Auf Grund der geltenden Gesetzeslage ist Datenlokalisierung in Russland für viele ausländische Unternehmen ein Muss.
Viele deutsche Unternehmen, die in Russland mit einer eigenen Niederlassung, Tochtergesellschaft oder sogar mit einer lokalisierten Produktion ansässig sind, beschäftigen neben einigen Expats vorrangig russische Mitarbeiter. Von diesen Mitarbeitern werden für den Abschluss eines Arbeitsvertrages persönliche Daten wie Name, Vorname, Geburtsdatum, Passdokument etc. abgefragt und dann für interne Zwecke verarbeitet. Die Buchhaltung benötigt dann für Gehaltszahlungen noch die Bankdaten und mindestens eine Kontonummer. Weiter kommen noch Mobiltelefonnummern und E-Mail-Adressen hinzu, die zwecks Kommunikation im Alltag oder im Krankheitsfall benötigt werden. So entsteht schnell eine umfangreiche Sammlung sogenannter personenbezogener Daten.
Mit fortschreitender Digitalisierung und Optimierung der Geschäftsprozesse innerhalb des Unternehmens stellt sich über kurz oder lang die Frage nach einer zentralen Speicherung und Verarbeitung dieser Daten – zum Beispiel im ERP-System der Firmenzentrale in Deutschland. Der Datenschutz wird nach allgemeiner Meinung im Unternehmen garantiert eingehalten, weil man sich als Unternehmen strikt an die europäische Datenschutzverordnung hält. Also steht einem Datentransfer nach Deutschland und einer Aktualisierung der Mitarbeiterdaten aus Russland im Bedarfsfall nichts im Wege? Weit gefehlt.
Regelungen für Datenerfassung
In Russland gilt seit 2006 das Gesetz Nr. 152-FZ „Über personenbezogene Daten“, das aktiv angewendet wird. Daraus ergeben sich etliche Pflichten für deutsche und andere ausländische Unternehmen in Russland, die personenbezogene Daten ihrer russischen Mitarbeiter erheben und verarbeiten.
So hat ein Unternehmen gemäß dem Gesetz seine Sammlung personenbezogener Daten russischer Staatsbürger, deren weitere Systematisierung, Speicherung, Extraktionen und Aktualisierungen auf dem Gebiet der Russischen Föderation durchzuführen. Da das Gesetz technologieneutral formuliert ist, gelten auch WORD-Listen und EXCEL-Tabellen als Datenbanken und deren Bearbeitung kann neben der elektronischen auch in Papierform erfolgen.
Werden diese Daten in Gänze oder nur in Auszügen dann an die Zentrale in Deutschland zur weiteren Verarbeitung übertragen, sind zwingend die Anforderungen des Gesetzes zum grenzüberschreitenden Datentransfer einzuhalten. Die Primärdatenbank mit allen erhobenen Daten muss in Russland betrieben werden. Die Aktualisierung der Daten darf nur in der Primärdatenbank erfolgen. Eine Synchronisierung ist nur von der russischen Primär- auf die deutsche Sekundärdatenbank zulässig. Die Sekundärdatenbank darf also keine aktuelleren Daten als die Primärdatenbank erhalten. Die geforderte Gleichwertigkeit der Kopie stellt somit ein Verbot dar, die Sekundärdatenbank im Stammhaus aktueller zu halten. Im Gesetz ist außerdem geregelt, welche Verarbeitungsschritte innerhalb der Sekundärdatenbank vorgenommen werden können.
Weiter ist wichtig, dass beim verschlüsselten Datentransfer die Anforderungen des russischen Inlandsgeheimdienstes FSB beachtet werden (Verordnung des FSB Nr. 378 vom 10.07.2014). Die Prüfung auf Einhaltung der russischen Verordnung für personenbezogene Daten obliegt dem Roskomnadzor, dem Föderalen Dienst für die Aufsicht im Bereich der Informationstechnologie und Massenkommunikation. Folgerichtig ist Roskomnadzor dazu ermächtigt, sich Dokumente zum Datenschutz eines Unternehmens vorlegen zu lassen und eine Prüfung nach Aktenlage durchzuführen.
Verstöße sind kein Kavalierdelikt
Da der Roskomnadzor mit weitgehenden Sanktionsbefugnissen ausgestattet ist, sollten konkrete Anfragen zwingend und sorgfältig bearbeitet werden. Auch mangelnde Kooperationsbereitschaft mit der Behörde kann schon zu Sanktionierungen führen. Bußgelder bei einmaligem Verstoß gegen die Datenlokalisierung können bis zu sechs Millionen Rubel betragen. Bei mehrmaligen Verstößen fallen die Bußgelder für das Unternehmen noch schmerzhafter aus. Zudem kann eine gerichtliche Feststellung der Verstöße durchgeführt werden, was dann wiederum als Grundlage zur Sperrung des Internetauftritts der betroffenen Firma herangezogen werden kann.
Abschließend noch ein Wort zur exterritorialen Wirkung des Gesetzes. Unternehmen mit Sitz im Ausland ohne Zweigstelle in Russland sind auch zur Datenlokalisierung in Russland verpflichtet, wenn sie Waren oder Dienstleistungen in Russland anbieten, diese mit Rubel bezahlt werden können und dazu Werbung in russischer Sprache verfasst wird und in Russland abrufbar ist.
Auf Grund der geltenden Gesetzeslage ist Datenlokalisierung in Russland für aktive Marktteilnehmer ein Muss. Verstöße werden von der staatlichen Aufsicht nicht als Kavaliersdelikt betrachtet. Die technischen und organisatorischen Möglichkeiten zur Datenlokalisierung sind für die Unternehmen beherrschbar. Der Reputationsschaden durch gesperrte Webseiten oder „Black listing“ seitens der Behörde überwiegt den Aufwand für die Datenlokalisierung bei weitem.
Lokalisierung Insights: Datenlokalisierung in Russland
Auf Grund der geltenden Gesetzeslage ist Datenlokalisierung in Russland für viele ausländische Unternehmen ein Muss.
Viele deutsche Unternehmen, die in Russland mit einer eigenen Niederlassung, Tochtergesellschaft oder sogar mit einer lokalisierten Produktion ansässig sind, beschäftigen neben einigen Expats vorrangig russische Mitarbeiter. Von diesen Mitarbeitern werden für den Abschluss eines Arbeitsvertrages persönliche Daten wie Name, Vorname, Geburtsdatum, Passdokument etc. abgefragt und dann für interne Zwecke verarbeitet. Die Buchhaltung benötigt dann für Gehaltszahlungen noch die Bankdaten und mindestens eine Kontonummer. Weiter kommen noch Mobiltelefonnummern und E-Mail-Adressen hinzu, die zwecks Kommunikation im Alltag oder im Krankheitsfall benötigt werden. So entsteht schnell eine umfangreiche Sammlung sogenannter personenbezogener Daten.
Mit fortschreitender Digitalisierung und Optimierung der Geschäftsprozesse innerhalb des Unternehmens stellt sich über kurz oder lang die Frage nach einer zentralen Speicherung und Verarbeitung dieser Daten – zum Beispiel im ERP-System der Firmenzentrale in Deutschland. Der Datenschutz wird nach allgemeiner Meinung im Unternehmen garantiert eingehalten, weil man sich als Unternehmen strikt an die europäische Datenschutzverordnung hält. Also steht einem Datentransfer nach Deutschland und einer Aktualisierung der Mitarbeiterdaten aus Russland im Bedarfsfall nichts im Wege? Weit gefehlt.
Regelungen für Datenerfassung
In Russland gilt seit 2006 das Gesetz Nr. 152-FZ „Über personenbezogene Daten“, das aktiv angewendet wird. Daraus ergeben sich etliche Pflichten für deutsche und andere ausländische Unternehmen in Russland, die personenbezogene Daten ihrer russischen Mitarbeiter erheben und verarbeiten.
So hat ein Unternehmen gemäß dem Gesetz seine Sammlung personenbezogener Daten russischer Staatsbürger, deren weitere Systematisierung, Speicherung, Extraktionen und Aktualisierungen auf dem Gebiet der Russischen Föderation durchzuführen. Da das Gesetz technologieneutral formuliert ist, gelten auch WORD-Listen und EXCEL-Tabellen als Datenbanken und deren Bearbeitung kann neben der elektronischen auch in Papierform erfolgen.
Werden diese Daten in Gänze oder nur in Auszügen dann an die Zentrale in Deutschland zur weiteren Verarbeitung übertragen, sind zwingend die Anforderungen des Gesetzes zum grenzüberschreitenden Datentransfer einzuhalten. Die Primärdatenbank mit allen erhobenen Daten muss in Russland betrieben werden. Die Aktualisierung der Daten darf nur in der Primärdatenbank erfolgen. Eine Synchronisierung ist nur von der russischen Primär- auf die deutsche Sekundärdatenbank zulässig. Die Sekundärdatenbank darf also keine aktuelleren Daten als die Primärdatenbank erhalten. Die geforderte Gleichwertigkeit der Kopie stellt somit ein Verbot dar, die Sekundärdatenbank im Stammhaus aktueller zu halten. Im Gesetz ist außerdem geregelt, welche Verarbeitungsschritte innerhalb der Sekundärdatenbank vorgenommen werden können.
Weiter ist wichtig, dass beim verschlüsselten Datentransfer die Anforderungen des russischen Inlandsgeheimdienstes FSB beachtet werden (Verordnung des FSB Nr. 378 vom 10.07.2014).
Die Prüfung auf Einhaltung der russischen Verordnung für personenbezogene Daten obliegt dem Roskomnadzor, dem Föderalen Dienst für die Aufsicht im Bereich der Informationstechnologie und Massenkommunikation. Folgerichtig ist Roskomnadzor dazu ermächtigt, sich Dokumente zum Datenschutz eines Unternehmens vorlegen zu lassen und eine Prüfung nach Aktenlage durchzuführen.
Verstöße sind kein Kavalierdelikt
Da der Roskomnadzor mit weitgehenden Sanktionsbefugnissen ausgestattet ist, sollten konkrete Anfragen zwingend und sorgfältig bearbeitet werden. Auch mangelnde Kooperationsbereitschaft mit der Behörde kann schon zu Sanktionierungen führen. Bußgelder bei einmaligem Verstoß gegen die Datenlokalisierung können bis zu sechs Millionen Rubel betragen. Bei mehrmaligen Verstößen fallen die Bußgelder für das Unternehmen noch schmerzhafter aus. Zudem kann eine gerichtliche Feststellung der Verstöße durchgeführt werden, was dann wiederum als Grundlage zur Sperrung des Internetauftritts der betroffenen Firma herangezogen werden kann.
Abschließend noch ein Wort zur exterritorialen Wirkung des Gesetzes. Unternehmen mit Sitz im Ausland ohne Zweigstelle in Russland sind auch zur Datenlokalisierung in Russland verpflichtet, wenn sie Waren oder Dienstleistungen in Russland anbieten, diese mit Rubel bezahlt werden können und dazu Werbung in russischer Sprache verfasst wird und in Russland abrufbar ist.
Auf Grund der geltenden Gesetzeslage ist Datenlokalisierung in Russland für aktive Marktteilnehmer ein Muss. Verstöße werden von der staatlichen Aufsicht nicht als Kavaliersdelikt betrachtet. Die technischen und organisatorischen Möglichkeiten zur Datenlokalisierung sind für die Unternehmen beherrschbar. Der Reputationsschaden durch gesperrte Webseiten oder „Black listing“ seitens der Behörde überwiegt den Aufwand für die Datenlokalisierung bei weitem.
Thoralf Rassmann