Am 17. April 2023 wurde das Dekret Nr. 13/2023/ND-CP zum Schutz personenbezogener Daten (PDPD) von der vietnamesischen Regierung offiziell erlassen. Das lang erwartete und umstrittene Dekret ist das erste Rechtsdokument mit umfassenden Regelungen zu personenbezogenen Daten und deren Schutz in Vietnam. Mit Ausnahme einer zweijährigen Schonfrist für KMU gilt das PDPD nach dem 1. Juli 2023 für alle Unternehmen mit Sitz in und/oder außerhalb Vietnams, die jedoch direkt in Vietnam personenbezogene Daten verarbeiten.
Gemäß dem PDPD werden personenbezogene Daten in grundlegende und sensible personenbezogene Daten unterteilt. Grundlegende personenbezogene Daten sind definiert als Name, Geschlecht, Kontaktdaten, Adresse, Identifikationsnummern, Bilder usw., während sensible Daten Informationen zum Privatleben einer Person sind, wie z. B. politische Meinung, Religion, Rasse, sexuelle Orientierung, Vorstrafen oder Gesundheitszustand. Die Definition grundlegender personenbezogener Daten scheint dem Verständnis der Mehrheit zu entsprechen. Für sensible Daten ist die Liste jedoch nicht erschöpfend.
Ähnlich wie die bekannte Datenschutz-Grundverordnung der EU führt die Datenschutz-Grundverordnung die Konzepte „Verantwortlicher“ und „Auftragsverarbeiter“ sowie ein völlig neues Konzept „Datenverwalter und -verarbeiter“ (Entitäten) ein. Der Umgang der Entitäten mit personenbezogenen Daten unterliegt gemäß der Datenschutz-Grundverordnung strengen Vorschriften. So benötigen die Entitäten beispielsweise eine gültige Einwilligung der betroffenen Person und müssen deren Zustimmung zur Verarbeitung personenbezogener Daten in bestimmten Formen (schriftlich, mündlich, durch Ankreuzen von Kästchen, per Nachricht usw.) einholen. Die Zustimmung ist zudem nur gültig, wenn die betroffene Person (i) die Art der zu verarbeitenden personenbezogenen Daten, (ii) den Zweck der Datenverarbeitung, (iii) die zur Verarbeitung personenbezogener Daten berechtigten Entitäten und (iv) ihre Rechte und Pflichten klar und freiwillig kennt. Entgegen der landläufigen Meinung ist Schweigen bei Anfragen zur Erhebung personenbezogener Daten kein „Ja“, sondern ein klares „Nein“. Zudem gibt es nur fünf wenige Fälle, in denen personenbezogene Daten ohne vorherige Zustimmung des Dateneigentümers verarbeitet werden dürfen: (i) Notfälle zum Schutz von Leben und Gesundheit; (ii) rechtmäßige Offenlegungen; (iii) Verarbeitung durch zuständige staatliche Behörden zum Zwecke der nationalen Verteidigung und Sicherheit; (iv) vertragliche Verpflichtungen; und (v) gesetzlich vorgeschriebene Tätigkeiten staatlicher Behörden.
Darüber hinaus gelten für Unternehmen verschiedene Management- und technische Maßnahmen zum Schutz personenbezogener Daten. Das PDPD verpflichtet Unternehmen, bei der Verarbeitung personenbezogener Daten und der Übermittlung personenbezogener Daten ins Ausland innerhalb von 60 Tagen ab dem Verarbeitungsdatum ein Dossier über die Auswirkungen auf den Datenschutz beim Ministerium für Cybersicherheit und High-Tech-Kriminalitätsprävention vorzulegen und einzureichen. Obwohl es sich eindeutig um eine neue Verpflichtung für Unternehmen handelt, wird die Umsetzung sowohl für Organisationen als auch für die zuständigen staatlichen Behörden voraussichtlich zeitaufwändig sein.
Obwohl die PDPD erst am 1. Juli 2023 in Kraft tritt, ist es für lokale und ausländische Organisationen an der Zeit, sich auf die Einhaltung der PDPD vorzubereiten, insbesondere im Hinblick auf Mechanismen zur Verarbeitung personenbezogener Daten und interne Richtlinien zur Datenkonformität. Ausländische Unternehmen oder solche, die personenbezogene Daten außerhalb Vietnams exportieren, müssen den extraterritorialen Geltungsbereich der PDPD berücksichtigen und entsprechende, geeignete Methoden für den grenzüberschreitenden Datentransfer einführen. In der Anfangsphase der PDPD sind Schwierigkeiten absehbar, und es ist die Aufgabe aller, diese zu bewältigen. Unternehmen wird empfohlen, ihren Plan zur Verarbeitung personenbezogener Daten umgehend zu überprüfen, um Verstöße gegen die PDPD zu vermeiden. Falls Sie Unterstützung bei der Einhaltung der PDPD benötigen, unterstützt Sie Duane Morris Vietnam LLC unter der Leitung von Dr. Oliver Massmann mit fast 25 Jahren Berufserfahrung in Vietnam gerne in dieser Angelegenheit.
***
Bitte zögern Sie nicht, Dr. Oliver Massmann unter [email protected] zu kontaktieren, falls Sie weitere Analysen zum PDPD benötigen und wissen möchten, wie Sie Ihre Richtlinien PDPD-konform gestalten können. Dr. Oliver Massmann ist Geschäftsführer von Duane Morris Vietnam LLC.
…
