SlideShare ist ein Scribd-Unternehmen logo
Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ
PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN
Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung
aktueller als je zuvor. Es häufen sich die Fälle, in denen großen Unternehmen oder auch nationalen
Regierungen vorgeworfen wird, personenbezogene Daten von Bürgern ohne deren Einwilligung zu
verarbeiten. Auch Vietnam bildet hier keine Ausnahme.
Am 17. April 2023 hat die vietnamesische Regierung das Gesetz Nr. 13/2023/ND-CP über den Schutz
personenbezogener Daten (PDPD) erlassen. Das lang erwartete und zugleich auch umstrittene Gesetz
ist das erste Rechtsdokument mit umfassenden Bestimmungen zu personenbezogenen Daten und
deren Schutz in Vietnam. Mit Ausnahme der zweijährigen Übergangsfrist für kleine und mittlere
Unternehmen (KMU) gilt das PDPD seit dem 1. Juli 2023 für alle Unternehmen mit Sitz in/oder
außerhalb Vietnams, die in Vietnam Tätigkeiten im Zusammenhang mit der Verarbeitung
personenbezogener Daten ausüben. Im Folgenden werden einige Schlüsselbegriffe und Grundlagen
der PDPD erläutert.
I. Die Grundlagen: Neues Gesetz über den Schutz personenbezogener Daten und die
grenzüberschreitende Übermittlung von Daten
1. Begriffsbestimmung
Das Gesetz bezeichnet personenbezogene Daten als Informationen über eine Person in jedweder
Form (Zeichen, Buchstaben, Zahlen, Bilder usw.), die die tatsächliche oder mögliche Identifizierung
einer bestimmten Person betreffen, und unterteilt diese in zwei Kategorien: (i) allgemeine
personenbezogene Daten wie Name, Geburtsdatum, Blutgruppe, Familienstand und – nicht zuletzt –
Daten, welche die Aktivität oder den Aktivitätsverlauf einer Person im Cyberraum widerspiegeln; und
(ii) sensible personenbezogene Daten, die sich auf die politische Meinung, die Gesundheit, finanzielle
Informationen (Kreditgeschichte, Einkommensniveau …), soziale Beziehungen und Daten beziehen,
die kraft Gesetzes als besonders schützenswert gelten und entsprechende Sicherheitsmaßnahmen
erforderlich machen.
Die Verarbeitung personenbezogener Daten ist im weitesten Sinne definiert als ein oder mehrere
Vorgänge betreffend solcher Daten, wie das Erheben, Erfassen, Analysieren, Speichern, die
Veränderung, Offenlegung, Zugangsgewährung, das Auslesen, die Ver- und Entschlüsselung, die
Bereitstellung, das Löschen bzw. die Vernichtung sowie andere damit zusammenhängende Vorgänge.
Der Begriff der automatisierten Verarbeitung personenbezogener Daten umfasst alle Formen der
elektronischen Verarbeitung solcher Daten mit dem Ziel der Auswertung, Analyse und Vorhersage der
Aktivitäten einer bestimmten Person, wie z.B. Gewohnheiten, persönliche Vorlieben, Zuverlässigkeit,
Verhalten, Aufenthaltsort, Tendenzen, Fähigkeiten und andere Umstände.
Das PDPD kennt die Begriffe des „Verantwortlichen“ und des „Auftragsverarbeiters“ und weist damit
deutliche Parallelen zur vertrauten EU-Datenschutzgrundverordnung (EU-DSGVO) auf, führt aber
darüber hinaus auch den Begriff der „für die Kontrolle und Verarbeitung personenbezogener Daten
verantwortlichen Stelle“ (Stellen) ein.
Der für die Verarbeitung personenbezogener Daten Verantwortliche ist dabei eine Einrichtung oder
Person, die über die Zwecke und Mittel der Verarbeitung entscheidet; der Auftragsverarbeiter – eine
Einrichtung oder Person, die Daten im Auftrag des Verantwortlichen aufgrund eines Vertrags oder
einer Vereinbarung mit diesem verarbeitet. Die für die Kontrolle und die Verarbeitung
personenbezogener Daten zuständige Stelle ist dagegen eine Einrichtung oder Person, die über die
Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und diese zugleich direkt
verarbeitet.
2. Einwilligung und Ausnahmen
Im Grundsatz macht das PDPD die Verarbeitung und Weitergabe personenbezogener Daten von der
Erteilung einer Einwilligung durch den Betroffenen (Dateninhaber) abhängig und sieht lediglich fünf
Ausnahmen von diesem Grundsatz vor:
 in Notsituationen zum Schutz des Lebens und der Gesundheit des Betroffenen oder anderer
Personen;
 zwecks rechtmäßiger Offenlegung der Daten;
 im Falle der Verarbeitung durch die zuständigen öffentlichen Stellen für die Zwecke der
Landesverteidigung und Landessicherheit, im Katastrophenfall und bei lebensbedrohlichen
Krankheiten;
 zwecks Erfüllung vertraglicher Verpflichtungen des Betroffenen; und
 im Rahmen der Erfüllung von in Spezialgesetzen festgelegten Tätigkeiten öffentlicher Stellen.
Das Schweigen oder die fehlende Reaktion des Betroffenen auf eine Anfrage zur Verarbeitung
personenbezogener Daten gilt nicht als Einwilligung. Zudem kann der Betroffene seine Einwilligung
auf einen bestimmten Teil der Verarbeitung beschränken oder diese an Bedingungen knüpfen. Die
Einwilligung des Betroffenen muss dabei in ausdruckbarer und kopierbarer Form erfolgen. Darüber
hinaus ist sie nur wirksam, wenn der Betroffene sie freiwillig und unmissverständlich in Kenntnis (i)
der Art der zu verarbeitenden personenbezogenen Daten; (ii) des Zwecks der Verarbeitung; (iii) der
hierzu befugten Stellen; und (iv) seiner Rechte und Pflichten als Betroffener erteilt.
Bei sensiblen personenbezogenen Daten muss der Betroffene umfassend über die Natur der sensiblen
Daten als solche informiert werden. Im Streitfall liegt die Beweislast bei dem Verantwortlichen bzw.
der für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle.
3. Hinzukommt, dass der Betroffene vor jeder Verarbeitung sensibler personenbezogener Daten
zu benachrichtigen ist, es sei denn:
 dieser kennt den Inhalt der Verarbeitung und stimmt dieser zu;
 die Daten werden von einer zuständigen öffentlichen Stelle in Ausübung der ihr gesetzlich
übertragenen Aufgaben verarbeitet;
 die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder
anderer Personen in Notsituationen;
 die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
 die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-
/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der
öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen
Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass
der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und
Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
 die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber
öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen
Bestimmungen;
 die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-
/Aufsichtsbehörden;
4. es handelt sich um die Anfertigung von Ton- und Bildaufnahmen an öffentlich zugänglichen
Orten durch die zuständigen öffentlichen Stellen und deren Verarbeitung durch diese Stellen
zum Schutz der öffentlichen Sicherheit und Ordnung sowie der berechtigten Interessen und
Rechte von Einrichtungen und Privatpersonen gemäß den gesetzlichen Bestimmungen.
5. Im Übrigen ist der Verantwortliche bzw. die für die Kontrolle und Verarbeitung
verantwortliche Stelle verpflichtet, den Betroffenen vor der Verarbeitung zu benachrichtigen,
es sei denn, einer der folgenden Ausnahmefälle liegt vor:
 der Betroffene ist mit der Verarbeitung und deren Inhalt einverstanden;
 die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder
anderer Personen in Notsituationen;
 die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;
 die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs-
/Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der
öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen
Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass
der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und
Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;
 die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber
öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen
Bestimmungen;
 die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs-
/Aufsichtsbehörden.
6. Die grenzüberschreitende Übermittlung personenbezogener Daten vietnamesischer Bürger
muss die folgenden drei Voraussetzungen erfüllen:
 der Betroffene hat in die Übermittlung eingewilligt;
 die Originaldaten werden in Vietnam aufbewahrt;
 die Stellen (d.h. der für die Verarbeitung personenbezogener Daten Verantwortliche, der
Auftragsverarbeiter, die für die Kontrolle und Verarbeitung verantwortliche Stelle bzw.
Dritte), die personenbezogene Daten ins Ausland übermitteln, müssen eine Abschätzung der
Folgen dieser Übermittlung vornehmen (sog. Transfer Impact Assessment, „TIA“).
Das PDPD verpflichtet die übermittelnden Stellen, das TIA dem Ministerium für öffentliche Sicherheit
– Abteilung für Cybersicherheit und Bekämpfung von High-Tech-Kriminalität innerhalb von 60 Tagen
ab dem Zeitpunkt der Verarbeitung vorzulegen. Obwohl es sich hierbei – aus Sicht der adressierten
Unternehmen – um eine neue Verpflichtung handelt, dürfte deren Umsetzung nicht nur für diese,
sondern auch für die zuständigen Aufsichtsbehörden zeitaufwändig sein.
7. Rechtsfolgen von Verstößen gegen die Datenschutzvorschriften:
 Geldstrafen in Höhe von 50 Millionen bis 100 Millionen VND;
 Strafen nach dem vietnamesischen Strafgesetzbuch;
 Zusätzliche Sanktionen: Aussetzung der Verarbeitung personenbezogener Daten für einen
Zeitraum von bis zu drei Monaten, Entzug des Rechts, die vom Datenschutzausschuss erteilte
schriftliche Genehmigung zur Verarbeitung sensibler personenbezogener Daten und zur
grenzüberschreitenden Übermittlung von Daten zu verwenden, Erzwingung der Zahlung von
aus der Begehung von Verstößen stammenden Geldbeträgen.
Bei wiederholten Verstößen gegen die Vorschriften zum Schutz personenbezogener Daten kann
zusätzlich zu den oben genannten Strafen ein Bußgeld in Höhe von bis zu 5 % des Gesamtumsatzes
des datenverarbeitenden Unternehmens verhängt werden.
II. Vietnams Verpflichtungen im Rahmen von EVFTA und CPTPP
Datenschutz und verwandte Themen spielen eine Schlüsselrolle bei der Gestaltung der digitalen
Wirtschaft. Das PDPD ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden,
um das Land näher an internationale Standards heranzuführen. Es ist jedoch das erste umfassende
Regelwerk im Bereich des Schutzes personenbezogener Daten.
Die Verpflichtungen Vietnams zum Datenschutz im Rahmen des CPTPP werden hauptsächlich in
Kapitel 14 (elektronischer Geschäftsverkehr) behandelt. Artikel 14.11 legt fest, dass die
grenzüberschreitende Übermittlung von Daten zulässig sein muss, es sei denn, ihre Verhinderung
dient einem legitimen Ziel der öffentlichen Ordnung, vorausgesetzt, dass die Maßnahme zur
Verhinderung nicht in einer Weise angewandt wird, die ein Mittel zur willkürlichen oder
ungerechtfertigten Diskriminierung oder eine verschleierte Beschränkung des Handels darstellen
würde, und dass sie die Übermittlung von Informationen nicht stärker einschränkt, als es zur
Erreichung dieses Ziels erforderlich ist. Artikel 14.13 legt für jede Vertragspartei die gleichen
Voraussetzungen hinsichtlich der Lokalisierung von Daten fest.
Während Kapitel 8 des EVFTA Fragen des Handels, des elektronischen Geschäftsverkehrs sowie
Dienstleistungensfragen abdeckt, enthält es keine unmittelbaren Verpflichtungen zu Fragen des
elektronischen Geschäftsverkehrs, des Datenschutzes oder der Datenlokalisierung, mit der einzigen
Ausnahme, dass es zur Bildung eines Ausschusses aufruft, der einheitliche Grundsätze und Regelungen
in Bezug auf diese Bereiche entwickeln soll.
III. Vorläufige Hinweise zur praktischen Handhabung
Das PDPD erlegt den Stellen, die personenbezogene Daten verarbeiten, eine Reihe von
Verpflichtungen auf. Daher ist es für Arbeitgeber/Unternehmen (der „Arbeitgeber“ oder das
„Unternehmen“) von entscheidender Bedeutung, diese zu berücksichtigen und in die internen
Vorschriften und Verträge/Vereinbarungen mit Dritten aufzunehmen.
1. Interne Arbeitsvorschriften und Arbeitsverträge
So ist beispielsweise erforderlich, dass der Arbeitgeber alle relevanten Verpflichtungen in Bezug auf
personenbezogene Daten seiner Angestellten, Mitarbeiter, Vorstandsmitglieder usw. sowie in Bezug
auf die Kunden, Mitglieder und deren Mitarbeiter in die internen Arbeitsregeln/Kodizes und in den
Tarifvertrag (falls vorhanden) aufnimmt. Dadurch soll sichergestellt werden, dass seine Angestellten
und Mitarbeiter die Verpflichtungen in Bezug auf personenbezogene Daten einhalten.
Andernfalls besteht ein erhebliches Risiko, dass der Arbeitgeber die volle Verantwortung für die
unrechtmäßige Verarbeitung und Offenlegung personenbezogener Daten durch seine Mitarbeiter
trägt, ohne über die erforderlichen Instrumente zu verfügen, um gegen solche Verstöße vorzugehen.
Darüber hinaus ist es ratsam, in den Arbeitsverträgen eindeutig festzulegen, dass die Arbeitnehmer
die vom Arbeitgeber festgelegten sowie die kraft Gesetzes geltenden Vorgaben zum Schutz
personenbezogener Daten einhalten müssen.
Es empfiehlt sich auch, in den jeweiligen Arbeitsverträgen klarzustellen und zu vereinbaren, dass der
Arbeitgeber personenbezogene Daten des Arbeitnehmers, wie z.B. Steuerdaten, Lebenslauf,
Gesundheitsdaten, für die Zwecke des Arbeitsverhältnisses weiterverarbeiten darf. Hierdurch können
künftige Klagen von Arbeitnehmern wegen unzulässiger Verarbeitung personenbezogener Daten
durch den Arbeitgeber mit hoher Wahrscheinlichkeit vermieden werden. Wir beraten Sie auf Wunsch
ausführlich vorbehaltlich der endgültigen Fassung des Gesetzes.
2. Verträge/Vereinbarungen mit Kunden/Mitgliedern
Unternehmen und Arbeitgeber sollten alle gegenwärtigen und zukünftigen Verträge/Vereinbarungen
mit Kunden/Mitgliedern überdenken, neu verhandeln und überarbeiten, um sicherzustellen, dass sie
zur Verarbeitung/Offenlegung bestimmter personenbezogener Daten berechtigt sind, und dass die
betroffenen Kunden/Mitglieder ihre Einwilligung zu einer solchen Offenlegung/Verarbeitung erteilen.
Unternehmen sollten – auf Wunsch mit unserer Unterstützung – eine detaillierte Liste sowie
Verfahren für die Erhebung, Speicherung, Offenlegung und sonstige Verarbeitung personenbezogener
Daten von Kunden/Mitgliedern erstellen.
***
Bei Fragen können Sie gerne Dr. Oliver Massmann unter omassmann@duanemorris.com
kontaktieren. Dr. Oliver Massmann ist geschäftsführender Direktor von Duane Morris Vietnam LLC.

Weitere ähnliche Inhalte

Ähnlich wie Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN

DSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup DüsseldorfDSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup Düsseldorf
Praetor Intermedia
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
Digicomp Academy AG
 
DSGVO für Webworker
DSGVO für WebworkerDSGVO für Webworker
DSGVO für Webworker
Praetor Intermedia
 
Data Breach Notification
Data Breach NotificationData Breach Notification
Data Breach Notification
TALOSCommunications
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
MarcLaukemann3
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Michael Lanzinger
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
Bokowsky + Laymann GmbH
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
Michael Lanzinger
 
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVOWebinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
panagenda
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
Michael Rohrlich
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft bizVÖGB
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
Michael Lanzinger
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
Hans Mittendorfer
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
Praetor Intermedia
 
Nach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VONach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VO
Praetor Intermedia
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzDigicomp Academy AG
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
Michael Rohrlich
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
Michael Rohrlich
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
ehlaw
 

Ähnlich wie Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN (20)

DSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup DüsseldorfDSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup Düsseldorf
 
Aktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und SicherheitAktuelle Rechtsfragen rund um IT und Sicherheit
Aktuelle Rechtsfragen rund um IT und Sicherheit
 
DSGVO für Webworker
DSGVO für WebworkerDSGVO für Webworker
DSGVO für Webworker
 
Data Breach Notification
Data Breach NotificationData Breach Notification
Data Breach Notification
 
DSGVO Basics
DSGVO Basics DSGVO Basics
DSGVO Basics
 
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017Lehrgang für Schulbibliotheken - Rechtsfragen 2017
Lehrgang für Schulbibliotheken - Rechtsfragen 2017
 
Last-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVOLast-Minute Einführung in die DSGVO
Last-Minute Einführung in die DSGVO
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVOWebinar: Wappnen sie sich mit panagenda für die EU-DSGVO
Webinar: Wappnen sie sich mit panagenda für die EU-DSGVO
 
Begriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des DatenschutzrechtsBegriffe und Grundsätze des Datenschutzrechts
Begriffe und Grundsätze des Datenschutzrechts
 
Präsentation gewerkschaft biz
Präsentation gewerkschaft bizPräsentation gewerkschaft biz
Präsentation gewerkschaft biz
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Datenschutzrecht
DatenschutzrechtDatenschutzrecht
Datenschutzrecht
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Nach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VONach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VO
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutz
 
Die zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von VerantwortlichenDie zentralen Pflichten von Verantwortlichen
Die zentralen Pflichten von Verantwortlichen
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016Cloud computing und Datenschutz im Gesundheitssektor 2016
Cloud computing und Datenschutz im Gesundheitssektor 2016
 

Mehr von Dr. Oliver Massmann

Data Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
Data Privacy Laws in Vietnam - The Basics & Guidance For Practical HandlingData Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
Data Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
Dr. Oliver Massmann
 
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
Dr. Oliver Massmann
 
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
Dr. Oliver Massmann
 
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
Dr. Oliver Massmann
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Dr. Oliver Massmann
 
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTSVIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
Dr. Oliver Massmann
 
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
Dr. Oliver Massmann
 
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
Dr. Oliver Massmann
 
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
Dr. Oliver Massmann
 
OMassmann - Investment into the grid and transmission system in Vietnam (2024...
OMassmann - Investment into the grid and transmission system in Vietnam (2024...OMassmann - Investment into the grid and transmission system in Vietnam (2024...
OMassmann - Investment into the grid and transmission system in Vietnam (2024...
Dr. Oliver Massmann
 
Vietnam's Plan for Implementation of PDP8 – Key Highlights
Vietnam's Plan for Implementation of PDP8 – Key HighlightsVietnam's Plan for Implementation of PDP8 – Key Highlights
Vietnam's Plan for Implementation of PDP8 – Key Highlights
Dr. Oliver Massmann
 
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
Dr. Oliver Massmann
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Dr. Oliver Massmann
 
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
Dr. Oliver Massmann
 
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
Dr. Oliver Massmann
 
Vietnam's National Energy Development Strategy – Key Highlights
Vietnam's National Energy Development Strategy – Key HighlightsVietnam's National Energy Development Strategy – Key Highlights
Vietnam's National Energy Development Strategy – Key Highlights
Dr. Oliver Massmann
 
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
Dr. Oliver Massmann
 
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
Dr. Oliver Massmann
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Dr. Oliver Massmann
 
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
Dr. Oliver Massmann
 

Mehr von Dr. Oliver Massmann (20)

Data Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
Data Privacy Laws in Vietnam - The Basics & Guidance For Practical HandlingData Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
Data Privacy Laws in Vietnam - The Basics & Guidance For Practical Handling
 
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
VIETNAM - DIRECT POWER PURCHASE AGREEMENTS (DPPA) - Latest development - What...
 
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
YOU ARE WARMLY INVITED - Solar & Storage Live Vietnam 2024
 
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
VIETNAM — Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due ...
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
 
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTSVIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
VIETNAM – LATEST GUIDE TO CONTRACT MANUFACTURING AND TOLLING AGREEMENTS
 
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
Vietnam - Global Water Intelligence interviewing Dr. Oliver Massmann on persp...
 
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
Legal Alert - Vietnam - First draft Decree on mechanisms and policies to enco...
 
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
Anwalt in Vietnam Dr. Oliver Massmann - Vietnam's Plan für die Implementierun...
 
OMassmann - Investment into the grid and transmission system in Vietnam (2024...
OMassmann - Investment into the grid and transmission system in Vietnam (2024...OMassmann - Investment into the grid and transmission system in Vietnam (2024...
OMassmann - Investment into the grid and transmission system in Vietnam (2024...
 
Vietnam's Plan for Implementation of PDP8 – Key Highlights
Vietnam's Plan for Implementation of PDP8 – Key HighlightsVietnam's Plan for Implementation of PDP8 – Key Highlights
Vietnam's Plan for Implementation of PDP8 – Key Highlights
 
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
VIETNAM - THE NEW LAW ON CREDIT INSTITUTIONS - WHAT YOU MUST KNOW:
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
 
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
ANWALT IN VIETNAM DR. OLIVER MASSMANN RECHTLICHER HINWEIS ZUM RUNDSCHREIBEN M...
 
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
VIETNAM - LEGAL ALERT ON CIRCULAR PROVIDING REGULATIONS ON METHOD TO FORMULAT...
 
Vietnam's National Energy Development Strategy – Key Highlights
Vietnam's National Energy Development Strategy – Key HighlightsVietnam's National Energy Development Strategy – Key Highlights
Vietnam's National Energy Development Strategy – Key Highlights
 
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
Anwalt in Vietnam Dr. Oliver Massmann Corporate Sustainability Due Diligence ...
 
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
ANWALT IN VIETNAM DR OLIVER MASSMANN MÖGLICHE RATIFIZIERUNG DES ÜBEREINKOMMEN...
 
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
Corporate Sustainability Due Diligence Directive (CSDDD or the EU Supply Chai...
 
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
Anwalt in Vietnam Dr. Oliver Massmann- Franchising – Eine Strategie als Schlü...
 

Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN

  • 1. Anwalt in Vietnam Dr. Oliver Massmann — NEUES GESETZ ÜBER DEN SCHUTZ PERSONENBEZOGENER DATEN UND DIE GRENZÜBERSCHREITENDE ÜBERMITTLUNG VON DATEN Die Frage nach dem Umgang mit personenbezogenen Daten ist im Zeitalter der Digitalisierung aktueller als je zuvor. Es häufen sich die Fälle, in denen großen Unternehmen oder auch nationalen Regierungen vorgeworfen wird, personenbezogene Daten von Bürgern ohne deren Einwilligung zu verarbeiten. Auch Vietnam bildet hier keine Ausnahme. Am 17. April 2023 hat die vietnamesische Regierung das Gesetz Nr. 13/2023/ND-CP über den Schutz personenbezogener Daten (PDPD) erlassen. Das lang erwartete und zugleich auch umstrittene Gesetz ist das erste Rechtsdokument mit umfassenden Bestimmungen zu personenbezogenen Daten und deren Schutz in Vietnam. Mit Ausnahme der zweijährigen Übergangsfrist für kleine und mittlere Unternehmen (KMU) gilt das PDPD seit dem 1. Juli 2023 für alle Unternehmen mit Sitz in/oder außerhalb Vietnams, die in Vietnam Tätigkeiten im Zusammenhang mit der Verarbeitung personenbezogener Daten ausüben. Im Folgenden werden einige Schlüsselbegriffe und Grundlagen der PDPD erläutert. I. Die Grundlagen: Neues Gesetz über den Schutz personenbezogener Daten und die grenzüberschreitende Übermittlung von Daten 1. Begriffsbestimmung Das Gesetz bezeichnet personenbezogene Daten als Informationen über eine Person in jedweder Form (Zeichen, Buchstaben, Zahlen, Bilder usw.), die die tatsächliche oder mögliche Identifizierung einer bestimmten Person betreffen, und unterteilt diese in zwei Kategorien: (i) allgemeine personenbezogene Daten wie Name, Geburtsdatum, Blutgruppe, Familienstand und – nicht zuletzt – Daten, welche die Aktivität oder den Aktivitätsverlauf einer Person im Cyberraum widerspiegeln; und (ii) sensible personenbezogene Daten, die sich auf die politische Meinung, die Gesundheit, finanzielle Informationen (Kreditgeschichte, Einkommensniveau …), soziale Beziehungen und Daten beziehen, die kraft Gesetzes als besonders schützenswert gelten und entsprechende Sicherheitsmaßnahmen erforderlich machen. Die Verarbeitung personenbezogener Daten ist im weitesten Sinne definiert als ein oder mehrere Vorgänge betreffend solcher Daten, wie das Erheben, Erfassen, Analysieren, Speichern, die Veränderung, Offenlegung, Zugangsgewährung, das Auslesen, die Ver- und Entschlüsselung, die Bereitstellung, das Löschen bzw. die Vernichtung sowie andere damit zusammenhängende Vorgänge. Der Begriff der automatisierten Verarbeitung personenbezogener Daten umfasst alle Formen der elektronischen Verarbeitung solcher Daten mit dem Ziel der Auswertung, Analyse und Vorhersage der Aktivitäten einer bestimmten Person, wie z.B. Gewohnheiten, persönliche Vorlieben, Zuverlässigkeit, Verhalten, Aufenthaltsort, Tendenzen, Fähigkeiten und andere Umstände. Das PDPD kennt die Begriffe des „Verantwortlichen“ und des „Auftragsverarbeiters“ und weist damit deutliche Parallelen zur vertrauten EU-Datenschutzgrundverordnung (EU-DSGVO) auf, führt aber darüber hinaus auch den Begriff der „für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle“ (Stellen) ein. Der für die Verarbeitung personenbezogener Daten Verantwortliche ist dabei eine Einrichtung oder Person, die über die Zwecke und Mittel der Verarbeitung entscheidet; der Auftragsverarbeiter – eine Einrichtung oder Person, die Daten im Auftrag des Verantwortlichen aufgrund eines Vertrags oder einer Vereinbarung mit diesem verarbeitet. Die für die Kontrolle und die Verarbeitung
  • 2. personenbezogener Daten zuständige Stelle ist dagegen eine Einrichtung oder Person, die über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet und diese zugleich direkt verarbeitet. 2. Einwilligung und Ausnahmen Im Grundsatz macht das PDPD die Verarbeitung und Weitergabe personenbezogener Daten von der Erteilung einer Einwilligung durch den Betroffenen (Dateninhaber) abhängig und sieht lediglich fünf Ausnahmen von diesem Grundsatz vor:  in Notsituationen zum Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen;  zwecks rechtmäßiger Offenlegung der Daten;  im Falle der Verarbeitung durch die zuständigen öffentlichen Stellen für die Zwecke der Landesverteidigung und Landessicherheit, im Katastrophenfall und bei lebensbedrohlichen Krankheiten;  zwecks Erfüllung vertraglicher Verpflichtungen des Betroffenen; und  im Rahmen der Erfüllung von in Spezialgesetzen festgelegten Tätigkeiten öffentlicher Stellen. Das Schweigen oder die fehlende Reaktion des Betroffenen auf eine Anfrage zur Verarbeitung personenbezogener Daten gilt nicht als Einwilligung. Zudem kann der Betroffene seine Einwilligung auf einen bestimmten Teil der Verarbeitung beschränken oder diese an Bedingungen knüpfen. Die Einwilligung des Betroffenen muss dabei in ausdruckbarer und kopierbarer Form erfolgen. Darüber hinaus ist sie nur wirksam, wenn der Betroffene sie freiwillig und unmissverständlich in Kenntnis (i) der Art der zu verarbeitenden personenbezogenen Daten; (ii) des Zwecks der Verarbeitung; (iii) der hierzu befugten Stellen; und (iv) seiner Rechte und Pflichten als Betroffener erteilt. Bei sensiblen personenbezogenen Daten muss der Betroffene umfassend über die Natur der sensiblen Daten als solche informiert werden. Im Streitfall liegt die Beweislast bei dem Verantwortlichen bzw. der für die Kontrolle und Verarbeitung personenbezogener Daten verantwortlichen Stelle. 3. Hinzukommt, dass der Betroffene vor jeder Verarbeitung sensibler personenbezogener Daten zu benachrichtigen ist, es sei denn:  dieser kennt den Inhalt der Verarbeitung und stimmt dieser zu;  die Daten werden von einer zuständigen öffentlichen Stelle in Ausübung der ihr gesetzlich übertragenen Aufgaben verarbeitet;  die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;  die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;  die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs- /Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass
  • 3. der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;  die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen Bestimmungen;  die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs- /Aufsichtsbehörden; 4. es handelt sich um die Anfertigung von Ton- und Bildaufnahmen an öffentlich zugänglichen Orten durch die zuständigen öffentlichen Stellen und deren Verarbeitung durch diese Stellen zum Schutz der öffentlichen Sicherheit und Ordnung sowie der berechtigten Interessen und Rechte von Einrichtungen und Privatpersonen gemäß den gesetzlichen Bestimmungen. 5. Im Übrigen ist der Verantwortliche bzw. die für die Kontrolle und Verarbeitung verantwortliche Stelle verpflichtet, den Betroffenen vor der Verarbeitung zu benachrichtigen, es sei denn, einer der folgenden Ausnahmefälle liegt vor:  der Betroffene ist mit der Verarbeitung und deren Inhalt einverstanden;  die Verarbeitung dient dem Schutz des Lebens und der Gesundheit des Betroffenen oder anderer Personen in Notsituationen;  die Offenlegung der Daten beruht auf einer gesetzlichen Grundlage;  die Verarbeitung personenbezogener Daten erfolgt durch die zuständige Regulierungs- /Aufsichtsbehörde im Falle eines Notstands zur Verteidigung des Staates sowie der öffentlichen Ordnung und Sicherheit, bei Katastrophen größeren Ausmaßes oder gefährlichen Epidemien; im Falle einer Bedrohung der Landesverteidigung und Landessicherheit, ohne dass der Notstand ausgerufen werden muss; zur Verhütung und Bekämpfung von Unruhen und Terrorismus, Straftaten und Rechtsverstößen gemäß den gesetzlichen Bestimmungen;  die Verarbeitung dient der Erfüllung vertraglicher Verpflichtungen des Betroffenen gegenüber öffentlichen Stellen, Einrichtugnen oder Privatpersonen gemäß den gesetzlichen Bestimmungen;  die Verarbeitung dient der Erfüllung gesetzlicher Aufgaben der Regulierungs- /Aufsichtsbehörden. 6. Die grenzüberschreitende Übermittlung personenbezogener Daten vietnamesischer Bürger muss die folgenden drei Voraussetzungen erfüllen:  der Betroffene hat in die Übermittlung eingewilligt;  die Originaldaten werden in Vietnam aufbewahrt;  die Stellen (d.h. der für die Verarbeitung personenbezogener Daten Verantwortliche, der Auftragsverarbeiter, die für die Kontrolle und Verarbeitung verantwortliche Stelle bzw. Dritte), die personenbezogene Daten ins Ausland übermitteln, müssen eine Abschätzung der Folgen dieser Übermittlung vornehmen (sog. Transfer Impact Assessment, „TIA“).
  • 4. Das PDPD verpflichtet die übermittelnden Stellen, das TIA dem Ministerium für öffentliche Sicherheit – Abteilung für Cybersicherheit und Bekämpfung von High-Tech-Kriminalität innerhalb von 60 Tagen ab dem Zeitpunkt der Verarbeitung vorzulegen. Obwohl es sich hierbei – aus Sicht der adressierten Unternehmen – um eine neue Verpflichtung handelt, dürfte deren Umsetzung nicht nur für diese, sondern auch für die zuständigen Aufsichtsbehörden zeitaufwändig sein. 7. Rechtsfolgen von Verstößen gegen die Datenschutzvorschriften:  Geldstrafen in Höhe von 50 Millionen bis 100 Millionen VND;  Strafen nach dem vietnamesischen Strafgesetzbuch;  Zusätzliche Sanktionen: Aussetzung der Verarbeitung personenbezogener Daten für einen Zeitraum von bis zu drei Monaten, Entzug des Rechts, die vom Datenschutzausschuss erteilte schriftliche Genehmigung zur Verarbeitung sensibler personenbezogener Daten und zur grenzüberschreitenden Übermittlung von Daten zu verwenden, Erzwingung der Zahlung von aus der Begehung von Verstößen stammenden Geldbeträgen. Bei wiederholten Verstößen gegen die Vorschriften zum Schutz personenbezogener Daten kann zusätzlich zu den oben genannten Strafen ein Bußgeld in Höhe von bis zu 5 % des Gesamtumsatzes des datenverarbeitenden Unternehmens verhängt werden. II. Vietnams Verpflichtungen im Rahmen von EVFTA und CPTPP Datenschutz und verwandte Themen spielen eine Schlüsselrolle bei der Gestaltung der digitalen Wirtschaft. Das PDPD ist eines von mehreren Rechtsinstrumenten, die in Vietnam entwickelt wurden, um das Land näher an internationale Standards heranzuführen. Es ist jedoch das erste umfassende Regelwerk im Bereich des Schutzes personenbezogener Daten. Die Verpflichtungen Vietnams zum Datenschutz im Rahmen des CPTPP werden hauptsächlich in Kapitel 14 (elektronischer Geschäftsverkehr) behandelt. Artikel 14.11 legt fest, dass die grenzüberschreitende Übermittlung von Daten zulässig sein muss, es sei denn, ihre Verhinderung dient einem legitimen Ziel der öffentlichen Ordnung, vorausgesetzt, dass die Maßnahme zur Verhinderung nicht in einer Weise angewandt wird, die ein Mittel zur willkürlichen oder ungerechtfertigten Diskriminierung oder eine verschleierte Beschränkung des Handels darstellen würde, und dass sie die Übermittlung von Informationen nicht stärker einschränkt, als es zur Erreichung dieses Ziels erforderlich ist. Artikel 14.13 legt für jede Vertragspartei die gleichen Voraussetzungen hinsichtlich der Lokalisierung von Daten fest. Während Kapitel 8 des EVFTA Fragen des Handels, des elektronischen Geschäftsverkehrs sowie Dienstleistungensfragen abdeckt, enthält es keine unmittelbaren Verpflichtungen zu Fragen des elektronischen Geschäftsverkehrs, des Datenschutzes oder der Datenlokalisierung, mit der einzigen Ausnahme, dass es zur Bildung eines Ausschusses aufruft, der einheitliche Grundsätze und Regelungen in Bezug auf diese Bereiche entwickeln soll. III. Vorläufige Hinweise zur praktischen Handhabung Das PDPD erlegt den Stellen, die personenbezogene Daten verarbeiten, eine Reihe von Verpflichtungen auf. Daher ist es für Arbeitgeber/Unternehmen (der „Arbeitgeber“ oder das „Unternehmen“) von entscheidender Bedeutung, diese zu berücksichtigen und in die internen Vorschriften und Verträge/Vereinbarungen mit Dritten aufzunehmen. 1. Interne Arbeitsvorschriften und Arbeitsverträge
  • 5. So ist beispielsweise erforderlich, dass der Arbeitgeber alle relevanten Verpflichtungen in Bezug auf personenbezogene Daten seiner Angestellten, Mitarbeiter, Vorstandsmitglieder usw. sowie in Bezug auf die Kunden, Mitglieder und deren Mitarbeiter in die internen Arbeitsregeln/Kodizes und in den Tarifvertrag (falls vorhanden) aufnimmt. Dadurch soll sichergestellt werden, dass seine Angestellten und Mitarbeiter die Verpflichtungen in Bezug auf personenbezogene Daten einhalten. Andernfalls besteht ein erhebliches Risiko, dass der Arbeitgeber die volle Verantwortung für die unrechtmäßige Verarbeitung und Offenlegung personenbezogener Daten durch seine Mitarbeiter trägt, ohne über die erforderlichen Instrumente zu verfügen, um gegen solche Verstöße vorzugehen. Darüber hinaus ist es ratsam, in den Arbeitsverträgen eindeutig festzulegen, dass die Arbeitnehmer die vom Arbeitgeber festgelegten sowie die kraft Gesetzes geltenden Vorgaben zum Schutz personenbezogener Daten einhalten müssen. Es empfiehlt sich auch, in den jeweiligen Arbeitsverträgen klarzustellen und zu vereinbaren, dass der Arbeitgeber personenbezogene Daten des Arbeitnehmers, wie z.B. Steuerdaten, Lebenslauf, Gesundheitsdaten, für die Zwecke des Arbeitsverhältnisses weiterverarbeiten darf. Hierdurch können künftige Klagen von Arbeitnehmern wegen unzulässiger Verarbeitung personenbezogener Daten durch den Arbeitgeber mit hoher Wahrscheinlichkeit vermieden werden. Wir beraten Sie auf Wunsch ausführlich vorbehaltlich der endgültigen Fassung des Gesetzes. 2. Verträge/Vereinbarungen mit Kunden/Mitgliedern Unternehmen und Arbeitgeber sollten alle gegenwärtigen und zukünftigen Verträge/Vereinbarungen mit Kunden/Mitgliedern überdenken, neu verhandeln und überarbeiten, um sicherzustellen, dass sie zur Verarbeitung/Offenlegung bestimmter personenbezogener Daten berechtigt sind, und dass die betroffenen Kunden/Mitglieder ihre Einwilligung zu einer solchen Offenlegung/Verarbeitung erteilen. Unternehmen sollten – auf Wunsch mit unserer Unterstützung – eine detaillierte Liste sowie Verfahren für die Erhebung, Speicherung, Offenlegung und sonstige Verarbeitung personenbezogener Daten von Kunden/Mitgliedern erstellen. *** Bei Fragen können Sie gerne Dr. Oliver Massmann unter omassmann@duanemorris.com kontaktieren. Dr. Oliver Massmann ist geschäftsführender Direktor von Duane Morris Vietnam LLC.