PwC

Russland-News

Änderung des Datenschutzgesetzes


Am 25. Juli 2011 wurde das Änderungsgesetz zum Föderalen Gesetz Nr. 152-FZ „Über persönliche Daten“ (im Folgenden – Datenschutzgesetz) verabschiedet. Die erste Lesung des Gesetzes erfolgte bereits im Jahre 2009. Seine zweite und dritte Lesungen fanden jedoch am 1. und 5. Juli 2011 statt. Obwohl das Gesetz am 27. Juli 2011 in Kraft trat, erstreckt sich sein Anwendungsbereich rückwirkend auf alle Rechtsverhältnisse, die ab dem 1. Juli 2011 entstanden sind.

Der Grund für diese eilige Verabschiedung des Änderungsgesetzes liegt unter anderem darin, dass das bisherige Gesetz einige Regelungslücken enthält sowie strenge Anforderungen an die verantwortlichen Stellen vorsieht. So waren diese verpflichtet, bestehende Datenverarbeitungssysteme bis zum 1. Juli 2011 an die Anforderungen des Datenschutzgesetzes anzupassen. Viele russische und in Russland tätige ausländische Unternehmen sahen sich kaum in der Lage, die Gesetzesanforderungen in vollem Umfang zu erfüllen. Angesichts der Anpassungsanforderungen stieß das bisherige Datenschutzgesetz auf heftige Kritik. Daher griff man zunächst auf den bereits seit 2 Jahren in der Duma liegenden Gesetzesentwurf zurück.

Das dem Änderungsgesetz zugrundeliegende Ziel war, bisherige Gesetzesbestimmungen zu konkretisieren und die Anforderungen an die verantwortlichen Stellen (Unternehmen), die selbständig oder gemeinsam mit anderen Personen eine personenbezogene Datenerhebung, -verarbeitung und -nutzung vornehmen und/oder diese Tätigkeiten organisieren, möglichst zu vereinfachen. Dieses ursprüngliche Ziel wurde jedoch nur bedingt erreicht. Die strengen Anforderungen an die personenbezogene Datenverarbeitung im neuen Gesetz bleiben bestehen.

Überdies wurden zusätzliche Verpflichtungen eingeführt, wie etwa: Das Unternehmen bzw. die verantwortliche Stelle ist nunmehr verpflichtet, seine unternehmensinterne Politik im Bereich der Verarbeitung personenbezogener Daten sowie die Datenschutzmaßnahmen zu veröffentlichen oder auf sonstige Weise zugänglich zu machen. Außerdem muss eine Person ernannt werden, die für die Datenverarbeitung zuständig ist (Datenschutzbeauftragter). Das Datenschutzgesetz sieht nunmehr auch grundlegende Pflichten solcher Datenschutzbeauftragter vor. Darüber hinaus hat ein Unternehmen bis zum 1. Januar 2013 zusätzliche, im Gesetz festgelegte Informationen über die Verarbeitung personenbezogener Daten der zuständigen Behörde (Roskomnadzor) vorzulegen, wenn eine solche Verarbeitung noch vor dem 1. Juli 2011 stattgefunden hat. Des Weiteren muss das Unternehmen unternehmensintern kontrollieren bzw. prüfen (Datenschutzaudit), ob die personenbezogene Datenverarbeitung dem Datenschutzgesetz, den auf seiner Grundlage erlassenen Durchführungsverordnungen sowie den unternehmensinternen Datenschutzvorschriften entspricht. Aus dem Gesetzestext ist jedoch nicht ersichtlich, wie eine solche Prüfung durchzuführen und zu belegen ist.

Im neuen Datenschutzgesetz wurden Begrifflichkeiten und Prinzipien der personenbezogenen Datenverarbeitung konkretisiert. Außerdem sieht das Gesetz vor, dass der Betroffene der Verarbeitung personenbezogener Daten nicht nur persönlich, sondern auch durch seinen Vertreter zustimmen kann. In diesem Fall muss die verantwortliche Stelle entsprechende Befugnisse des Vertreters überprüfen.

Einige Änderungen betreffen die Beendigung der Datenverarbeitung: Ist das Ziel der Datenverarbeitung erreicht oder liegt eine schriftliche Verweigerung des Betroffenen vor, so ist die verantwortliche Stelle verpflichtet, die Datenverarbeitung unverzüglich zu beenden und die Daten innerhalb gesetzlichen Frist von 30 Tagen zu löschen, es sei denn, die verantwortliche Stelle und der Betroffene etwas anderes vertraglich vereinbart haben. Die bisherige gesetzliche Regelung sah eine kurze Frist von 3 Tagen und keine Möglichkeit vor, abweichende Fristen vertraglich festzulegen.

Bei grenzüberschreitender Datenverarbeitung gilt nun, dass das Erfordernis eines angemessenen Rechtsschutzes im ausländischen Staat dann eingehalten ist, wenn das ausländische Recht den Anforderungen des Übereinkommens vom 28. Januar 1981 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten genügt bzw. entspricht. Dies ist für Deutschland der Fall.

Zusammenfassend bleibt festzuhalten, dass das neue Gesetz keine erheblichen Erleichterungen in Bezug auf Erhebung, Verarbeitung und Nutzung personenbezogener Daten gebracht hat. Die in Russland tätigen Unternehmen müssen auch weiterhin die strengen Anforderungen des Datenschutzgesetzes erfüllen und mit den Umsetzungskontrollen seitens Roskomnadzor rechnen.

Weitergehende Informationen zu den Anforderungen an Unternehmen und die bis zum 1. Juli 2011 vorzunehmenden Anpassungen finden Sie in unserem Juli-Newsletter Russian Tax and Legal News.