Zum Inhalt springen Zur Navigation springen
Übermittlungsverbot nach Russland – eine Datenschutzbehörde schlägt Alarm

Übermittlungsverbot nach Russland – eine Datenschutzbehörde schlägt Alarm

Artikel von Corinna Fleig·23. August 2023

Die finnische Datenschutzbehörde hat Anfang August bekannt gegeben, dass sie einem russischen Technologiekonzern und seinem in den Niederlanden ansässigen Partner verboten hat, personenbezogene Daten von Kunden der Yandex-Ride-Hailing-App Yanja nach Russland zu übermitteln. Die einstweilige Anordnung tritt am 1. September in Kraft und gilt im Prinzip bis zum 30. November.

Was steckt dahinter?

Im Mittelpunkt dieses Verbotes steht der Yango-Taxidienst. Yango ist ein in Europa, Afrika, dem Nahen Osten und Südamerika tätiger und über eine mobile App verfügbarer Fahr-, Liefer- und E-Großmarktdienst. Der Dienst ist in mehr als 20 Ländern tätig, darunter auch in Finnland und Norwegen.

Yango wird von dem in den Niederlanden ansässigen Unternehmen Ridetech International B.V. betrieben, ehemals Yandex Taxi B.V., einer Tochtergesellschaft der Yandex N.V., der in den Niederlanden eingetragenen Holdinggesellschaft des russischen IT-Konzerns Yandex LLC. Die Daten von Yango werden unter anderem in Datenzentren in Russland verarbeitet.

Warum kam es zu dem Verbot?

„The Finnish DPA (data protection authority) has become aware of a legislative reform that will enter into force in Russia at the beginning of September, under which the Federal Security Service of the Russian Federation will have the right to receive data processed in taxi operations,“

so die Regulierungsbehörde in einer Erklärung.

Die finnische Datenschutzbehörde hat von einer Gesetzesreform erfahren, die Anfang September in Russland in Kraft treten wird und nach der der Föderale Sicherheitsdienst der Russischen Föderation das Recht haben wird, die im Taxibetrieb verarbeiteten Daten zu erhalten. Die in der Yango-Taxi-Anwendung gesammelten Informationen können beispielsweise den Standort des Kunden und die Adresse der Taxifahrt enthalten.

Die finnische Datenschutzbehörde ist der Ansicht, dass es Yango nach der Gesetzesreform in Russland nicht möglich ist, personenbezogene Daten so zu schützen, wie es das EU-Recht verlangt. Daher ist eine Anordnung zur Aussetzung der Datenübermittlung erforderlich.

Entscheidung im Rahmen eines Dringlichkeitsverfahrens

Die Entscheidung der finnischen Datenschutzbehörde wurde im Rahmen eines Dringlichkeitsverfahrens getroffen, das in der EU-Datenschutz-Grundverordnung (DSGVO) vorgesehen ist und Maßnahmen unter außergewöhnlichen Umständen ermöglicht.

Normiert ist es in Art. 66 DSGVO. Absatz 1 besagt Folgendes:

„Unter außergewöhnlichen Umständen kann eine betroffene Aufsichtsbehörde abweichend vom Kohärenzverfahren nach Artikel 63, 64 und 65 oder dem Verfahren nach Artikel 60 sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten treffen, die in ihrem Hoheitsgebiet rechtliche Wirkung entfalten sollen, wenn sie zu der Auffassung gelangt, dass dringender Handlungsbedarf besteht, um Rechte und Freiheiten von betroffenen Personen zu schützen. Die Aufsichtsbehörde setzt die anderen betroffenen Aufsichtsbehörden, den Ausschuss und die Kommission unverzüglich von diesen Maßnahmen und den Gründen für deren Erlass in Kenntnis.“

Im Rahmen dieses Verfahrens können die Aufsichtsbehörden somit unverzüglich vorläufige Maßnahmen ergreifen, wenn dies zum Schutz der Rechte und Freiheiten von Personen erforderlich ist. Danach sind Voraussetzung:

  • Vorliegen außergewöhnlicher Umstände
  • Dringender Handlungsbedarf

Einstweilige Maßnahmen kommen nur in seltenen Ausnahmefällen bei außergewöhnlichen Eilfällen in Betracht und sollen nicht den Interessen der Verarbeiter dienen, sondern dem Schutz der Interessen der betroffenen Personen. Außerdem dürfen sie nur rechtliche Wirkung im Hoheitsgebiet der zuständigen Behörde entfalten. Der Einschätzungsspielraum, welcher der Behörde dabei zusteht, kann auch gerichtlich überprüft werden. Dies ist aber nur eingeschränkt möglich.

Die Geltungsdauer von einstweiligen Maßnahmen ist dabei auf höchstens drei Monate festgelegt. Nach Art. 66 Abs. 1 S. 2 DSGVO muss die zuständige Aufsichtsbehörde außerdem die anderen betroffenen Aufsichtsbehörden sowie den Ausschuss (EDSA) und die Kommission unverzüglich über den Erlass der einstweiligen Maßnahme informieren und die Gründe für die Maßnahme darlegen.

Wie wird es weitergehen?

Yango kann der finnischen Datenschutzbehörde bis September Informationen vorlegen, wenn sie der Ansicht ist, dass diese Informationen Auswirkungen auf die Beurteilung der Angelegenheit haben. Darüber hinaus muss Yango die finnische Datenschutzbehörde über die Maßnahmen informieren, die es aufgrund der Anordnung ergreift. Kommt das Unternehmen der Anordnung nicht nach oder ändert es seine Praxis nicht, könnte der Europäische Datenschutzausschuss (EDPB) Yango verbindlich auffordern, alle Datenübermittlungen einzustellen.

Es bleibt also spannend und abzuwarten, wie sich die Unternehmen positionieren werden und ob weitere Staaten nachziehen und sich mit der Thematik auseinandersetzen. Auch wenn es bisher kein Thema ist, was Deutschland konkret betrifft, so ist es doch auch interessant zu sehen, wie der europäische Partner agiert.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.