Wie gehen Sie als deutsches Unternehmen vor, wenn Sie Geschäftsbeziehungen nach Russland aufbauen möchten?
Russland gehört zu Europa, ist aber kein Mitgliedstaat der Europäischen Union. Für den Datenschutz bedeutet das, dass die Abkommen mit den Vertragsstaaten für die Übermittlung personenbezogener Daten ins Ausland keine Gültigkeit haben. Das Bundesdatenschutzgesetz (BDSG) spricht hier von Drittländern.
Laut deutschem Recht ist das Erheben, Verarbeiten und Nutzen von personenbezogenen Daten grundsätzlich unzulässig. Man nennt dies den „Grundsatz des Verbots mit Erlaubnisvorbehalt“, d. h. es ist generell verboten, sofern nicht eine spezielle Erlaubnis durch Rechtsnorm bzw. durch den Betroffenen selbst erteilt wird. Ein Unternehmen, das Geschäftsbeziehungen mit Russland unterhält oder dies beabsichtigt, muss im Vorfeld die Zulässigkeiten der Datenübermittlung nach Russland prüfen. Dies erfolgt in einem zweistufigen Verfahren:
1. Stufe: Zulässigkeit nach nationalen Datenschutzvorschriften (§§ 28, 32 BDSG)
2. Stufe: Einhaltung der besonderen Anforderungen bezüglich des Drittstaatentransfers nach den §§ 4b, 4c BDSG)
Warum diese Vorgehensweise? Das nach deutschem Datenschutzrecht gewährleistete Datenschutzniveau soll gewahrt bleiben. Deshalb ist die Übermittlung zunächst durch einen Erlaubnistatbestand (1. Stufe) zu decken. Dieses Verfahren gilt nicht nur für Russland, sondern grundsätzlich für alle Datenübermittlungen in Drittstaaten.
Das Datenschutzgesetz in Russland, das seit 2011 gültig ist, ist im Prinzip dem Deutschen ähnlich, dahingehend dass „Ihre Daten dürfen nur mit Ihrer Erlaubnis benutzt werden“. An und für sich ist das russische Datenschutzgesetz also streng, aber in der Realität sieht es anders aus, denn es wird sehr stark „aufgeweicht“.
In Russland sind als Behörden die regionalen Niederlassungen des Föderalen Telekommunikationsdienstes (FTD) zuständig. Und wer auf russischem Territorium persönliche Daten verarbeiten will, muss sich beim FTD registrieren. Wer Werbung versenden möchte, muss sich vom FTD eine spezifische Erlaubnis besorgen. Der FTD hat auch die Befugnis, im Fall eines Datenschutzverstoßes einen „Datenverarbeiter“ zu verklagen und Bußgelder zu verhängen.
Wie gehen Sie als deutsches Unternehmen nun vor, wenn Sie Geschäftsbeziehungen nach Russland aufbauen möchten und Daten übermittelt werden? Sie können zum einen die für Ihr Unternehmen zuständige Landesaufsichtsbehörde fragen, ob der Datentransfer erfolgen darf. Die einfachere und vor allem nachhaltigere Vorgehensweise ist, Sie lassen sich von einem externen Datenschutzbeauftragten unterstützen.