Russland ordnet den Datenschutz neu
Foto: Balticservers.com, CC BY-SA 3.0, via Wikimedia Commons
Während die EU-Datenschützer gerade diskutieren, wie das Safe-Harbour-Urteil des Europäischen Gerichtshofs umgesetzt werden soll, lohnt sich der Blick nach Osten. Der Ansatz des russischen Gesetzgebers, der ab 1. September 2015 die Pflicht zur Speicherung personenbezogener Daten auf dem Gebiet der Russischen Föderation einführt, könnte für die EU in der Folge der für ungültig erklärten Safe-Harbour-Übereinkunft mindestens anregend sein.
Neuregelungen des Datenschutzes haben gerade international Hochkonjunktur. Es gibt bereits einige Länder, die es verbieten, bestimmte Arten von Daten im Ausland zu speichern – etwa China, Indien, Indonesien, Kanada oder Australien. Russland ist jedoch das erste Land, das diese Anforderung für sämtliche personenbezogenen Daten eingeführt hat.
Mit der Aufhebung des Safe-Harbour-Abkommens zwischen der EU und den USA, das bisher als rechtliche Grundlage für die Weitergabe von Daten europäischer Bürger in die USA diente, müssen sich nun auch die EU-Datenschutzbehörden Gedanken darüber machen, wie dies in Zukunft geregelt werden kann. Sich die vorliegende russische Lösung näher anzuschauen, ist in diesem Zusammenhang besonders interessant.
Was sind „personenbezogene Daten“?
Seinem Ansatz nach ist das neue Gesetz ein Änderungsgesetz. Es modifiziert zwei weitere Gesetze aus dem Jahr 2006 – „Über Information, Informationstechnologien und Informationssicherheit“ und „Über persönliche Daten“.
Der zentrale Begriff – „personenbezogene Daten“ – ist dabei sehr allgemein gefasst, was den Behörden viel Interpretationsspielraum erlaubt. Dazu zählt „jede Information, die direkt oder indirekt eine bestimmte oder bestimmbare natürliche Person betrifft“ und eine Identifizierung derselben erlaubt, zum Beispiel Name, Geburtsdatum, Passnummer, Wohnanschrift, Telefonnummer. Ob eine E-Mail dazu gehört, ist unklar.
Auf die Kritik am unbestimmten Rechtsbegriff verweisen die Gesetzgeber jedoch darauf, dass die Definition dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten entstammt. Doch äußern selbst EU-Datenschützer Zweifel, ob dieses Verständnis noch zeitgemäß ist.
Haben also bisher Unternehmen, die in Russland tätig sind, personenbezogene Daten russischer Bürger in ausländische Rechenzentren übermittelt, so müssen sie seit dem 1. September 2015 diese Daten auf Server innerhalb Russlands zurückholen. Die Serverstandorte sind der Telekommunikations- und Medienaufsichtsbehörde Roskomnadzor (RKN) mitzuteilen. Das ist die zentrale Regelung des neuen Gesetzes, von dem nach Angaben des RKN circa 2,6 Millionen Unternehmen mit grenzüberschreitendem Datenverkehr betroffen sein sollen, darunter ausländische wie Booking.com, Uber, Ebay, Google, Apple und Facebook, aber auch russische wie Vkontakte, Mail.ru und Yandex.
Ausnahmen gelten für Flugbuchungen, diplomatisch-konsularische Dienste wie Visavergabestellen, wissenschaftliche sowie journalistische Tätigkeiten. Eine Datenübertragung ins Ausland ist weiterhin zulässig, wenn sie zum Beispiel zum Abschluss, zur Durchführung und der Erfüllung eines Vertrags notwendig ist. Es dürfen jedoch nicht die „Originaldaten“ sein, sondern lediglich deren „gleichwertige Kopie“.
So kontrollieren die Behörden die Einhaltung des Gesetzes
Das RKN teilt mit, dass man in der Anfangsphase mit Rücksicht auf technisch-organisatorische Herausforderungen, die die betroffenen Unternehmen zu meistern haben, zurückhaltend vorgehen wolle. Bis Ende 2015 will die Aufsichtsbehörde nur 317 Unternehmen auf die Erfüllung der Gesetzesvorschriften prüfen, darunter russische Telekommunikationsunternehmen wie Skartel, Lukoil-Inform und Rostelekom und die General-Motors-Repräsentanz. Geprüft werden vor allem Verträge mit russischen Rechenzentren sowie Kundendatenbanken.
Außerplanmäßige Prüfungen sind nicht vorgesehen, außer bei Klagen Betroffener, die eine rechtswidrige Übermittlung von Daten ins Ausland befürchten. In diesem Fall schaltet sich die Generalstaatsanwaltschaft in das Verfahren ein.
Wenn festgestellt wird, dass Daten ins Ausland ohne Rechtsgrundlage übermittelt wurden, kann dies mit Bußgeldern bis zu derzeit umgerechnet 4.300 Euro geahndet werden. Im schlimmsten Fall drohen Webseitensperren – hier ist allerdings ein Gerichtsbeschluss erforderlich. Zudem wird der „Regelverletzer“ in ein Sonderregister beim RKN eingetragen.
Schwierigkeiten bei der praktischen Umsetzung
Das Gesetz ist zwar in Kraft getreten, es gibt aber weiterhin viele Unklarheiten darüber, wie die Bestimmungen genau umgesetzt werden sollen. Diese Einschätzung teilen nicht nur Unternehmen, sondern auch die zuständigen Regulierungs- und Aufsichtsorgane: Der Umfang der Erläuterungen auf den Webseiten des Ministeriums für Telekommunikation und Medien sowie der Aufsichtsbehörde RKN ist ungewöhnlich groß.
Trotzdem haben bereits viele Firmen persönliche Daten ihrer russischen Kunden nach Russland zurückgeholt oder sind gerade dabei, es zu tun. Die Serverkapazitäten werden in der Regel bei den russischen Rechenzentren angemietet. Manche Unternehmen bauen eigene Datenzentren auf, was jedoch relativ kostspielig ist.
Die meisten Unternehmen geben zu, die Datenmigration vom Ausland nach Russland sei mit erheblichem technischem und finanziellem Aufwand verbunden, obwohl die russische IT-Wirtschaft, besonders der Rechenzentrenmarkt in den letzten Jahren beachtlich aufgeholt hat. So gäbe es mittlerweile zahlreiche Anbieter von zertifizierten Server- und Netzwerkleistungen, die mit dem Gesetz im Einklang stünden.
Hinzu kommt der positive Preiseffekt infolge der Rubelabwertung, wodurch die Mietkosten für Server in Russland aktuell mit denen im Ausland vergleichbar sind – manchmal sogar niedriger. Schwachpunkt sei aber oft die Qualität: Den in den Niederlanden, Deutschland oder Schweden gebotenen umfassenden Service bekommt man in Russland bisher noch recht selten.
Zielsetzung des Gesetzes unklar
Die entscheidende Frage, ob der Ansatz des russischen Gesetzgebers – nämlich eine obligatorische nationale Speicherung personenbezogener Daten – geeignet ist, einen effektiven Datenschutz zu gewährleisten, kann zum gegenwärtigen Zeitpunkt noch nicht beurteilt werden. Die Zielsetzung des Gesetzes ist nicht nachvollziehbar, denn es leidet insgesamt darunter, dass es zahlreiche rechtliche Unklarheiten enthält und unter dem Blickwinkel des Gesetzesvollzugs nicht durchdacht ist. Trotzdem zeigen sich viele Unternehmen kooperativ und sind bereit, Daten russischer Kunden nunmehr vorschriftsmäßig auf Servern in Russland zu speichern.
Vor dem Hintergrund einiger Ungereimtheiten drängt sich also die Frage nach der wahren Motivation für das Gesetz auf. Es mag hierbei einerseits innenpolitische Gründe gegeben haben, denn das Gesetz lässt sich theoretisch jederzeit gegen bestimmte Unternehmen und Online-Services selektiv anwenden oder als Instrument der Meinungskontrolle missbrauchen. Ein auf die „black list“ – so nennt die Internetcommunity in Russland das Register von Unternehmen, die das Gesetz verletzen – verbannter Anbieter, dessen Webseiten blockiert sind, kann dann kaum noch eine breite Nutzerschaft ansprechen.
Andererseits kann es aber auch sein, dass dem russischen Staat an einer Stärkung der einheimischen IT-Wirtschaft und des E-Commerce-Marktes gelegen ist. Dieses Motiv passt gut zur aktuellen politischen Linie der russischen Führung, die auf technologische Entwicklung und digitale Souveränität des Landes abzielt.
Schließlich mag das auf den ersten Blick prohibitiv wirkende Gesetz vielleicht ein Reflex sein, ein Ausdruck des bekannten russischen Großmachtanspruchs – und im Ergebnis eine Selbsttäuschung mit keinen real zu befürchtenden Folgen.
Wie dem auch sei, das Gesetz muss seine Funktionsfähigkeit und Wirksamkeit beim Datenschutz erst noch beweisen. Unabhängig davon läutet es – wie auch das Safe-Harbour-Urteil des Europäischen Gerichtshofs von Anfang Oktober 2015 – international eine neue Phase bei der Ausgestaltung des Datenschutzes und der Datensicherheit ein.
Was sagen Sie dazu?