Im November 2016 hat die russische Aufsichtsbehörde über Kommunikation, Informationstechnologie und Massenmedien die Website von LinkedIn gesperrt.
Die russische Aufsichtsbehörde über Kommunikation, Informationstechnologie und Massenmedien RosKomNadzor begründet die Sperre von LinkedIn mit der Verletzung von Anforderungen an die Speicherung persönlicher Daten russischer Bürger. LinkedIn ist in Russland weit verbreitet. Ca. 5 Millionen russische Profile soll die Website verwalten. Diese sind jetzt zunächst nicht mehr greifbar.
LinkedIn soll russische Datenschutzbestimmungen verletzen
RosKomNadzor hat offenbar im April 2016 Kontakt zu LinkedIn aufgenommen und Auskunft über die Speicherung von persönlichen Daten russischer Bürger angefordert. Die Anfragen wurden nicht zur Zufriedenheit der Behörde beantwortet, die daraufhin vor Gericht zog. In zwei Instanzen ließ sie feststellen, dass LinkedIn Anforderungen zur lokalen Speicherung persönlicher Daten russischer Bürger nicht einhält und deswegen in eine Liste von Unternehmen, die russische Datenschutzbestimmungen verletzen, eingetragen werden kann. Diese Eintragung wiederum ist Grundlage für die jetzt erfolgte Sperrung der Website.
RosKomNadzor handelt bei dieser Sperrung keineswegs willkürlich, sondern bewegt sich im Rahmen des geltenden russischen Rechts (hier können Sie das FG-152 auf Russisch finden). Seit dem 1. September 2015 gelten in Russland Regelungen zur lokalen Speicherung persönlicher Daten russischer Bürger: diese Daten dürfen seitdem nur auf russischen Servern gespeichert werden. Insbesondere grenzüberschreitend tätige Unternehmen haben daraufhin erhebliche Anstrengungen unternommen, den gesetzlichen Anforderungen Genüge zu tun und Datenbanken auf russische Server verlagert.
Staatliche Kontrolle zur Einhaltung von Datenschutzbestimmungen
RosKomNadzor hat erst kürzlich über die Maßnahmen der Behörde zur Umsetzung der Datenlokalisierung berichtet: über 1000 Unternehmen seien kontrolliert worden. Über 63000 Unternehmen haben an die Behörde den Ort, an dem die von ihnen gespeicherten Daten gesammelt werden, gemeldet. 23 Rechtsverletzungen seien festgestellt worden, wobei diese nur zum geringen Teil die Lokalisierungsanforderung betrafen.
In der Regel gibt RosKomNadzor dem Verletzer auf, die festgestellten Rechtsverletzungen zu beseitigen. Allerdings sind mittlerweile auch 161 Websites in die Liste der Datenschutzbestimmungen verletzender Unternehmen eingetragen worden. Die jetzt erfolgte Sperrung der LinkedIn-Seite ist damit nur der meistbeachtete Fall in der laufenden Arbeit der Aufsichtsbehörde, die ganz offenbar deutlich machen will, dass die Lokalisierungsanforderungen ernst zu nehmen sind.
Datenverarbeitung muss ausschließlich in Russland erfolgen
Für Unternehmen, die mit persönlichen Daten russischer Bürger operieren, hat dieser Fall weitreichende Folgen:
- Jedes Unternehmen, dass persönliche Daten russischer Bürger speichert, muss sich fragen, ob es sich im Anwendungsbereich der russischen Datenschutznormen befindet. Dafür ist nicht erforderlich, dass dieses Unternehmen eine Präsenz in Russland unterhält. LinkedIn hat keine solche Präsenz! Es reicht aus, dass persönliche Daten russischer Bürger systematisch gesammelt, gespeichert oder verarbeitet werden;
- Nicht erfasst ist die Speicherung zufällig erlangter Daten, die nicht systematisch erfolgt. Nicht erfasst ist auch die Sammlung bloßer beruflicher Kontaktdaten (wie z.B. die Kontakte russischer Geschäftspartner usw.);
- Besonders im Fokus der russischen Aufsichtsorgane stehen nach Auskunft von RosKomNadzor Versicherungen, Personaldienstleister, E-commerce-Anbieter, Buchungsportale und Finanzorganisationen. Darüber hinaus sind, wie der Fall LinkedIn zeigt, auch soziale Netzwerke betroffen;
- Wenn RosKomNadzor eine Anfrage stellt, sollte diese nicht unbeachtet bleiben. Es empfiehlt sich im Gegenteil, die Anfrage konstruktiv zu bearbeiten;
- In einem gerichtlichen Konflikt hat RosKomNadzor aufgrund der weiten gesetzlichen Formulierung große Chancen, einen Streit zu gewinnen. Zwar liegen die Entscheidungsgründe im Fall LinkedIn noch nicht vor; jedoch ist bereits jetzt nachvollziehbar, dass allein die (unbestreitbare) Tatsache, dass Datenbanken außerhalb Russlands existierten, alle weiteren inhaltlichen Argumente von LinkedIn obsolet machten.
An der Motivation für die russischen Regeln zum Schutz persönlicher Daten mag man zweifeln, durchaus auch an ihrer Sinnhaftigkeit. Dennoch führt für potentiell betroffene Unternehmen kein Weg daran vorbei, sich mit diesen Regeln auseinanderzusetzen und zur Vermeidung einschneidender Maßnahmen auf diese zu reagieren.