10.07.2017

Russland:  Gesetz zur Stärkung der Haftung bei Verletzung personenbezogener Vorschriften trat in Kraft

Am 01.07.2017 traten gleich mehrere Änderungen im Gesetz über Ordnungswidrigkeiten in der Russischen Föderation in Kraft, die die Liste der Verstöße in Bezug auf die Verarbeitung personenbezogener Daten erheblich erweitern und unter Bußgelder stellt.

Die Änderung betrifft Art. 13.11 der Ordnungswidrigkeitengesetzes, der zuvor eine Haftung für nur einen wesentlichen Verstoß im Zusammenhang mit der Datenverarbeitung begründet hat, nämlich eine Verletzung des gesetzlich vorgeschriebenen Verfahrens zur Erhebung, Speicherung, Nutzung und Verbreitung persönlicher Daten. Die Rechtsfolgen für einen solchen Verstoß reichten von offiziellen Verwarnungen bis hin zu Bußgeldern von 10.000 Rubel für Unternehmen.

Der geänderte Art. 13.11 diversifiziert und weitet den Haftungstatbestand aus. Er führt sieben allgemeine Gruppen von Verstößen im Zusammenhang mit persönlichen Daten ein, die ihrerseits wieder untergliedert sind.

Fünf dieser sieben Fallgruppen des Art. 13.11 erfordern einen besonderen Täter, den Verarbeiter persönlicher Daten. Entsprechend dem Gesetz Nummer 152-FZ vom 27.07.2006 über personenbezogene Daten ist der Verarbeiter jegliche staatliche Körperschaft, kommunale Körperschaft, Unternehmen oder natürliche Person, die entweder selbst oder gemeinsam mit einer anderen Person in organisierter Form direkt eine Verarbeitung personenbezogener Daten durchführt, sowie diejenigen, die den Zweck der Datenverarbeitung bestimmen, die die zu verarbeitenden personenbezogenen Daten festlegen sowie den Verarbeitungsweg.

Besonders hervorzuheben ist dabei die Haftung des Verarbeiters personenbezogener Daten für eine Nichtzugänglichmachung seiner Datenschutzrichtlinie gegenüber Dritten, wie dies vom Gesetz nun ausdrücklich vorgeschrieben ist. Die Verpflichtung zur Ausarbeitung und Veröffentlichung einer Datenschutzrichtlinie ist in Art. 18.1 des Gesetzes über personenbezogene Daten festgelegt.

Eine Haftung besteht auch bei Datenverarbeitung ohne schriftliche Genehmigung der betroffenen Person, soweit eine Genehmigungspflicht in Schriftform besteht, sowie für eine Nichtbeachtung von Anfragen von Personen in Bezug auf die Verarbeitung und Verarbeitungsprozesse ihrer personenbezogenen Daten. Der Titel bestimmt außerdem eine Haftung für einen generellen Verstoß, soweit die Datenverarbeitung nicht in gesetzlich vorgeschriebener Weise durchgeführt wird.

Der geänderte Art. 13.11 führt zudem eine erhebliche Erhöhung des Bußgeldrahmens für Verletzung gegen Vorschriften über die Verarbeitung personenbezogener Daten ein. Der Höchstbetrag wird nun auf 75.000 Rubel für bestimmte Verstöße festgelegt.

Wir weisen zudem darauf hin, dass die Umsetzung des Änderungsgesetzes direkt mit der staatlichen Politik zur Erweiterung und Intensivierung von Regulierungsarbeiten im Bereich des Schutzes personenbezogener Daten und generell der Informationstechnologie. Das stark diskutierte Gesetz Nummer 242-FZ vom 31.12.2014 hatte zuvor für Verarbeiter personenbezogener Daten die Verpflichtung eingeführt, die personenbezogenen Daten russischer Bürger in der Russischen Föderation zu speichern. Das Gesetz ist seit dem 01.09.2015 in Kraft.

Die Bedeutung dieser Änderung wird dadurch weiter erhöht, dass fast jedes Unternehmen in gewissem Maße von dem Gesetz zum Schutz personenbezogener Daten betroffen ist, ungeachtet der Geschäftstätigkeit und der Größe des Unternehmens.

Auf der anderen Seite sollten Unternehmen, die über interne Regularien in Bezug auf die Verarbeitung personenbezogener Daten verfügen, ihre internen Regularien sorgfältig prüfen, um sicherzustellen, dass diese im Einklang mit den neuen Regularien stehen und um Risiken zu minimieren, die durch Prüfungen durch die Roskomnadzor bestehen könnten.

Ansprechpartner: Gastbeitrag der russischen Anwälte Vatslav Makarskiy und Andrey Ryabinin, Anwaltskanzlei Integrites in Moskau, Russland