Seit 01. Sep­tem­ber 2015 sind Da­ten­bank­be­trei­ber in Russ­land dazu ver­pflich­tet, per­so­nen­be­zo­ge­ne Daten rus­si­scher Bürger in­ner­halb der Rus­si­schen Fö­de­ra­ti­on zu spei­chern (Än­de­rungs­ge­setz zum Fö­de­ra­len Gesetz über per­so­nen­be­zo­ge­ne Daten (Nr. 242-FZ)). Wobei das Gesetz nur auf rus­si­sche Staats­bür­ger, die ihren Wohn­sitz in Russ­land haben, An­wen­dung findet.

Wobei der Begriff der per­so­nen­ge­zo­ge­nen Daten ist mit der De­fi­ni­ti­on in der EU-Rich­t­­li­­nie 95/46/EG („ir­gend­ei­ne Person iden­ti­fi­zier­bar machen“) ver­gleich­bar ist.
Es wird auch kein Un­ter­schied zwi­schen rus­si­schen Firmen, aus­län­di­schen Firmen mit Nie­der­las­sun­gen in Russ­land oder aus­län­di­schen Firmen ohne Nie­der­las­sung in Russ­land gemacht. Es ist allein aus­schlag­ge­bend, dass die von einem aus­län­di­schen Un­ter­neh­men an­ge­bo­te­nen Leis­tun­gen bzw. Waren an rus­si­sche Kunden adres­siert sind.

Der „Fö­de­ra­le Dienst für die Auf­sicht im Bereich der Kom­mu­ni­ka­ti­on, In­for­ma­ti­ons­tech­no­lo­gie und Mas­sen­kom­mu­ni­ka­ti­on“ (Ros­kom­n­ad­sor, RKN) ver­steht unter Da­ten­ban­ken jede „be­lie­bi­ge An­häu­fung von per­so­nen­be­zo­ge­nen Daten un­ab­hän­gig vom ma­te­ri­el­len Träger“. Es spielt also keine Rolle wie die Daten ge­sam­melt werden, z. B. einfach nur in einem Word-Do­­ku­­ment oder einer Excel-Tabelle. Aus­schlag­ge­bend ist, dass es getan wird.

Wer die per­so­nen­be­zo­ge­nen Daten rus­si­scher Bürger auf einem Com­pu­ter, Server oder in einem Da­ten­zen­trum in­ner­halb Russ­lands spei­chert, hat die ge­setz­li­chen Vor­ga­ben zu er­fül­len. Die in Russ­land ba­sier­te Da­ten­bank gilt als primär (siehe Abb. Primär-/Se­­kun­­där­­da­­ten­­bank). Der Stand­ort der Pri­mär­da­ten­bank muss binnen ge­setz­lich vor­ge­schrie­be­ner Frist der Auf­sichts­be­hör­de mit­ge­teilt werden.

Wann muss die In­for­ma­ti­on an die zu­stän­di­ge Behörde erfolgen?

Vor der Auf­nah­me von Da­ten­tä­tig­kei­ten ist die RKN zu in­for­mie­ren. Auch hier gibt es Aus­nah­men: Das muss z.B. dann nicht ge­sche­hen, wenn (nur) Be­schäf­tig­ten­da­ten erfasst werden. Ebenso wenig bei Da­ten­er­he­bun­gen, die zur Er­fül­lung von Ver­trä­gen ge­sche­hen. Auch nicht mel­de­pflich­tig sind Er­fas­sun­gen von nur Vorname und Name einer Person. Da die Da­ten­ver­ar­bei­tung aber häufig sehr komplex ist, emp­fiehlt sich eine vor­sorg­li­che Meldung an die RKN – in­ner­halb von 10 Tagen.

Die Da­ten­ban­ken mit per­so­nen­be­zo­ge­nen Daten rus­si­scher Bürger können ent­we­der im Ausland oder als gleich­wer­ti­ge Kopie der rus­si­schen Da­ten­bank oder nur als Teil davon auf­be­wahrt werden (nicht aus­rei­chend ist, wenn eine Kopie auf rus­si­schem Ter­ri­to­ri­um ge­spei­chert ist). Die Pri­mär­da­ten­bank muss sich grund­sätz­lich auf rus­si­schem Staats­ge­biet be­fin­den. Es gibt einige Aus­nah­me­fäl­le, wie z. B. im Ban­ken­we­sen und Flugverkehr.

Welche Ver­ar­bei­tungs­schrit­te dürfen wo erfolgen? 

Art der Datenverarbeitung Pri­mär­da­ten­bank in Russland Se­kun­där­da­ten­bank im Ausland
Er­fas­sen Ja Nein
Auf­neh­men Ja Nein
Sys­te­ma­ti­sie­ren Ja Nein
Spei­chern Ja Nein
Auf­be­wah­ren Ja Nein
Ak­tua­li­sie­ren, Verändern Ja Nein
Ab­fra­gen Ja Nein
Be­nut­zen Ja Ja
Wei­ter­ge­ben Ja Ja
Pseud­ony­mi­sie­ren Ja Ja
Sperren Ja Ja
Löschen Ja Ja
Ver­nich­ten Ja Ja

 

Oder anders formuliert:

Aus­schließ­lich auf der Pri­mär­da­ten­bank in Russland ist erlaubt:

  • Er­fas­sen
  • Auf­neh­men
  • Sys­te­ma­ti­sie­ren
  • Auf­be­wah­ren
  • Spei­chern
  • Ab­fra­gen
  • An­pas­sen bzw. ak­tua­li­sie­ren oder verändern

Auf aus­län­di­sche Da­ten­ban­ken zu­läs­sig ist nur:

  • Be­nut­zen
  • An­ony­mi­sie­ren
  • Sperren
  • Löschen
  • Ver­nich­ten
  • Wei­ter­ge­ben

Wie die Ein­hal­tung des Ge­set­zes kon­trol­liert werden soll, ist (immer noch) unklar. Laut Ros­kom­n­ad­sor soll dies über die Be­trei­ber der Pri­mär­da­ten­ban­ken in Russ­land durch schrift­li­che Anfrage er­fol­gen. Die Ef­fek­ti­vi­tät dieser Vor­ge­hens­wei­se mag da­hin­ge­stellt sein, nichts de­s­to­trotz verfügt RKN über wirk­sa­me Sank­ti­ons­he­bel gegen aus­län­di­sche Firmen, die z. B. nicht ko­ope­ra­ti­ons­be­reit sind. So kann die In­ter­net­sei­te schlicht­weg blo­ckiert werden (in­ner­halb von 24 Std.). Die Geld­stra­fe beträgt um­ge­rech­net 150 und 4.500 Euro. Es ist al­ler­dings nicht klar, ob sich die Strafe auf einen kom­plet­ten Vorfall oder jeden ein­zel­nen Da­ten­satz be­zie­hen soll.

Die in­ter­na­tio­na­len Ver­pflich­tun­gen, die Russ­land mit der EU ver­ein­bart hat (Kon­ven­ti­on Nr. 108) bleiben vor­ran­gig. D. h. Russ­land darf grenz­über­schrei­ten­de Über­mitt­lung weder ver­bie­ten noch sich Son­der­ge­neh­mi­gun­gen dafür ausbedingen.

Für Ende 2015 waren Ab­stim­mungs­ge­sprä­che zwi­schen AHK, Un­ter­neh­men und Ros­kom­n­ad­sor geplant. Leider haben bis her noch keine wei­te­ren Ge­sprä­che stattgefunden.

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!