Firmen dürfen Daten russischer Bürger ab 1. September nur noch in Russland speichern
Internationale Unternehmen sollen bereits ab 1. September 2015 dazu verpflichtet werden, personenbezogene Daten von russischen Staatsbürgern ausschließlich in Russland zu speichern und zu verarbeiten. Das sieht eine Erweiterung des sogenannten Föderalen Gesetzes Nr. 242 für alle in Russland tätigen Firmen vor. Wie Russia beyond the Headlines (RBTH) berichtet, war bislang erwartet worden, dass dieses Gesetz erst im September 2016 in Kraft tritt. Die Unternehmensberatung EY und das Medienunternehmen East-West Digital News haben Ende März einen Bericht vorgelegt, der die Aufgaben schildert, mit denen ausländische Unternehmen nun doch früher rechnen müssen und aufzeigt, wie sie damit umgehen können.
Das Gesetz betrifft RBTH zufolge sämtliche Unternehmen, die personenbezogene Informationen russischer Bürger in ausländischen Rechenzentren speichern oder internationale Cloud-Dienste dafür einsetzen. Dabei sollen betroffene Firmen “in den meisten Fällen weiterhin mit russischen Nutzern und Verbrauchern zusammenarbeiten können, wenn sie eine Reihe organisatorischer, technischer und juristischer Schritte unternehmen”, wie es in dem Bericht heißt.
David Hamner, Leiter von DataSpace, einem Zentrum für Datenverarbeitung, geht in dem Bericht davon aus, dass einige Firmen die für September veranschlagte Deadline nicht einhalten können, sagt aber auch: “Allerdings scheint es möglich, dass die Deadline verlängert oder eine geringfügige, für das Unternehmen tragbare Strafe verhängt werden könnte, wenn nachweisbar Schritte unternommen werden, um der Gesetzgebung zu entsprechen.”
Zum Zeitdruck geselle sich schließlich noch die Befürchtung der internationalen Unternehmen hinzu, dass ihre Server beschlagnahmt werden könnten, falls staatliche russische Stellen Zugriff auf die persönlichen Daten erlangen wollen. Hamner hält solche Befürchtungen zwar für berechtigt, zugleich aber auch für übertrieben: “Ganz gleich ob du in Phoenix, Arizona, London oder Moskau bist, wenn Sicherheitsbehörden mit einem Durchsuchungsbefehl zu dir kommen, kriegen sie das, weswegen sie kommen.”
Während viele russische Firmen mit Sitz im Ausland laut Bericht bislang noch keine präzise Vorstellung davon hatten, welche Schritte unternommen werden müssen, um die Gesetzesvorgaben zu erfüllen, hätten einige internationale Unternehmen noch nicht einmal von dem neuen Gesetz gewusst. Dabei besage die neue Regelung hinsichtlich der Verantwortung der Unternehmen jedoch klar, dass die personenbezogenen Daten russischer Bürger ausschließlich auf russischem Staatsgebiet gespeichert werden dürfen.
Der Zugang zu Online-Ressourcen, die einer solchen Anforderung nicht genügten, würden durch Roskomnadsor eingeschränkt oder blockiert. Hierfür muss die staatliche Aufsichtsbehörde lokale Internet-Provider auffordern, den Zugriff auf den betroffenen Dienst abzuschalten. Dazu ist ein Gerichtsbeschluss erforderlich.
Die neuen Anforderungen werden aber nicht nur an die Speicherung von Informationen, sondern auch an die Erhebung von personenbezogenen Daten gestellt. „Jedwedes Arbeiten mit persönlichen Daten muss in Echtzeit und durch Informationszentren erfolgen, die sich in Russland befinden”, heißt es in dem Bericht. Trotzdem seien die durchzuführenden Mechanismen zur Erfüllung der Anforderungen bisher noch undurchsichtig. „Sie müssen in Zusatzverordnungen detailliert erläutert werden, die 2015 erlassen werden sollten, also noch bevor die neuen Regelungen in Kraft treten”, führt der Bericht weiter aus.
Auch für den russischen Bürger selbst entstehen laut Bericht einige Nachteile: So sei es zum einen wahrscheinlich, dass Russland noch einige Jahre benötigen werde, um den Nutzern einen Sicherheitsstandard offerieren zu können, wie er in den EU-Ländern bereits üblich ist. Zum anderen kämpften russische Gerichte sicherlich nicht mit einer “Klageflut von Datenbesitzern gegen Personen, die kein Recht hatten, Informationen zu verwenden”. Die wichtigsten Gründe dafür sind nach Auffassung der Autoren die mangelnde juristische Kenntnis der Bevölkerung, aber auch Vorurteile der Richter gegenüber den Klägern.
Allerdings könnten die geplanten Neuerungen in der Gesetzgebung auch die Marktentwicklung im Bereich der Datenspeicherung anregen. Dem Bericht zufolge werden die Veränderungen dazu führen, dass “sowohl freie Anbieter von Datenspeichern als auch unternehmensinterne Ressourcen eine grundlegende ökonomische und technologische Transformation durchlaufen.”
Wie Julia Schelygina, Marketing- und PR-Direktorin von PayU – einem internationalen Betreiber von Online-Zahlungen für Online-Shops – in dem Bericht erklärt, erfüllt gegenwärtig kein einziges Rechenzentrum in Russland die Kriterien des Zahlungsdienstleisters. Allerdings hofft Schelygina, dass “die neue Gesetzgebung die Entwicklung russischer Rechenzentren stimuliert und es ihnen ermöglicht, sich internationalen Standards anzunähern.” Noch bis vor Kurzem seien die personenbezogenen Daten russischer Kunden ihres Unternehmens in Polen – im Firmensitz für Osteuropa – abgelegt worden.
Auch die US-Unternehmen Ebay und PayPal sind laut Berichten der Online-Zeitung RBC Daily unter Berufung auf einen Pressesprecher von Roskomnadsor damit einverstanden, die persönlichen Daten ihrer russischen Kunden auf russischen Servern zu speichern.
Ebenso erklärte sich offenbar Google bereit, die Daten seiner Nutzer aus Russland in Russsland zu speichern. RBC Daily meldet, dass der Transfer der Google-Daten nach Russland Ende März auf der Sitzung des russischen Ministeriums für Kommunikation und Massenmedien besprochen worden sei. Swetlana Anurowa, Vertreterin von Google in Russland, wollte das jedoch nicht kommentieren.