NEUE VERORDNUNG ZUM SCHUTZ PERSONENBEZOGENER DATEN UND ZUR GRENZÜBERSCHREITENDEN BEREITSTELLUNG VON DATEN – GRUNDLAGEN UND HINWEISE ZUR PRAKTISCHEN UMGANG

Die Verarbeitung personenbezogener Daten ist im digitalen Zeitalter ein brisantes Thema. Immer mehr Großkonzerne oder sogar Regierungen werden beschuldigt, personenbezogene Daten ihrer Bürger ohne deren Einwilligung zu verwenden. Dieser Trend macht auch in Vietnam keine Ausnahme.

Am 17. April 2023 erließ die vietnamesische Regierung offiziell das Dekret Nr. 13/2023/ND-CP zum Schutz personenbezogener Daten (PDPD). Das lang erwartete und umstrittene Dekret ist das erste Rechtsdokument mit umfassenden Regelungen zu personenbezogenen Daten und deren Schutz in Vietnam. Mit Ausnahme einer zweijährigen Schonfrist für KMU gilt das PDPD nach dem 1. Juli 2023 für alle Unternehmen mit Sitz in und/oder außerhalb Vietnams, die jedoch direkt mit der Verarbeitung personenbezogener Daten in Vietnam befasst sind. Im Folgenden erläutern wir die wichtigsten Begriffe und Grundlagen des PDPD:

1. Grundlegendes: Neue Verordnung zum Schutz personenbezogener Daten und zur grenzüberschreitenden Datenübermittlung

1. Definition

Personenbezogene Daten sind Daten über eine Person in jeglicher Form (Symbol, Buchstabe, Zahl, Bild usw.) oder im Zusammenhang mit der Identifizierung oder möglichen Identifizierung einer bestimmten Person. Personenbezogene Daten umfassen zwei Bereiche: (i) Grundlegende personenbezogene Daten umfassen Name, Geburtsdatum, Blutgruppe, Familienstand und insbesondere Daten, die die Aktivitäten oder die Aktivitätshistorie einer Person im Cyberspace widerspiegeln; und (ii) sensible personenbezogene Daten über politische Meinungen, Gesundheit, finanzielle Daten (Kredithistorie, Einkommensniveau usw.), soziale Beziehungen sowie Daten, die gesetzlich als spezifisch gelten und notwendige Sicherheitsmaßnahmen erfordern.

Die Verarbeitung personenbezogener Daten wird allgemein als eine oder mehrere Handlungen definiert, die sich auf personenbezogene Daten auswirken, darunter Erhebung, Aufzeichnung, Analyse, Speicherung, Änderung, Offenlegung, Zugriffsrecht, Extraktion, Rücknahme, Verschlüsselung, Entschlüsselung, Übermittlung, Löschung, Stornierung und andere damit verbundene Handlungen.

Automatische Verarbeitung personenbezogener Daten ist definiert als eine Form der elektronischen Datenverarbeitung zur Bewertung, Analyse und Vorhersage der Aktivitäten einer bestimmten Person, wie z. B. Gewohnheiten, Vorlieben, Vertrauensniveau, Verhalten, Standort, Trends, Kapazitäten und andere Umstände.

Ähnlich wie die bekannte Datenschutz-Grundverordnung der EU führt die Datenschutz-Grundverordnung die Konzepte „Verantwortlicher für personenbezogene Daten“ und „Auftragsverarbeiter für personenbezogene Daten“ sowie ein völlig neues Konzept „Kontroll- und Verarbeitungsstelle für personenbezogene Daten“ (Stellen) ein.

Verantwortlicher für personenbezogene Daten ist eine Organisation oder Einzelperson, die über Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet. Ein Auftragsverarbeiter personenbezogener Daten ist eine Organisation oder Person, die Daten im Auftrag des Verantwortlichen im Rahmen eines Vertrags oder einer Vereinbarung mit diesem verarbeitet. Ein Verantwortlicher und Verarbeiter personenbezogener Daten ist eine Organisation oder Person, die gemeinsam über Zwecke und Mittel entscheidet und personenbezogene Daten direkt verarbeitet.

2. Einwilligung und Ausnahme

Die Datenschutz-Grundverordnung (DSGVO) schreibt grundsätzlich vor, dass Dateninhaber vor der Verarbeitung und Weitergabe solcher Daten ihre Einwilligung erteilen müssen, mit Ausnahme der folgenden fünf Fälle:

• In Notsituationen zum Schutz von Leben und Gesundheit des Dateninhabers oder anderer Personen;
• Rechtmäßige Offenlegung;
• Verarbeitung durch zuständige staatliche Behörden zur nationalen Verteidigung und Sicherheit, bei Katastrophen und tödlichen Krankheiten;
• Vertragliche Verpflichtungen; und
• Tätigkeiten staatlicher Behörden gemäß den gesetzlichen Bestimmungen.

 
Bei der Anfrage zur Verarbeitung personenbezogener Daten gilt Schweigen oder Nichtbeantworten des Dateninhabers nicht als Zustimmung. Der Dateninhaber kann der Anfrage nur teilweise zustimmen oder sie unter Auflagen genehmigen. Die Einwilligung des Dateninhabers muss schriftlich und druckbar vorliegen. Die Einwilligung ist nur gültig, wenn die betroffene Person (i) die Art der zu verarbeitenden personenbezogenen Daten, (ii) den Zweck der Datenverarbeitung, (iii) die zur Verarbeitung berechtigten Stellen und (iv) ihre Rechte und Pflichten klar und freiwillig kennt.

Bei sensiblen personenbezogenen Daten muss der Dateninhaber umfassend über die Art der zu verarbeitenden Daten informiert werden. Im Streitfall trägt der Datenverarbeiter die Beweislast.

3. Vor jeder Verarbeitung sensibler personenbezogener Daten muss der Dateninhaber benachrichtigt werden, außer in folgenden Fällen:

• Der Dateninhaber kennt den Inhalt und stimmt ihm vollumfänglich zu.
• Die personenbezogenen Daten werden von der zuständigen staatlichen Stelle verarbeitet, um die gesetzlich vorgeschriebenen Aufgaben dieser Stelle zu erfüllen.
• Die personenbezogenen Daten werden verarbeitet, um das Leben und die Gesundheit der betroffenen Person oder anderer Personen in einer Notsituation zu schützen.
• Die Weitergabe personenbezogener Daten erfolgt gemäß den gesetzlichen Bestimmungen.
• Die Verarbeitung personenbezogener Daten durch die zuständigen Aufsichtsbehörden erfolgt im Falle eines Notstands hinsichtlich der Landesverteidigung, der Sicherheit, der öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; wenn eine Bedrohung der Sicherheit und Landesverteidigung besteht, jedoch nicht in dem Ausmaß, dass ein Notstand ausgerufen werden muss. zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Verbrechen und Gesetzesverstößen gemäß den gesetzlichen Bestimmungen;
• Die personenbezogenen Daten werden verarbeitet, um die vertraglichen Verpflichtungen der betroffenen Personen mit zuständigen Behörden, Organisationen und Einzelpersonen gemäß den gesetzlichen Bestimmungen zu erfüllen;
• Die personenbezogenen Daten werden verarbeitet, um den Aufgaben der Aufsichtsbehörden gemäß den geltenden Gesetzen nachzukommen;
• Zuständige Behörden und Organisationen, die Audio- und Videoaufzeichnungen durchführen und personenbezogene Daten aus Audio- und Videoaufzeichnungen im öffentlichen Raum verarbeiten, um die nationale Sicherheit, die öffentliche Ordnung und Sicherheit sowie die legitimen Rechte und Interessen von Organisationen und Einzelpersonen gemäß den gesetzlichen Bestimmungen zu schützen.

4. Verarbeiter personenbezogener Daten sind verpflichtet, den Dateninhaber vor der Verarbeitung zu informieren, mit Ausnahme der folgenden Fälle:

• Der Dateninhaber hat dem Inhalt und den Maßnahmen der Verarbeitung personenbezogener Daten uneingeschränkt zugestimmt.
• Die personenbezogenen Daten werden zum Schutz des Lebens und der Gesundheit der betroffenen Person oder anderer Personen in einer Notsituation verarbeitet.
• Weitergabe personenbezogener Daten gemäß den gesetzlichen Bestimmungen.
• Verarbeitung personenbezogener Daten durch zuständige Aufsichtsbehörden im Falle eines Notstands hinsichtlich der nationalen Verteidigung, Sicherheit, öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; wenn eine Bedrohung der Sicherheit und der nationalen Verteidigung besteht, die jedoch nicht den Notstand ausruft. zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Verbrechen und Gesetzesverstößen gemäß den gesetzlichen Bestimmungen;
• Die personenbezogenen Daten werden verarbeitet, um die vertraglichen Verpflichtungen der betroffenen Personen mit relevanten Behörden, Organisationen und Einzelpersonen gemäß den gesetzlichen Bestimmungen zu erfüllen;
• Die personenbezogenen Daten werden verarbeitet, um den Aufgaben der Aufsichtsbehörden gemäß den einschlägigen Gesetzen nachzukommen;

5. Die grenzüberschreitende Übermittlung personenbezogener Daten vietnamesischer Staatsbürger muss die folgenden drei Bedingungen erfüllen:

• Der Dateneigentümer hat der Übermittlung zugestimmt;
• Die Originaldaten werden in Vietnam gespeichert;
• Die Parteien, die Daten ins Ausland übermitteln (einschließlich Verantwortlicher für personenbezogene Daten, Auftragsverarbeiter und Verantwortliche, Auftragsverarbeiter und Dritte), müssen Aufzeichnungen über die Folgenabschätzung der Übermittlung personenbezogener Daten vorlegen.

Das Datenschutzgesetz verpflichtet Unternehmen, bei der Verarbeitung personenbezogener Daten und der Übermittlung personenbezogener Daten ins Ausland innerhalb von 60 Tagen ab dem Verarbeitungsdatum Unterlagen zu den Auswirkungen auf den Datenschutz vorzulegen und an die Abteilung für Cybersicherheit und High-Tech-Kriminalitätsprävention zu übermitteln. Obwohl es sich hierbei eindeutig um eine neue Verpflichtung für Unternehmen handelt, wird die Umsetzung sowohl für Organisationen als auch für die zuständigen staatlichen Behörden voraussichtlich zeitaufwändig sein.

6. Strafen bei Verstößen gegen Datenschutzbestimmungen:

• Die Geldbußen liegen zwischen 50 und 100 Millionen VND.
• Strafen nach dem Strafgesetzbuch.
• Zusätzliche Strafen: Aussetzung der Verarbeitung personenbezogener Daten für bis zu drei Monate, Entzug des Rechts auf Nutzung der schriftlichen Einwilligung des Datenschutzausschusses zur Verarbeitung sensibler personenbezogener Daten und zur grenzüberschreitenden Datenübertragung sowie Zwangszahlung von durch Verstöße erzielten Geldern.

Mehrfache Verstöße gegen Datenschutzbestimmungen durch einen Datenverarbeiter in Vietnam können zusätzlich zu den oben genannten Strafen zu einer Höchststrafe von 5 % des Gesamtumsatzes des Datenverarbeiters führen.

1. Vietnams Verpflichtungen im Rahmen des EVFTA und des CPTPP

Datenschutz und relevante Themen spielen eine wichtige Rolle bei der Gestaltung der digitalen Wirtschaft. Das Datenschutzgesetz ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden, um eine stärkere Angleichung an internationale Standards zu ermöglichen. Es ist das erste konsolidierte Regelwerk zum Schutz personenbezogener Daten.

Vietnams Verpflichtungen zum Datenschutz im Rahmen des CPTPP werden hauptsächlich in Kapitel 14 (E-Commerce) erörtert. Artikel 14.11 sieht vor, dass grenzüberschreitende Datenübermittlungen erlaubt sein müssen, außer in Fällen, in denen die Verhinderung einem legitimen öffentlichen Ordnungsziel dient, sofern die Maßnahme „nicht in einer Weise angewendet wird, die ein Mittel zur willkürlichen oder ungerechtfertigten Diskriminierung oder eine verschleierte Handelsbeschränkung darstellt; und keine Beschränkungen für die Informationsübermittlung auferlegt, die über das zur Erreichung des Ziels erforderliche Maß hinausgehen.“ Artikel 14.13 legt allen Vertragsparteien die gleichen Bedingungen für die Datenlokalisierung auf.

Kapitel 8 des EVFTA behandelt zwar Fragen des Handels, der Dienstleistungen und des elektronischen Handels, enthält jedoch keine unmittelbaren Verpflichtungen zu Fragen des elektronischen Handels, des Datenschutzes oder der Datenlokalisierung. Es fordert lediglich die Bildung eines Ausschusses zur Entwicklung einheitlicher Grundsätze und Regulierungssysteme in diesen Bereichen.

• Vorläufige Hinweise zur praktischen Handhabung

Die Datenschutz-Grundverordnung (PDPD) sieht verschiedene Pflichten für die Partei vor, die personenbezogene Daten verarbeitet und offenlegt. Daher ist es für Arbeitgeber/Unternehmen (der „Arbeitgeber“ oder das „Unternehmen“) von entscheidender Bedeutung, diese Pflichten in ihren internen Regeln und Verträgen mit Dritten zu berücksichtigen und zu übernehmen.

1. Interne Arbeitsvorschriften und Arbeitsverträge

Der Arbeitgeber ist verpflichtet, alle relevanten Verpflichtungen in Bezug auf personenbezogene Daten seiner Mitarbeiter, Angestellten, Geschäftsführer usw. sowie seiner Kunden, Mitglieder und deren Mitarbeiter in seine internen Arbeitsvorschriften und Tarifverträge (sofern vorhanden) zu integrieren. Dadurch soll sichergestellt werden, dass seine Mitarbeiter diese Verpflichtungen in Bezug auf personenbezogene Daten einhalten.
Andernfalls besteht ein sehr hohes Risiko, dass der Arbeitgeber die volle Verantwortung für die unerlaubte Verarbeitung und Offenlegung seiner Mitarbeiter trägt, ohne über die notwendigen Instrumente zur Bekämpfung solcher Verstöße zu verfügen. Darüber hinaus ist es ratsam, in den Arbeitsverträgen mit den Mitarbeitern klar festzulegen, dass diese die vom Arbeitgeber erlassenen Datenschutzbestimmungen und die geltenden Gesetze einhalten müssen.

Darüber hinaus ist es ratsam, mit den Mitarbeitern in den entsprechenden Arbeitsverträgen die mögliche Verarbeitung personenbezogener Daten durch den Arbeitgeber für Beschäftigungszwecke, wie z. B. Steuerinformationen, Lebensläufe, Gesundheitsinformationen usw., zu verhandeln und zu vereinbaren. Dies würde voraussichtlich zukünftige Ansprüche der Mitarbeiter des Arbeitgebers wegen unerlaubter Verarbeitung personenbezogener Daten der Mitarbeiter verhindern. Wir beraten Sie auf Wunsch ausführlich, vorbehaltlich der endgültigen Entscheidung.

2. Vertrag/Vereinbarung mit Kunden/Mitgliedern

Es ist ratsam, dass Unternehmen und Arbeitgeber alle aktuellen und zukünftigen Verträge/Vereinbarungen zwischen Unternehmen und Kunden/Mitgliedern prüfen, neu verhandeln und aktualisieren. Diese Vereinbarungen berechtigen Unternehmen und Arbeitgeber zur Offenlegung/Verarbeitung einer bestimmten Liste personenbezogener Daten und stimmen deren Einwilligung zu. Unternehmen sollte, gegebenenfalls mit unserer Unterstützung, eine klare Liste und ein Verfahren zur Erhebung, Speicherung, Offenlegung und sonstigen Verarbeitung personenbezogener Daten von Kunden/Mitgliedern erstellen.

***

Bei Fragen wenden Sie sich bitte an Dr. Oliver Massmann unter [email protected]. Dr. Oliver Massmann ist Generaldirektor von Duane Morris Vietnam LLC.