Datenspeicherung in Russland: Neues Gesetz schreckt Unternehmen

Neues russisches Gesetz untersagt Datenspeicherung im Ausland. Foto: Shutterstock/Legion-Media

Neues russisches Gesetz untersagt Datenspeicherung im Ausland. Foto: Shutterstock/Legion-Media

Ab September gilt in Russland ein neues Gesetz, das die Speicherung und Verarbeitung von personenbezogenen Daten ausschließlich auf russischem Staatsgebiet vorschreibt. Die Unternehmensberatung EY, das Medienunternehmen East-West Digital News und eine Reihe weiterer Marktexperten geben in einem Bericht Handlungsempfehlungen für ausländische Firmen.

Personenbezogene Daten von russischen Staatsbürgern sind ab September 2015 ausschließlich in Russland zu speichern. Dazu verpflichtet eine Erweiterung des Föderalen Gesetzes Nr. 242 (russisch: N 242-ФЗ) alle in Russland tätigen Unternehmen. Die Unternehmensberatung EY und das Medienunternehmen East-West Digital News haben Ende März einen Bericht zu den Herausforderungen veröffentlicht, mit denen ausländische Unternehmen nun rechnen müssen.

Das Gesetz betrifft alle Firmen, die personenbezogene Daten von Russen im Ausland speichern oder Cloud-Lösungen dafür verwenden. Dabei werden „in den meisten Fällen die Unternehmen weiterhin mit russischen Nutzern und Verbrauchern zusammenarbeiten können, wenn sie eine Reihe organisatorischer, technischer und juristischer Schritte unternehmen", heißt es in dem Bericht.

David Hamner, Leiter des Zentrums für Datenverarbeitung DataSpace, meint, einige Firmen würden die Deadline im September nicht schaffen. „Allerdings scheint es möglich, dass die Deadline verlängert oder eine geringfügige, für das Unternehmen tragbare Strafe verhängt werden könnte, wenn nachweisbar Schritte unternommen werden, um der Gesetzgebung zu entsprechen", fügt Hamner hinzu.

 

Klare Verantwortung, unklare Anforderungen

Internationale Unternehmen sind in Sorge, dass Server konfisziert werden könnten, wenn russische staatliche Stellen Zugang zu den persönlichen Daten erlangen wollen. Hamners Ansicht nach sind die Sorgen berechtigt, aber übertrieben: „Ganz gleich ob du in Phoenix, Arizona, London oder Moskau bist, wenn Sicherheitsbehörden mit einem Durchsuchungsbefehl zu dir kommen, kriegen sie das, weswegen sie kommen", betont Hamner.

Bis vor Kurzem hatten viele ausländische Firmen keine klare Vorstellung davon, was unternommen werden muss, um die neuen Gesetzesvorgaben zu erfüllen. Guy Willner, Geschäftsführer des Zentrums für Datenspeicherung IXcellerate, erklärt in dem Bericht, dass einige internationale Player von dem Gesetz nicht einmal wussten. Dabei ist die neue Regelung zur Verantwortung des Unternehmens einfach und klar: Die personenbezogenen Daten russischer Bürger dürfen ausschließlich auf russischem Staatsgebiet gespeichert werden. Der Zugang zu Online-Ressourcen, die dieser Anforderung nicht genügen, wird durch die staatliche Aufsichtsbehörde Roskomnadzor eingeschränkt oder blockiert.

Die neuen Anforderungen werden nicht nur an die Speicherung, sondern auch an die Erhebung von personenbezogenen Daten gestellt. „Jedwedes Arbeiten mit persönlichen Daten muss in Echtzeit und durch Informationszentren erfolgen, die sich in Russland befinden", heißt es in dem Bericht. Dennoch sind die Mechanismen zur Erfüllung neuer Anforderungen bislang intransparent. „Sie müssen in Zusatzverordnungen detailliert erläutert werden, die 2015 erlassen werden sollten, also noch bevor die neuen Regelungen in Kraft treten", so der Bericht.

 

Von Datenspeicherung bis zu Datenkontrolle

Aktuell führt Roskomnadzor Beratungen mit Wirtschaftsvertretern durch, um die Schwierigkeiten der neuen Gesetzgebung zu diskutieren, so etwa die Besonderheiten der Datenspeicherung wie auch der Mittel und Wege der

Überwachung. Wahrscheinlich ist allerdings, dass Russland noch einige Jahre brauchen wird, um Nutzern einen Sicherheitsstandard zu bieten, wie er in den EU-Ländern üblich ist.

Wie es im Bericht heißt, kämpfen russische Gerichte sicherlich nicht mit einer Klageflut „von Datenbesitzern (Data Owner) gegen Personen, die kein Recht hatten, Informationen zu verwenden". Die seltenen Ansprüche, die erhoben werden, werden meist nicht vor Gericht geklärt. Die wichtigsten Gründe dafür sind nach Auffassung der Autoren des Berichts die mangelnde juristische Kenntnis der Bevölkerung sowie Vorurteile der Richter gegenüber den Klägern.

Die Neuerungen in der Gesetzgebung könnten die Marktentwicklung im Bereich der Datenspeicherung anregen. Laut dem Bericht werden die Veränderungen dazu führen, dass „sowohl freie Anbieter von Datenspeichern als auch unternehmensinterne Ressourcen eine grundlegende ökonomische und technologische Transformation durchlaufen werden".

Wie Julia Schelygina, Marketing- und PR-Direktorin von PayU, einem Betreiber von Online-Zahlungen für Internetshops, erläutert, wurden die Kriterien des neuen Speicherzentrums im Vorfeld ausgearbeitet. Dazu zählen beispielsweise die Anwesenheit mindestens eines englischsprachigen Mitarbeiters und die Bereitschaft, auf Unternehmensanfragen innerhalb von

vier Stunden zu reagieren. Doch gegenwärtig erfüllt kein einziges Zentrum in Russland die Kriterien von PayU. Allerdings hofft Shhelygina, dass „die neue Gesetzgebung die Entwicklung russischer Speicherzentren stimuliert und es ihnen ermöglicht, sich internationalen Standards anzunähern". Noch bis vor Kurzem wurden die personenbezogenen Daten russischer Kunden in Polen, im Firmensitz für Osteuropa, gespeichert.

Nach Angaben von Julia Shhelygina, ist die Verlegung ein komplexer Prozess, an dem mehrere Teams von Entwicklern und Systemadministratoren beteiligt sind. „Die Situation wird dadurch erschwert, dass die Lieferung der Ausrüstung mehr als drei Monate beanspruchen kann. Daher haben wir unverzüglich mit der Verlegung begonnen, um alle Voraussetzungen zu erfüllen, wenn das Gesetz in Kraft tritt."

 

Mehr zum Thema: Internet-Aus: Russland berät über digitale Abschottung

Alle Rechte vorbehalten. Rossijskaja Gaseta, Moskau, Russland