Russland verschärft Datenlokalisierung: Milliarden-Strafen für Google & Co.

Moskau geht mit drastischen Geldstrafen und neuen technischen Hürden gegen internationale Tech-Konzerne vor. Das Ende der Grauzone ist besiegelt.

Der russische Staat zieht die Daumenschrauben für ausländische Digitalunternehmen massiv an. Was jahrelang als symbolische Ordnungsgelder galt, ist nun zu einer existentiellen finanziellen Bedrohung geworden. Ein Moskauer Bezirksgericht verhängte Ende Februar eine Rekordstrafe von 16 Milliarden Rubel (rund 196 Millionen Euro) gegen Google – die bislang höchste kumulierte Sanktion seit Einführung der Datenlokalisierungsgesetze vor über zehn Jahren.

Fehlende Dokumentationen und Lücken in der Datenverarbeitung können Unternehmen bis zu 2 % des Jahresumsatzes kosten. Diese kostenlose Excel-Vorlage hilft Ihnen, Ihre Dokumentationspflichten rechtssicher zu erfüllen und teure Bußgelder zu vermeiden. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen

Der neue Sanktionskatalog: Von Bußgeld zur Existenzfrage

Das Vorgehen gegen Google ist kein Einzelfall, sondern Teil einer systematischen Eskalation. Bereits Anfang 2025 belegte das Taganski-Gericht in Moskau den Kommunikationsdienst Discord mit einer Geldstrafe von zwei Millionen Rubel wegen Verstößen gegen die Speicherpflicht. Und die Aufsichtsbehörde Roskomnadzor drohte WhatsApp zuletzt mit der vollständigen Sperrung, sollte der Messenger seine Datenpraxis nicht anpassen.

Die Botschaft ist eindeutig: Die Ära der Verwarnungen ist vorbei. Stattdessen setzt Moskau auf ein abgestuftes Sanktionssystem, das seit Ende Mai 2025 in Kraft ist. Bei Datenschutzverstößen mit 1.000 bis 10.000 betroffenen Personen drohen Strafen zwischen drei und fünf Millionen Rubel. Betrifft eine Panne über 100.000 Nutzer, steigt der Betrag auf zehn bis 15 Millionen Rubel.

Besonders brisant für Großkonzerne: Bei Wiederholungstaten können umsatzbasierte Strafen von ein bis drei Prozent des Jahresumsatzes fällig werden – gedeckelt bei 500 Millionen Rubel, aber mit einer Mindestgrenze von 20 Millionen Rubel. Und wer biometrische Daten wie Gesichtsscans oder Sprachaufnahmen verliert, zahlt pauschal mindestens 15 Millionen Rubel.

Das Ende der Parallelwelt: Technische Hürden seit Juli 2025

Der eigentliche Game-Changer kam jedoch am 1. Juli 2025. Seit diesem Stichtag sind die technischen Schlupflöcher geschlossen, die multinationale Konzerne jahrelang nutzten. Die gängige Praxis, Nutzerdaten parallel auf einen russischen und einen ausländischen Server zu schicken, ist nun illegal. Auch der Trick, russische Rechner nur als Zwischenstation („Proxy“) zu nutzen, bevor die Daten ins Ausland wandern, ist Geschichte.

Die neue Regelung ist glasklar: Personendaten russischer Bürger müssen erstmals auf einem physischen Server in Russland erfasst, aufgezeichnet und gespeichert werden. Erst danach dürfen Kopien an globale Systeme wie CRM-, ERP- oder Helpdesk-Plattformen übermittelt werden. Jede Form der Parallelverarbeitung gilt jetzt als direkter Umgehungsversuch.

Eine fehlende Datenschutz-Folgenabschätzung bei risikoreichen Datenverarbeitungen kann Ihr Unternehmen Millionen kosten. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie rechtssichere Prüfungen erstellen und sich vor empfindlichen Sanktionen absichern. Gratis Muster-DSFA und Checklisten anfordern

Strafrechtliche Konsequenzen: Haft statt Bußgeld

Seit Dezember 2024 droht Unternehmen und ihren Mitarbeitern nicht mehr nur das Portemonnaie. Ein neues Gesetz stellt die illegale Erhebung, Nutzung oder Weitergabe von Computerinformationen mit Personendaten unter strafrechtliche Verfolgung. Die Bandbreite reicht von Zwangsarbeit bis zu vier Jahren Haft – bei Delikten mit Minderheitendaten oder erheblichem Schaden sogar bis zu zehn Jahren.

Parallel dazu baut Roskomnadzor seine technischen Überwachungsmöglichkeiten aus. Seit dem 15. April 2026 sind russische Internetanbieter gesetzlich verpflichtet, Systeme zur Erkennung von VPN-Nutzung zu installieren. Das Ziel: 92 Prozent des gesamten VPN-Verkehrs bis 2030 zu blockieren – unterstützt durch ein jährliches Budget von rund 20 Milliarden Rubel (knapp 245 Millionen Euro).

Compliance wird zum Kraftakt

Für internationale Konzerne bedeutet dies einen grundlegenden Umbau ihrer Datenarchitektur. Ein einfacher „Mirror-Server“ vor Ort reicht nicht mehr. Unternehmen müssen sicherstellen, dass auch ihre Dienstleister – etwa Cloud-Anbieter oder HR-Plattformen – die Vorschriften einhalten. Seit September 2025 ist zudem eine separate Einwilligung zur Datenverarbeitung Pflicht; die alte Praxis, dies in den Allgemeinen Geschäftsbedingungen zu verstecken, ist illegal.

Die Kosten für eine digitale Präsenz in Russland werden weiter steigen. Die Regierung prüft derzeit eine „Auslandsverkehrssteuer“ von 150 Rubel pro Gigabyte für Daten, die ein monatliches Limit von 15 Gigabyte überschreiten. Unternehmen stehen vor der Wahl: Entweder sie investieren massiv in die Umstellung ihrer globalen Datenflüsse oder sie riskieren existenzbedrohende Strafen und die vollständige Sperrung ihrer Dienste. Die Grauzone, in der sich viele Firmen jahrelang bewegten, existiert nicht mehr.

de | wirtschaft | 69299740 |