Mehr zu:
RusslandDatenschutz, Datensicherheit
Recht
Rechtsbericht | Russland | Datenschutz
Russland nimmt Änderungen des Datenschutzrechts vor
Die Anforderungen an die Verarbeitung personenbezogener Daten ändern sich ab dem 1. September 2022. Sie betreffen die Übermittlung von personenbezogenen Daten ins Ausland.
31.08.2022
Von Yevgeniya Rozhyna | Bonn
- Prinzip der Extraterritorialität
- Erweiterte Haftung für die Verarbeitung von personenbezogenen Daten
- Lokale Gesetze zur Verarbeitung von personenbezogenen Daten mit neuen Anforderungen
- Umgang mit Beschäftigten-Daten
- Meldepflichten bei Datenverlust
Prinzip der Extraterritorialität
Mit der Änderung des Gesetzes N. 152-FZ "Über personenbezogene Daten“ ("O personal'nykh dannykh") vom 14. Juli 2022 wird das Anwendungsgebiet des Gesetzes erweitert und um das Extraterritorialitätsprinzip ergänzt. Das geltende Datenschutzgesetz kannte das Prinzip der Extraterritorialität (Extraterritorialitätsprinzip) nicht. Das Prinzip verlangt, dass unabhängig von dem territorialen Standort des Unternehmens in Verträgen und Nutzungsvereinbarungen mit russischen Bürgern die russischen Rechtsvorschriften berücksichtigt werden. Diese Änderung tritt ab dem 1. März 2023 in Kraft.
Das Gesetz betrifft in- und ausländische Unternehmen, natürliche und juristische Personen, die Daten von Bürgern der Russischen Föderation verarbeiten: Das sind insbesondere Betreiber von sozialen Netzwerken, Suchmaschinen und andere Dienstanbieter wie Cloud-Services. Nach der bisherigen geltenden Rechtslage wurde ein allgemeines Informationsschreiben mit dem Hinweis, die rechtlichen Bedingungen der Russischen Föderation zu erfüllen, als ausreichend angesehen. Durch die Änderung sind datenverarbeitende Unternehmen dazu verpflichtet, die geltenden Bedingungen und Verfahren zur Datenverarbeitung personenbezogener Daten sowie weitere russische Rechtsvorschriften zu beachten. Konkret bedeutet es, dass eine Einwilligung von betroffenen Personen einzuholen ist.
Die staatliche Anstalt zur Aufsicht, Kommunikation, Information und Massenkommunikation "Roskomnadzor" muss über die Verarbeitung und Nutzung personenbezogener Daten informiert werden. Die Pflicht zur Information betrifft auch bereits bestehende Verträge, vorliegende Einwilligungen und andere Vereinbarungen. Sobald Roskomnadzor informiert wurde, wird das Unternehmen in ein Register für Verantwortliche für personenbezogene Daten aufgenommen. Mit der Aufnahme in das Register wird Roskomnadzor berechtigt, regelmäßige Überprüfungen durchzuführen.
Erweiterte Haftung für die Verarbeitung von personenbezogenen Daten
Eine weitere wichtige Neuerung ist, dass ein datenverarbeitendes Unternehmen, welches die Daten im Auftrag eines Betreibers (Prozessors) verarbeitet, nun die gleiche Haftung für den Verlust oder Missbrauch von personenbezogenen Daten trifft wie den Betreiber. Für ein ausländisches Unternehmen, Behörde oder natürliche Person kommen zusätzliche Beschränkungen hinzu. Sie werden mit dem für die Datenverarbeitung Verantwortlichen zusammen bei Verletzung von lokalen Vorschriften haftbar gemacht. Diese Änderungen sind insbesondere für Cloud-Lösung-Anbieter wichtig.
Lokale Gesetze zur Verarbeitung von personenbezogenen Daten mit neuen Anforderungen
Unternehmen, die personenbezogene Daten verarbeiten sind verpflichtet, ab dem 1. September 2022 ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Das Verzeichnis soll darlegen, wie und zu welchem Zweck personenbezogene Daten erhoben, verarbeitet und weitergegeben werden. Vergleichbar zur europäischen Datenschutz-Grundverordnung (DSGVO), müssen unter anderem folgende Informationen dokumentiert werden: Namen und Kontaktdaten, Zweck der Datenverarbeitung, Kategorien von Personen und Daten, Kategorien von Empfängern, Auftragsverarbeiter sowie technische und organisatorische Maßnahmen zum Speichern und zur Verarbeitung der Daten. Dazu gehören auch die Angaben, wie personenbezogene Daten gelöscht werden, wenn der Zweck der Verarbeitung erreicht ist oder ein rechtlicher Grund, wie zum Beispiel ein Widerruf der Einwilligung, vorliegt. Anfragen von betroffenen Personen über die Erfüllung von datenschutzrechtlichen Pflichten müssen innerhalb von zehn Tagen beantwortet werden.
Umgang mit Beschäftigten-Daten
Seit dem 1. September 2022 gelten strengere Regeln im Umgang mit Beschäftigten-Daten. Roskomnadzor muss über die Daten, die im Rahmen von Arbeitsverhältnissen verarbeitet werden, informiert werden, wie zum Beispiel über Ausstellung von Besucherausweisen für ein abgegrenztes Gelände. Schließt das Unternehmen Verträge mit Dritten, die personenbezogene Daten verarbeiten wie zum Beispiel Abschluss von Verträgen über Krankenversicherung, so muss dies in den Vertrag aufgenommen werden.
Meldepflichten bei Datenverlust
Bisher fehlten im Gesetz Bestimmungen über den Verlust von Daten. Mit der Gesetzesänderung wurden Regelungen hinzugefügt. Die neuen Regeln sehen insbesondere die Verpflichtung des verantwortlichen Unternehmens, die Aufsichtsbehörde über den Datenverlust innerhalb von 24 Stunden zu informieren und eine verantwortliche Person anzugeben. Hinzu kommt die Verpflichtung, innerhalb von 72 Stunden über die Ursache des Datenverlustes und die Maßnahmen zur Beseitigung des Datenverlustes zu informieren. Allerdings wurde mit der Änderung des Gesetzes keine Haftung für den Fall der nicht ordnungsgemäßen oder nicht fristgerechten Unterrichtung der Aufsichtsbehörde vorgesehen.
Allerdings sind im Gesetz hohe Bußgelder in Höhe von bis zum 6 Millionen Rubel (ca. 101470,68 Euro) für Datenschutzverstöße vorgesehen.
Zum Thema:
- GTAI-Meldung vom 8. Januar 2020 "Verschärfung der Sanktionen für Datenschutzverstöße"
