Europäische Werte: GDPR in Russland

Die GDPR ist die wichtigste EU-Verordnung über personenbezogene Daten in den letzten 20 Jahren. Kommerzielle und gemeinnützige Organisationen müssen sich bei der Durchführung der folgenden Aktivitäten daran halten – Verarbeitung personenbezogener Daten ganz oder teilweise mithilfe von Automatisierungstools (z. B. in einem Informationssystem, auf einer Internetseite oder einem Cloud-Dienst) und – Verarbeitung ohne Verwendung von Automatisierungstools für das „Dateisystem“; d.h. jede geordnete Anordnung persönlicher Daten (z. B. Aktenschränke aus Papier).

Gemäß der Allgemeinen Verordnung müssen für die Verarbeitung personenbezogener Daten Verantwortliche (in Russland werden Personen mit ähnlichem Status als „Betreiber“ bezeichnet) technische und organisatorische Maßnahmen zur Einhaltung der GDPR ergreifen und dies den Aufsichtsbehörden und betroffenen Personen nachweisen.

Sie müssen Datenschutzrichtlinien für verschiedene Situationen genehmigen, Bedingungen für personenbezogene Daten in Verträge mit an der Verarbeitung beteiligten Auftragnehmern („Verarbeitern“) aufnehmen, technische Sicherheit gewährleisten, Aufzeichnungen über alle Vorgänge mit personenbezogenen Daten führen und eine Vielzahl anderer Formalitäten ausführen. Die GDPR ermöglicht es den für die Verarbeitung Verantwortlichen, sich freiwillig der Einhaltung der geltenden Anforderungen zu bescheinigen und sich den von den zugelassenen Stellen der EU-Mitgliedstaaten für verschiedene Wirtschaftszweige genehmigten Geschäftsregeln anzuschließen.

Die Bedingungen für die Interaktion mit den Personen mit personenbezogenen Daten und die Regeln für deren Information wurden im Wesentlichen gemessen. Zu den persönlichen Daten gehören Cookies (eine kleine Textdatei, die beim Besuch der Website automatisch auf dem Computer des Benutzers gespeichert wird, um Informationen über die Aktionen oder Vorlieben des Benutzers aufzuzeichnen), IP-Adressen und andere Online-Kennungen. Infolgedessen werden auf internationalen Websites nervige Banner angebracht, die um Zustimmung zur Verarbeitung dieser Informationen bitten. Es wurden Einschränkungen für die „Profilerstellung“ eingeführt, d.h. automatisierte Verarbeitung von Informationen über Personen, um deren Verhalten, Vorlieben, Reiserouten usw. zu analysieren oder vorherzusagen.

Für Nichteinhaltungsanforderungen setzen Sie beispiellose Bußgelder. Eine Reihe von Verstößen (einschließlich der Nichteinhaltung einer Verordnung der Europäischen Aufsichtsbehörde) kann zu Geldbußen von bis zu 20.000.000 EUR oder 4% des weltweiten Gesamtumsatzes im Geschäftsjahr vor dem Verstoß führen. In der Regel ist es erforderlich, Verstöße zu dokumentieren und die Vorgesetzten innerhalb von 72 Stunden darüber zu informieren.

Anwendbarkeit auf russische Organisationen

Die Frage der Einhaltung der GDPR ist in mindestens drei Fällen für Unternehmer aus Russland relevant:

  • Geschäft auf dem europäischen Markt. Die GDPR wird angewendet, wenn ein russisches Unternehmen personenbezogenen Daten in der Europäischen Union Waren oder Dienstleistungen anbietet, unabhängig von der Unionsbürgerschaft und der Zahlungspflicht für diese Waren oder Dienstleistungen. Die GDPR gilt daher für Websites, auf denen Bestellungen in der Sprache eines der EU-Länder aufgegeben, Zahlungen in Euro oder anderen Währungen der Mitgliedstaaten unterstützt, Appelle an EU-Bürger enthalten oder eine Reihe anderer Kriterien erfüllt werden können.Die GDPR ist obligatorisch für Organisationen, die das Verhalten personenbezogener Daten in der Europäischen Union überwachen. Ein typisches Beispiel sind personalisierte Werbedienste, die Verbraucheraktionen über verschiedene Kanäle verfolgen, um ihre Interessen zu bestimmen.In den meisten Fällen wird ein solches Geschäft über das Internet abgewickelt. Die wichtigsten Instrumente zum Nachweis der Einhaltung der GDPR sind korrekt formulierte und veröffentlichte Richtlinien für die Verarbeitung personenbezogener Daten und Cookies sowie Einwilligungstexte personenbezogener Personen. Es ist wichtig zu berücksichtigen, dass die Veröffentlichung einer Richtlinie zur Verarbeitung personenbezogener Daten, Informationen zu den umgesetzten Datenschutzanforderungen und Einwilligungstexten auf der Website obligatorisch ist. Die Dokumente auf der russischen Version der Website sollten in russischer Sprache verfasst sein, können sich jedoch von den europäischen unterscheiden, da sich die russische Version normalerweise nicht an EU-Bürger richtet.

    Die Staatsgrenze der Russischen Föderation schützt höchstwahrscheinlich nicht vor der Haftung für die Nichteinhaltung neuer Anforderungen. Nach Angaben der GDPR müssen außereuropäische Unternehmen Vertreter ernennen, die befugt sind, Beschwerden und Ansprüche in einem der EU-Länder anzunehmen, in denen sich personenbezogene Daten von Interesse befinden (mit wenigen Ausnahmen). Wird eine Strafverfolgung möglich sein, wenn der Vertreter nicht ernannt wird und es in Europa kein Vermögen gibt? Dies hängt weitgehend von der Gesetzgebung des jeweiligen Mitgliedslandes ab, in dem der Verstoß festgestellt wird. Lohnt es sich jedoch, dies angesichts der Höhe der Geldbußen zu überprüfen?

  • Internationales Unternehmen. Die GDPR gilt für die Verarbeitung personenbezogener Daten „im Rahmen der ständige Präsenz“ eines Unternehmens in der EU (in jeder Rechtsform), auch wenn diese Verarbeitung außerhalb der EU erfolgt. Einfach ausgedrückt, sollten die russischen Niederlassungen europäischer Unternehmen (z. B. Niederlassungen, Repräsentanzen und Tochtergesellschaften) sowie inländische Unternehmen mit Niederlassungen in Europa an die GDPR-Standards denken.Um die GDPR zu implementieren, wenden solche Unternehmen normalerweise Unternehmensrichtlinien an, die für alle Abteilungen verbindlich sind. Da einige Probleme in der russischen und europäischen Gesetzgebung unterschiedlich gelöst werden, ist es ratsam, die Unternehmensrichtlinien für viele russische Büros anzupassen.
  • Erhalt personenbezogener Daten aus Europa. Diese Situation ist sowohl für Repräsentanzen und Niederlassungen ausländischer Unternehmen als auch für russische Organisationen mit Gegenparteien in Europa typisch. Abhängig von den Besonderheiten des gemeinsamen Geschäfts bieten europäische Partner häufig den Abschluss von zwei Verträgen an:- Ein Vertrag über die Verarbeitung personenbezogener Daten, nach dem die russische Seite als Verarbeiter sich bereit erklärt, die schriftlichen Anweisungen des für die Verarbeitung Verantwortlichen zu befolgen, um diese bereitzustellen
    – Informationen über den Fortschritt der Datenverarbeitung, Durchführung technischer und organisatorischer Maßnahmen zum Schutz von Daten und Übernahme anderer Aufgaben.
  • Für die Europäer wäre die Weigerung, zu unterschreiben, gleichbedeutend mit einem Abbruch der Beziehungen. In der Praxis sind zwei Entscheidungen üblich:
    1) Verhandlungen über einzelne Vertragsbedingungen; oder
    2) gleichzeitige Unterzeichnung von zwei miteinander verbundenen Paketen vertraglicher Unterlagen: gemäß den europäischen und russischen Vorschriften.

Perspektiven

Die Einhaltung der GDPR ist eine Grundvoraussetzung für die Geschäftstätigkeit in Europa und mit Europäern auf lange Sicht. Oft geht es nur um die Erfüllung individueller Anforderungen (zB die Einhaltung von Standardvertragsbedingungen). Gleichzeitig sollte man mögliche Widersprüche zum russischen Recht nicht vergessen, für deren Beseitigung oder Minimierung verschiedene Rechtstechniken angewendet werden. Angesichts der Bedeutung, die der GDPR in Europa und auf der ganzen Welt beigemessen wird, kann die Bereitschaft einer russischen Organisation, diese Regeln einzuhalten, in den Augen internationaler Unternehmen einen erheblichen Wettbewerbsvorteil darstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.