Ukraine-Krieg: Sind Daten­über­mitt­lun­gen nach Russ­land noch zulässig?

eit dem 24. Febru­ar 2022 führt Russ­land einen völ­ker­rechts­wid­ri­gen Angriffs­krieg in der Ukrai­ne. Wäh­rend das Ent­set­zen über den ekla­tan­ten Rechts­bruch durch die rus­si­sche Regie­rung und das Leid der von dem Krieg Betrof­fe­nen wei­ter andau­ern, rücken auch sicherheits- und daten­schutz­recht­li­che Aspek­te in den Fokus.

Behörd­li­che War­nung vor Kaspersky

So hat kürz­lich das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) vor einem Ein­satz von Viren­schutz­soft­ware des bekann­ten rus­si­schen Her­stel­lers Kas­pers­ky gewarnt und emp­foh­len, die Soft­ware durch alter­na­ti­ve Pro­duk­te zu erset­zen. Nach Auf­fas­sung des BSI kön­ne ein rus­si­scher IT-Hersteller „selbst offen­si­ve Ope­ra­tio­nen durch­füh­ren, gegen sei­nen Wil­len gezwun­gen wer­den, Ziel­sys­te­me anzu­grei­fen, oder selbst als Opfer einer Cyber-Operation ohne sei­ne Kennt­nis aus­spio­niert oder als Werk­zeug für Angrif­fe gegen sei­ne eige­nen Kun­den miss­braucht wer­den“. Auch wenn das BSI nach § 7 BSI-Gesetz zu der­ar­ti­gen War­nun­gen befugt ist, ver­wun­dert die eher pau­scha­le Begrün­dung, da sie auf vie­le IT-Hersteller und Dienst­leis­ter aus Russ­land über­trag­bar scheint. In einer nicht min­der über­ra­schen­den Äuße­rung hat daher aus­ge­rech­net der für Pro­dukt­war­nun­gen bekann­te Lan­des­be­auf­tra­ge für den Daten­schutz und die Infor­ma­ti­ons­frei­heit Baden-Württemberg Kri­tik an der War­nung des BSI geäu­ßert. Gleich­zei­tig will die ita­lie­ni­sche Daten­schutz­auf­sichts­be­hör­de prü­fen, ob bei der Ver­wen­dung von Soft­ware des Her­stel­lers Kas­pers­ky per­so­nen­be­zo­ge­ne Daten in Dritt­län­der, ins­be­son­de­re Russ­land, über­mit­telt oder im Rah­men der Ver­ar­bei­tungs­tä­tig­kei­ten in irgend­ei­ner Wei­se zugäng­lich gemacht wer­den. Das Unter­neh­men Kas­pers­ky hat die Vor­wür­fe des BSI indes zurück­ge­wie­sen und in einer Erklä­rung betont, dass das Unter­neh­men „kei­ne Ver­bin­dun­gen zur rus­si­schen oder einer ande­ren Regie­rung“ hat, und zugleich klar­ge­stellt, dass das Unter­neh­men für deut­sche Kun­den bereits 2018 sei­ne „Daten­ver­ar­bei­tungs­in­fra­struk­tur in die Schweiz ver­la­gert“ hat. Unter­neh­men, die Soft­ware von Kas­pers­ky ein­set­zen, ist daher zu einer Ein­zel­fall­ana­ly­se zu raten.

Sind Daten­über­mitt­lun­gen nach Russ­land noch zulässig?

Unab­hän­gig vom Fall Kas­pers­ky wirft die aktu­el­le Situa­ti­on in Russ­land aus daten­schutz­recht­li­cher Sicht die Fra­ge auf, inwie­weit eine Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten nach Russ­land über­haupt noch zuläs­sig ist. Maß­geb­lich für die Beur­tei­lung der daten­schutz­recht­li­chen Zuläs­sig­keit einer Dritt­lands­über­mitt­lung sind die Maß­stä­be, die der Euro­päi­sche Gerichts­hof (EuGH) in sei­nem „Schrems II“-Urteil vom 16. Juni 2020 ent­wi­ckelt hat. In die­ser Ent­schei­dung hat­te der EuGH nicht nur den Ange­mes­sen­heits­be­schluss für Daten­über­mitt­lun­gen in die USA, das sog. EU-US Pri­va­cy Shield, für ungül­tig erklärt, son­dern auch hohe Anfor­de­run­gen an Daten­über­mitt­lun­gen in Dritt­län­der, zu denen auch Russ­land gehört, auf­ge­stellt. Unter­neh­men sind seit­her bei der Dritt­lands­über­mitt­lung auf der Basis von Stan­dard­ver­trags­klau­seln ver­pflich­tet zu prü­fen, ob die blo­ße Ver­ein­ba­rung der Klau­seln ein hin­rei­chen­des Daten­schutz­ni­veau gewähr­leis­tet. Rele­van­ter Maß­stab hier­für ist aus­schließ­lich das euro­päi­sche Recht, ins­be­son­de­re die EU-Grundrechtecharta. Stellt sich bei der Prü­fung her­aus, dass die blo­ße Ver­ein­ba­rung der Klau­seln zur Wah­rung eines ange­mes­se­nen Daten­schutz­ni­veaus nicht aus­rei­chend ist, was ins­be­son­de­re bei über­bor­den­den Zugriffs­be­fug­nis­sen von Sicher­heits­be­hör­den der Fall sein kann, müs­sen zusätz­li­che Garan­tien geschaf­fen werden.

Vor dem Hin­ter­grund, dass Russ­land in Reak­ti­on auf den Rück­zug zahl­rei­cher west­li­cher Unter­neh­men unter ande­rem eine Ver­staat­li­chung der rus­si­schen Stand­or­te die­ser Unter­neh­men ange­droht hat und in die­sem Fall auch rus­si­sche Behör­den Zugriff auf die per­so­nen­be­zo­ge­nen Daten erlan­gen kön­nen, bestehen erheb­li­che Zwei­fel an einem ange­mes­se­nen Daten­schutz­ni­veau durch blo­ße Ver­ein­ba­rung der Stan­dard­ver­trags­klau­seln. Hier­bei ist auch zu berück­sich­ti­gen, dass die wis­sen­schaft­li­che Arbeits­grup­pe des Natio­na­len Sicher­heits­rats schon im Novem­ber 2021 in einem Impuls­pa­pier zu den Aus­wir­kun­gen aus­län­di­scher Gesetz­ge­bung auf die deut­sche Cyber­si­cher­heit die Zugriffs­mög­lich­kei­ten der rus­si­schen Nach­rich­ten­diens­te kri­tisch gese­hen hat­te. Bei der Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten nach Russ­land ist aktu­ell daher davon aus­zu­ge­hen, dass zusätz­li­che Garan­tien zwin­gend erfor­der­lich sind und die­se so gestal­tet sein müs­sen, dass sie einen nach euro­päi­schem Recht rechts­wid­ri­gen Zugriff rus­si­scher Behör­den wirk­sam aus­schlie­ßen. Mit der in Anbe­tracht der Umstän­de frag­li­chen Effek­ti­vi­tät von recht­li­chen und pro­ze­du­ra­len Maß­nah­men tre­ten hier vor allem tech­ni­sche Maß­nah­men wie bei­spiels­wei­se die Ver­schlüs­se­lung oder Pseud­ony­mi­sie­rung der per­so­nen­be­zo­ge­nen Daten in den Vor­der­grund. Ob die jewei­li­gen Maß­nah­men aus­rei­chend sind und wel­che mög­li­chen Alter­na­ti­ven zur Ver­fü­gung ste­hen, bedarf aber einer kon­kre­ten Einzelfallprüfung.

Was Unter­neh­men jetzt beach­ten sollten

Die Über­mitt­lung von per­so­nen­be­zo­ge­nen Daten in ein Land, das einen völ­ker­rechts­wid­ri­gen Angriffs­krieg führt und die Ver­staat­li­chung von Unter­neh­men androht, ist aus daten­schutz­recht­li­cher Sicht ins­ge­samt kri­tisch zu sehen und dürf­te allen­falls in Aus­nah­me­fäl­len in Betracht kom­men. Dies kann Unter­neh­men, die bis­her per­so­nen­be­zo­ge­ne Daten nach Russ­land über­mit­telt haben, vor enor­me Her­aus­for­de­run­gen stel­len. Ins­be­son­de­re wenn Stan­dard­ver­trags­klau­seln als Basis für eine Dritt­lands­über­mitt­lung genutzt wer­den, müs­sen Unter­neh­men prü­fen, ob wei­ter­hin hin­rei­chen­de Garan­tien für ein ange­mes­se­nes Schutz­ni­veau bestehen. Mit Blick auf die Cyber­si­cher­heit von Lie­fer­ket­ten raten wir vor dem Hin­ter­grund der aktu­el­len War­nung des BSI zu einer Über­prü­fung von Daten­flüs­sen nach Russ­land und Ein­fluss­mög­lich­kei­ten rus­si­scher Unter­neh­men auf Daten­ver­ar­bei­tun­gen auch dann, wenn kei­ne per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet wer­den. Dies gilt ins­be­son­de­re bei Lie­fer­ket­ten für Software.

Haus­nach­richt

Für den 23. und 24. Juni 2022 laden wir Sie ein, auf unse­rer Hybrid-Veranstaltung Digi­tal Busi­ness Con­fe­rence über aktu­el­le Ent­wick­lun­gen im Daten­schutz­recht, Updatever­pflich­tun­gen für Her­stel­ler und Ver­käu­fer von digi­ta­len Pro­duk­ten, neue regu­la­to­ri­sche Vor­ga­ben für Cyber­si­cher­heit sowie zahl­rei­che wei­te­re brand­ak­tu­el­le The­men rund um digi­ta­le Ser­vices und Pro­duk­te zu diskutieren.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.