Setzen Sie sich für die Wahrung der Menschenrechte im digitalen Wandel ein.

Datenschutz ist der Schutz grundlegender Menschenrechte und Freiheiten in Bezug auf Daten.

Am 17. April 2023 erließ die Regierung das Dekret Nr. 13/2023/ND-CP (Dekret) über den Schutz personenbezogener Daten, das am 1. Juli 2023 in Kraft trat und die Anforderungen an den Schutz personenbezogener Daten sowie an die Verhinderung von Datenschutzverletzungen, die die Rechte und Interessen von Einzelpersonen und Organisationen beeinträchtigen, erfüllt.

Highlights

Das Dekret ist ein Rechtsdokument, das den Schutz personenbezogener Daten und die Verantwortung der zuständigen Behörden, Organisationen und Einzelpersonen für den Schutz personenbezogener Daten regelt.

Datenschutz ist in erster Linie der Schutz grundlegender Menschenrechte und Freiheiten in Bezug auf Daten. Die Bestimmungen des Dekrets zum Schutz personenbezogener Daten zielen bei ihrer Anwendung darauf ab, die Verletzung der persönlichen Rechte und Freiheiten jeder Person zu verhindern.

Gleichzeitig ist die Sicherheit personenbezogener Daten von besonderer Bedeutung, denn wenn Daten gestohlen werden, kann dies zu wirtschaftlichen und sozialen Verlusten führen, sowie zu Risiken wie: Erpressung, Betrug, widerrechtliche Aneignung von Eigentum, Verleumdung, Verletzung der Ehre und Würde, sexueller Missbrauch usw., was sowohl materielle als auch immaterielle Folgen nach sich zieht und die Rechte und berechtigten Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen unmittelbar beeinträchtigt.

Zweitens, die Rechte der betroffenen Personen zu fördern und zu respektieren. Zu diesen Rechten gehören das Recht auf Auskunft, das Recht, der Verarbeitung personenbezogener Daten zuzustimmen oder diese abzulehnen, das Recht auf Information und das Recht auf Löschung der Daten.

Darüber hinaus haben Betroffene das Recht, sich vor der Verletzung ihrer personenbezogenen Daten durch Dritte zu schützen. Sie haben das Recht, Schadensersatz zu verlangen, wenn gegen die Bestimmungen des Dekrets verstoßen wird und dadurch ihr Recht auf Datenschutz beeinträchtigt wird. Das Dekret legt außerdem eindeutig fest, dass das Erheben, Übermitteln, Kaufen und Verkaufen personenbezogener Daten ohne Einwilligung der betroffenen Person einen Rechtsverstoß darstellt.

Das Recht des Betroffenen auf Schutz seiner personenbezogenen Daten ist jedoch kein absolutes Recht, sondern kann in Notfällen eingeschränkt werden, um das Leben und die Gesundheit des Betroffenen oder anderer zu schützen; in Notfällen im Zusammenhang mit der nationalen Verteidigung, Sicherheit, öffentlichen Ordnung und Sicherheit; zur Erfüllung bestimmter vertraglicher Verpflichtungen oder zur Unterstützung der Tätigkeiten staatlicher Stellen gemäß den einschlägigen Gesetzen.

Die Bereitstellung von Ausnahmen zielt darauf ab, den Grundsatz umzusetzen, die Rechte von Einzelpersonen und Organisationen zu gewährleisten, ohne dabei die legitimen Rechte und Interessen anderer Einzelpersonen und Organisationen oder nationale Interessen bei der Ausübung dieser Rechte zu beeinträchtigen.

Drittens soll der Prozess der internationalen Integration im Bereich des Datenschutzes gefördert werden. Das Dekret steht im Einklang mit internationalen Praktiken und Vorschriften zum Datenschutz. Viele Industrieländer haben den Datenschutz gesetzlich geregelt; dies dient Vietnam als Grundlage für die Prüfung und Orientierung.

Darüber hinaus haben internationale Organisationen, denen Vietnam angehört oder mit denen Vietnam zusammenarbeitet, Übereinkommen, Empfehlungen und Standards zum Datenschutz und zum Schutz von Informationen und personenbezogenen Daten erlassen. Dazu gehören die Datenschutzgrundsätze der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), das Übereinkommen des Europarats zum Schutz natürlicher Personen bei der automatisierten Verarbeitung von Informationen und personenbezogenen Daten, die UN-Leitlinien für computergestützte personenbezogene Daten und Informationsdateien, der Datenschutzrahmen der Asiatisch -Pazifischen Wirtschaftsgemeinschaft (APEC), internationale Standards zum Datenschutz und zum Schutz von Informationen und personenbezogenen Daten (Resolution von Madrid), die EU-Datenschutz-Grundverordnung (DSGVO) usw.

Darüber hinaus haben im Zuge der Förderung der Zusammenarbeit zwischen unserem Land und anderen Ländern und Gebieten über 80 Länder Rechtsdokumente zum Schutz personenbezogener Daten erlassen, von denen viele Bestimmungen enthalten, die auch für vietnamesische Organisationen und Einzelpersonen gelten. Daher zielen spezifische und detaillierte Regelungen zum Schutz personenbezogener Daten darauf ab, in Vietnam ein Umfeld der Gleichbehandlung und der Achtung des Rechts zu schaffen, auch für ausländische Einzelpersonen und Organisationen.

Die Herausforderungen

Aktuell bestehen bei der Umsetzung des Dekrets noch viele erhebliche Herausforderungen.

Erstens die Herausforderung im Personalmanagement von Unternehmen. Viele Unternehmen setzen derzeit auf ein Modell mit Mutter- und Tochtergesellschaften, die über ein gemeinsames Management-Ökosystem verfügen, sodass Mitarbeiterinformationen einfach über ein gemeinsames System abgerufen werden können.

Nach vietnamesischem Recht wird jedoch jedes Unternehmen (einschließlich Muttergesellschaften und Tochtergesellschaften) als separate und unabhängige juristische Person betrachtet. Daher kann die Übermittlung personenbezogener Daten von Mitarbeitern durch Unternehmen innerhalb desselben Ökosystems zur Unterstützung interner Verwaltungsprozesse des Unternehmens auch als Verletzung der Verantwortung des Unternehmens für den Schutz personenbezogener Daten angesehen werden.

Andererseits haben derzeit viele Unternehmen Schwierigkeiten bei der Umsetzung des Dekrets und haben die Mechanismen und Vorschriften für die Verwaltung und den Schutz der personenbezogenen Daten ihrer Mitarbeiter gemäß dem Dekret noch nicht fertiggestellt.

Zweitens steht es nicht im Einklang mit den gesetzlichen Bestimmungen für die Geschäftstätigkeit von Kreditinstituten. Derzeit wird die Geschäftstätigkeit von Kreditinstituten durch spezielle Rechtsvorschriften geregelt, wie beispielsweise: das Kreditinstitutsgesetz von 2010 (geändert und ergänzt 2014); das Geldwäschebekämpfungsgesetz; die Verordnung 117/2018/ND-CP über die Wahrung der Vertraulichkeit und die Weitergabe von Kundendaten von Kreditinstituten und ausländischen Bankfilialen; sowie das Rundschreiben 09/2020/TT-NHNN der Staatsbank zur Regelung der Sicherheit von Informationssystemen im Bankwesen auf der Ebene unterhalb der gesetzlichen Vorgaben.

Andererseits betrifft die Datenverarbeitung im Bankwesen personenbezogene Daten. Das Erheben, Aufzeichnen, Analysieren, Bestätigen, Speichern, Bearbeiten, Veröffentlichen, Kombinieren, Zugreifen, Abrufen, Erinnern, Kodieren, Dekodieren, Kopieren, Teilen, Übermitteln, Bereitstellen, Übertragen, Löschen, Vernichten personenbezogener Daten oder andere damit verbundene Handlungen sind unerlässlich, um Kunden Dienstleistungen zu erbringen und Risiken im Bankwesen zu managen sowie die Sicherheit des Währungssystems zu gewährleisten. Daher können und müssen viele Aktivitäten der Verarbeitung personenbezogener Kundendaten nicht die Einwilligung der Kunden erfordern. Gemäß Artikel 3 Absatz 2 und Artikel 9 Absatz 1 des Dekrets haben die Betroffenen jedoch das Recht, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, sofern nicht andere Gesetze etwas anderes vorsehen.

Oder, wie in Artikel 9 Absatz 2 festgelegt, hat die betroffene Person das Recht, der Verarbeitung ihrer personenbezogenen Daten zu widersprechen; sie hat das Recht auf Löschung, Auskunft, Einschränkung der Verarbeitung und Widerspruch gegen die Datenverarbeitung, außer in Fällen, in denen ein anderes Gesetz abweichende Bestimmungen in Artikel 9 enthält. Daher wäre es verwirrend und unangemessen, wenn die Verordnung starr und ohne einheitliche Richtlinien angewendet würde.

Darüber hinaus erfolgt die Bereitstellung von Dienstleistungen und Produkten durch Kreditinstitute über zahlreiche Prozesse pro Produkt. Jeder dieser Prozesse umfasst viele verschiedene Schritte und ist mit der Erfassung, Auswertung, Analyse und Bereitstellung von Daten aus sehr großen Kundendateien verbunden. Die Verordnung verpflichtet den Verantwortlichen und Auftragsverarbeiter personenbezogener Daten jedoch, bei allen Datenverarbeitungsverfahren die Einwilligung der betroffenen Person (des Kunden) einzuholen (Artikel 11) und diese vor Beginn der Datenverarbeitung zu benachrichtigen (Artikel 13). Dies stellt weiterhin ein weiteres Hindernis für die Geschäftstätigkeit von Kreditinstituten dar.

Darüber hinaus müssen Kreditinstitute ihre IT-Systeme und andere mit dem Geschäftsbetrieb zusammenhängende Rechtsdokumente anpassen; Vertrags- und Vereinbarungsvorlagen müssen überarbeitet werden, um dem Dekret zu entsprechen, was erhebliche Schwierigkeiten für das Bankgeschäft mit sich bringt.

Drittens verstehen viele Menschen nicht, wie sie ihre persönlichen Daten schützen können, und sind sich dessen auch nicht bewusst. Daher teilen sie leichtfertig persönliche Informationen auf Social-Media-Plattformen und ermöglichen es so ungewollt Kriminellen, diese für böse Zwecke auszunutzen.

Manche Menschen erkennen den Wert des Schutzes personenbezogener Daten als Gewährleistung der persönlichen Privatsphäre nicht klar an und haben auch Angst, persönliche Informationen preiszugeben, was den Behörden Schwierigkeiten bei der staatlichen Verwaltung des Schutzes personenbezogener Daten sowie bei der Untersuchung und Bearbeitung von Verstößen gegen das Gesetz zum Schutz personenbezogener Daten bereitet.

Darüber hinaus hat der Handel mit personenbezogenen Daten und das damit verbundene Risiko des Datenlecks weitreichende Folgen für Wirtschaft und Gesellschaft. Betrügerische Phänomene und Spam-Werbung per Anruf und SMS stellen weiterhin ein Problem dar und beeinträchtigen das Leben der Menschen.

Die Sicherheit personenbezogener Daten ist von besonderer Bedeutung, da ein Datendiebstahl wirtschaftliche und soziale Schäden verursachen und die Rechte und berechtigten Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen unmittelbar beeinträchtigen kann. (Quelle: Shutterstock)

Umsetzung des Dekrets

Vietnam zählt mit über 70 Millionen Nutzern zu den Ländern mit der weltweit höchsten Internetentwicklungs- und Anwendungsgeschwindigkeit. Persönliche Daten von mehr als zwei Dritteln der Bevölkerung wurden und werden im digitalen Raum, dem Cyberspace, in unterschiedlicher Form und Detailtiefe gespeichert, veröffentlicht, geteilt und gesammelt.

Das Dekret stellt einen Durchbruch bei der Gewährleistung der Menschenrechte im Zuge der digitalen Transformation dar, indem es Mängel und Unzulänglichkeiten in der Praxis der Gewährleistung, des Schutzes und der Sicherung personenbezogener Daten überwindet und die Verantwortung inländischer und ausländischer Behörden, Organisationen und Einzelpersonen erhöht, die direkt an oder im Zusammenhang mit der Verarbeitung personenbezogener Daten in Vietnam beteiligt sind.

Damit das Dekret in der Praxis wirklich wirksam ist, müssen folgende Punkte berücksichtigt werden:

Erstens muss die Verantwortung von Unternehmen für den Schutz der Arbeitnehmerrechte gestärkt werden. Bei der Beschäftigung von Arbeitnehmern müssen Unternehmen Mitarbeiterdaten erfassen und speichern. Um die Personalverwaltung zu gewährleisten, erhalten und verwalten Arbeitgeber und Unternehmen zahlreiche personenbezogene Daten von Mitarbeitern. Werden diese Daten jedoch nachlässig verwaltet und verarbeitet, kann dies unvorhersehbare Folgen haben.

Unternehmen müssen die Auswirkungen des Dekrets sorgfältig prüfen und umfassend bewerten, ihre Verfahren und Anweisungen für den Umgang mit personenbezogenen Daten umgehend an die neuen Bestimmungen anpassen und aktualisieren; die Einrichtung von Mechanismen und die Erstellung von Governance-Regelungen auf der Grundlage der Bestimmungen des Dekrets in Erwägung ziehen; und diese Mechanismen und Regelungen während des gesamten Betriebsprozesses einhalten.

Zweitens müssen die Hürden für die Kreditvergabe von Kreditinstituten beseitigt werden . Die Staatsbank muss sich eng mit den zuständigen Ministerien, insbesondere dem Ministerium für Öffentliche Sicherheit, abstimmen, um einheitliche Richtlinien zum Schutz personenbezogener Daten im Kreditsektor zu erlassen. Diese Richtlinien gewährleisten sowohl die Förderung der operativen Verantwortung der Kreditinstitute beim Schutz von Kundendaten als auch die Erfüllung spezifischer Anforderungen und Aufgaben.

Drittens ist für das Inkrafttreten des Dekrets eine effektive Öffentlichkeitsarbeit und Aufklärung über das Gesetz unerlässlich. Insbesondere muss hervorgehoben werden, dass das Dekret mit dem höchsten Ziel der Achtung und des Schutzes der Bürger- und Menschenrechte erlassen wurde. Vor allem aber muss die betroffene Person selbst ihr Bewusstsein und ihre Verantwortung für den Schutz ihrer personenbezogenen Daten umfassend verstehen und stärken.