Schritte zur Gewährleistung der Menschenrechte in der digitalen Transformation

Unter Datenschutz versteht man den Schutz grundlegender Menschenrechte und Freiheiten in Bezug auf Daten.

Am 17. April 2023 erließ die Regierung das Dekret Nr. 13/2023/ND-CP (Dekret) zum Schutz personenbezogener Daten, gültig ab 1. Juli 2023, und erfüllt die Anforderungen zum Schutz der Rechte an personenbezogenen Daten. Verhindern Sie Verletzungen des Schutzes personenbezogener Daten, die die Rechte und Interessen von Einzelpersonen und Organisationen beeinträchtigen.

Highlights

Das Dekret ist ein Rechtsdokument, das den Schutz personenbezogener Daten und die Verantwortung der zuständigen Behörden, Organisationen und Einzelpersonen zum Schutz personenbezogener Daten regelt.

Erstens geht es beim Schutz personenbezogener Daten darum, die grundlegenden Menschenrechte und Freiheiten im Zusammenhang mit Daten zu schützen. Die Bestimmungen des Dekrets zum Schutz personenbezogener Daten im Betrieb zielen darauf ab, zu verhindern, dass die persönlichen Rechte und Freiheiten jeder Person verletzt werden.

Gleichzeitig ist die Sicherheit personenbezogener Daten von besonderer Bedeutung, denn ein Datendiebstahl kann zu wirtschaftlichen und sozialen Verlusten führen und Risiken wie Erpressung, Betrug, Enteignung von Eigentum, Verleumdung, Verletzung der Ehre oder Würde, sexueller Missbrauch usw. nach sich ziehen, die sowohl materielle als auch geistige Folgen haben und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen.

Zweitens: Fördern und respektieren Sie die Rechte der Betroffenen im Rahmen personenbezogener Daten. Zu den Rechten der betroffenen Personen gehören das Recht auf Zugriff, das Recht auf Zustimmung oder Widerspruch gegen die Verarbeitung personenbezogener Daten, das Recht auf Information und das Recht, die Löschung von Daten zu verlangen.

Darüber hinaus haben betroffene Personen das Recht, sich vor einer Verletzung ihrer personenbezogenen Daten durch andere Personen zu schützen. Bei Verstößen gegen die Bestimmungen des Dekrets, die eine Beeinträchtigung des Rechts auf Schutz personenbezogener Daten zur Folge haben, hat die betroffene Person das Recht, Schadensersatz zu verlangen. Das Dekret legt außerdem eindeutig fest, dass das Sammeln, Übermitteln oder Kaufen und Verkaufen personenbezogener Daten ohne die Zustimmung der betroffenen Person einen Verstoß gegen das Gesetz darstellt.

Das Recht der betroffenen Person auf Schutz personenbezogener Daten ist jedoch kein absolutes Recht, sondern kann in dringenden Fällen eingeschränkt werden, um das Leben und die Gesundheit der betreffenden Person oder anderer zu schützen. Ausnahmezustand hinsichtlich der Landesverteidigung, der nationalen Sicherheit, der sozialen Ordnung und Sicherheit; Erfüllung vertraglicher Verpflichtungen gemäß den Bestimmungen oder Erbringung staatlicher Tätigkeiten gemäß den Vorschriften spezieller Gesetze.

Mit der Ausnahmeregelung soll der Grundsatz umgesetzt werden, die Rechte von Einzelpersonen und Organisationen zu gewährleisten, ohne dabei die legitimen Interessen anderer Einzelpersonen oder Organisationen oder die nationalen Interessen bei der Ausübung dieser Rechte zu verletzen.

Drittens: Förderung der internationalen Integration im Bereich des Schutzes personenbezogener Daten. Das Dekret ist mit internationalen Praktiken und Vorschriften zum Schutz personenbezogener Daten vereinbar. In vielen Industrieländern ist der Schutz personenbezogener Daten gesetzlich verankert. Für Vietnam stellt dieser Aspekt eine Grundlage für die Forschung und Bezugnahme dar.

Darüber hinaus haben internationale Organisationen, deren Mitglied Vietnam ist oder mit denen unser Land zusammenarbeitet, Konventionen, Empfehlungen und Standards zum Datenschutz und zum Schutz personenbezogener Informationen und Daten herausgegeben. Dazu gehören die Datenschutzgrundsätze der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung von Informationen und personenbezogenen Daten, die Leitlinien der UNO zu computergestützten personenbezogenen Daten und Informationsdateien, der Datenschutzrahmen der Asiatisch-Pazifischen Wirtschaftsgemeinschaft (APEC), internationale Standards zum Datenschutz und zum Schutz von Informationen und personenbezogenen Daten (Madrider Resolution), die Datenschutz-Grundverordnung (DSGVO) der EU usw.

Darüber hinaus haben im Zuge der Förderung der Zusammenarbeit zwischen unserem Land und anderen Ländern und Gebieten mehr als 80 Länder Rechtsdokumente zum Schutz personenbezogener Daten erlassen, von denen viele Bestimmungen enthalten, die für vietnamesische Organisationen und Einzelpersonen gelten. Daher zielen spezifische und detaillierte Bestimmungen zum Schutz personenbezogener Daten darauf ab, in Vietnam ein gleichberechtigtes und gesetzestreues Umfeld zu schaffen, auch für ausländische Einzelpersonen und Organisationen.

Die Herausforderungen

Derzeit bestehen bei der Umsetzung des Dekrets noch erhebliche Herausforderungen.

Erstens die Herausforderung im Arbeitsmanagement der Unternehmen. Heutzutage bauen viele Unternehmen ein Modell auf, bei dem Mutter- und Tochterunternehmen dasselbe Verwaltungsökosystem nutzen und auf Mitarbeiterinformationen über das gemeinsame System problemlos zugegriffen werden kann.

Da jedoch nach vietnamesischem Recht jedes Unternehmen (einschließlich Mutter- und Tochtergesellschaften) als separate und unabhängige juristische Person gilt, kann die Übermittlung personenbezogener Daten von Mitarbeitern durch Unternehmen im selben Ökosystem zur Durchführung interner Managementprozesse des Unternehmens ebenfalls als Verstoß gegen die Verantwortung des Unternehmens zum Schutz personenbezogener Daten angesehen werden.

Andererseits haben viele Unternehmen derzeit Schwierigkeiten bei der Umsetzung des Dekrets und haben die Mechanismen und Vorschriften zur Verwaltung und zum Schutz der personenbezogenen Daten der Mitarbeiter gemäß dem Dekret noch nicht fertiggestellt.

Zweitens ist es nicht mit den gesetzlichen Bestimmungen über die Tätigkeit von Kreditinstituten vereinbar. Derzeit wird die Tätigkeit von Kreditinstituten durch spezielle Rechtsvorschriften geregelt, wie etwa: Gesetz über Kreditinstitute 2010 (geändert und ergänzt im Jahr 2014); Gesetz zur Bekämpfung der Geldwäsche; Dekret 117/2018/ND-CP zur Vertraulichkeit und Bereitstellung von Kundeninformationen von Kreditinstituten und ausländischen Bankfilialen; Rundschreiben 09/2020/TT-NHNN der Staatsbank zur Regelung der Informationssystemsicherheit bei Bankaktivitäten auf der Ebene unterhalb des Gesetzes.

Bei Bankgeschäften hingegen betrifft die Datenverarbeitung personenbezogene Daten, etwa: Das Sammeln, Aufzeichnen, Analysieren, Bestätigen, Speichern, Bearbeiten, Veröffentlichen, Kombinieren, Zugreifen, Abrufen, Wiederaufrufen, Verschlüsseln, Entschlüsseln, Kopieren, Teilen, Übermitteln, Bereitstellen, Übermitteln, Löschen, Vernichten personenbezogener Daten oder andere damit verbundene Aktionen sind für die Bereitstellung von Dienstleistungen für Kunden und das Risikomanagement bei Bankgeschäften sowie die Gewährleistung der Sicherheit des Währungssystems unverzichtbar. Daher ist für viele Aktivitäten zur Verarbeitung personenbezogener Kundendaten die Zustimmung des Kunden nicht erforderlich und dies auch nicht erforderlich. In Klausel 2, Artikel 3 und Klausel 1, Artikel 9 des Dekrets ist festgelegt, dass die betroffenen Personen das Recht haben, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, außer in Fällen, in denen andere Gesetze etwas anderes vorsehen.

Oder in Absatz 2, Artikel 9 ist festgelegt, dass die betroffene Person das Recht hat, der Verarbeitung ihrer personenbezogenen Daten nicht zuzustimmen. Die betroffene Person hat das Recht auf Löschung, Zugriff, Einschränkung der Datenverarbeitung und Widerspruch gegen die Datenverarbeitung, außer in Fällen, in denen andere Gesetze in Artikel 9 etwas anderes vorsehen. Daher wäre es verwirrend und unangemessen, wenn das Dekret starr und ohne einheitliche Leitlinien angewendet würde.

Darüber hinaus erfolgt die Bereitstellung von Dienstleistungen und Produkten durch Kreditinstitute nach vielen Prozessen an einem Produkt, wobei jeder Prozess an einem Produkt viele unterschiedliche Schritte umfasst und mit der Erhebung, Auswertung, Analyse und Bereitstellung von Daten in sehr großen Kundendateien verbunden ist, wobei die Verordnung vorschreibt, dass die Partei, die personenbezogene Daten kontrolliert und verarbeitet, bei der Durchführung von Datenverarbeitungsaktivitäten die Zustimmung der betroffenen Person (des Kunden) zu allen Verarbeitungsverfahren einholen muss (Artikel 11); und muss die betroffene Person vor der Durchführung von Datenverarbeitungstätigkeiten benachrichtigen (Artikel 13). Dies stellt nach wie vor ein weiteres Hindernis für die Tätigkeit der Kreditinstitute dar.

Darüber hinaus müssen Kreditinstitute ihre Informationstechnologiesysteme und andere untergesetzliche Dokumente im Zusammenhang mit der Geschäftstätigkeit von Kreditinstituten anpassen. Um dem Dekret zu entsprechen, müssen Vertrags- und Vereinbarungsdokumente überarbeitet werden, was den Bankbetrieb erheblich erschwert.

Drittens ist sich ein Teil der Bevölkerung nicht darüber im Klaren, wie man seine persönlichen Daten schützt, und gibt deshalb leichtfertig persönliche Informationen auf Social-Networking-Plattformen weiter, wodurch es unabsichtlich Bösewichten ermöglicht wird, diese Informationen für böse Zwecke auszunutzen.

Manche Menschen sind sich des Wertes des Datenschutzes im Hinblick auf die Wahrung der Privatsphäre nicht ganz bewusst und haben Angst, persönliche Informationen preiszugeben. Dies erschwert den Behörden die staatliche Verwaltung des Datenschutzes sowie die Untersuchung und Behandlung von Verstößen gegen das Gesetz zum Schutz personenbezogener Daten.

Darüber hinaus hat der Kauf und Verkauf personenbezogener Daten und das damit einhergehende Risiko eines Informationsverlusts schwerwiegende Folgen und wirkt sich auf sozioökonomische Probleme aus. Betrug und Spam-Werbung über Anrufe und Textnachrichten sind nach wie vor kompliziert und beeinträchtigen das Leben der Menschen.

Die Sicherheit personenbezogener Daten ist von besonderer Bedeutung, da ein Diebstahl dieser Daten zu wirtschaftlichen und sozialen Verlusten führen kann und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen unmittelbar beeinträchtigt. (Quelle: Shutterstock)

Umsetzung des Dekrets in die Praxis

Vietnam ist mit über 70 Millionen Nutzern eines der Länder mit der höchsten Internetentwicklung und Anwendungsgeschwindigkeit weltweit. Personenbezogene Daten von mehr als zwei Dritteln der Bevölkerung unseres Landes wurden und werden in unterschiedlicher Form und mit unterschiedlichem Detaillierungsgrad in der digitalen Umgebung und im Cyberspace gespeichert, veröffentlicht, weitergegeben und gesammelt.

Das Dekret stellt einen Durchbruch bei der Gewährleistung der Menschenrechte im digitalen Wandel dar, überwindet Mängel und Unzulänglichkeiten bei der Gewährleistung, dem Schutz und der Sicherung personenbezogener Daten und erhöht die Verantwortung in- und ausländischer Behörden, Organisationen und Einzelpersonen, die direkt an der Verarbeitung personenbezogener Daten in Vietnam beteiligt sind oder damit in Zusammenhang stehen.

Damit das Dekret in der Praxis tatsächlich wirksam sein kann, müssen folgende Punkte berücksichtigt werden:

Eine davon besteht darin, die Verantwortung der Unternehmen beim Schutz der Arbeitnehmerrechte zu stärken. Wenn Unternehmen Arbeitskräfte beschäftigen, müssen sie Informationen über ihre Arbeitnehmer erfassen und speichern. Im Rahmen des Arbeitsmanagements erhalten und verwalten Arbeitgeber und Unternehmen zahlreiche personenbezogene Daten ihrer Mitarbeiter. Gehen sie bei der Verwaltung und Verarbeitung dieser Informationen jedoch nachlässig vor, kann dies unvorhersehbare Folgen haben.

Unternehmen müssen die Auswirkungen des Dekrets sorgfältig studieren und umfassend bewerten sowie Verfahren und Anweisungen zum Umgang mit personenbezogenen Daten gemäß den neuen Vorschriften umgehend überprüfen und aktualisieren. Erwägung der Einrichtung von Mechanismen und der Erstellung von Governance-Regelungen auf Grundlage der Bestimmungen des Dekrets; diese Mechanismen und Vorschriften während des gesamten Betriebs aufrechtzuerhalten und einzuhalten.

Zweitens: Beseitigung von Schwierigkeiten für die Kredittätigkeit der Kreditinstitute . Die Staatsbank muss eng mit den zuständigen Ministerien, insbesondere dem Ministerium für öffentliche Sicherheit, zusammenarbeiten, um einheitliche Leitlinien für den Schutz personenbezogener Daten im Kreditsektor bereitzustellen und sowohl die Förderung der operativen Verantwortung der Kreditinstitute beim Schutz von Kundendaten als auch die Erfüllung spezieller Anforderungen und Aufgaben sicherzustellen.

Drittens: Damit das Dekret tatsächlich in Kraft treten kann, ist eine gute Propaganda- und Aufklärungsarbeit zur Popularisierung des Gesetzes erforderlich. Insbesondere muss die Notwendigkeit hervorgehoben werden, ein Dekret mit dem höchsten Ziel der Achtung und des Schutzes der Bürgerrechte und Menschenrechte zu erlassen. Und vor allem muss sich die betroffene Person selbst eingehend mit dem Schutz personenbezogener Daten auskennen und sich seines Bewusstseins und seiner Verantwortung im Zusammenhang mit diesem Thema bewusst werden.