Der Gesetzgeber verschärft weiterhin die Strafen für die Weitergabe personenbezogener Daten (PD), was für PD-Betreiber ein wichtiger Anreiz sein dürfte, in die Informationssicherheit zu investieren. Neben dem von der Staatsduma am 30. November 2023 in zweiter Lesung angenommenen Gesetzentwurf Nr. 353266-8, der die Strafen für die illegale Verarbeitung und Weitergabe biometrischer personenbezogener Daten verschärft, wird die Duma den Gesetzentwurf Nr. 502104-8 „Über die Änderung des Ordnungswidrigkeitengesetzes der Russischen Föderation“ sowie den Gesetzentwurf Nr. 502113-8 „Über die Änderung des Strafgesetzbuches der Russischen Föderation“ behandeln, der eine erhebliche Verschärfung der strafrechtlichen Verantwortlichkeit für Straftaten im Zusammenhang mit dem illegalen Handel mit personenbezogenen Daten vorsieht. Beide Gesetzesentwürfe wurden am 4. Dezember 2023 registriert und an die Staatsduma weitergeleitet und zielen darauf ab, die Zahl der PD-Lecks in der Russischen Föderation erheblich zu verringern.
Wird der erste Gesetzentwurf angenommen, so wird die Verarbeitung personenbezogener Daten in Fällen, die nicht gesetzlich vorgesehen sind, oder die Verarbeitung personenbezogener Daten, die nicht mit dem Zweck ihrer Erhebung vereinbar ist, eine Verwaltungsstrafe verhängt:
Die wiederholte Begehung der genannten Ordnungswidrigkeit wird mit einer Geldbuße geahndet:
Das Ordnungswidrigkeitengesetz wurde auch um die Haftung für die Nichterfüllung oder nicht rechtzeitige Erfüllung der Verpflichtung eines Betreibers, Roskomnadzor über die Absicht der Verarbeitung personenbezogener Daten zu informieren, oder für den Fall, dass die unrechtmäßige Weitergabe personenbezogener Daten festgestellt wird, sowie um die folgenden Strafen für die Weitergabe von Bürgerdaten in Abhängigkeit von der Zahl der Opfer ergänzt.
Also für die Handlungen, die zum Bekanntwerden von personenbezogenen Daten führen:
Die Verfasser des zweiten Gesetzentwurfs schlagen vor, das Strafgesetzbuch um Artikel 272.1 „Illegale Nutzung und (oder) Übertragung, Sammlung und (oder) Speicherung von Computerinformationen, die personenbezogene Daten enthalten, sowie Schaffung und (oder) Sicherstellung des Betriebs von Informationsressourcen, die für ihre illegale Speicherung und (oder) Verbreitung bestimmt sind“ zu ergänzen. Die Mindeststrafe für einen solchen Verstoß ist eine Geldstrafe von 300 Tausend Rubel (für biometrische personenbezogene Daten – bis zu 700 Tausend Rubel), die Höchststrafe eine Freiheitsstrafe von bis zu 10 Jahren mit einer Geldstrafe von bis zu 3 Millionen Rubel oder in Höhe des Lohns oder anderer Einkünfte der verurteilten Person für einen Zeitraum von bis zu 4 Jahren mit dem Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, für bis zu 5 Jahre.
Die Schaffung von Informationsressourcen (eine Website im Internet, ein Informationssystem, ein Programm), die wissentlich für die illegale Speicherung, Übertragung (Verteilung, Bereitstellung, Zugang) von Computerinformationen mit personenbezogenen Daten bestimmt sind, wird gesondert aufgeführt. Die Sanktion sieht sowohl die Mindeststrafe in Form einer Geldstrafe von bis zu 700 Tausend Rubel, als auch die Höchststrafe vor – eine Arreststrafe von bis zu 5 Jahren mit einer Geldstrafe von bis zu 700 Tausend Rubel oder anderen Einkünften des Verurteilten für einen Zeitraum von bis zu 2 Jahren sowie den Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, für bis zu 2 Jahre.
Wird der erste Gesetzentwurf angenommen, so wird die Verarbeitung personenbezogener Daten in Fällen, die nicht gesetzlich vorgesehen sind, oder die Verarbeitung personenbezogener Daten, die nicht mit dem Zweck ihrer Erhebung vereinbar ist, eine Verwaltungsstrafe verhängt:
- für Bürger – von 10 bis 15 Tausend Rubel (derzeit: von 2 bis 6 Tausend Rubel),
- für Beamte – von 50 bis 100 Tausend Rubel (derzeit: von 10 bis 20 Tausend Rubel),
- für juristische Personen – von 150 bis 300 Tausend Rubel (derzeit: von 60 bis 100 Tausend Rubel).
Die wiederholte Begehung der genannten Ordnungswidrigkeit wird mit einer Geldbuße geahndet:
- für Bürger – von 15 bis 30 Tausend Rubel (derzeit: von 4 bis 12 Tausend Rubel),
- für Beamte – von 100 bis 200 Tausend Rubel (derzeit: von 20 bis 50 Tausend Rubel),
- für juristische Personen – von 300 bis 500 Tausend Rubel (derzeit: von 100 Tausend bis 300 Tausend Rubel).
Das Ordnungswidrigkeitengesetz wurde auch um die Haftung für die Nichterfüllung oder nicht rechtzeitige Erfüllung der Verpflichtung eines Betreibers, Roskomnadzor über die Absicht der Verarbeitung personenbezogener Daten zu informieren, oder für den Fall, dass die unrechtmäßige Weitergabe personenbezogener Daten festgestellt wird, sowie um die folgenden Strafen für die Weitergabe von Bürgerdaten in Abhängigkeit von der Zahl der Opfer ergänzt.
Also für die Handlungen, die zum Bekanntwerden von personenbezogenen Daten führen:
- von 1.000 bis 10.000 Personen und (oder) von 1.000 bis 100.000 eindeutigen Bezeichnungen von Informationen über Personen (Identifikatoren), die zur Identifizierung dieser Personen erforderlich sind, die Geldstrafe für Bürger beträgt von 100 bis 200 Tausend Rubel, für Beamte – von 800 Tausend bis 1 Million Rubel; für juristische Personen – von 3 bis 5 Millionen Rubel.
- von 10.000 bis 100.000 Personen und (oder) von 100.000 bis 1 Million Identifikatoren: Die Geldstrafe für Bürger beträgt 200 bis 300 Tausend Rubel; für Beamte – von 1 bis 1,5 Millionen Rubel; für juristische Personen – von 5 bis 10 Millionen Rubel.
- mehr als 100.000 Subjekte und (oder) mehr als 1 Million Identifikatoren: Die Geldstrafe für Bürger beträgt 300 bis 400 Tausend Rubel; für Beamte – 1,5 bis 2 Millionen Rubel; für juristische Personen – 10 bis 15 Millionen Rubel.
Die Verfasser des zweiten Gesetzentwurfs schlagen vor, das Strafgesetzbuch um Artikel 272.1 „Illegale Nutzung und (oder) Übertragung, Sammlung und (oder) Speicherung von Computerinformationen, die personenbezogene Daten enthalten, sowie Schaffung und (oder) Sicherstellung des Betriebs von Informationsressourcen, die für ihre illegale Speicherung und (oder) Verbreitung bestimmt sind“ zu ergänzen. Die Mindeststrafe für einen solchen Verstoß ist eine Geldstrafe von 300 Tausend Rubel (für biometrische personenbezogene Daten – bis zu 700 Tausend Rubel), die Höchststrafe eine Freiheitsstrafe von bis zu 10 Jahren mit einer Geldstrafe von bis zu 3 Millionen Rubel oder in Höhe des Lohns oder anderer Einkünfte der verurteilten Person für einen Zeitraum von bis zu 4 Jahren mit dem Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, für bis zu 5 Jahre.
Die Schaffung von Informationsressourcen (eine Website im Internet, ein Informationssystem, ein Programm), die wissentlich für die illegale Speicherung, Übertragung (Verteilung, Bereitstellung, Zugang) von Computerinformationen mit personenbezogenen Daten bestimmt sind, wird gesondert aufgeführt. Die Sanktion sieht sowohl die Mindeststrafe in Form einer Geldstrafe von bis zu 700 Tausend Rubel, als auch die Höchststrafe vor – eine Arreststrafe von bis zu 5 Jahren mit einer Geldstrafe von bis zu 700 Tausend Rubel oder anderen Einkünften des Verurteilten für einen Zeitraum von bis zu 2 Jahren sowie den Entzug des Rechts, bestimmte Positionen zu bekleiden oder bestimmte Tätigkeiten auszuüben, für bis zu 2 Jahre.