Unternehmen in Russland ist es ab dem 1. Juli 2025 verboten, personenbezogene Daten von Russen im Ausland zu speichern und zu sammeln.
Das russische Parlament hat am 18. Februar 2025 eine entsprechende Gesetzesänderung zum Gesetz „Über personenbezogene Daten” verabschiedet, die am 26. Februar 2025 auch vom Föderationsrat angenommen wurde. Die Gesetzesänderung wurde am 28. Februar veröffentlicht und tritt am 1. Juli in Kraft.
Schon seit 2015 sind Unternehmen verpflichtet, personenbezogene Daten in Russland zu speichern. Bisher konnten die Daten allerdings zumindest als Kopien mit Zustimmung der Betroffenen auch im Ausland gespeichert werden. Nach Inkrafttreten der Gesetzesänderung dürfen die Daten selbst mit Zustimmung des Betroffenen nicht mehr im Ausland gespeichert werden.
Nach Angaben der Regierung gewährleiste die bisherige Regelung keinen zuverlässigen Schutz für „russische” Daten. Die Neuerung könnte die Unternehmenspraxis von IT-Unternehmen, Marktplätzen oder russischen Tochtergesellschaften ausländischer Firmen u.U. erschweren.
Damit dürfen insbesondere auch russische Unternehmen, die als „Personaldatenbearbeiter“ gelten und in einem speziellen Register bei der Aufsichtsbehörde Roskomnadsor eingetragen sind (wie z.B. Banken, Telekommunikationsbetreiber, IT-Unternehmen) zukünftig ausschließlich russische Server nutzen, also insbesondere auch keine ausländischen „Clouds”. Insgesamt sind über 900.000 Personaldatenbearbeiter bei Roskomnadsor registriert.
Die Bußgelder für Verstöße sind seit 2019 empfindlich hoch: Sie betragen RUB 30.000 bis 50.000 für natürliche Personen und RUB 1 Mio. bis 6 Mio. für juristische Personen und Unternehmer ohne eigene Rechtspersönlichkeit. Bei wiederholter Zuwiderhandlung drohen weitaus höhere Geldstrafen von bis zu RUB 18 Mio.
Unternehmen wie Apple, Google, Twitter, Facebook und WhatsApp wurden bereits mit hohen Geldstrafen belegt, weil sie sich weigerten, persönliche Daten zu lokalisieren. Das soziale Netzwerk LinkedIn wurde 2016 in Russland gar gesperrt, weil es sich weigerte, Nutzerdaten zu lokalisieren.
Die russische „Big Data Association” (in der u.a. MTS, Beeline, Megafon, Yandex, Rostelecom, Sberbank und VTB zusammengeschlossen sind) erwartet, dass die Neuregelungen keine wesentlichen Auswirkungen auf die Aktivitäten der meisten russischen Unternehmen haben werden. Es gibt jedoch zusätzliche Risiken für Unternehmen, die grenzüberschreitend tätig sind, da es zu Konflikten mit den Normen für den grenzüberschreitenden Datentransfer kommen kann.
Ausgenommen vom neuen Verbot ist u.a. die Verarbeitung personenbezogener Daten auf Grundlage internationaler Verträge oder Regeln, im Zusammenhang mit Gerichtsverfahren, auf behördliche Anordnung sowie zu beruflichen Zwecken von Journalisten und Massenmedien.