Europäische Unternehmen zwischen russischen Datenauflagen und EU-Sanktionen zerrissen

Sanktionspaket nachlegt. Für internationale Konzerne wird der Spagat zwischen beiden Rechtsräumen zunehmend unmöglich.

Lücken in der Dokumentation oder fehlerhafte Prozesse bei der Datenverarbeitung können Unternehmen heute bis zu 2 % ihres Jahresumsatzes kosten. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihre Dokumentationspflichten gemäß Art. 30 DSGVO rechtssicher und zeitsparend zu erfüllen. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis jetzt herunterladen

Moskau erhöht den Druck mit umsatzabhängigen Strafen

Das russische Recht hat sich seit dem Frühjahr grundlegend verschärft. Die Aufsichtsbehörde Roskomnadzor kann nun deutlich höhere Geldbußen für Verstöße gegen die Datenlokalisierung verhängen. Kern der Regelung: Die erstmalige Erfassung personenbezogener Daten russischer Bürger muss auf Servern innerhalb der Russischen Föderation erfolgen.

Die finanziellen Risiken für internationale Unternehmen sind massiv gestiegen. Seit Mai 2025 drohen bei wiederholten Verstößen Bußgelder von bis zu 18 Millionen Rubel. Besonders brisant: Das neue abgestufte System für Datenlecks orientiert sich am Vorbild der DSGVO. Bei Vorfällen mit mehr als 100.000 betroffenen Personen liegen die Strafen zwischen 10 und 15 Millionen Rubel. Bei Wiederholungstätern sind umsatzabhängige Strafen von ein bis drei Prozent des Jahresumsatzes möglich – gedeckelt bei 500 Millionen Rubel.

Doch nicht nur finanzielle Sanktionen drohen. Die historische Sperrung von LinkedIn und frühere Maßnahmen gegen große Social-Media-Plattformen zeigen: Auch operative Verbote sind ein reales Risiko. Seit Juli 2025 ist zudem die Nutzung ausländischer Datenbanken für die Erstspeicherung explizit verboten – damit sind frühere technische Umgehungsmöglichkeiten geschlossen.

EU-Sanktionen und DSGVO als Gegengewicht

Während Moskau Daten im Land halten will, erschwert Brüssel deren Transfer und Verwaltung massiv. Das 20. Sanktionspaket vom 23. April 2026 verbietet ab dem 25. Mai 2026 die Bereitstellung verwalteter Sicherheitsdienste für russische staatliche Stellen und juristische Personen. Zusammen mit bestehenden Einschränkungen für IT-Beratung und Softwaredienstleistungen wird die technische Wartung kompatibler lokaler Server für EU-Anbieter nahezu unmöglich.

Der Europäische Datenschutzausschuss (EDSA) bleibt unnachgiebig. Leitlinien aus dem Jahr 2025 zu Artikel 48 der DSGVO betonen: Anfragen von Drittstaaten zur Datenübertragung sind in der EU nicht automatisch durchsetzbar. Ohne internationales Abkommen oder Angemessenheitsbeschluss – den Russland nicht besitzt – müssen Unternehmen die russischen Überwachungsgesetze im Einzelfall prüfen. Lässt sich kein gleichwertiger Schutz garantieren, müssen Datenübermittlungen gestoppt werden.

Die Zahlen sprechen eine deutliche Sprache: Die kumulierte Summe der DSGVO-Bußgelder hat Anfang 2026 die Marke von 7,1 Milliarden Euro überschritten. Zwar bleibt die Rekordstrafe von 1,2 Milliarden Euro gegen einen Social-Media-Konzern aus dem Jahr 2023 unübertroffen. Doch aktuelle Verfahren zeigen: Grenzüberschreitende Transfers in „Hochrisiko-Jurisdiktionen“ stehen im Fokus der Aufseher. Ein Bußgeld von 530 Millionen Euro gegen eine Videoplattform wegen Datenflüssen nach China im Jahr 2025 hat einen Präzedenzfall geschaffen, der nun auch auf Russland anwendbar sein könnte.

Der Compliance-Konflikt: Unvereinbare Rechtslagen

Für Unternehmen, die noch in beiden Rechtsräumen aktiv sind, hat der Widerspruch zwischen russischen „Bleib-im-Land“-Anordnungen und europäischen Schutzmandaten einen kritischen Punkt erreicht. Seit 2025 gilt die Lokalisierungspflicht nicht nur für Datenverantwortliche, sondern auch für Auftragsverarbeiter – etwa HR-Softwareanbieter und Cloud-Dienstleister.

Die Folge: Europäische Dienstleister, die russische Mitarbeiter- oder Kundendaten über Dritte verarbeiten ließen, haften nun direkt in Russland, wenn diese keine lokalisierten Datenbanken nutzen. Doch der Aufbau lokaler Speicher erfordert oft russisch zertifizierte Rechenzentren und Sicherheitstools – was wiederum gegen EU-Sanktionen zu technischer Hilfe oder Hochtechnologiedienstleistungen verstoßen kann.

Insbesondere bei der Zusammenarbeit mit externen Dienstleistern und Auftragsverarbeitern entstehen oft unerkannte Haftungsrisiken für die Geschäftsführung. Dieser kostenlose Experten-Report liefert Ihnen fertige Vorlagen und Checklisten, um Ihre Auftragsdatenverarbeitung rechtssicher nach DSGVO-Standard zu gestalten. Gratis E-Book zur Auftragsdatenverarbeitung anfordern

Ein Ausweg zeichnet sich ab: Immer mehr Großkonzerne entkoppeln ihre russische IT-Infrastruktur vollständig vom globalen Netzwerk. Diese „Datenhoheits-Silos“ sollen verhindern, dass russische Behörden einen Zugang zu europäischen Systemen erhalten – ein Risiko, das EDSA und nationale Sicherheitsbehörden wiederholt betont haben.

Ausblick: Eine fragmentierte digitale Wirtschaft

Das 20. Sanktionspaket bringt weitere Verschärfungen: Ab Mai 2026 sind Transaktionen mit russischen Krypto-Dienstleistern verboten, und die Überwachung von Drittlandsvermittlern wird intensiviert. Die finanziellen und technischen Spielräume für rechtskonformen Datenaustausch schwinden.

Juristen rechnen in den kommenden zwölf Monaten mit einer Zunahme von „erzwungenen Ausstiegen“. Immer mehr Unternehmen werden rechtlich nicht mehr in der Lage sein, sowohl den russischen Lokalisierungsforderungen als auch den europäischen Datenschutz- und Sanktionsvorgaben zu genügen. Die EU will zudem „No-Russia“-Klauseln in Dienstleistungsverträgen verstärkt prüfen – um auszuschließen, dass sensible Daten oder technisches Know-how über Drittstaaten wie Kirgisistan oder Kasachstan umgeleitet werden.

Mit dem schrittweisen Inkrafttreten des EU AI Act im Jahr 2026 kommt eine weitere Prüfebene hinzu – besonders für Unternehmen, die automatisierte Systeme zur Datenverarbeitung einsetzen. Die Botschaft aus Brüssel und Moskau ist eindeutig: Die Ära des nahtlosen Datenaustauschs zwischen beiden Regionen ist vorbei. Übrig bleibt ein Hochrisiko-Umfeld, in dem die Einhaltung der Vorschriften in einer Jurisdiktion zunehmend einen Verstoß in der anderen bedeutet.

de | wirtschaft | 69292212 |