Seit 01. September 2015 sind Datenbankbetreiber in Russland dazu verpflichtet, personenbezogene Daten russischer Bürger innerhalb der Russischen Föderation zu speichern (Änderungsgesetz zum Föderalen Gesetz über personenbezogene Daten (Nr. 242-FZ)). Wobei das Gesetz nur auf russische Staatsbürger, die ihren Wohnsitz in Russland haben, Anwendung findet.
Wobei der Begriff der personengezogenen Daten ist mit der Definition in der EU-Richtlinie 95/46/EG („irgendeine Person identifizierbar machen“) vergleichbar ist.
Es wird auch kein Unterschied zwischen russischen Firmen, ausländischen Firmen mit Niederlassungen in Russland oder ausländischen Firmen ohne Niederlassung in Russland gemacht. Es ist allein ausschlaggebend, dass die von einem ausländischen Unternehmen angebotenen Leistungen bzw. Waren an russische Kunden adressiert sind.
Der „Föderale Dienst für die Aufsicht im Bereich der Kommunikation, Informationstechnologie und Massenkommunikation“ (Roskomnadsor, RKN) versteht unter Datenbanken jede „beliebige Anhäufung von personenbezogenen Daten unabhängig vom materiellen Träger“. Es spielt also keine Rolle wie die Daten gesammelt werden, z. B. einfach nur in einem Word-Dokument oder einer Excel-Tabelle. Ausschlaggebend ist, dass es getan wird.
Wer die personenbezogenen Daten russischer Bürger auf einem Computer, Server oder in einem Datenzentrum innerhalb Russlands speichert, hat die gesetzlichen Vorgaben zu erfüllen. Die in Russland basierte Datenbank gilt als primär (siehe Abb. Primär-/Sekundärdatenbank). Der Standort der Primärdatenbank muss binnen gesetzlich vorgeschriebener Frist der Aufsichtsbehörde mitgeteilt werden.
Wann muss die Information an die zuständige Behörde erfolgen?
Vor der Aufnahme von Datentätigkeiten ist die RKN zu informieren. Auch hier gibt es Ausnahmen: Das muss z.B. dann nicht geschehen, wenn (nur) Beschäftigtendaten erfasst werden. Ebenso wenig bei Datenerhebungen, die zur Erfüllung von Verträgen geschehen. Auch nicht meldepflichtig sind Erfassungen von nur Vorname und Name einer Person. Da die Datenverarbeitung aber häufig sehr komplex ist, empfiehlt sich eine vorsorgliche Meldung an die RKN – innerhalb von 10 Tagen.
Die Datenbanken mit personenbezogenen Daten russischer Bürger können entweder im Ausland oder als gleichwertige Kopie der russischen Datenbank oder nur als Teil davon aufbewahrt werden (nicht ausreichend ist, wenn eine Kopie auf russischem Territorium gespeichert ist). Die Primärdatenbank muss sich grundsätzlich auf russischem Staatsgebiet befinden. Es gibt einige Ausnahmefälle, wie z. B. im Bankenwesen und Flugverkehr.
Welche Verarbeitungsschritte dürfen wo erfolgen?
Art der Datenverarbeitung | Primärdatenbank in Russland | Sekundärdatenbank im Ausland |
Erfassen | Ja | Nein |
Aufnehmen | Ja | Nein |
Systematisieren | Ja | Nein |
Speichern | Ja | Nein |
Aufbewahren | Ja | Nein |
Aktualisieren, Verändern | Ja | Nein |
Abfragen | Ja | Nein |
Benutzen | Ja | Ja |
Weitergeben | Ja | Ja |
Pseudonymisieren | Ja | Ja |
Sperren | Ja | Ja |
Löschen | Ja | Ja |
Vernichten | Ja | Ja |
Oder anders formuliert:
Ausschließlich auf der Primärdatenbank in Russland ist erlaubt:
- Erfassen
- Aufnehmen
- Systematisieren
- Aufbewahren
- Speichern
- Abfragen
- Anpassen bzw. aktualisieren oder verändern
Auf ausländische Datenbanken zulässig ist nur:
- Benutzen
- Anonymisieren
- Sperren
- Löschen
- Vernichten
- Weitergeben
Wie die Einhaltung des Gesetzes kontrolliert werden soll, ist (immer noch) unklar. Laut Roskomnadsor soll dies über die Betreiber der Primärdatenbanken in Russland durch schriftliche Anfrage erfolgen. Die Effektivität dieser Vorgehensweise mag dahingestellt sein, nichts destotrotz verfügt RKN über wirksame Sanktionshebel gegen ausländische Firmen, die z. B. nicht kooperationsbereit sind. So kann die Internetseite schlichtweg blockiert werden (innerhalb von 24 Std.). Die Geldstrafe beträgt umgerechnet 150 und 4.500 Euro. Es ist allerdings nicht klar, ob sich die Strafe auf einen kompletten Vorfall oder jeden einzelnen Datensatz beziehen soll.
Die internationalen Verpflichtungen, die Russland mit der EU vereinbart hat (Konvention Nr. 108) bleiben vorrangig. D. h. Russland darf grenzüberschreitende Übermittlung weder verbieten noch sich Sondergenehmigungen dafür ausbedingen.
Für Ende 2015 waren Abstimmungsgespräche zwischen AHK, Unternehmen und Roskomnadsor geplant. Leider haben bis her noch keine weiteren Gespräche stattgefunden.