Persönliche Daten sind „heiß“, bevor sie gesetzlich geschützt sind.

Verstößt Zalo gegen das Gesetz?

Das Datenschutzgesetz von 2025 enthält zahlreiche spezifische Regelungen zu den Rechten von Betroffenen (Nutzern) sowie zu den Rechten und Pflichten von Organisationen und Unternehmen, die personenbezogene Daten erheben und verarbeiten. Demnach müssen personenbezogene Daten mit Einwilligung des Nutzers erhoben werden. Soziale Medien und Online-Kommunikationsdienste sind verpflichtet, den Inhalt der erhobenen personenbezogenen Daten klar offenzulegen; es ist ihnen untersagt, zur Kontoverifizierung Bilder oder Videos mit vollständigen oder teilweisen Ausweisdokumenten anzufordern.

Zalo kündigt neue Nutzungsbedingungen an, bevor das Datenschutzgesetz von 2025 in Kraft tritt.

Foto: MP

Unerwarteterweise, kurz bevor das Gesetz in Kraft trat, veröffentlichte Zalo – Vietnams meistgenutztes soziales Netzwerk – eine Benachrichtigung zur Aktualisierung seiner Nutzungsbedingungen, was bei vielen Nutzern Besorgnis auslöste. Viele äußerten Bedenken, da die neuen Bedingungen das Recht auf Datenschutz in Bezug auf personenbezogene Daten betreffen. Eine Nichtzustimmung hätte zur Folge, dass die Nutzer die Zalo-App nicht mehr nutzen könnten.

Beispielsweise erteilt der Nutzer mit dem Einloggen in sein Zalo -Konto gemäß der Klausel „Erhebung, Schutz und Nutzung von Nutzerinformationen“ VNG (dem App-Herausgeber) die Erlaubnis, mithilfe technischer Verfahren Daten im Zusammenhang mit seinem Konto zu erheben und zu verarbeiten. Zu den grundlegenden personenbezogenen Daten, die Nutzer zu Identifizierungszwecken angeben, gehören Telefonnummer, Personalausweisnummer, vollständiger Name, Alter, Geschlecht, Familienstand, E-Mail-Adresse und Fotos. Auch der Hinweis, dass VNG personenbezogene Daten von Nutzern empfängt, weitergibt und an Tochter- und verbundene Unternehmen übermittelt, gibt vielen Nutzern Anlass zur Sorge hinsichtlich eines möglichen Datenlecks.

In letzter Zeit hat die Zahl von Betrugsfällen, bei denen sich die Täter als Lieferfahrer, Mitarbeiter von Energieversorgern oder Online-Käufer ausgeben, stark zugenommen. Ursache dafür sind durchgesickerte Daten. Die Opfer verlieren Geld oder werden über gefälschte Links oder Anwendungen in die Irre geführt, wodurch ihre Konten gestohlen werden und schwerwiegende Folgen entstehen. Strengere gesetzliche Maßnahmen können Datenlecks zwar nicht vollständig verhindern, bilden aber eine solide Grundlage für die Prävention und Bekämpfung von Online-Betrug.

Herr Ngo Minh Hieu (Direktor des Projekts zur Betrugsbekämpfung)

Laut Herrn Vo Do Thang, Direktor des Athena Cybersecurity Training Center, beantragt Zalo das Recht, auf die personenbezogenen Daten der Nutzer zuzugreifen und diese zu verarbeiten. Die neue Ankündigung erläutert jedoch nicht klar die Vorteile, die sich aus der Zustimmung zur Bereitstellung und Nutzung der personenbezogenen Daten ergeben, oder den Mehrwert, den Zalo bietet. Wie entschädigt Zalo Nutzer im Falle eines Datenlecks und daraus resultierender Schäden? Diese Frage bereitet den Nutzern der Anwendung Sorgen. Daher muss Zalo die Pflichten und Rechte der Nutzer sowie die Haftung für Entschädigungsansprüche im Falle eines Datenlecks klar darlegen. Wie werden die von Zalo nach dem 1. Januar 2026 von früheren Nutzern erhobenen personenbezogenen Daten gespeichert und verwendet? Gibt es Unterschiede in den Rechten zwischen Nutzern, die vor dem 1. Januar 2026 zugestimmt haben, und solchen, die dies später tun? Darüber hinaus muss Zalo Änderungen mindestens 30 Tage im Voraus ankündigen, damit sich die Nutzer vorbereiten können. Diese Punkte muss die Social-Media-Anwendung transparenter kommunizieren, um die Nutzer umfassend zu informieren.

Der Cybersicherheitsexperte Nguyen Van Thu interpretiert Zalos Ankündigung als Aktualisierung im Sinne des kommenden Datenschutzgesetzes 2025. Bisher verlangten viele soziale Netzwerke und andere Anwendungen von ihren Nutzern bei der Registrierung die Zustimmung zu den Nutzungsbedingungen. Viele Nutzer schenkten diesen nicht genügend Beachtung, lasen die Bedingungen nicht sorgfältig und stimmten automatisch zu oder ignorierten die Bestimmungen zum Datenschutz sogar. Unternehmen verlangten die Zustimmung der Nutzer auch nicht explizit. Mit dem Inkrafttreten des Datenschutzgesetzes 2025 dürfen Unternehmen personenbezogene Daten von Nutzern zur Kontoerstellung jedoch nur noch mit deren Zustimmung erheben. Sollten Nutzer ab 2026 bei der Nutzung von Anwendungen und sozialen Netzwerken feststellen, dass ihre personenbezogenen Daten für andere als die vereinbarten Zwecke verarbeitet oder verwendet werden, haben sie das Recht, insbesondere von Zalo oder allgemein von anderen Unternehmen die Löschung dieser Daten zu verlangen und gegebenenfalls Schadensersatzansprüche geltend zu machen.

Beitrag zur Betrugsbekämpfung

Eine weitere interessante Bestimmung des Datenschutzgesetzes von 2025 ist die klare Auflistung von sieben verbotenen Handlungen im Zusammenhang mit personenbezogenen Daten. Dazu gehören die Nutzung personenbezogener Daten anderer Personen zur Begehung illegaler Handlungen sowie der Kauf und Verkauf personenbezogener Daten . Tatsächlich hat der Handel mit personenbezogenen Daten in letzter Zeit stark zugenommen und ist weit verbreitet. Dies ist die Ursache zahlreicher Betrugsfälle. Daten werden von diesen Personen über lange Zeiträume hinweg in großen Mengen offen im Internet gehandelt, und zwar über diverse Websites, Konten und Gruppen in sozialen Medien wie Facebook, Zalo, Telegram und Hackerforen. Die Daten enthalten insbesondere sehr detaillierte persönliche Informationen wie: vollständiger Name, Geburtsdatum, Personalausweisnummer, Adresse, Telefonnummer, Bankkontonummer (einschließlich Kontostand), Angaben zu Verwandten, Berufsbezeichnung und Position.

Es ist Social-Media-Anwendungen untersagt, zur Kontoverifizierung Bilder oder Videos mit vollständigen oder teilweisen Ausweisdokumenten anzufordern.

Foto: Ngoc Duong

Herr Ngo Minh Hieu, Direktor des Projekts zur Betrugsbekämpfung , ist ebenfalls der Ansicht, dass das ab dem 1. Januar 2026 geltende Datenschutzgesetz zwar den jüngsten Anstieg von Online-Betrug nicht sofort beenden, aber dazu beitragen wird, diesen zu reduzieren und schrittweise einzudämmen. Er analysierte: „Dieses Gesetz schafft einen stärkeren Rechtsrahmen für den Schutz personenbezogener Daten. Es legt beispielsweise die Rechte von Einzelpersonen in Bezug auf ihre privaten Daten fest und gibt ihnen das Recht, die Löschung von Daten zu verlangen, wenn diese nicht mehr benötigt werden. Gleichzeitig regelt das Gesetz die Datenerhebung und -verarbeitung streng; Organisationen und Unternehmen müssen die Prozesse und die Privatsphäre ihrer Kunden respektieren und die Informations- und Cybersicherheit ihrer Systeme und Anwendungen regelmäßig überprüfen.“

„Wird das System einer Organisation angegriffen, muss sie die Behörden unverzüglich benachrichtigen, um Strafen zu vermeiden. In Fällen, in denen Mitarbeiter oder Verantwortliche eines Unternehmens oder einer Organisation Informationen an Dritte verkaufen, sieht dieses Gesetz zudem klare Sanktionen vor, die von strafrechtlichen Konsequenzen bis hin zu sehr hohen Bußgeldern reichen können, die sich nach dem Jahresumsatz richten. In letzter Zeit hat die Zahl der Betrugsfälle, bei denen sich Betrüger als Spediteure, Energieversorger oder Online-Käufer ausgeben, stark zugenommen – allesamt Folgen durch Datenlecks. Die Opfer verlieren Geld oder werden auf gefälschte Links oder Anwendungen gelockt, die ihre Konten stehlen und schwerwiegende Konsequenzen nach sich ziehen. Durch die Verschärfung der rechtlichen Hürden lassen sich Datenlecks zwar nicht vollständig verhindern, aber sie bieten eine sehr gute Grundlage für die Prävention und Bekämpfung von Online-Betrug“, so Ngo Minh Hieu abschließend.

Der Experte Nguyen Van Thu stimmte dem zu und erklärte, dass vor Inkrafttreten des Gesetzes jedes Unternehmen wahllos Kundendaten sammelte und nutzte, was zahlreiche negative Folgen für Einzelpersonen und die Gesellschaft insgesamt nach sich zog. Mit der offiziellen Anwendung des Gesetzes wird sich dieses Problem im Laufe der Zeit verringern, und das Bewusstsein von Bürgern und Unternehmen für den Schutz personenbezogener Daten wird steigen. Die Menschen werden proaktiver vorgehen, wenn sie persönliche Informationen online teilen. Wenn jeder sich des Datenschutzes bewusst ist, trägt dies dazu bei, die öffentliche Weitergabe von Informationen im Internet einzuschränken und Diebstahl und Handel mit personenbezogenen Daten frühzeitig zu erkennen und den zuständigen Behörden zur zeitnahen Bearbeitung zu melden. Dies wird den Handel mit personenbezogenen Daten reduzieren und zur Betrugsbekämpfung beitragen.

Nutzer haben das Recht, die Löschung ihrer Daten zu verlangen und Schadensersatz zu fordern.

Das Datenschutzgesetz 2025 legt eine Reihe von Nutzerrechten in Bezug auf personenbezogene Daten fest. Dazu gehören das Recht, die Berichtigung oder Löschung von Daten zu verlangen, wenn diese für den ursprünglichen Zweck der Erhebung nicht mehr erforderlich sind; das Recht, eine zuvor erteilte Einwilligung zur Verarbeitung personenbezogener Daten zu widerrufen ; sowie das Recht, Beschwerden einzureichen, Klagen zu erheben und Schadensersatz zu fordern. Beispielsweise stimmten Nutzer bisher bei der Registrierung für Dienstleistungen der Nutzung ihrer personenbezogenen Daten wie Telefonnummern und Adressen durch Unternehmen zu. Nutzte der Nutzer die Dienstleistung jedoch nicht mehr, wurden diese Daten weiterhin gespeichert und vom Unternehmen für Werbung und Marketing verwendet. Ab sofort können Nutzer die Löschung ihrer personenbezogenen Daten durch Unternehmen verlangen.

Das Gesetz legt insbesondere auch die Unterscheidung zwischen gewöhnlichen und sensiblen personenbezogenen Daten fest. Zu den sensiblen personenbezogenen Daten zählen beispielsweise Informationen zum Gesundheitszustand, zu Finanzen, biometrische Daten, zum Privatleben, zu politischen Ansichten usw., und die Verarbeitung dieser Daten unterliegt strengeren Schutzanforderungen.

Der Experte Ngo Minh Hieu betonte, dass das neue Gesetz die meisten Menschen betreffen wird, da persönliche Informationen und Daten immer wichtiger werden, insbesondere im Zeitalter der rasanten Entwicklung von KI. Zu den neuen Bestimmungen gehört das Recht der Nutzer, ihre personenbezogenen Daten zu löschen oder deren Löschung zu beantragen. Verbraucher sollten diese neuen Bestimmungen beachten, um von Datenverwaltungsstellen und Organisationen die Löschung ihrer Daten zu verlangen, sobald diese in Bereichen wie Finanzen und Telekommunikation nicht mehr benötigt werden.

„Diese Verordnung wird sicherlich vielen Menschen Probleme bereiten, denen ständig Immobilien, Wertpapiere oder Kredite angeboten werden, ohne dass sie wissen, wie sie dies stoppen können. Sobald das Gesetz in Kraft tritt, haben die Betroffenen eine rechtliche Grundlage, um dagegen vorzugehen“, erklärte Herr Ngo Minh Hieu weiter.

Laut Cybersicherheitsexperte Nguyen Van Thu werden Unternehmen in der Anfangsphase nach Inkrafttreten des Gesetzes am stärksten betroffen sein. Da Unternehmen personenbezogene Daten sammeln und speichern, die als riesige Datenspeicher gelten, sind sie ein Hauptziel für Hackerangriffe und den Diebstahl von Daten für Zwecke wie Betrug, Kontoübernahmen und Finanzdiebstahl. Um die Vorschriften einzuhalten und die personenbezogenen Daten ihrer Kunden zu schützen, müssen Unternehmen daher interne Prozesse zur Datenerfassung, -verarbeitung und zum Datenschutz implementieren. Gleichzeitig müssen sie technische Lösungen wie Hardware und Software einsetzen, um Datenkopien zu verhindern und Risiken zu minimieren.

Dies umfasst die Verhinderung externer Angriffe sowie den Schutz interner Mitarbeiter vor Datendiebstahl und -weitergabe. Solche Maßnahmen können zwar die Geschäftskosten erhöhen, sind aber für die Nutzer äußerst vorteilhaft, da Unternehmen dadurch ihre Cybersicherheit im laufenden Betrieb verbessern. Darüber hinaus erhalten Regierungsbehörden ausreichende Grundlage für Inspektionen, Kontrollen und Sanktionen gegen Organisationen und Unternehmen, die gegen Vorschriften verstoßen, wodurch die Nutzer besser geschützt werden.

Bei Verstößen gegen den Schutz personenbezogener Daten kann eine Geldbuße in Höhe von maximal 5 % des Umsatzes des Folgejahres verhängt werden.

Das Datenschutzgesetz 2025 sieht Folgendes vor: Die Höchststrafe für Ordnungswidrigkeiten im Zusammenhang mit dem Kauf und Verkauf personenbezogener Daten beträgt das Zehnfache des durch die Ordnungswidrigkeit erzielten Umsatzes. Die Höchststrafe für Ordnungswidrigkeiten von Organisationen, die gegen die Vorschriften zur grenzüberschreitenden Übermittlung personenbezogener Daten verstoßen, beträgt 5 % ihres Umsatzes im Vorjahr; dies gilt, wenn im Vorjahr kein Umsatz erzielt wurde oder die auf Basis des Umsatzes berechnete Strafe niedriger als die festgelegte Höchststrafe ist. Die Höchststrafe für sonstige Verstöße im Bereich des Datenschutzes beträgt 3 Milliarden VND. Einzelpersonen, die denselben Verstoß begehen, unterliegen einer Höchststrafe in Höhe der Hälfte der gegen Organisationen verhängten Strafe.

Der Kauf und Verkauf von personenbezogenen Daten ist strengstens verboten.

GRAFIK: BAO NGUYEN

Quelle: https://thanhnien.vn/du-lieu-ca-nhan-nong-truc-ngay-duoc-luat-bao-ve-185251228221725252.htm