Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...Dr. Oliver Massmann
Weitere ähnliche Inhalte
Ähnlich wie Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN
Cloud computing und Datenschutz im Gesundheitssektor 2016ehlaw
Ähnlich wie Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN (20)
Lawyer in Vietnam Dr Oliver Massmann - Vietnam and the World
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN
1. Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ
PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN
Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung
aktueller als je zuvor. Es häufen sich die Fälle, in denen großen Unternehmen oder auch nationalen
Regierungen vorgeworfen wird, personenbezogene Daten von Bürgern ohne deren Einwilligung zu
verarbeiten. Auch Vietnam bildet hier keine Ausnahme.
Am 17. April 2023 hat die vietnamesische Regierung das Gesetz Nr. 13/2023/ND-CP über den Schutz
personenbezogener Daten (PDPD) erlassen. Das lang erwartete und zugleich auch umstrittene Gesetz
ist das erste Rechtsdokument mit umfassenden Bestimmungen zu personenbezogenen Daten und
deren Schutz in Vietnam. Mit Ausnahme der zweijährigen Übergangsfrist für kleine und mittlere
Unternehmen (KMU) gilt das PDPD seit dem 1. Juli 2023 für alle Unternehmen mit Sitz in/oder
außerhalb Vietnams, die in Vietnam Tätigkeiten im Zusammenhang mit der Verarbeitung
personenbezogener Daten ausüben. Im Folgenden werden einige Schlüsselbegriffe und Grundlagen
der PDPD erläutert.
I. Die Grundlagen: Neues Gesetz über den Schutz personenbezogener Daten und die
grenzüberschreitende Übermittlung von Daten
1. Begriffsbestimmung
Das Gesetz bezeichnet personenbezogene Daten als Informationen über eine Person in jedweder
Form (Zeichen, Buchstaben, Zahlen, Bilder usw.), die die tatsächliche oder mögliche Identifizierung
einer bestimmten Person betreffen, und unterteilt diese in zwei Kategorien: (i) allgemeine
personenbezogene Daten wie Name, Geburtsdatum, Blutgruppe, Familienstand und – nicht zuletzt –
Daten, welche die Aktivität oder den Aktivitätsverlauf einer Person im Cyberraum widerspiegeln; und
(ii) sensible personenbezogene Daten, die sich auf die politische Meinung, die Gesundheit, finanzielle
Informationen (Kreditgeschichte, Einkommensniveau …), soziale Beziehungen und Daten beziehen,
die kraft Gesetzes als besonders schützenswert gelten und entsprechende Sicherheitsmaßnahmen
erforderlich machen.
Die Verarbeitung personenbezogener Daten ist im weitesten Sinne definiert als ein oder mehrere
Vorgänge betreffend solcher Daten, wie das Erheben, Erfassen, Analysieren, Speichern, die
Veränderung, Offenlegung, Zugangsgewährung, das Auslesen, die Ver- und Entschlüsselung, die
Bereitstellung, das Löschen bzw. die Vernichtung sowie andere damit zusammenhängende Vorgänge.
Der Begriff der automatisierten Verarbeitung personenbezogener Daten umfasst alle Formen der
elektronischen Verarbeitung solcher Daten mit dem Ziel der Auswertung, Analyse und Vorhersage der
Aktivitäten einer bestimmten Person, wie z.B. Gewohnheiten, persönliche Vorlieben, Zuverlässigkeit,
Verhalten, Aufenthaltsort, Tendenzen, Fähigkeiten und andere Umstände.
Das PDPD kennt die Begriffe des „Verantwortlichen“ und des „Auftragsverarbeiters“ und weist damit
deutliche Parallelen zur vertrauten EU-Datenschutzgrundverordnung (EU-DSGVO) auf, führt aber
darüber hinaus auch den Begriff der „für die Kontrolle und Verarbeitung personenbezogener Daten
verantwortlichen Stelle“ (Stellen) ein.
Der für die Verarbeitung personenbezogener Daten Verantwortliche ist dabei eine Einrichtung oder
Person, die über die Zwecke und Mittel der Verarbeitung entscheidet; der Auftragsverarbeiter – eine
Einrichtung oder Person, die Daten im Auftrag des Verantwortlichen aufgrund eines Vertrags oder
einer Vereinbarung mit diesem verarbeitet. Die für die Kontrolle und die Verarbeitung
2. personenbezogener Daten zuständige Stelle ist dagegen eine Einrichtung oder Person, die über die
Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und diese zugleich direkt
verarbeitet.
2. Einwilligung und Ausnahmen
Im Grundsatz macht das PDPD die Verarbeitung und Weitergabe personenbezogener Daten von der
Erteilung einer Einwilligung durch den Betroffenen (Dateninhaber) abhängig und sieht lediglich fünf
Ausnahmen von diesem Grundsatz vor:
in Notsituationen zum Schutz des Lebens und der Gesundheit des Betroffenen oder anderer
Personen;
zwecks rechtmäßiger Offenlegung der Daten;
im Falle der Verarbeitung durch die zuständigen öffentlichen Stellen für die Zwecke der
Landesverteidigung und Landessicherheit, im Katastrophenfall und bei lebensbedrohlichen
Krankheiten;
zwecks Erfüllung vertraglicher Verpflichtungen des Betroffenen; und
im Rahmen der Erfüllung von in Spezialgesetzen festgelegten Tätigkeiten öffentlicher Stellen.
Das Schweigen oder die fehlende Reaktion des Betroffenen auf eine Anfrage zur Verarbeitung
personenbezogener Daten gilt nicht als Einwilligung. Zudem kann der Betroffene seine Einwilligung
auf einen bestimmten Teil der Verarbeitung beschränken oder diese an Bedingungen knüpfen. Die
Einwilligung des Betroffenen muss dabei in ausdruckbarer und kopierbarer Form erfolgen. Darüber
hinaus ist sie nur wirksam, wenn der Betroffene sie freiwillig und unmissverständlich in Kenntnis (i)
der Art der zu verarbeitenden personenbezogenen Daten; (ii) des Zwecks der Verarbeitung; (iii) der
hierzu befugten Stellen; und (iv) seiner Rechte und Pflichten als Betroffener erteilt.
Bei sensiblen personenbezogenen Daten muss der Betroffene umfassend über die Natur der sensiblen
Daten als solche informiert werden. Im Streitfall liegt die Beweislast bei dem Verantwortlichen bzw.
der für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle.
3. Hinzukommt, dass der Betroffene vor jeder Verarbeitung sensibler personenbezogener Daten
zu benachrichtigen ist, es sei denn:
dieser kennt den Inhalt der Verarbeitung und stimmt dieser zu;
die Daten werden von einer zuständigen öffentlichen Stelle in Ausübung der ihr gesetzlich
übertragenen Aufgaben verarbeitet;
die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder
anderer Personen in Notsituationen;
die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-
/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der
öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen
Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass
3. der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und
Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber
öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen
Bestimmungen;
die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-
/Aufsichtsbehörden;
4. es handelt sich um die Anfertigung von Ton- und Bildaufnahmen an öffentlich zugänglichen
Orten durch die zuständigen öffentlichen Stellen und deren Verarbeitung durch diese Stellen
zum Schutz der öffentlichen Sicherheit und Ordnung sowie der berechtigten Interessen und
Rechte von Einrichtungen und Privatpersonen gemäß den gesetzlichen Bestimmungen.
5. Im Übrigen ist der Verantwortliche bzw. die für die Kontrolle und Verarbeitung
verantwortliche Stelle verpflichtet, den Betroffenen vor der Verarbeitung zu benachrichtigen,
es sei denn, einer der folgenden Ausnahmefälle liegt vor:
der Betroffene ist mit der Verarbeitung und deren Inhalt einverstanden;
die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder
anderer Personen in Notsituationen;
die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-
/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der
öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen
Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass
der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und
Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber
öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen
Bestimmungen;
die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-
/Aufsichtsbehörden.
6. Die grenzüberschreitende Übermittlung personenbezogener Daten vietnamesischer Bürger
muss die folgenden drei Voraussetzungen erfüllen:
der Betroffene hat in die Übermittlung eingewilligt;
die Originaldaten werden in Vietnam aufbewahrt;
die Stellen (d.h. der für die Verarbeitung personenbezogener Daten Verantwortliche, der
Auftragsverarbeiter, die für die Kontrolle und Verarbeitung verantwortliche Stelle bzw.
Dritte), die personenbezogene Daten ins Ausland übermitteln, müssen eine Abschätzung der
Folgen dieser Übermittlung vornehmen (sog. Transfer Impact Assessment, „TIA“).
4. Das PDPD verpflichtet die übermittelnden Stellen, das TIA dem Ministerium für öffentliche Sicherheit
– Abteilung für Cybersicherheit und Bekämpfung von High-Tech-Kriminalität innerhalb von 60 Tagen
ab dem Zeitpunkt der Verarbeitung vorzulegen. Obwohl es sich hierbei – aus Sicht der adressierten
Unternehmen – um eine neue Verpflichtung handelt, dürfte deren Umsetzung nicht nur für diese,
sondern auch für die zuständigen Aufsichtsbehörden zeitaufwändig sein.
7. Rechtsfolgen von Verstößen gegen die Datenschutzvorschriften:
Geldstrafen in Höhe von 50 Millionen bis 100 Millionen VND;
Strafen nach dem vietnamesischen Strafgesetzbuch;
Zusätzliche Sanktionen: Aussetzung der Verarbeitung personenbezogener Daten für einen
Zeitraum von bis zu drei Monaten, Entzug des Rechts, die vom Datenschutzausschuss erteilte
schriftliche Genehmigung zur Verarbeitung sensibler personenbezogener Daten und zur
grenzüberschreitenden Übermittlung von Daten zu verwenden, Erzwingung der Zahlung von
aus der Begehung von Verstößen stammenden Geldbeträgen.
Bei wiederholten Verstößen gegen die Vorschriften zum Schutz personenbezogener Daten kann
zusätzlich zu den oben genannten Strafen ein Bußgeld in Höhe von bis zu 5 % des Gesamtumsatzes
des datenverarbeitenden Unternehmens verhängt werden.
II. Vietnams Verpflichtungen im Rahmen von EVFTA und CPTPP
Datenschutz und verwandte Themen spielen eine Schlüsselrolle bei der Gestaltung der digitalen
Wirtschaft. Das PDPD ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden,
um das Land näher an internationale Standards heranzuführen. Es ist jedoch das erste umfassende
Regelwerk im Bereich des Schutzes personenbezogener Daten.
Die Verpflichtungen Vietnams zum Datenschutz im Rahmen des CPTPP werden hauptsächlich in
Kapitel 14 (elektronischer Geschäftsverkehr) behandelt. Artikel 14.11 legt fest, dass die
grenzüberschreitende Übermittlung von Daten zulässig sein muss, es sei denn, ihre Verhinderung
dient einem legitimen Ziel der öffentlichen Ordnung, vorausgesetzt, dass die Maßnahme zur
Verhinderung nicht in einer Weise angewandt wird, die ein Mittel zur willkürlichen oder
ungerechtfertigten Diskriminierung oder eine verschleierte Beschränkung des Handels darstellen
würde, und dass sie die Übermittlung von Informationen nicht stärker einschränkt, als es zur
Erreichung dieses Ziels erforderlich ist. Artikel 14.13 legt für jede Vertragspartei die gleichen
Voraussetzungen hinsichtlich der Lokalisierung von Daten fest.
Während Kapitel 8 des EVFTA Fragen des Handels, des elektronischen Geschäftsverkehrs sowie
Dienstleistungensfragen abdeckt, enthält es keine unmittelbaren Verpflichtungen zu Fragen des
elektronischen Geschäftsverkehrs, des Datenschutzes oder der Datenlokalisierung, mit der einzigen
Ausnahme, dass es zur Bildung eines Ausschusses aufruft, der einheitliche Grundsätze und Regelungen
in Bezug auf diese Bereiche entwickeln soll.
III. Vorläufige Hinweise zur praktischen Handhabung
Das PDPD erlegt den Stellen, die personenbezogene Daten verarbeiten, eine Reihe von
Verpflichtungen auf. Daher ist es für Arbeitgeber/Unternehmen (der „Arbeitgeber“ oder das
„Unternehmen“) von entscheidender Bedeutung, diese zu berücksichtigen und in die internen
Vorschriften und Verträge/Vereinbarungen mit Dritten aufzunehmen.
1. Interne Arbeitsvorschriften und Arbeitsverträge
5. So ist beispielsweise erforderlich, dass der Arbeitgeber alle relevanten Verpflichtungen in Bezug auf
personenbezogene Daten seiner Angestellten, Mitarbeiter, Vorstandsmitglieder usw. sowie in Bezug
auf die Kunden, Mitglieder und deren Mitarbeiter in die internen Arbeitsregeln/Kodizes und in den
Tarifvertrag (falls vorhanden) aufnimmt. Dadurch soll sichergestellt werden, dass seine Angestellten
und Mitarbeiter die Verpflichtungen in Bezug auf personenbezogene Daten einhalten.
Andernfalls besteht ein erhebliches Risiko, dass der Arbeitgeber die volle Verantwortung für die
unrechtmäßige Verarbeitung und Offenlegung personenbezogener Daten durch seine Mitarbeiter
trägt, ohne über die erforderlichen Instrumente zu verfügen, um gegen solche Verstöße vorzugehen.
Darüber hinaus ist es ratsam, in den Arbeitsverträgen eindeutig festzulegen, dass die Arbeitnehmer
die vom Arbeitgeber festgelegten sowie die kraft Gesetzes geltenden Vorgaben zum Schutz
personenbezogener Daten einhalten müssen.
Es empfiehlt sich auch, in den jeweiligen Arbeitsverträgen klarzustellen und zu vereinbaren, dass der
Arbeitgeber personenbezogene Daten des Arbeitnehmers, wie z.B. Steuerdaten, Lebenslauf,
Gesundheitsdaten, für die Zwecke des Arbeitsverhältnisses weiterverarbeiten darf. Hierdurch können
künftige Klagen von Arbeitnehmern wegen unzulässiger Verarbeitung personenbezogener Daten
durch den Arbeitgeber mit hoher Wahrscheinlichkeit vermieden werden. Wir beraten Sie auf Wunsch
ausführlich vorbehaltlich der endgültigen Fassung des Gesetzes.
2. Verträge/Vereinbarungen mit Kunden/Mitgliedern
Unternehmen und Arbeitgeber sollten alle gegenwärtigen und zukünftigen Verträge/Vereinbarungen
mit Kunden/Mitgliedern überdenken, neu verhandeln und überarbeiten, um sicherzustellen, dass sie
zur Verarbeitung/Offenlegung bestimmter personenbezogener Daten berechtigt sind, und dass die
betroffenen Kunden/Mitglieder ihre Einwilligung zu einer solchen Offenlegung/Verarbeitung erteilen.
Unternehmen sollten – auf Wunsch mit unserer Unterstützung – eine detaillierte Liste sowie
Verfahren für die Erhebung, Speicherung, Offenlegung und sonstige Verarbeitung personenbezogener
Daten von Kunden/Mitgliedern erstellen.
***
Bei Fragen können Sie gerne Dr. Oliver Massmann unter omassmann@duanemorris.com
kontaktieren. Dr. Oliver Massmann ist geschäftsführender Direktor von Duane Morris Vietnam LLC.