Zum Verbot der grenzüberschreitenden Datenverarbeitung in Russland

Die Frage der Reichweite des russischen Gebotes, personenbezogene Daten russischer Staatsbürger nur auf in Russland befindlichen Servern zu verarbeiten (Art. 18 Abs. 5 RusDSchG), ist in der russischen Rechtsprechung und Verwaltung noch immer nicht einheitlich geklärt. Aufgrund praktischer und rechtlicher Zwänge, zeichnet sich aber ein liberaler Ansatz ab, der dogmatisch wie folgt begründet wird:

  • Im Lichte der Bindungswirkung des Art.12 des völkerrechtlichen Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten („Übereinkommen“) für Russland ist das nationale russische Gebot, personenbezogene Daten russischer Staatsbürger nur über russische Server zu verarbeiten, eng auszulegen.

  • Das russische Digital- und Medienministerium hält die grenzüberschreitende Weitergabe der personenbezogenen Daten von Arbeitnehmern innerhalb des Konzerns mit Verweis auf Art. 12 Abs. 5 RusDSchG für zulässig, wenn:
  1. beide Serverstandorte in Mitgliedstaaten des o.g. Übereinkommens liegen und
  2. das Schutzniveau der Datenverarbeitung dem Datenschutzanforderungen des russischen Rechts entspricht.
  • Weiter ist das Digitalministerium der Auffassung, dass bei Vorliegen einer schriftlichen Einwilligung des Arbeitnehmers, die Datenverarbeitung auf ausländische Server oder Administratoren ausgelagert werden kann.

Derzeit gibt es gewichtige Gegenmeinungen, so dass im Jahr 2021 (noch) noch keine herrschende Meinung auszumachen ist. Die Rechtsprechung zeigt sich insbesondere dann, wenn Datenverarbeitung nicht Selbstzweck oder zum Geschäftsmodell wird und sich der angeschlossene Server in einem Mitgliedsstaat des Übereinkommens befindet bzw. dort das in Russland geltenden Datenschutzniveau gilt, recht liberal. Bereits im Jahr 2016 bestätigte das 9. Berufungsgericht Moskau (N 09АП-30590/2016), dass für die grenzüberschreitende Weitergabe und Verarbeitung von personenbezogenen Daten von Arbeitnehmern nur die schriftliche Einwilligung der Arbeitnehmer erforderlich sei. Im entschiedenen Fall wurden die Daten in die Niederlande über den Dienst Yammer und Office 365 weitergegeben. Ein bekanntes Gegenspiel, ist der Dienst Linkedin, welcher in Russland amtlich blockiert wurde.