Ukraine-Krieg: Sind Datenübermittlungen nach Russland noch zulässig?

Stefan Hessel

Seit dem 24. Februar 2022 führt Russland einen völkerrechtswidrigen Angriffskrieg in der Ukraine. Während das Entsetzen über den eklatanten Rechtsbruch durch die russische Regierung und das Leid der von dem Krieg Betroffenen weiter andauern, rücken auch sicherheits- und datenschutzrechtliche Aspekte in den Fokus.

Behördliche Warnung vor Kaspersky

So hat kürzlich das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor einem Einsatz von Virenschutzsoftware des bekannten russischen Herstellers Kaspersky gewarnt und empfohlen, die Software durch alternative Produkte zu ersetzen. Nach Auffassung des BSI könne ein russischer IT-Hersteller „selbst offensive Operationen durchführen, gegen seinen Willen gezwungen werden, Zielsysteme anzugreifen, oder selbst als Opfer einer Cyber-Operation ohne seine Kenntnis ausspioniert oder als Werkzeug für Angriffe gegen seine eigenen Kunden missbraucht werden“. Auch wenn das BSI nach § 7 BSI-Gesetz zu derartigen Warnungen befugt ist, verwundert die eher pauschale Begründung, da sie auf viele IT-Hersteller und Dienstleister aus Russland übertragbar scheint. In einer nicht minder überraschenden Äußerung hat daher ausgerechnet der für Produktwarnungen bekannte Landesbeauftrage für den Datenschutz und die Informationsfreiheit Baden-Württemberg Kritik an der Warnung des BSI geäußert. Gleichzeitig will die italienische Datenschutzaufsichtsbehörde prüfen, ob bei der Verwendung von Software des Herstellers Kaspersky personenbezogene Daten in Drittländer, insbesondere Russland, übermittelt oder im Rahmen der Verarbeitungstätigkeiten in irgendeiner Weise zugänglich gemacht werden. Das Unternehmen Kaspersky hat die Vorwürfe des BSI indes zurückgewiesen und in einer Erklärung betont, dass das Unternehmen „keine Verbindungen zur russischen oder einer anderen Regierung“ hat, und zugleich klargestellt, dass das Unternehmen für deutsche Kunden bereits 2018 seine „Datenverarbeitungsinfrastruktur in die Schweiz verlagert“ hat. Unternehmen, die Software von Kaspersky einsetzen, ist daher zu einer Einzelfallanalyse zu raten.

Sind Datenübermittlungen nach Russland noch zulässig?

Unabhängig vom Fall Kaspersky wirft die aktuelle Situation in Russland aus datenschutzrechtlicher Sicht die Frage auf, inwieweit eine Übermittlung von personenbezogenen Daten nach Russland überhaupt noch zulässig ist. Maßgeblich für die Beurteilung der datenschutzrechtlichen Zulässigkeit einer Drittlandsübermittlung sind die Maßstäbe, die der Europäische Gerichtshof (EuGH) in seinem „Schrems II“-Urteil vom 16. Juni 2020 entwickelt hat. In dieser Entscheidung hatte der EuGH nicht nur den Angemessenheitsbeschluss für Datenübermittlungen in die USA, das sog. EU-US Privacy Shield, für ungültig erklärt, sondern auch hohe Anforderungen an Datenübermittlungen in Drittländer, zu denen auch Russland gehört, aufgestellt. Unternehmen sind seither bei der Drittlandsübermittlung auf der Basis von Standardvertragsklauseln verpflichtet zu prüfen, ob die bloße Vereinbarung der Klauseln ein hinreichendes Datenschutzniveau gewährleistet. Relevanter Maßstab hierfür ist ausschließlich das europäische Recht, insbesondere die EU-Grundrechtecharta. Stellt sich bei der Prüfung heraus, dass die bloße Vereinbarung der Klauseln zur Wahrung eines angemessenen Datenschutzniveaus nicht ausreichend ist, was insbesondere bei überbordenden Zugriffsbefugnissen von Sicherheitsbehörden der Fall sein kann, müssen zusätzliche Garantien geschaffen werden.

Vor dem Hintergrund, dass Russland in Reaktion auf den Rückzug zahlreicher westlicher Unternehmen unter anderem eine Verstaatlichung der russischen Standorte dieser Unternehmen angedroht hat und in diesem Fall auch russische Behörden Zugriff auf die personenbezogenen Daten erlangen können, bestehen erhebliche Zweifel an einem angemessenen Datenschutzniveau durch bloße Vereinbarung der Standardvertragsklauseln. Hierbei ist auch zu berücksichtigen, dass die wissenschaftliche Arbeitsgruppe des Nationalen Sicherheitsrats schon im November 2021 in einem Impulspapier zu den Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit die Zugriffsmöglichkeiten der russischen Nachrichtendienste kritisch gesehen hatte. Bei der Übermittlung von personenbezogenen Daten nach Russland ist aktuell daher davon auszugehen, dass zusätzliche Garantien zwingend erforderlich sind und diese so gestaltet sein müssen, dass sie einen nach europäischem Recht rechtswidrigen Zugriff russischer Behörden wirksam ausschließen. Mit der in Anbetracht der Umstände fraglichen Effektivität von rechtlichen und prozeduralen Maßnahmen treten hier vor allem technische Maßnahmen wie beispielsweise die Verschlüsselung oder Pseudonymisierung der personenbezogenen Daten in den Vordergrund. Ob die jeweiligen Maßnahmen ausreichend sind und welche möglichen Alternativen zur Verfügung stehen, bedarf aber einer konkreten Einzelfallprüfung.

Was Unternehmen jetzt beachten sollten

Die Übermittlung von personenbezogenen Daten in ein Land, das einen völkerrechtswidrigen Angriffskrieg führt und die Verstaatlichung von Unternehmen androht, ist aus datenschutzrechtlicher Sicht insgesamt kritisch zu sehen und dürfte allenfalls in Ausnahmefällen in Betracht kommen. Dies kann Unternehmen, die bisher personenbezogene Daten nach Russland übermittelt haben, vor enorme Herausforderungen stellen. Insbesondere wenn Standardvertragsklauseln als Basis für eine Drittlandsübermittlung genutzt werden, müssen Unternehmen prüfen, ob weiterhin hinreichende Garantien für ein angemessenes Schutzniveau bestehen. Mit Blick auf die Cybersicherheit von Lieferketten raten wir vor dem Hintergrund der aktuellen Warnung des BSI zu einer Überprüfung von Datenflüssen nach Russland und Einflussmöglichkeiten russischer Unternehmen auf Datenverarbeitungen auch dann, wenn keine personenbezogenen Daten verarbeitet werden. Dies gilt insbesondere bei Lieferketten für Software.

Hausnachricht

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference über aktuelle Entwicklungen im Datenschutzrecht, Updateverpflichtungen für Hersteller und Verkäufer von digitalen Produkten, neue regulatorische Vorgaben für Cybersicherheit sowie zahlreiche weitere brandaktuelle Themen rund um digitale Services und Produkte zu diskutieren.

[März 2022]