Neues Gesetz: Russische Daten sollen in Russland bleiben

Russische Daten sollen in Russland bleiben

Eine geplante Änderung des bisherigen Datenschutzrechts in Russland sorgt derzeit für Aufsehen. Personenbezogene Daten russischer Staatsbürger sollen nur noch auf russischen Servern gespeichert werden dürfen. Kritikern geht das zu weit. KPMG-Expertin Barbara Scheben über mögliche Folgen des Gesetzes für Unternehmen, die im russischen Markt aktiv sind.

Ansprechpartner

Partner, Forensic

KPMG AG Wirtschaftsprüfungsgesellschaft

Kontakt

Verwandte Inhalte

Security

Frau Scheben, was ist bisher zur Gesetzesänderung in Russland bekannt? 

Im Juli 2014 wurde ein Gesetz zur Änderung des Datenschutzrechts verabschiedet. Es wird zum 1. September 2015 in Kraft treten. Die wichtigste Neuregelung sieht vor, dass bei der Verarbeitung personenbezogener Daten russischer Staatsbürger, das verarbeitende Unternehmen verpflichtet wird, diese Daten künftig auf Servern innerhalb der Russischen Föderation zu speichern. Der Vorgang wird als „Data-Localization-Rule“ bezeichnet.

Was sind die wichtigsten Regelungen des Gesetzes? 

Der Gesetzeswortlaut ist sehr weit gefasst und lässt viele Fragen offen. Es gibt keine verbindlichen Stellungnahmen zur Auslegung und Anwendung. Allerdings gewährte die zuständige Aufsichtsbehörde („Roskomnadzor“) bei Treffen mit Wirtschaftsverbänden erste Einblicke, wie das Gesetz angewendet werden soll. Die wichtigsten vier Punkte nach heutigem Kenntnisstand sind:

  • Jedes Unternehmen, das Daten russischer Staatsangehöriger selbst erhebt und speichert, ist von dem Gesetz betroffen – unabhängig davon, ob es seinen Sitz oder eine Niederlassung in Russland hat oder nicht.
  • Von der neuen Speicherpflicht sollen nur personenbezogene Daten russischer Staatsbürger, die in Russland ihren Wohnsitz haben, erfasst werden. Das heißt Daten russischer Staatsbürger, die außerhalb Russlands leben, sind von der Regelung nicht betroffen. Darüber hinaus soll das Gesetz auch auf bereits in der Vergangenheit gespeicherte Daten Anwendung finden, soweit die Daten heute noch genutzt werden.
  • Es steht den betroffenen Unternehmen frei, einen Prozess zur Identifizierung der russischen Staatsangehörigen einzurichten, für deren Daten die Speicherpflicht gilt. Im Zweifel empfiehlt Roskomnadzor aber, alle Daten der Data-Localization-Rule zu unterwerfen.
  • Es ist nicht ausreichend, eine Kopie der betreffenden personenbezogenen Daten russischer Staatsbürger auf russischem Territorium zu speichern. Auch die Verarbeitung muss in Russland erfolgen. Dagegen soll es erlaubt bleiben, Kopien dieser Daten in Länder außerhalb Russland zu transferieren, wenn die aktuell schon geltenden datenschutzrechtlichen Grundsätze eingehalten werden.

Was droht Unternehmen, die sie sich nicht an die Data-Localization-Rule halten?

Nicht-Compliance mit der Data-Localization-Rule kann mit einer Geldbuße von aktuell umgerechnet 150 Euro geahndet werden. Einem weiteren Gesetzentwurf zufolge können auch umgerechnet bis zu 4.500 Euro anfallen. Allerdings bleibt die Berechnungsgrundlage unklar, also ob dies pro Vorfall oder pro betroffenen Datensatz gelten soll. Zum anderen – das ist wohl die dramatischere Konsequenz – besteht für Roskomnadzor die Möglichkeit, Internetseiten von Unternehmen zu sperren, die gegen das Gesetz verstoßen.

Worauf müssen sich im russischen Markt aktive Firmen nun einstellen? 

Schnelles Handeln ist angeraten, denn technisch gesehen ist es gerade für global agierende Unternehmen mit weltweiten IT-Systemen nicht einfach, eine solche Sonderbehandlung von ausgewählten Datensätzen umzusetzen. Zudem können die von der russischen Aufsicht geforderten Prozesse zur Identifizierung russischer Staatsangehöriger zwar technisch möglich sein, doch könnten diese Prozesse wiederum gegen europäisches Datenschutzrecht verstoßen. Die Umsetzung der russischen Data-Localization-Rule wird die Datenverarbeitungssysteme von Unternehmen weltweit betreffen. Und damit auch die Datenschutzgesetze vieler Länder. Das ist eine echte Herausforderung, die man nicht im Vorbeigehen bewältigt. Die Unsicherheit in Bezug auf die konkrete Anwendung des Gesetzes macht die Situation leider nicht einfacher.

Frau Scheben, abschließend noch die Frage, wie sich das neue Gesetz auf die Unternehmenspraxis auswirken wird? 

So gravierend das neue Gesetz auf den ersten Blick auch erscheinen mag, letztlich ist es ein weiteres Teil des globalen Datenschutz-Puzzles. Auf solche Sonderregelungen, die es auch in anderen Ländern gibt, müssen die Unternehmen zukünftig vorbereitet sein. Sie sollten deshalb flexible IT-Sourcing-Strategien entwickeln, die schnelle und ressourcenschonende Reaktionen auf ähnliche Datenschutzgesetze ermöglichen.

Provokativ gesprochen: Die Zeiten, in denen man seine Rechenzentren beliebig in billigen Drittländern aufstellen konnte, sind nun endgültig vorbei. Auf absehbare Zeit wird der Datenschutz bei Unternehmen in Fragen des IT-Sourcings nicht mehr ein Punkt von vielen, sondern einer der entscheidenden Parameter sein.

Vielen Dank für das Gespräch, Frau Scheben. 

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG's neue digitale Plattform