Am 30. Mai 2025 treten bedeutende Änderungen im russischen Gesetz über personenbezogene Daten (Föderales Gesetz Nr. 152-FZ) in Kraft. Die durch das Föderale Gesetz Nr. 420-FZ vom 30. November 2024 eingeführten Neuerungen verschärfen die behördliche Aufsicht erheblich und erhöhen die Bußgelder bei Verstößen drastisch. In besonders schweren Fällen – insbesondere bei Datenpannen – können Bußgelder bis zu 500 Mio. Rubel (ca. 5 Mio. EUR) betragen.

Unternehmen haben noch Zeit, sich vorzubereiten. Folgende Maßnahmen sollten bis Ende Mai umgesetzt werden.

 

  1. Meldung bei Roskomnadzor einreichen oder aktualisieren

Auch wenn Ihr Unternehmen bereits seit Jahren personenbezogene Daten verarbeitet, müssen Sie die Verarbeitung bei Roskomnadzor (russische Datenschutzaufsicht) melden. Diese Pflicht gilt für alle Unternehmen – auch wenn nur Mitarbeiterdaten verarbeitet werden.

Es gibt drei Arten von Meldungen:

  • Beginn der Verarbeitung personenbezogener Daten
  • Änderungen an einer bestehenden Meldung
  • Beendigung der Datenverarbeitung

Die Meldung kann online über pd.rkn.gov.ru oder schriftlich eingereicht werden.

 

  1. Einwilligungen zur Datenverarbeitung überprüfen

Die Verarbeitung personenbezogener Daten ist nur mit nachvollziehbar dokumentierter Einwilligung der betroffenen Person zulässig. Auch wenn sich die Bußgeldhöhe hier nicht ändert, bleibt der Höchstbetrag erheblich: bis zu 700.000 Rubel (ca. 7.000 EUR) beim ersten Verstoß.

Ausnahme: Eine separate Einwilligung ist nicht erforderlich, wenn Daten gesetzlich vorgeschrieben an staatliche Stellen weitergeleitet werden. Wird jedoch die Verarbeitung ausgelagert (z. B. an einen externen Outsourcer), ist eine ausdrückliche Einwilligung erforderlich.

Derzeit kann die Einwilligung noch im Arbeitsvertrag enthalten sein. Das könnte sich bald ändern: Ein separater Einwilligungsnachweis wird künftig gesetzlich vorgeschrieben sein (Gesetzentwurf Nr. 679980-8 liegt der Duma bereits vor).

 

  1. Audit gespeicherter personenbezogener Daten durchführen

Speichern Sie nur notwendige Daten. Folgendes sollte gelöscht werden:

  • Veraltete oder unnötige Dokumentenkopien
  • Daten ehemaliger Mitarbeiter
  • Informationen, deren Einwilligung abgelaufen oder widerrufen wurde

Die Löschung ist per Vernichtungsprotokoll zu dokumentieren und drei Jahre lang aufzubewahren.

 

  1. Datenpannen vorbeugen und reagieren

Unternehmen sind gesetzlich verpflichtet, personenbezogene Daten zu schützen. Aktuell liegt die Höchststrafe bei 300.000 Rubel (ca. 3.000 EUR). Ab dem 30. Mai werden Bußgelder abhängig vom Umfang und der Sensibilität der betroffenen Daten berechnet.

Bei wiederholten Datenschutzverstößen drohen umsatzabhängige Geldbußen zwischen 1 % und 3 % des Jahresumsatzes, mindestens jedoch 20 Mio. Rubel (ca. 200.000 EUR), maximal 500 Mio. Rubel (ca. 5 Mio. EUR).

Im Falle eines Datenlecks muss Roskomnadzor innerhalb von 24 Stunden nach Bekanntwerden informiert werden. Eine interne Untersuchung ist innerhalb von 72 Stunden zu dokumentieren und zu melden.

* * *

Unsere Empfehlung: Prüfen Sie jetzt Ihre internen Prozesse im Umgang mit personenbezogenen Daten.

  • Reichen Sie Ihre Meldung bei Roskomnadzor ein
  • Aktualisieren Sie Ihre Einwilligungen
  • Führen Sie ein Daten-Audit durch
  • Optimieren Sie Ihr Notfallmanagement bei Datenpannen