Neue Vorschriften über personenbezogene Daten ab 2021

Recht Russland

Dr. Tatiana Vukolova, Rödl & Partner

Am 30. 12.2020 wurde das Gesetz Nr. 519-FZ[1] verabschiedet, das wesentliche Änderungen in das Föderale Gesetz „Über personenbezogene Daten“ (im Folgenden „Gesetz über personenbezogene Daten“, „Gesetz 152-FZ“) einbringt[2]. Nach Vorstellungen des Gesetzgebers sollen die neuen Vorschriften, deren Hauptteil ab dem 1.3.2021 in Kraft tritt, die unkontrollierte zweckfremde Nutzung der personenbezogenen, darunter im Internet veröffentlichten Daten verhindern. Unter anderem wird aus dem Gesetz 152-FZ der Begriff „allgemein zugängliche Daten“ nahezu ausgeschlossen, anstatt dessen wird der neue Begriff „personenbezogene Daten, deren Verbreitung durch das Subjekt der personenbezogenen Daten genehmigt ist“ eingeführt. Unter solchen Daten werden Angaben verstanden, zu denen der Zugang eines unbeschränkten Personenkreises durch das Subjekt selbst bzw. auf seine Bitte gewährt wurde.

Durch die neuen Vorschriften wird auch das Verfahren der Bearbeitung der zur Verbreitung genehmigten personenbezogenen Daten geregelt: insbesondere wird für ihre Bearbeitung eine entsprechende gesonderte Genehmigung des Subjekts erforderlich. Die konkreten Anforderungen in Bezug auf den Inhalt einer solchen Genehmigung werden später durch Roskomnadzor festgestellt. Gleichzeitig bestimmt das Gesetz 519-FZ vom Dezember die Pflicht des Operators, dem Subjekt „die Möglichkeit, das Verzeichnis der personenbezogenen Daten zu jeder in der Genehmigung aufgeführten Kategorie der personenbezogenen Daten zu bestimmen“ sicherzustellen. Das heißt, dass die personenbezogenen Daten in der Genehmigung offensichtlich in Kategorien aufgeteilt werden, in denen jeweils bestimmte Punkte ausgewiesen werden (zum Beispiel Kontaktinformationen: E-Mail-Adresse, Telefon, Wohnadresse usw.). Das Subjekt kann in Bezug auf jeden Punkt entscheiden: die Verbreitung der aufgeführten Daten zu genehmigen oder nicht. Eine solche Genehmigung kann direkt beim Subjekt oder mit Verwendung des Informationssystems von Roskomnadzor erhalten, das noch auszuarbeiten ist. Dabei ist zu berücksichtigen, dass Schweigen bzw. Untätigkeit des Subjekts der personenbezogenen Daten unter keinen Umständen als Genehmigung gilt.

Außerdem ist gemäß Gesetz 519-FZ das Subjekt berechtigt, in der Genehmigung der Verarbeitung das Verbot der Übergabe der aufgeführten Daten durch den Operator an einen unbeschränkten Personenkreis, sowie das Verbot der Verarbeitung, bzw. die Bedingungen der Verarbeitung dieser personenbezogenen Daten durch den unbeschränkten Personenkreis festzustellen. Darunter wird höchstwahrscheinlich das Recht des Subjekts verstanden, die weitere Verbreitung seiner Daten zu verbieten bzw. von bestimmten Bedingungen abhängig zu machen, es geht zum Beispiel um die Vorlage von Kopien der Daten des Subjekts durch den Operator bei anderen Personen. Dabei kann „die Gewährung zu Zugang“ zu den aufgeführten Daten, das heißt die Möglichkeit der Einsichtnahme, nicht verboten bzw. von bestimmten Bedingungen abhängig gemacht werden. Die Informationen über die Bedingungen der Verarbeitung und über die festgestellten Verbote sind durch den Operator innerhalb von drei Arbeitstagen ab dem Zeitpunkt des Erhalts der entsprechenden Genehmigung zu veröffentlichen.

Die Neuerungen betreffen auch einige Mechanismen des Schutzes der personenbezogenen Daten, deren Verbreitung gestattet ist. Insbesondere werden, falls das Subjekt, das dem Operator keine Genehmigung auf Verarbeitung der aufgeführten Informationen erteilt hat, die Daten selbst Dritten gegenüber veröffentlicht hat, die Personen, die sich mit der Verarbeitung der Daten befasst haben, verpflichtet, die Rechtmäßigkeit der folgenden Verarbeitung solcher Angaben zu beweisen. Eine ähnliche Vorschrift gilt in Bezug auf die Angaben, die im Ergebnis eines Rechtsverstoßes, Verbrechens bzw. Umständen höherer Gewalt veröffentlicht wurden.

Außerdem ist das Subjekt berechtigt, jederzeit zu verlangen, die Verarbeitung seiner Daten zu beenden. Dafür hat er eine entsprechende Aufforderung an jegliche Person zu senden, die seine Daten verarbeitet, bzw. das Gericht einzuschalten. Eine solche Aufforderung muss den Namen des Subjekts, seine Telefonnummer, E-Mail oder Postadresse, sowie die Liste der Angaben enthalten, deren Verarbeitung zu beenden ist. Der Operator hat die Verarbeitung der Daten innerhalb von drei Arbeitstagen ab dem Zeitpunkt des Erhalts der aufgeführten Anfrage bzw. innerhalb der gerichtlich festgestellten Frist zu beenden.

Somit führt die neue Regelung zu einigen Änderungen im Bereich der Verarbeitung der Daten, die in der derzeitigen Fassung des Gesetzes über die personenbezogenen Daten in die Kategorie der „öffentlich zugänglichen“ fallen. Es wird davon ausgegangen, dass die einzuführenden Mechanismen die Möglichkeiten der zweckfremdeten Nutzung der personenbezogenen Daten, vor allem der im Internet zu veröffentlichenden, einschränken, und den Subjekten zusätzliche Rechte und Möglichkeiten gewähren, um ihre Daten zu schützen.

Jedoch wurden die Bestimmungen des Gesetzes 519-FZ durch einige Unternehmer kritisiert. Insbesondere brachten die Mitglieder der Big Data Association (BDA), zu der Yandex, Mail.ru Group, Sberbank, Gazprombank, russische Netzbetreiber usw. gehören, Einwände gegen die Verabschiedung des Gesetzes vor. Die Mitglieder der BDA habe aufgeführt, dass das Dokument rechtliche Unsicherheit in Bezug auf die Grenzen der zugelassenen Nutzung der Daten schaffen kann, zum Beispiel falls eine Personen ihre Genehmigung der Verarbeitung der Daten für zwei soziale Netzwerke erteilt, jedoch mit unterschiedlichen Bedingungen. Außerdem bestehen Befürchtungen, dass die neuen Anforderungen zu zusätzlichen Aufwendungen der Instanzen für die Interface-Nacharbeitung führen, sowie die Tätigkeit von Unternehmen erschweren, die künstliche Intelligenz und Big Data verwenden[3]. Zweifel wecken auch die Perspektiven der Einhaltung der neuen Vorschriften durch ausländische soziale Netzwerke, die die Auflagen von Roskomnadzor in Bezug auf Lokalisierung der personenbezogenen Daten der russischen Staatsangehörigen usw. früher unwillig erfüllt haben (zum Beispiel Facebook oder Twitter). Außerdem werden durch das Gesetz keine bestimmten Sanktionen für einen Verstoß gegen die neuen Anforderungen festgestellt. In diesem Zusammenhang stellt sich die Frage nach der Haftung der Operatoren.

Empfehlungen für Operatoren der personenbezogenen Daten

Operatoren sollten die Bestätigung der Anforderungen in Bezug auf den Inhalt der Genehmigung der Verarbeitung der zur Veröffentlichung zugelassenen Daten, die Veröffentlichung der Angaben über das neue Informationssystem des Dienstes sowie folgende Erläuterungen in Bezug auf die Verwendung der neuen Vorschriften abwarten.

Bis dahin müssen sie sich auf die Erfüllung der neuen Gesetzesanforderungen vorbereiten. Insbesondere sind Maßnahmen zur Einführung der neuen Formblätter der Genehmigungen der Datenverarbeitung zu treffen, erforderliche Änderungen in die internen Vorschriften der Unternehmen einzubringen und die Arbeitnehmer mit den neuen Vorschriften bekannt zu machen.

[1] Föderales Gesetz Nr. 519 -FZ „Über Einbringung von Änderungen in das Föderale Gesetz „Über personenbezogene Daten“ vom 30. Dezember 2020

[2] Föderales Gesetz Nr. 152-FZ „Über personenbezogene Daten“ vom 27. Juli 2006

[3] https://www.kommersant.ru/doc/4596208

Fotoquelle: www.neg.by

Zurück