Neue Regeln für die grenzüberschreitende Datenübermittlung in Russland

Dr. Tatiana Vukolova, Rödl & Partner, Russland

Am 14. Juli 2022 wurden mit föderalem Gesetz Nr. 266 massive Änderungen des föderalen Gesetzes über Personenbezogene Daten vom 27. Juli 2006 Nr. 152-FZ (im Folgenden Gesetz Nr. 152-FZ) vorgenommen. Die Änderungen betreffen insbesondere das Verfahren für die grenzüberschreitende Übermittlung personenbezogener Daten. Die diesbezüglichen Neuerungen werden am 1. März 2023 in Kraft treten.

So wird ab diesem Zeitpunkt das Meldeverfahren für die grenzüberschreitende Übermittlung personenbezogener Daten durch den Betreiber obligatorisch sein. Dieses ist ein zusätzliches Verfahren und verpflichtet den für die Verarbeitung personenbezogener Daten Verantwortlichen, die Meldung über die Aufnahme der Verarbeitung personenbezogener Daten gemäß Artikel 22 des föderalen Gesetzes Nr. 152-FZ einzureichen. Die Benachrichtigung muss unter anderem die Angaben zur Vornahme oder Nichtvornahme der grenzüberschreitenden Übertragung von personenbezogenen Daten während ihrer Verarbeitung enthalten.

Des Weiteren hat der Betreiber von den ausländischen Behörden sowie ausländischen natürlichen oder juristischen Personen, an die die grenzüberschreitende Übertragung personenbezogener Daten geplant ist, folgende Informationen einzuholen:

1. Informationen über die Maßnahmen der ausländischen staatlichen Behörden, der ausländischen natürlichen oder juristischen Personen, an die die grenzüberschreitende Übermittlung von personenbezogenen Daten geplant ist, welche dem Schutz der übermittelten personenbezogenen Daten dienen und über die Bedingungen für die Beendigung ihrer Verarbeitung;
2. Informationen über die gesetzliche Regelung im Bereich der personenbezogenen Daten des ausländischen Staates, unter dessen Rechtsprechung sich die ausländischen staatlichen Behörden sowie ausländischen natürlichen oder juristischen Personen befinden, an die die grenzüberschreitende Übermittlung der personenbezogenen Daten geplant ist; (wenn die grenzüberschreitende Übermittlung personenbezogener Daten an ausländische Behörden, ausländische natürliche Personen oder ausländische juristische Personen erfolgen soll, die der Rechtsprechung eines ausländischen Staates unterliegen, der nicht Vertragspartei des Übereinkommens des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten ist und nicht auf der Liste der ausländischen Staaten steht, die einen angemessenen Schutz der Rechte der betroffenen Personen gewährleisten)
3. die Angaben zu den ausländischen staatlichen Behörden, ausländischen natürlichen oder juristischen Personen, an die die grenzüberschreitende Übermittlung personenbezogener Daten geplant ist (Vor- oder Nachname, Name und Vatersname sowie Kontakttelefonnummern, Postanschriften und E-Mail-Adressen).

Der Föderale Dienst für die Aufsicht im Bereich der Kommunikation, Informationstechnologie und Massenkommunikation (nachfolgend: Roskomnadzor) kann zusätzlich die oben genannten Informationen und Daten vom Betreiber anfordern, um eine Entscheidung über das Verbot oder die Einschränkung der grenzüberschreitenden Übermittlung personenbezogener Daten zu treffen. Die Frist für die Bereitstellung dieser Informationen und Daten beträgt 10 Arbeitstage, die bei Vorliegen eines wichtigen Grundes seitens des Betreibers um maximal 5 Arbeitstage verlängert werden kann.

Die Wahl des Datenübermittlungsverfahrens hängt davon ab, ob der Staat, in den die personenbezogenen Daten übermittelt werden sollen, einen angemessenen Datenschutz bietet oder nicht. Es sei daran erinnert, dass die Liste der ausländischen Staaten, die einen angemessenen Schutz der Rechte der betroffenen Personen gewährleisten, Staaten umfasst, die Vertragsparteien des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Europäische Datenschutzkonvention) sind. Demgegenüber werden auch ausländische Staaten, die nicht Vertragsparteien sind einbezogen, sofern die Bestimmungen des im jeweiligen Staat geltenden Übereinkommens und die geltenden Rechtsvorschriften eingehalten werden.

Werden personenbezogene Daten in einen Staat übermittelt, der einen angemessenen Schutz personenbezogener Daten bietet, so ist das Meldeverfahren anzuwenden. Sobald die Meldung erfolgt ist, ist der für die Verarbeitung Verantwortliche berechtigt, mit der grenzüberschreitenden Übermittlung personenbezogener Daten zu beginnen (Artikel 12 Absatz 10 des geänderten Gesetzes). Es sei darauf hingewiesen, dass Roskomnadzor die Übermittlung von Daten auf der Grundlage der Ergebnisse der Meldeprüfung einschränken oder verbieten kann.

Wenn personenbezogene Daten in Länder übermittelt werden, die keinen angemessenen Schutz der Rechte der betroffenen Personen bieten, wird ein Genehmigungsverfahren angewandt. Es besteht ein Verbot der Übermittlung personenbezogener Daten, bis die Frist für die Überprüfung der Mitteilung abgelaufen ist.

Die Frist für die Prüfung einer Mitteilung über die Absicht der Datenübermittlung beträgt 10 Arbeitstage. Auf der Grundlage der Ergebnisse der Meldungsüberprüfung wird eine Entscheidung getroffen. Diese kann lauten "die grenzüberschreitende Übermittlung personenbezogener Daten zum Schutz der verfassungsmäßigen Ordnung, der Sittlichkeit, der Gesundheit, der Rechte und der berechtigten Interessen der Bürger zu untersagen, einzuschränken". Wenn eine solche Entscheidung getroffen wird, muss der Betreiber sicherstellen, dass die zuvor von der ausländischen Behörde, der ausländischen natürlichen oder juristischen Person übermittelten personenbezogenen Daten vernichtet werden.

Es sei darauf hingewiesen, dass die Betreiber, die zum Zeitpunkt des Inkrafttretens des Gesetzes bereits mit der grenzüberschreitenden Übermittlung personenbezogener Daten befasst sind, verpflichtet sind, dem Roskomnadzor spätestens bis zum 1. März 2023 eine Meldung über die grenzüberschreitende Übermittlung personenbezogener Daten vorzulegen.

Derzeit wirft die Anwendung der neuen Rechtsvorschriften viele Fragen auf, da die zuständigen Behörden keine detaillierten Erläuterungen zu den Neuerungen gegeben haben. Insbesondere bleiben die folgenden Fragen offen:

• Wie wird die Entscheidung über die Genehmigung der grenzüberschreitenden Übermittlung personenbezogener Daten formalisiert? oder wird das Ausbleiben einer Antwort über ein Verbot oder einer Einschränkung bereits als Genehmigung der grenzüberschreitenden Übermittlung personenbezogener Daten betrachtet?
• In welcher Form muss der für die Verarbeitung Verantwortliche Informationen über die Maßnahmen bereitstellen, die von ausländischen Behörden sowie ausländischen natürlichen oder juristischen Personen, an die die grenzüberschreitende Übermittlung personenbezogener Daten geplant sind, zum Schutz der übermittelten personenbezogenen Daten und zur Beendigung ihrer Verarbeitung ergriffen werden?
• Wie verträgt sich die Bereitstellung von Informationen über Kontaktdaten, Telefonnummern und Adressen natürlicher Personen, an die die grenzüberschreitende Übermittlung personenbezogener Daten geplant ist, mit den Rechtsvorschriften des Landes, in das die Übermittlung personenbezogener Daten geplant ist, und gibt es in diesem Fall einen Konflikt?
• Wie oft sollten Informationen über die grenzüberschreitende Übermittlung personenbezogener Daten übermittelt werden? Handelt es sich um eine Zusammenfassung von Daten, die einen gemeinsamen Zweck haben (ein Projekt oder Mitarbeiterinformationen, die an die Muttergesellschaft übermittelt werden), oder handelt es sich weiterhin um jede einzelne grenzüberschreitende Datenübermittlung?

Die Notwendigkeit solcher Meldungen und die Möglichkeit, ein Verbot oder eine Beschränkung der grenzüberschreitenden Datenübermittlung zu erwirken, wird sicherlich zusätzliche administrative Hindernisse für die Unternehmen schaffen. Die Höhe dieser Kosten hängt unmittelbar von der Qualität der Satzungen, der Automatisierung der Meldeverfahren und der Transparenz der Verfahren im Allgemeinen ab.

Fotoquelle: www.tajinfo.ru