Vergleich von Ansätzen und Praktiken zum Schutz personenbezogener Daten in Russland und der EU
Tatsächlich kommt es bei jeder Aktion, die ein Benutzer im Internet ausführt, zu einer Manipulation der persönlichen Daten des Benutzers.
Für viele Dienste, die wir im Internet erhalten, zahlen wir nicht: für die Suche nach Informationen, für E-Mails, für die Speicherung unserer Daten in der Cloud, für die Kommunikation in sozialen Netzwerken usw. Allerdings sind diese Dienste nur bedingt kostenlos: Wir zahlen für sie mit unseren Daten, die diese Unternehmen dann vor allem durch Werbung zu Geld machen.
Derzeit sind Daten zu Geschlecht, Alter und Wohnort, Suchverlauf -
die Grundlage für eine milliardenschwere Online-Werbebranche. Das heißt, aus rechtlicher Sicht sind personenbezogene Daten Materialien für die Geschäftsabwicklung. Dementsprechend betreiben Unternehmen enorme Anstrengungen und geben viel Geld aus, um personenbezogene Daten zu erhalten und zu verarbeiten. Umfragen aus dem Jahr 2018 zeigen, dass Nutzer, die den Wert ihrer persönlichen Daten verstehen, zunehmend unzufrieden damit sind, wie Unternehmen mit ihren persönlichen Daten umgehen.
Die Regulierung im Bereich der Nutzung von Benutzerdaten hat noch keine Gestalt angenommen und bleibt nicht nur in Russland, sondern weltweit hinter der technologischen Entwicklung zurück, daher ist der Interessenausgleich von Verbrauchern und Unternehmen im Bereich „Geld – Service – Daten – Das „Geld“-Modell wird heute sowohl von Regulierungsbehörden als auch durch stillschweigende Vereinbarungen zwischen Gesellschaft und Unternehmen aufgebaut. Regulierungsbehörden schränken die Möglichkeiten von IT-Unternehmen ein und erweitern die Rechte der Benutzer: Sie führen neue Gesetze ein, die den Benutzern mehr Kontrolle über die von ihnen bereitgestellten Informationen geben.
Es ist interessant, die Ansätze der Regulierungsbehörden in europäischen Ländern und Russland zu vergleichen. In Russland sind die wichtigsten Vorschriften für den Umgang mit personenbezogenen Daten das Bundesgesetz zum Schutz personenbezogener Daten (152-FZ) sowie das Gesetz über Ordnungswidrigkeiten, das die konkrete Höhe der Bußgelder für Verstöße gegen das Verfahren zum Umgang mit personenbezogenen Daten direkt festlegt . Die Verwaltungsstrafen sind seit dem 1. Juli 2017 deutlich gestiegen. Gleichzeitig wurden je nach Art der begangenen Straftat neue Bußgelder festgesetzt. So können Beamte mit einer Geldstrafe in Höhe von 3000 bis 20 Rubel, Einzelunternehmer – in Höhe von 000 bis 5000 Rubel, Organisationen – in Höhe von 20 bis 000 Rubel belegt werden. Darüber hinaus können sie für verschiedene Straftaten zur Verantwortung gezogen werden. Demnach können für ein und dasselbe Unternehmen mehrere unterschiedliche Bußgelder wegen unterschiedlicher Verstöße verhängt werden. Eine Haftung besteht aber insbesondere bei der Nichteinhaltung formeller Vorgaben, beispielsweise wenn die erforderlichen Papiere fehlen. Dies steht nicht immer in direktem Zusammenhang mit echtem Informationsschutz. Beispielsweise ist ein Leck an sich kein Grund für Strafen, sofern nicht gegen andere Gesetze verstoßen wird. Interessanterweise enthält eine erhebliche Anzahl der festgestellten Verstöße im Bereich des Umgangs mit personenbezogenen Daten die in Artikel 15 des Gesetzes über Ordnungswidrigkeiten der Russischen Föderation vorgesehenen Inhalte: „Unterlassene oder nicht rechtzeitige Übermittlung an eine staatliche Stelle (Roskomnadzor) – Informationen.“ (Informationen), deren Übermittlung gesetzlich vorgesehen und für die Ausübung seiner rechtlichen Tätigkeit durch dieses Organ erforderlich ist ...“ Es ist interessant, dass eine viel höhere Haftung nicht für Verstöße gegen das Verfahren zum Umgang mit personenbezogenen Daten vorgesehen ist (wie oben angegeben, beträgt diese durchschnittlich 000-75 Rubel), sondern insbesondere für die Nichtbereitstellung (Verspätung, unvollständige Übermittlung) von Informationen über die Das Verfahren zum Umgang mit personenbezogenen Daten in Roskomnadzor wird mit einer Geldstrafe von bis zu 000 Rubel geahndet. Diese. In der russischen Gesetzgebung und in der Praxis ihrer Anwendung herrscht die Tendenz vor: „Hauptsache, der Anzug passt“ und die Bedürfnisse des Staates werden befriedigt. Behörden in verschiedenen Berichten. Die tatsächlichen Rechte der Nutzer und die Sicherheit ihrer persönlichen Daten im Internet sind nur unzureichend geschützt. Die gleiche Höhe der Bußgelder steht in keinem Zusammenhang mit der Höhe der Vorteile, die einige Unternehmen erhalten, wenn sie gegen den Umgang mit personenbezogenen Daten im Internet verstoßen, und fördert nicht die Einhaltung dieser Regeln.
In der EU ist das Bild etwas anders. Seit Mai 2018 wird in Europa die Arbeit mit personenbezogenen Daten durch die in der Datenschutz-Grundverordnung festgelegten Regeln für die Verarbeitung personenbezogener Daten geregelt (Verordnung EGSA 2016/679 vom 27. April 2016 bzw. DSGVO – Datenschutz-Grundverordnung). Die Verordnung hat unmittelbare Wirkung in allen 28 EU-Ländern. Die Verordnung gibt EU-Bürgern die volle Kontrolle über ihre personenbezogenen Daten. Nach der DSGVO haben EU-Bürger und Einwohner sehr weitreichende Rechte zur Kontrolle ihrer personenbezogenen Daten. Europäische Nutzer haben das Recht, eine Bestätigung darüber zu verlangen, dass ihre Daten verarbeitet werden, den Ort und Zweck der Verarbeitung, die Kategorien der verarbeiteten personenbezogenen Daten, an welche Dritten die personenbezogenen Daten weitergegeben werden, den Zeitraum, in dem die Daten verarbeitet werden verarbeitet werden, sowie die Quelle klären, aus der die Organisation die personenbezogenen Daten erhalten hat, und deren Korrektur beantragen. Darüber hinaus hat der Nutzer das Recht, die Einstellung der Verarbeitung seiner Daten zu verlangen.
Seit Mai 2018 besteht eine Haftung in Form von Bußgeldern für Verstöße gegen die Regeln zur Verarbeitung personenbezogener Daten: Laut DSGVO beläuft sich das Bußgeld auf 20 Millionen Euro (ca. 1,5 Milliarden Rubel) oder 4 % des weltweiten Jahresumsatzes des Unternehmens.
Das Wichtigste ist, dass das alles funktioniert. Unternehmen, die Benutzerrechte verletzen, werden zur Verantwortung gezogen und sehr ernst genommen. Beispielsweise hat die französische Nationale Kommission für Informatik und Bürgerrechte (CNIL) am 21. Januar 2019 beschlossen, das amerikanische Unternehmen GOOGLE LLC wegen Verstoßes gegen die DSGVO mit einer Geldstrafe von 50 Millionen Euro zu belegen. Die Höhe der Geldbuße ist sehr hoch. Dies zeigt deutlich die Risiken der Nichteinhaltung der DSGVO-Anforderungen. Wofür wurden Sie bestraft? Die französische Kommission stellte fest, dass der Nutzer bei der Erstkonfiguration eines Mobilgeräts mit dem Betriebssystem Android (Google) keine vollständigen Informationen darüber erhält, was Google mit seinen personenbezogenen Daten macht. Das Unternehmen ist seinen Pflichten zur Transparenz bei der Verarbeitung personenbezogener Daten und zur Information der Betroffenen (Art. 12 und 13 DSGVO) nicht nachgekommen. Die Speicherfristen für Nutzerdaten sind nicht streng geregelt. Das Unternehmen verfügte nicht über die erforderliche Rechtsgrundlage für die durchgeführte Datenverarbeitung (Art. 6 DSGVO). Google wurde außerdem vorgeworfen, die Einwilligung der Nutzer zur Verarbeitung ihrer Daten zur Personalisierung von Werbung unrechtmäßig eingeholt zu haben.
Weitere Beispiele: Eine Geldstrafe der deutschen Regulierungsbehörde LfDI gegen die Dating-Chat-Anwendung Knuddels – 20.000 Euro. Dem portugiesischen Krankenhaus Barreiro Hospital wurde vorgeworfen, den Zugriff auf kritische personenbezogene Daten nicht ordnungsgemäß verwaltet zu haben (eine Geldstrafe von 300 Euro) und die Sicherheit und Integrität von Knuddels verletzt zu haben Daten (weitere 100 Euro). Die britischen Behörden haben eine Warnung an ein kanadisches Unternehmen ausgesprochen, das analytische Forschung betreibt. Das Unternehmen wurde angewiesen, die Verarbeitung personenbezogener Daten von Bürgern einzustellen, andernfalls droht ihm eine Geldstrafe von 20 Millionen Euro. Das kanadische Unternehmen für digitales Marketing und Softwareentwicklung AggregateIQ wurde mit einer Geldstrafe von 17000000 £ belegt. Ein Café in Österreich wurde wegen illegaler Videoüberwachung (die Kamera erfasste einen Teil des Bürgersteigs) mit einer Geldstrafe von 5280 Euro belegt. Diese. Jede Organisation, die der DSGVO unterliegt, sollte sich nach nationaler Tradition nicht nur auf die Entwicklung regulatorischer Dokumentation beschränken.
Die Besonderheit der DSGVO besteht übrigens darin, dass sie für alle Unternehmen gilt, die personenbezogene Daten von EU-Bürgern und -Bürgern verarbeiten, unabhängig vom Standort eines solchen Unternehmens. Daher sollten russische Unternehmen diese Verordnung sorgfältig prüfen, wenn ihre Dienstleistungen auf den europäischen Raum ausgerichtet sind Markt
Source: habr.com