Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung aktueller als je zuvor. Es häufen sich die Fälle, in denen großen Unternehmen oder auch nationalen Regierungen vorgeworfen wird, personenbezogene Daten von Bürgern ohne deren Einwilligung zu verarbeiten. Auch Vietnam bildet hier keine Ausnahme.
Am 17. April 2023 hat die vietnamesische Regierung das Gesetz Nr. 13/2023/ND-CP über den Schutz personenbezogener Daten (PDPD) erlassen. Das lang erwartete und zugleich auch umstrittene Gesetz ist das erste Rechtsdokument mit umfassenden Bestimmungen zu personenbezogenen Daten und deren Schutz in Vietnam. Mit Ausnahme der zweijährigen Übergangsfrist für kleine und mittlere Unternehmen (KMU) gilt das PDPD seit dem 1. Juli 2023 für alle Unternehmen mit Sitz in/oder außerhalb Vietnams, die in Vietnam Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten ausüben. Im Folgenden werden einige Schlüsselbegriffe und Grundlagen der PDPD erläutert.
- Die Grundlagen: Neues Gesetz über den Schutz personenbezogener Daten und die grenzüberschreitende Übermittlung von Daten
- Begriffsbestimmung
Das Gesetz bezeichnet personenbezogene Daten als Informationen über eine Person in jedweder Form (Zeichen, Buchstaben, Zahlen, Bilder usw.), die die tatsächliche oder mögliche Identifizierung einer bestimmten Person betreffen, und unterteilt diese in zwei Kategorien: (i) allgemeine personenbezogene Daten wie Name, Geburtsdatum, Blutgruppe, Familienstand und – nicht zuletzt – Daten, welche die Aktivität oder den Aktivitätsverlauf einer Person im Cyberraum widerspiegeln; und (ii) sensible personenbezogene Daten, die sich auf die politische Meinung, die Gesundheit, finanzielle Informationen (Kreditgeschichte, Einkommensniveau …), soziale Beziehungen und Daten beziehen, die kraft Gesetzes als besonders schützenswert gelten und entsprechende Sicherheitsmaßnahmen erforderlich machen.
Die Verarbeitung personenbezogener Daten ist im weitesten Sinne definiert als ein oder mehrere Vorgänge betreffend solcher Daten, wie das Erheben, Erfassen, Analysieren, Speichern, die Veränderung, Offenlegung, Zugangsgewährung, das Auslesen, die Ver- und Entschlüsselung, die Bereitstellung, das Löschen bzw. die Vernichtung sowie andere damit zusammenhängende Vorgänge.
Der Begriff der automatisierten Verarbeitung personenbezogener Daten umfasst alle Formen der elektronischen Verarbeitung solcher Daten mit dem Ziel der Auswertung, Analyse und Vorhersage der Aktivitäten einer bestimmten Person, wie z.B. Gewohnheiten, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Tendenzen, Fähigkeiten und andere Umstände.
Das PDPD kennt die Begriffe des „Verantwortlichen“ und des „Auftragsverarbeiters“ und weist damit deutliche Parallelen zur vertrauten EU-Datenschutzgrundverordnung (EU-DSGVO) auf, führt aber darüber hinaus auch den Begriff der „für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle“ (Stellen) ein.
Der für die Verarbeitung personenbezogener Daten Verantwortliche ist dabei eine Einrichtung oder Person, die über die Zwecke und Mittel der Verarbeitung entscheidet; der Auftragsverarbeiter – eine Einrichtung oder Person, die Daten im Auftrag des Verantwortlichen aufgrund eines Vertrags oder einer Vereinbarung mit diesem verarbeitet. Die für die Kontrolle und die Verarbeitung personenbezogener Daten zuständige Stelle ist dagegen eine Einrichtung oder Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und diese zugleich direkt verarbeitet.
- Einwilligung und Ausnahmen
Im Grundsatz macht das PDPD die Verarbeitung und Weitergabe personenbezogener Daten von der Erteilung einer Einwilligung durch den Betroffenen (Dateninhaber) abhängig und sieht lediglich fünf Ausnahmen von diesem Grundsatz vor:
- in Notsituationen zum Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen;
- zwecks rechtmäßiger Offenlegung der Daten;
- im Falle der Verarbeitung durch die zuständigen öffentlichen Stellen für die Zwecke der Landesverteidigung und Landessicherheit, im Katastrophenfall und bei lebensbedrohlichen Krankheiten;
- zwecks Erfüllung vertraglicher Verpflichtungen des Betroffenen; und
- im Rahmen der Erfüllung von in Spezialgesetzen festgelegten Tätigkeiten öffentlicher Stellen.
Das Schweigen oder die fehlende Reaktion des Betroffenen auf eine Anfrage zur Verarbeitung personenbezogener Daten gilt nicht als Einwilligung. Zudem kann der Betroffene seine Einwilligung auf einen bestimmten Teil der Verarbeitung beschränken oder diese an Bedingungen knüpfen. Die Einwilligung des Betroffenen muss dabei in ausdruckbarer und kopierbarer Form erfolgen. Darüber hinaus ist sie nur wirksam, wenn der Betroffene sie freiwillig und unmissverständlich in Kenntnis (i) der Art der zu verarbeitenden personenbezogenen Daten; (ii) des Zwecks der Verarbeitung; (iii) der hierzu befugten Stellen; und (iv) seiner Rechte und Pflichten als Betroffener erteilt.
Bei sensiblen personenbezogenen Daten muss der Betroffene umfassend über die Natur der sensiblen Daten als solche informiert werden. Im Streitfall liegt die Beweislast bei dem Verantwortlichen bzw. der für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle.
- Hinzukommt, dass der Betroffene vor jeder Verarbeitung sensibler personenbezogener Daten zu benachrichtigen ist, es sei denn:
- dieser kennt den Inhalt der Verarbeitung und stimmt dieser zu;
- die Daten werden von einer zuständigen öffentlichen Stelle in Ausübung der ihr gesetzlich übertragenen Aufgaben verarbeitet;
- die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;
- die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
- die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
- die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen Bestimmungen;
- die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-/Aufsichtsbehörden;
- es handelt sich um die Anfertigung von Ton- und Bildaufnahmen an öffentlich zugänglichen Orten durch die zuständigen öffentlichen Stellen und deren Verarbeitung durch diese Stellen zum Schutz der öffentlichen Sicherheit und Ordnung sowie der berechtigten Interessen und Rechte von Einrichtungen und Privatpersonen gemäß den gesetzlichen Bestimmungen.
- Im Übrigen ist der Verantwortliche bzw. die für die Kontrolle und Verarbeitung verantwortliche Stelle verpflichtet, den Betroffenen vor der Verarbeitung zu benachrichtigen, es sei denn, einer der folgenden Ausnahmefälle liegt vor:
- der Betroffene ist mit der Verarbeitung und deren Inhalt einverstanden;
- die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;
- die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
- die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
- die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen Bestimmungen;
- die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-/Aufsichtsbehörden.
- Die grenzüberschreitende Übermittlung personenbezogener Daten vietnamesischer Bürger muss die folgenden drei Voraussetzungen erfüllen:
- der Betroffene hat in die Übermittlung eingewilligt;
- die Originaldaten werden in Vietnam aufbewahrt;
- die Stellen (d.h. der für die Verarbeitung personenbezogener Daten Verantwortliche, der Auftragsverarbeiter, die für die Kontrolle und Verarbeitung verantwortliche Stelle bzw. Dritte), die personenbezogene Daten ins Ausland übermitteln, müssen eine Abschätzung der Folgen dieser Übermittlung vornehmen (sog. Transfer Impact Assessment, „TIA“).
Das PDPD verpflichtet die übermittelnden Stellen, das TIA dem Ministerium für öffentliche Sicherheit – Abteilung für Cybersicherheit und Bekämpfung von High-Tech-Kriminalität innerhalb von 60 Tagen ab dem Zeitpunkt der Verarbeitung vorzulegen. Obwohl es sich hierbei – aus Sicht der adressierten Unternehmen – um eine neue Verpflichtung handelt, dürfte deren Umsetzung nicht nur für diese, sondern auch für die zuständigen Aufsichtsbehörden zeitaufwändig sein.
- Rechtsfolgen von Verstößen gegen die Datenschutzvorschriften:
- Vietnams Verpflichtungen im Rahmen von EVFTA und CPTPP
Datenschutz und verwandte Themen spielen eine Schlüsselrolle bei der Gestaltung der digitalen Wirtschaft. Das PDPD ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden, um das Land näher an internationale Standards heranzuführen. Es ist jedoch das erste umfassende Regelwerk im Bereich des Schutzes personenbezogener Daten.
Die Verpflichtungen Vietnams zum Datenschutz im Rahmen des CPTPP werden hauptsächlich in Kapitel 14 (elektronischer Geschäftsverkehr) behandelt. Artikel 14.11 legt fest, dass die grenzüberschreitende Übermittlung von Daten zulässig sein muss, es sei denn, ihre Verhinderung dient einem legitimen Ziel der öffentlichen Ordnung, vorausgesetzt, dass die Maßnahme zur Verhinderung nicht in einer Weise angewandt wird, die ein Mittel zur willkürlichen oder ungerechtfertigten Diskriminierung oder eine verschleierte Beschränkung des Handels darstellen würde, und dass sie die Übermittlung von Informationen nicht stärker einschränkt, als es zur Erreichung dieses Ziels erforderlich ist. Artikel 14.13 legt für jede Vertragspartei die gleichen Voraussetzungen hinsichtlich der Lokalisierung von Daten fest.
Während Kapitel 8 des EVFTA Fragen des Handels, des elektronischen Geschäftsverkehrs sowie Dienstleistungensfragen abdeckt, enthält es keine unmittelbaren Verpflichtungen zu Fragen des elektronischen Geschäftsverkehrs, des Datenschutzes oder der Datenlokalisierung, mit der einzigen Ausnahme, dass es zur Bildung eines Ausschusses aufruft, der einheitliche Grundsätze und Regelungen in Bezug auf diese Bereiche entwickeln soll.
- Vorläufige Hinweise zur praktischen Handhabung
Das PDPD erlegt den Stellen, die personenbezogene Daten verarbeiten, eine Reihe von Verpflichtungen auf. Daher ist es für Arbeitgeber/Unternehmen (der „Arbeitgeber“ oder das „Unternehmen“) von entscheidender Bedeutung, diese zu berücksichtigen und in die internen Vorschriften und Verträge/Vereinbarungen mit Dritten aufzunehmen.
- Interne Arbeitsvorschriften und Arbeitsverträge
So ist beispielsweise erforderlich, dass der Arbeitgeber alle relevanten Verpflichtungen in Bezug auf personenbezogene Daten seiner Angestellten, Mitarbeiter, Vorstandsmitglieder usw. sowie in Bezug auf die Kunden, Mitglieder und deren Mitarbeiter in die internen Arbeitsregeln/Kodizes und in den Tarifvertrag (falls vorhanden) aufnimmt. Dadurch soll sichergestellt werden, dass seine Angestellten und Mitarbeiter die Verpflichtungen in Bezug auf personenbezogene Daten einhalten.
Andernfalls besteht ein erhebliches Risiko, dass der Arbeitgeber die volle Verantwortung für die unrechtmäßige Verarbeitung und Offenlegung personenbezogener Daten durch seine Mitarbeiter trägt, ohne über die erforderlichen Instrumente zu verfügen, um gegen solche Verstöße vorzugehen. Darüber hinaus ist es ratsam, in den Arbeitsverträgen eindeutig festzulegen, dass die Arbeitnehmer die vom Arbeitgeber festgelegten sowie die kraft Gesetzes geltenden Vorgaben zum Schutz personenbezogener Daten einhalten müssen.
Es empfiehlt sich auch, in den jeweiligen Arbeitsverträgen klarzustellen und zu vereinbaren, dass der Arbeitgeber personenbezogene Daten des Arbeitnehmers, wie z.B. Steuerdaten, Lebenslauf, Gesundheitsdaten, für die Zwecke des Arbeitsverhältnisses weiterverarbeiten darf. Hierdurch können künftige Klagen von Arbeitnehmern wegen unzulässiger Verarbeitung personenbezogener Daten durch den Arbeitgeber mit hoher Wahrscheinlichkeit vermieden werden. Wir beraten Sie auf Wunsch ausführlich vorbehaltlich der endgültigen Fassung des Gesetzes.
- Verträge/Vereinbarungen mit Kunden/Mitgliedern
Unternehmen und Arbeitgeber sollten alle gegenwärtigen und zukünftigen Verträge/Vereinbarungen mit Kunden/Mitgliedern überdenken, neu verhandeln und überarbeiten, um sicherzustellen, dass sie zur Verarbeitung/Offenlegung bestimmter personenbezogener Daten berechtigt sind, und dass die betroffenen Kunden/Mitglieder ihre Einwilligung zu einer solchen Offenlegung/Verarbeitung erteilen. Unternehmen sollten – auf Wunsch mit unserer Unterstützung – eine detaillierte Liste sowie Verfahren für die Erhebung, Speicherung, Offenlegung und sonstige Verarbeitung personenbezogener Daten von Kunden/Mitgliedern erstellen.
***
Bei Fragen können Sie gerne Dr. Oliver Massmann unter [email protected] kontaktieren. Dr. Oliver Massmann ist geschäftsführender Direktor von Duane Morris Vietnam LLC.