Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung aktueller als je zuvor. Es h\u00e4ufen sich die F\u00e4lle, in denen gro\u00dfen Unternehmen oder auch nationalen Regierungen vorgeworfen wird, personenbezogene Daten von B\u00fcrgern ohne deren Einwilligung zu verarbeiten. Auch Vietnam bildet hier keine Ausnahme.
\nAm 17. April 2023 hat die vietnamesische Regierung das Gesetz Nr. 13\/2023\/ND-CP \u00fcber den Schutz personenbezogener Daten (PDPD) erlassen. Das lang erwartete und zugleich auch umstrittene Gesetz ist das erste Rechtsdokument mit umfassenden Bestimmungen zu personenbezogenen Daten und deren Schutz in Vietnam. Mit Ausnahme der zweij\u00e4hrigen \u00dcbergangsfrist f\u00fcr kleine und mittlere Unternehmen (KMU) gilt das PDPD seit dem 1. Juli 2023 f\u00fcr alle Unternehmen mit Sitz in\/oder au\u00dferhalb Vietnams, die in Vietnam T\u00e4tigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten aus\u00fcben. Im Folgenden werden einige Schl\u00fcsselbegriffe und Grundlagen der PDPD erl\u00e4utert.
\nI.\tDie Grundlagen: Neues Gesetz \u00fcber den Schutz personenbezogener Daten und die grenz\u00fcberschreitende \u00dcbermittlung von Daten
\n1.\tBegriffsbestimmung
\nDas Gesetz bezeichnet personenbezogene Daten als Informationen \u00fcber eine Person in jedweder Form (Zeichen, Buchstaben, Zahlen, Bilder usw.), die die tats\u00e4chliche oder m\u00f6gliche Identifizierung einer bestimmten Person betreffen, und unterteilt diese in zwei Kategorien: (i) allgemeine personenbezogene Daten wie Name, Geburtsdatum, Blutgruppe, Familienstand und \u2013 nicht zuletzt \u2013 Daten, welche die Aktivit\u00e4t oder den Aktivit\u00e4tsverlauf einer Person im Cyberraum widerspiegeln; und (ii) sensible personenbezogene Daten, die sich auf die politische Meinung, die Gesundheit, finanzielle Informationen (Kreditgeschichte, Einkommensniveau \u2026), soziale Beziehungen und Daten beziehen, die kraft Gesetzes als besonders sch\u00fctzenswert gelten und entsprechende Sicherheitsma\u00dfnahmen erforderlich machen.
\nDie Verarbeitung personenbezogener Daten ist im weitesten Sinne definiert als ein oder mehrere Vorg\u00e4nge betreffend solcher Daten, wie das Erheben, Erfassen, Analysieren, Speichern, die Ver\u00e4nderung, Offenlegung, Zugangsgew\u00e4hrung, das Auslesen, die Ver- und Entschl\u00fcsselung, die Bereitstellung, das L\u00f6schen bzw. die Vernichtung sowie andere damit zusammenh\u00e4ngende Vorg\u00e4nge.
\nDer Begriff der automatisierten Verarbeitung personenbezogener Daten umfasst alle Formen der elektronischen Verarbeitung solcher Daten mit dem Ziel der Auswertung, Analyse und Vorhersage der Aktivit\u00e4ten einer bestimmten Person, wie z.B. Gewohnheiten, pers\u00f6nliche Vorlieben, Zuverl\u00e4ssigkeit, Verhalten, Aufenthaltsort, Tendenzen, F\u00e4higkeiten und andere Umst\u00e4nde.
\nDas PDPD kennt die Begriffe des \u201eVerantwortlichen\u201c und des \u201eAuftragsverarbeiters\u201c und weist damit deutliche Parallelen zur vertrauten EU-Datenschutzgrundverordnung (EU-DSGVO) auf, f\u00fchrt aber dar\u00fcber hinaus auch den Begriff der \u201ef\u00fcr die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle\u201c (Stellen) ein.
\nDer f\u00fcr die Verarbeitung personenbezogener Daten Verantwortliche ist dabei eine Einrichtung oder Person, die \u00fcber die Zwecke und Mittel der Verarbeitung entscheidet; der Auftragsverarbeiter \u2013 eine Einrichtung oder Person, die Daten im Auftrag des Verantwortlichen aufgrund eines Vertrags oder einer Vereinbarung mit diesem verarbeitet. Die f\u00fcr die Kontrolle und die Verarbeitung personenbezogener Daten zust\u00e4ndige Stelle ist dagegen eine Einrichtung oder Person, die \u00fcber die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und diese zugleich direkt verarbeitet.
\n2.\tEinwilligung und Ausnahmen
\nIm Grundsatz macht das PDPD die Verarbeitung und Weitergabe personenbezogener Daten von der Erteilung einer Einwilligung durch den Betroffenen (Dateninhaber) abh\u00e4ngig und sieht lediglich f\u00fcnf Ausnahmen von diesem Grundsatz vor:
\n\u2022\tin Notsituationen zum Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen;
\n\u2022\tzwecks rechtm\u00e4\u00dfiger Offenlegung der Daten;
\n\u2022\tim Falle der Verarbeitung durch die zust\u00e4ndigen \u00f6ffentlichen Stellen f\u00fcr die Zwecke der Landesverteidigung und Landessicherheit, im Katastrophenfall und bei lebensbedrohlichen Krankheiten;
\n\u2022\tzwecks Erf\u00fcllung vertraglicher Verpflichtungen des Betroffenen; und
\n\u2022\tim Rahmen der Erf\u00fcllung von in Spezialgesetzen festgelegten T\u00e4tigkeiten \u00f6ffentlicher Stellen.
\nDas Schweigen oder die fehlende Reaktion des Betroffenen auf eine Anfrage zur Verarbeitung personenbezogener Daten gilt nicht als Einwilligung. Zudem kann der Betroffene seine Einwilligung auf einen bestimmten Teil der Verarbeitung beschr\u00e4nken oder diese an Bedingungen kn\u00fcpfen. Die Einwilligung des Betroffenen muss dabei in ausdruckbarer und kopierbarer Form erfolgen. Dar\u00fcber hinaus ist sie nur wirksam, wenn der Betroffene sie freiwillig und unmissverst\u00e4ndlich in Kenntnis (i) der Art der zu verarbeitenden personenbezogenen Daten; (ii) des Zwecks der Verarbeitung; (iii) der hierzu befugten Stellen; und (iv) seiner Rechte und Pflichten als Betroffener erteilt.
\nBei sensiblen personenbezogenen Daten muss der Betroffene umfassend \u00fcber die Natur der sensiblen Daten als solche informiert werden. Im Streitfall liegt die Beweislast bei dem Verantwortlichen bzw. der f\u00fcr die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle.
\n3.\tHinzukommt, dass der Betroffene vor jeder Verarbeitung sensibler personenbezogener Daten zu benachrichtigen ist, es sei denn:
\n\u2022\tdieser kennt den Inhalt der Verarbeitung und stimmt dieser zu;
\n\u2022\tdie Daten werden von einer zust\u00e4ndigen \u00f6ffentlichen Stelle in Aus\u00fcbung der ihr gesetzlich \u00fcbertragenen Aufgaben verarbeitet;
\n\u2022\tdie Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;
\n\u2022\tdie Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
\n\u2022\tdie Verarbeitung personenbezogener Daten erfolgt durch die zust\u00e4ndige Regulierungs-\/Aufsichtsbeh\u00f6rde im Falle eines Notstands zur Verteidigung des Staates sowie der \u00f6ffentlichen Ordnung und Sicherheit, bei Katastrophen gr\u00f6\u00dferen Ausma\u00dfes oder gef\u00e4hrlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass der Notstand ausgerufen werden muss; zur Verh\u00fctung und Bek\u00e4mpfung von Unruhen und Terrorismus, Straftaten und Rechtsverst\u00f6\u00dfen gem\u00e4\u00df den gesetzlichen Bestimmungen;
\n\u2022\tdie Verarbeitung dient der Erf\u00fcllung vertraglicher Verpflichtungen des Betroffenen gegen\u00fcber \u00f6ffentlichen Stellen, Einrichtugnen oder Privatpersonen gem\u00e4\u00df den gesetzlichen Bestimmungen;
\n\u2022\tdie Verarbeitung dient der Erf\u00fcllung gesetzlicher Aufgaben der Regulierungs-\/Aufsichtsbeh\u00f6rden;
\n4.\tes handelt sich um die Anfertigung von Ton- und Bildaufnahmen an \u00f6ffentlich zug\u00e4nglichen Orten durch die zust\u00e4ndigen \u00f6ffentlichen Stellen und deren Verarbeitung durch diese Stellen zum Schutz der \u00f6ffentlichen Sicherheit und Ordnung sowie der berechtigten Interessen und Rechte von Einrichtungen und Privatpersonen gem\u00e4\u00df den gesetzlichen Bestimmungen.
\n5.\tIm \u00dcbrigen ist der Verantwortliche bzw. die f\u00fcr die Kontrolle und Verarbeitung verantwortliche Stelle verpflichtet, den Betroffenen vor der Verarbeitung zu benachrichtigen, es sei denn, einer der folgenden Ausnahmef\u00e4lle liegt vor:
\n\u2022\tder Betroffene ist mit der Verarbeitung und deren Inhalt einverstanden;
\n\u2022\tdie Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;
\n\u2022\tdie Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
\n\u2022\tdie Verarbeitung personenbezogener Daten erfolgt durch die zust\u00e4ndige Regulierungs-\/Aufsichtsbeh\u00f6rde im Falle eines Notstands zur Verteidigung des Staates sowie der \u00f6ffentlichen Ordnung und Sicherheit, bei Katastrophen gr\u00f6\u00dferen Ausma\u00dfes oder gef\u00e4hrlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass der Notstand ausgerufen werden muss; zur Verh\u00fctung und Bek\u00e4mpfung von Unruhen und Terrorismus, Straftaten und Rechtsverst\u00f6\u00dfen gem\u00e4\u00df den gesetzlichen Bestimmungen;
\n\u2022\tdie Verarbeitung dient der Erf\u00fcllung vertraglicher Verpflichtungen des Betroffenen gegen\u00fcber \u00f6ffentlichen Stellen, Einrichtugnen oder Privatpersonen gem\u00e4\u00df den gesetzlichen Bestimmungen;
\n\u2022\tdie Verarbeitung dient der Erf\u00fcllung gesetzlicher Aufgaben der Regulierungs-\/Aufsichtsbeh\u00f6rden.
\n6.\tDie grenz\u00fcberschreitende \u00dcbermittlung personenbezogener Daten vietnamesischer B\u00fcrger muss die folgenden drei Voraussetzungen erf\u00fcllen:
\n\u2022\tder Betroffene hat in die \u00dcbermittlung eingewilligt;
\n\u2022\tdie Originaldaten werden in Vietnam aufbewahrt;
\n\u2022\tdie Stellen (d.h. der f\u00fcr die Verarbeitung personenbezogener Daten Verantwortliche, der Auftragsverarbeiter, die f\u00fcr die Kontrolle und Verarbeitung verantwortliche Stelle bzw. Dritte), die personenbezogene Daten ins Ausland \u00fcbermitteln, m\u00fcssen eine Absch\u00e4tzung der Folgen dieser \u00dcbermittlung vornehmen (sog. Transfer Impact Assessment, \u201eTIA\u201c).
\nDas PDPD verpflichtet die \u00fcbermittelnden Stellen, das TIA dem Ministerium f\u00fcr \u00f6ffentliche Sicherheit \u2013 Abteilung f\u00fcr Cybersicherheit und Bek\u00e4mpfung von High-Tech-Kriminalit\u00e4t innerhalb von 60 Tagen ab dem Zeitpunkt der Verarbeitung vorzulegen. Obwohl es sich hierbei \u2013 aus Sicht der adressierten Unternehmen \u2013 um eine neue Verpflichtung handelt, d\u00fcrfte deren Umsetzung nicht nur f\u00fcr diese, sondern auch f\u00fcr die zust\u00e4ndigen Aufsichtsbeh\u00f6rden zeitaufw\u00e4ndig sein.
\n7.\tRechtsfolgen von Verst\u00f6\u00dfen gegen die Datenschutzvorschriften:
\n\u2022\tGeldstrafen in H\u00f6he von 50 Millionen bis 100 Millionen VND;
\n\u2022\tStrafen nach dem vietnamesischen Strafgesetzbuch;
\n\u2022\tZus\u00e4tzliche Sanktionen: Aussetzung der Verarbeitung personenbezogener Daten f\u00fcr einen Zeitraum von bis zu drei Monaten, Entzug des Rechts, die vom Datenschutzausschuss erteilte schriftliche Genehmigung zur Verarbeitung sensibler personenbezogener Daten und zur grenz\u00fcberschreitenden \u00dcbermittlung von Daten zu verwenden, Erzwingung der Zahlung von aus der Begehung von Verst\u00f6\u00dfen stammenden Geldbetr\u00e4gen.
\nBei wiederholten Verst\u00f6\u00dfen gegen die Vorschriften zum Schutz personenbezogener Daten kann zus\u00e4tzlich zu den oben genannten Strafen ein Bu\u00dfgeld in H\u00f6he von bis zu 5 % des Gesamtumsatzes des datenverarbeitenden Unternehmens verh\u00e4ngt werden.
\nII.\tVietnams Verpflichtungen im Rahmen von EVFTA und CPTPP
\nDatenschutz und verwandte Themen spielen eine Schl\u00fcsselrolle bei der Gestaltung der digitalen Wirtschaft. Das PDPD ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden, um das Land n\u00e4her an internationale Standards heranzuf\u00fchren. Es ist jedoch das erste umfassende Regelwerk im Bereich des Schutzes personenbezogener Daten.
\nDie Verpflichtungen Vietnams zum Datenschutz im Rahmen des CPTPP werden haupts\u00e4chlich in Kapitel 14 (elektronischer Gesch\u00e4ftsverkehr) behandelt. Artikel 14.11 legt fest, dass die grenz\u00fcberschreitende \u00dcbermittlung von Daten zul\u00e4ssig sein muss, es sei denn, ihre Verhinderung dient einem legitimen Ziel der \u00f6ffentlichen Ordnung, vorausgesetzt, dass die Ma\u00dfnahme zur Verhinderung nicht in einer Weise angewandt wird, die ein Mittel zur willk\u00fcrlichen oder ungerechtfertigten Diskriminierung oder eine verschleierte Beschr\u00e4nkung des Handels darstellen w\u00fcrde, und dass sie die \u00dcbermittlung von Informationen nicht st\u00e4rker einschr\u00e4nkt, als es zur Erreichung dieses Ziels erforderlich ist. Artikel 14.13 legt f\u00fcr jede Vertragspartei die gleichen Voraussetzungen hinsichtlich der Lokalisierung von Daten fest.
\nW\u00e4hrend Kapitel 8 des EVFTA Fragen des Handels, des elektronischen Gesch\u00e4ftsverkehrs sowie Dienstleistungensfragen abdeckt, enth\u00e4lt es keine unmittelbaren Verpflichtungen zu Fragen des elektronischen Gesch\u00e4ftsverkehrs, des Datenschutzes oder der Datenlokalisierung, mit der einzigen Ausnahme, dass es zur Bildung eines Ausschusses aufruft, der einheitliche Grunds\u00e4tze und Regelungen in Bezug auf diese Bereiche entwickeln soll.
\nIII.\tVorl\u00e4ufige Hinweise zur praktischen Handhabung
\nDas PDPD erlegt den Stellen, die personenbezogene Daten verarbeiten, eine Reihe von Verpflichtungen auf. Daher ist es f\u00fcr Arbeitgeber\/Unternehmen (der \u201eArbeitgeber\u201c oder das \u201eUnternehmen\u201c) von entscheidender Bedeutung, diese zu ber\u00fccksichtigen und in die internen Vorschriften und Vertr\u00e4ge\/Vereinbarungen mit Dritten aufzunehmen.
\n1.\tInterne Arbeitsvorschriften und Arbeitsvertr\u00e4ge
\nSo ist beispielsweise erforderlich, dass der Arbeitgeber alle relevanten Verpflichtungen in Bezug auf personenbezogene Daten seiner Angestellten, Mitarbeiter, Vorstandsmitglieder usw. sowie in Bezug auf die Kunden, Mitglieder und deren Mitarbeiter in die internen Arbeitsregeln\/Kodizes und in den Tarifvertrag (falls vorhanden) aufnimmt. Dadurch soll sichergestellt werden, dass seine Angestellten und Mitarbeiter die Verpflichtungen in Bezug auf personenbezogene Daten einhalten.
\nAndernfalls besteht ein erhebliches Risiko, dass der Arbeitgeber die volle Verantwortung f\u00fcr die unrechtm\u00e4\u00dfige Verarbeitung und Offenlegung personenbezogener Daten durch seine Mitarbeiter tr\u00e4gt, ohne \u00fcber die erforderlichen Instrumente zu verf\u00fcgen, um gegen solche Verst\u00f6\u00dfe vorzugehen. Dar\u00fcber hinaus ist es ratsam, in den Arbeitsvertr\u00e4gen eindeutig festzulegen, dass die Arbeitnehmer die vom Arbeitgeber festgelegten sowie die kraft Gesetzes geltenden Vorgaben zum Schutz personenbezogener Daten einhalten m\u00fcssen.
\nEs empfiehlt sich auch, in den jeweiligen Arbeitsvertr\u00e4gen klarzustellen und zu vereinbaren, dass der Arbeitgeber personenbezogene Daten des Arbeitnehmers, wie z.B. Steuerdaten, Lebenslauf, Gesundheitsdaten, f\u00fcr die Zwecke des Arbeitsverh\u00e4ltnisses weiterverarbeiten darf. Hierdurch k\u00f6nnen k\u00fcnftige Klagen von Arbeitnehmern wegen unzul\u00e4ssiger Verarbeitung personenbezogener Daten durch den Arbeitgeber mit hoher Wahrscheinlichkeit vermieden werden. Wir beraten Sie auf Wunsch ausf\u00fchrlich vorbehaltlich der endg\u00fcltigen Fassung des Gesetzes.
\n2.\tVertr\u00e4ge\/Vereinbarungen mit Kunden\/Mitgliedern
\nUnternehmen und Arbeitgeber sollten alle gegenw\u00e4rtigen und zuk\u00fcnftigen Vertr\u00e4ge\/Vereinbarungen mit Kunden\/Mitgliedern \u00fcberdenken, neu verhandeln und \u00fcberarbeiten, um sicherzustellen, dass sie zur Verarbeitung\/Offenlegung bestimmter personenbezogener Daten berechtigt sind, und dass die betroffenen Kunden\/Mitglieder ihre Einwilligung zu einer solchen Offenlegung\/Verarbeitung erteilen. Unternehmen sollten \u2013 auf Wunsch mit unserer Unterst\u00fctzung \u2013 eine detaillierte Liste sowie Verfahren f\u00fcr die Erhebung, Speicherung, Offenlegung und sonstige Verarbeitung personenbezogener Daten von Kunden\/Mitgliedern erstellen.
\n***
\nBei Fragen k\u00f6nnen Sie gerne Dr. Oliver Massmann unter omassmann@duanemorris.com kontaktieren. Dr. Oliver Massmann ist gesch\u00e4ftsf\u00fchrender Direktor von Duane Morris Vietnam LLC.<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung aktueller als je zuvor. Es h\u00e4ufen sich die F\u00e4lle, in denen gro\u00dfen Unternehmen oder auch nationalen Regierungen vorgeworfen wird, personenbezogene Daten von B\u00fcrgern ohne deren Einwilligung zu verarbeiten. Auch Vietnam bildet hier keine Ausnahme. Am 17. April 2023 hat die vietnamesische Regierung … <\/p>\n