für Unternehmen, die im russischen Markt aktiv sind.

Frau Scheben, was ist bisher zur Gesetzesänderung in Russland bekannt?

Im Juli 2014 wurde ein Gesetz zur Änderung des Datenschutzrechts verabschiedet. Es wird zum 1. September 2015 in Kraft treten. Die wichtigste Neuregelung sieht vor, dass bei der Verarbeitung personenbezogener Daten russischer Staatsbürger, das verarbeitende Unternehmen verpflichtet wird, diese Daten künftig auf Servern innerhalb der Russischen Föderation zu speichern. Der Vorgang wird als „Data-Localization-Rule“ bezeichnet.

Was sind die wichtigsten Regelungen des Gesetzes?

Der Gesetzeswortlaut gibt keine verbindlichen Stellungnahmen zur Auslegung und Anwendung. Allerdings gewährte die zuständige Aufsichtsbehörde (Roskomnadzor) bei Treffen mit Wirtschaftsverbänden erste Einblicke, wie das Gesetz angewendet werden soll. Die wichtigsten vier Punkte nach heutigem Kenntnisstand sind:

1. Jedes Unternehmen, das Daten russischer Staatsangehöriger erhebt und speichert, ist von dem Gesetz betroffen, unabhängig vom Sitz der Firma.

2. Von der neuen Speicherpflicht sollen nur personenbezogene Daten russischer Staatsbürger, die in Russland ihren Wohnsitz haben, erfasst werden. Das heißt Daten russischer Staatsbürger, die außerhalb Russlands leben, sind von der Regelung nicht betroffen. Darüber hinaus soll das Gesetz auch auf bereits in der Vergangenheit gespeicherte Daten Anwendung finden, soweit die Daten heute noch genutzt werden.

3. Es steht den betroffenen Unternehmen frei, einen Prozess zur Identifizierung der russischen Staatsangehörigen einzurichten, für deren Daten die Speicherpflicht gilt. Im Zweifel empfiehlt Roskomnadzor alle Daten der „Data-Localization-Rule“ zu unterwerfen.

4. Es ist nicht ausreichend, eine Kopie der betreffenden personenbezogenen Daten russischer Staatsbürger auf russischem Territorium zu speichern. Auch die Verarbeitung muss in Russland erfolgen. Dagegen soll es erlaubt bleiben, Kopien dieser Daten in Länder außerhalb Russlands zu transferieren, wenn die aktuell schon geltenden datenschutzrechtlichen Grundsätze eingehalten werden.

Was passiert bei Unternehmen, die sie sich nicht an die „Data-Localization-Rule“ halten?

Ein Zuwiderhandeln kann mit einer Geldbuße von aktuell umgerechnet 150 Euro geahndet werden. Einem weiteren Gesetzentwurf zufolge können auch umgerechnet bis zu 4.500 Euro anfallen. Allerdings bleibt die Berechnungsgrundlage unklar, ob dies pro Vorfall oder pro betroffenem Datensatz gelten soll. Die dramatischere Konsequenz ist wohl, dass für Roskomnadzor die Möglichkeit besteht Internetseiten von Unternehmen zu sperren, die gegen das Gesetz verstoßen.

Worauf müssen sich im russischen Markt aktive Firmen einstellen?

Schnelles Handeln ist angeraten, denn technisch gesehen ist es gerade für global agierende Unternehmen mit weltweiten IT-Systemen nicht einfach, eine solche Sonderbehandlung von ausgewählten Datensätzen umzusetzen. Zudem können die von der russischen Aufsicht geforderten Prozesse zur Identifizierung russischer Staatsangehöriger zwar technisch möglich sein, jedoch könnten diese Prozesse gegen europäisches Datenschutzrecht verstoßen.

Die Umsetzung der russischen „Data-Localization-Rule“ wird die Datenverarbeitungssysteme von Unternehmen weltweit betreffen und damit auch die Datenschutzgesetze vieler Länder. Das ist eine echte Herausforderung, die man nicht im Vorbeigehen bewältigt. Die Unsicherheit in Bezug auf die konkrete Anwendung des Gesetzes macht die Situation leider nicht einfacher.

Frau Scheben, wie wird sich das neue Gesetz auf die Unternehmenspraxis auswirken?

So gravierend das neue Gesetz auf den ersten Blick auch erscheinen mag, letztlich ist es ein weiteres Teil des globalen Datenschutz-Puzzles. Auf solche Sonderregelungen, die es auch in anderen Ländern gibt, müssen die Unternehmen vorbereitet sein. Sie sollten deshalb flexible IT-Sourcing-Strategien entwickeln, die schnelle und ressourcenschonende Reaktionen auf ähnliche Datenschutzgesetze ermöglichen.
Die Zeiten, in denen man seine Rechenzentren in billigen Drittländern aufstellen konnte, sind nun endgültig vorbei. Auf absehbare Zeit wird der Datenschutz bei Unternehmen in Fragen des IT-Sourcings ein entscheidender Parameter sein.

Barbara Scheben
  • Partnerin, Compliance & Forensic
Mehr über meine Themen Nachricht schreiben

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.