Neue Datenschutzregelung per 1.9.15 in Russland. Bekannt? Sitzung GDD Erfa-Kreis Datenschutz M. Le Maire | IHK Mannheim, 07.10.2015 Agenda 1. Data Localization Rule 2.Anwendungsbereich 3.Speicherung und Verarbeitung 4.Sanktionen © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 2 1. Data Localization Rule Ab dem 1. September 2015 sind Datenbank-Betreiber in Russland dazu verpflichtet, personenbezogene Daten russischer Bürger innerhalb der Russischen Föderation zu speichern. Die entsprechenden Änderungen am Föderalen Gesetz über personenbezogene Daten Nr. 152 (nachstehend – Gesetz) wurden bereits vor einem Jahr beschlossen. Eine Übergangsregelung wurde nicht eingeführt. Auch in der Vergangenheit gespeicherte Daten fallen unter den Anwendungsbereich, soweit die Daten heute noch genutzt werden. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 3 2. Anwendungsbereich Sitz / Niederlassung Das Gesetz betrifft alle Unternehmen, die Daten russischer Bürger erheben, speichern oder verarbeiten. Dabei wird nicht unterschieden zwischen russischen Unternehmen, ausländischen Unternehmen mit Niederlassungen in Russland oder ausländischen Unternehmen ohne Standort in Russland. Entscheidend ist allein, dass die angebotenen Leistungen oder Waren von russischen Kunden genutzt werden. Russische Staatsbürger mit Wohnsitz in Russland Die Anwendbarkeit erstreckt sich nicht auf alle Personen mit russischer Staatsangehörigkeit, sondern nur auf russischer Staatsbürger, die ihren Wohnsitz in Russland haben. Das heißt Daten russischer Staatsangehöriger, die außerhalb Russlands leben, sind von der Regelung nicht betroffen. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 4 3. Speicherung und Verarbeitung Die Primärdatenbank muss sich auf russischem Staatsgebiet befinden. Ihr Standort muss innerhalb der gesetzlich vorgeschriebenen Frist der zuständigen Aufsichtsbehörde (Roskomnadsor, russische Aufsichtsbehörde für Massenmedien, Telekommunikation und Datenschutz) mitgeteilt werden. Die dort erfolgende Art der Datenverarbeitung ist festgeschrieben (siehe Tabelle). Im Ausland dürfen die Datenbanken entweder als eine gleichwertige Kopie der russischen Datenbank oder als ein Teil davon aufbewahrt werden. Die Übermittlung der Kopien ins Ausland wird dann als zulässig angesehen, wenn die aktuell schon geltenden datenschutzrechtlichen Grundsätze eingehalten werden. Nicht ausreichend ist es jedoch, nur eine Kopie der betroffenen personenbezogenen Daten auf russischem Territorium zu speichern. Auch für die Kopie ist festgelegt, welche Verarbeitungsschritte erfolgen dürfen (siehe Tabelle). © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 5 3. Speicherung und Verarbeitung: Tabelle © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 6 4. Sanktionen Bei Verstößen gegen die neue gesetzliche Regelung drohen Geldstrafen oder die Sperrung der Internetseite. Derzeit beträgt die Geldstrafe umgerechnet zwischen 150 € und 4.500 €, wobei unklar ist, ob sich die Strafe auf einen kompletten Vorfall oder jeden einzelnen Datensatz beziehen soll. Empfindlicher wird Unternehmen treffen, dass die zuständige Behörde den Zugang zu Internetseiten sperren lassen kann. Dies ist auch ohne Gerichtsbeschluss möglich, wenn sie sie als Bedrohung der öffentlichen Ordnung einstuft. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 7 Backup © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 8 Grenzüberschreitender Datentransfer In Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten russischer Bürger sind, wie die Vertreter der russischen Aufsichtsbehörde mehrmals betonten, keine Änderungen zu erwarten. Die internationalen Verpflichtungen, die Russland mit der Ratifizierung des Übereinkommens des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention Nr. 108) eingegangen ist, bleiben vorrangig. Gemäß der Datenschutzkonvention darf Russland die sogenannte grenzüberschreitende Übermittlung personenbezogener Daten weder verbieten noch sich Sondergenehmigungen dafür ausbedingen. Zwei Hauptkriterien sind dabei wichtig: 1. Erfüllung aller bereits bestehenden Auflagen für grenzüberschreitenden Datentransfer (Artikel 12 des Gesetzes) und 2. Lokalisierung der Primärdatenbank in Russland. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 9 Weitere Regelungen Aussonderung der Daten Unternehmen können wählen zwischen der kompletten Speicherung ihrer Datensätze in Russland oder der Aussortierung der russischen Daten. Dazu sollten sie einen Prozess zur Identifizierung der russischen Staatsangehörigen, auf die das Gesetz anwendbar ist, einrichten. Definition Datenbank Eine Datenbank stellt nach Auffassung der russischen Aufsichtsbehörde eine „beliebige Anhäufung von personenbezogenen Daten unabhängig vom materiellen Träger“ dar. Diese breite Begriffsauslegung gestattet es, jede beliebige strukturierte Datenanhäufung als Datenbank zu nutzen, so etwa eine einfache Word- bzw. Excel-Tabelle. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 10 Ausnahmefälle Laut russischer Aufsichtsbehörde soll es eine Reihe von Fällen geben, für welche die neuen Regelungen nicht gelten, so zum Beispiel, wenn die Tätigkeit eines Datenbank-Betreibers Gegenstand eines internationalen Abkommens ist. Unter anderem betrifft es die Bereiche Bankenwesen und Flugverkehr. Nach Auffassung von Wjatscheslaw Chairjusow, Leiter IT & Media Praxis bei Noerr Moskau, gibt es dafür weder im Gesetz noch in den von Russland unterschriebenen internationalen Abkommen eine rechtliche Begründung, sodass es höchstwahrscheinlich einer zusätzlichen Regelung bedarf. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 11 News Eine große Anzahl ausländischer und inländischer Unternehmen sind betroffen – von Amazon und Facebook bis theoretisch sogar ein Hotel in Berlin, das die Namen russischer Gäste auf seinen Computern gespeichert hat. Jedoch unterscheiden sich die Herausforderungen bei der Einhaltung des Gesetzes je nach Art des Unternehmens und der Datenbankarchitektur erheblich (siehe Details im Whitepaper von East-West Digital News und EY). Viele Unternehmen haben bereits einen großen Aufwand betrieben, um die Anforderungen des Gesetzes rechtzeitig zu erfüllen, wie die öffentlichen Ankündigungen von Apple, Booking.com, eBay, PayPal, Alibabas Tochter AliExpress und des internationalen Zahlungsdienstleisters PayU während der vergangenen Monaten zeigen. Einige Firmen aus dem E-Commerce-Bereich wie KupiVip und La Redoute hatten die Einführung des Gesetzes bereits vor einigen Jahren vorausgeahnt und ihre Daten von ausländischen auf russische Server übertragen. Google, SAP, Samsung, Lenovo und IBM haben laufenden Arbeiten zur Datenübertragung nach Russland angekündigt. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 12 News © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 13 Exkurs: Personenbezogene Daten nach russischem Recht Nach russischem Recht besteht das Hauptmerkmal “personenbezogener Daten” darin, dass sich mittels dieser eine einzelne spezifische Person unter vielen Personen identifizieren lasse. © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 14 Exkurs: Personenbezogene Daten nach russischem Recht © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 15 Legal Background Legal Background: Federal Law Nr. 242-FZ of 21 July 2014, amending Federal Law Nr. 152-FZ of 27 July 2006 on Personal Data, states: “Article 18: … 5. While collecting personal data, for instance by means of the information-telecommunication network "Internet" the operator shall ensure the recording, systematizing, accumulating, storing, making more precise (updating, modifying) and retrieving of the personal data of citizens of the Russian Federation by means of databases located on the territory of the Russian Federation, except for the cases mentioned in Items 2, 3, 4, 8 of Part 1 of Article 6 of the present Federal Law.“ Comments: The exceptions in the last sentence exclusively refer to cases regarding processing by State authorities. The factor of applicability is not the location of the operator (as it is the case regarding European Data Protection Law), but the mere fact, that data of Russian citizens are processed by means enumerated in the law. Thus not only Russia-based operators or foreign operators with a legal presence in Russia are affected, but all operators regardless of their location, as soon as their business aims at Russian citizens and thus data of Russian citizens are processed. The law will come into force on 1 September 2015 (Federal Law No. 526-FZ of 31 December 2014). © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 16 Quellen http://russland.ahk.de/news/single-view/artikel/neue-datenschutz-regelungen-dargelegt-von-roskomnadsor/ https://www.datenschutzbeauftragter-info.de/russland-neues-datenschutzgesetz-ab-september-2015/ http://news.kpmg.de/neues-gesetz-russische-daten-sollen-in-russland-bleiben/ https://www.wko.at/Content.Node/Industrie_Aktuell/Weitere-Themen-Aussenhandel-Ausgabe-16-Artikel-01Neues-r.html http://www.silicon.de/41617255/russlands-neuer-datenschutz-herausforderung-fuer-online-unternehmen/ Whitepaper http://www.ewdn.com/files/personaldatastorage.pdf © Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht GDD Erfa-Kreis Datenschutz 17
© Copyright 2024 ExpyDoc
