Der Fall LinkedIn: Präzedenzfall in Russland

LinkedIn: Präzedenzfall in Russland

Was die Sperrung von LinkedIn für andere internationale Unternehmen bedeutet

Keyfacts über LinkedIn-Sperrung

  • Sperrung von LinkedIn ist Präzedenzfall für die Anwendung der Data-Localization-Rule
  • Fall LinkedIn ist möglicherweise nur ein Warnschuss für weitere große Anbieter
  • Unternehmen sind in der Pflicht, flexible IT-Sourcing-Strategien zu entwickeln
Zusammenfassung lesen
24. November 2016

Die meisten Ereignisse haben eine Vorgeschichte, die Aussperrung des Karriereportals LinkedIn vom russischen Markt ist da keine Ausnahme. Als Russland die Internetseite vor wenigen Tagen blockierte, war die Überraschung groß. Bei genauerem Hinsehen allerdings stellt sich heraus: So groß dürfte die Überraschung eigentlich nicht ausfallen – denn es gibt eine Vorgeschichte.

Schon 2015 sorgte die sogenannte „Data-Localization-Rule“ für Schlagzeilen, die eine beachtliche Änderung im russischen Datenschutzrecht beinhaltet. Die Regelung, die am 1. September 2015 in Kraft getreten ist, besagt unter anderem, dass personenbezogene Daten russischer Staatsbürger nur noch auf russischen Servern gespeichert werden dürfen. Zwar geht es hier lediglich um personenbezogene Daten von Bürgern, die auch ihren Wohnsitz in Russland haben. Der entscheidende Punkt jedoch: Das Gesetz gilt für jedes Unternehmen, das Daten russischer Staatsangehöriger erhebt oder speichert – und zwar unabhängig vom Sitz der Firma.

Obwohl das Gesetz nun seit über einem Jahr in Kraft ist und Analysten davon ausgehen, dass kaum einer der Branchenriesen sich an die Vorgaben der „Data-Localization-Rule“ hält, ist es erst vor wenigen Tagen durch die Sperrung von LinkedIn zum Präzedenzfall gekommen. Das Netzwerk für berufliche Kontakte hatte bereits zweimal gegen die bevorstehende Sperrung geklagt, scheiterte damit jedoch in beiden Fällen. Nun hat die russische Medienaufsichtsbehörde Roskomnadsor angeordnet, dass die Internetprovider den Zugang zu LinkedIn blockieren. Diesen wiederum drohen selbst hohe Bußgelder oder gar die Sperrung der eigenen Dienste, wenn sie den Zugang zu LinkedIn nicht blockieren.

Datenschutzrecht in Russland: Großer Aufwand für Unternehmen

Der genaue Blick in das russische Datenschutzrecht verdeutlicht, dass internationale Unternehmen hier künftig vor großen Aufgaben stehen. So ist es beispielsweise nicht ausreichend, lediglich eine Kopie der betroffenen Daten auf russischem Territorium zu speichern. Die komplette Verarbeitung muss ebenfalls in Russland erfolgen.

Die somit erforderliche Anpassung der Prozesse und Maßnahmen bedeutet gerade für global agierende Unternehmen einen enormen finanziellen sowie technischen und organisatorischen Aufwand. Schließlich müssen die betroffenen Datensätze erst ausgesondert und eventuell ein eigenes Servernetzwerk auf russischem Boden eingerichtet werden. Scheinbar ein Aufwand, dem nicht alle Unternehmen nachgekommen sind.

5

Millionen Menschen nutzen LinkedIn in Russland

Doch wieso gerade LinkedIn? Die offizielle Begründung lautet, dass es sich neben dem Gesetzesverstoß gerade bei LinkedIn um ein Unternehmen handelt, das schon mehrfach negativ aufgefallen ist. Andere hingegen vermuten hinter dem Vorgehen der russischen Behörden vor allem Taktik: Mit rund fünf Millionen Nutzern ist LinkedIn in Russland längst nicht so beliebt wie zum Beispiel WhatsApp oder Facebook. Mit anderen Worten: Ein leichtes Opfer.

LinkedIn: Warnung an andere Anbieter?

Die Blockade eines Branchenriesen hätte in der Bevölkerung wohl deutlich mehr Unzufriedenheit hervorgerufen. Gleichzeitig gehen Experten davon aus, dass Roskomnadsor mit diesem Beispiel beweisen kann, dass man auf Basis der Data-Localization-Rule auch gegen große Unternehmen vorgeht und diese Regelung nicht nur ein Papiertiger ist. Somit dürfte der Fall LinkedIn auch eine Warnung an andere große Anbieter sein, dem Gesetz Folge zu leisten.

Was bedeutet das also für Unternehmen? In jedem Fall sind die russischen Ereignisse ein Indiz dafür, dass es für Unternehmen nicht nur aus Sicht europäischer Datenschutzerwägungen von Nachteil sein kann, Rechenzentren in günstigen Drittländern aufzustellen. Vielmehr ist es unerlässlich, flexible IT-Sourcing Lösungen zu entwickeln – und diese auch anzuwenden. Lösungen wohlgemerkt, die den jeweiligen gesetzlichen Vorgaben in einer angemessenen technischen und organisatorischen Dimension entsprechen.

Von Russland zur EU

Einerseits mag dies – wie im Fall Russland – bedeuten, Konzepte zu erstellen, die eine ausschließlich inländische Datenverarbeitung vorsehen. Andererseits sollten derartige IT-Sourcing Lösungen auch den Blick auf grenzüberschreitende Datentransfers und sonstige Verarbeitungsvorgänge im Ausland richten. Je nach Standort des Empfängers der Daten oder dem Ort, an dem die Verarbeitung stattfindet, sind abweichende Regelungen zu beachten. Insofern ist es umso wichtiger, auf flexible Strategien zurückgreifen zu können, die den jeweiligen Anforderungen genügen. Der Datenschutz, wie immer er sich im Einzelnen auch darstellt, sollte dabei ein entscheidender Faktor sein. Das gilt im Übrigen nicht nur für Unternehmen, die auf dem russischen Markt aktiv sind oder es sein wollen. Auch in der EU – wenn auch unter anderen Vorzeichen – läuft noch bis Ende Mai 2018 eine zweijährige Übergangsfrist, in der die Unternehmen Zeit haben, die neue EU-Datenschutzgrundverordnung umzusetzen. Wer sie überschreitet, muss mit Sanktionen rechnen. Mit anderen Worten: „Wer zu spät kommt, den bestraft das Leben“ ist im Original zwar russisch. Die Übersetzung in andere Sprachen fällt aber leicht.

Was die neue EU-Datenschutzgrundverordnung für Ihr Unternehmen bedeuten könnte, lesen Sie hier.

Zusammengefasst

»Das Verfahren gegen LinkedIn zeigt, dass die russischen Behörden die Data-Localization-Rule auch umsetzen wollen.«

Unternehmen sind gut beraten, Prozesse und Maßnahmen einzurichten, die die Speicherung personenbezogener Daten russischer Staatsbürger auf russischem Boden ermöglichen. Dies gilt unabhängig vom Standort des Unternehmens. Wer sich der Herausforderung der Implementierung flexibler IT-Sourcing-Strukturen nicht stellt oder den Datenschutz in dieser Hinsicht nicht in angemessenem Maße berücksichtigt, macht sich gegenüber Sanktionen anfällig.

Barbara Scheben Partnerin, Forensic
Ganzen Artikel lesen

Kommentare

Ist das Vorgehen der russischen Behörden nachvollziehbar?

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist. Schließen