Da Vietnam zu den Ländern mit der weltweit höchsten Internetentwicklung und Anwendungsgeschwindigkeit zählt und von fast 80 % der Bevölkerung genutzt wird, werden die persönlichen Daten von zwei Dritteln der Bevölkerung in vielen unterschiedlichen Formen und Detailstufen im Cyberspace gespeichert, veröffentlicht, weitergegeben und gesammelt.

In den Jahren 2022 und 2023 wurden in Vietnam fünf Strafverfahren geführt, bei denen es um den Kauf und Verkauf von Tausenden von GB an Daten und Milliarden persönlicher Informationen ging. Dies zeigt, dass es dringend notwendig ist, das Gesetz zum Schutz personenbezogener Daten auf der Grundlage von Forschungsergebnissen und unter Bezugnahme auf das internationale Recht zu verbessern.

Internationales Recht zum Schutz personenbezogener Daten

Die DSGVO gilt als großer rechtlicher Fortschritt und schafft den derzeit weltweit strengsten Mechanismus zum Schutz personenbezogener Daten.

Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) . Die DSGVO gilt als großer rechtlicher Fortschritt, da sie den derzeit weltweit strengsten Mechanismus zum Schutz personenbezogener Daten schafft und auf alle Organisationen und Unternehmen angewendet wird, die personenbezogene Daten von Bürgern in der EU verarbeiten.

Die DSGVO sieht flächendeckend einheitliche Sanktionen für Unternehmen vor. Konkret beträgt die Geldbuße bei geringfügigen Verstößen bis zu 2 % des Umsatzes bzw. 10 Millionen Euro, bei schwerwiegenden Verstößen bis zu 4 % des Umsatzes bzw. 20 Millionen Euro. Neben Geldbußen drohen Unternehmen, die gegen die DSGVO verstoßen, auch andere Sanktionen, wie etwa die Einstellung der Datenverarbeitung oder die Löschung von Daten, die unter Verstoß gegen die DSGVO verarbeitet wurden.

Die EU-Behörde für den Schutz personenbezogener Daten ist die EU-Datenschutzaufsichtsbehörde (EDSB) – ein unabhängiges Gremium, zu dessen Mitgliedern erfahrene Anwälte, IT-Experten und Administratoren gehören.

Seine Hauptaufgabe besteht darin, die Verarbeitung personenbezogener Daten in den Organen und Einrichtungen der EU zu überwachen und in Fragen im Zusammenhang mit personenbezogenen Daten zu beraten. Die DSGVO erfordert außerdem die Einrichtung einer Datenschutzbehörde in jedem Mitgliedsstaat, beispielsweise einer nationalen Datenschutzkommission (Frankreich, Irland usw.) oder einer Datenschutzinspektion (Finnland, Lettland usw.).

Neben dem EDSB hat die EU auch den Europäischen Datenschutzausschuss (EDSA) eingerichtet, der sich aus Vertretern der nationalen Datenschutzbehörden der Mitgliedstaaten und Vertretern der EU zusammensetzt und als wichtigstes unabhängiges Beratungsgremium für Fragen des Schutzes personenbezogener Daten fungiert und für die einheitliche Anwendung der DSGVO in der gesamten Union verantwortlich ist.

Die DSGVO sieht äußerst abschreckende Sanktionen sowohl materieller als auch immaterieller Art vor. Darüber hinaus ist die EU-Datenschutzbehörde nach dem Modell der Kommission/des Kommissars aufgebaut, so dass sie über weitreichende und unabhängige Sanktionsbefugnisse verfügt, wenn Organisationen gegen Datenschutzbestimmungen verstoßen, und in der Lage ist, die Verarbeitung personenbezogener Daten unabhängig zu beurteilen und darüber zu entscheiden.

Das 2021 erlassene chinesische Gesetz zum Schutz personenbezogener Daten (PIPL) gilt als das erste umfassende Gesetz zum Schutz personenbezogener Daten auf nationaler Ebene in China. PIPL vertritt eine relativ einheitliche Auffassung von personenbezogenen Daten/persönlichen Informationen als Informationen, die eine bestimmte Person identifizieren oder identifizierbar machen und richtet sich an eine enge Zielgruppe von Personen innerhalb des Territoriums Chinas (Artikel 4 Kapitel 1 PIPL). Gleichzeitig werden Regelungen zu sensiblen personenbezogenen Daten erlassen, um die Rechte und Pflichten der Parteien im Hinblick auf spezifischere Datengruppen zu regeln.

Verstöße gegen die Rechte an personenbezogenen Daten werden im Rahmen des PIPL mit sehr strengen Sanktionen geahndet. Dazu gehören beispielsweise Zwangsmaßnahmen, die Beschlagnahmung illegaler Einkünfte, die Aussetzung von Dienstleistungen, der Entzug von Betriebs- oder Gewerbelizenzen sowie Geldstrafen von bis zu 50 Millionen Yuan oder 5 % des Jahresumsatzes eines Unternehmens im vorangegangenen Geschäftsjahr. Darüber hinaus können Verstöße auch in der „Kreditakte“ der verarbeitenden Einheit im Rahmen des nationalen Sozialkreditsystems erfasst werden.

Darüber hinaus sind die verarbeitenden Einheiten zum Schadenersatz verpflichtet, wenn sie gegen die Rechte und Interessen von Organisationen und Einzelpersonen verstoßen. Auch die strafrechtlichen Sanktionen für derartige Verstöße sind im chinesischen Strafrecht ausdrücklich geregelt. Es sieht eine höhere strafrechtliche Haftung für Personen vor, die für die Geheimhaltung von Informationen verantwortlich sind, ergänzt die Möglichkeit der Vermögensbeschlagnahme und sieht als Höchststrafe eine lebenslange Haftstrafe vor.

Der singapurische Personal Data Protection Act (PDPA) wurde 2012 verabschiedet (geändert 2020). Das singapurische Gesetz erkennt das Recht auf den Schutz personenbezogener Daten sowie die Notwendigkeit für Organisationen an, unter bestimmten Umständen Informationen für angemessene Zwecke zu sammeln, zu verwenden und offenzulegen.

Das PDPA sieht bei Datenschutzverstößen auch empfindliche Geldstrafen vor. Einzelne Verstöße werden mit Geld- oder Freiheitsstrafen geahndet. Die Geldstrafe hängt von der Art und Schwere der Tat ab und umfasst eine Geldstrafe von 2.000 bis 100.000 SGD (entspricht 1,6 Milliarden VND) und/oder eine Freiheitsstrafe von nicht mehr als 12 Monaten, bei schwerwiegenden Verstößen bis zu 3 Jahren1; Bei Verstößen gegen das Gesetz drohen Agenturen und Unternehmen Bußgelder von bis zu 10 % des Jahresumsatzes.

Die Personal Data Protection Commission (PDPC) ist das Gremium, das bei der Umsetzung des PDPA eine Schlüsselrolle spielt. Dabei handelt es sich um eine spezialisierte Agentur mit großer Macht und weitreichenden Durchsetzungsmöglichkeiten. Sie hat das Recht, von Einzelpersonen und Organisationen die Bereitstellung von Informationen und Dokumenten im Zusammenhang mit der Verarbeitung personenbezogener Daten anzufordern, bei Verstößen Geldstrafen zu verhängen und diese mit anderen Maßnahmen zu behandeln.

Die Einrichtung einer spezialisierten Agentur, der Singapore Personal Data Protection Commission, die unabhängig und proaktiv bei der Erkennung, Behandlung von Verstößen und der Verhängung von Sanktionen arbeitet, ist ebenfalls eine der Voraussetzungen für die wirksame Durchsetzung des Datenschutzes in Singapur.

Empfehlungen zur Verbesserung der Gesetze zum Schutz personenbezogener Daten in Vietnam

Derzeit gibt es in Vietnam 69 Rechtsdokumente, die sich direkt mit dem Thema des Schutzes personenbezogener Daten befassen und in verschiedenen Dokumenten festgelegt sind, darunter Verfassung, Kodex (4), Gesetz (39), Verordnung (1), Dekret (2), Rundschreiben/Gemeinsames Rundschreiben (4) und Entscheidung des Ministers (1).

Diese Dokumente behandeln das Thema des Schutzes personenbezogener Daten grundsätzlich in der Richtung, dass sie den Grundsatz der Wahrung der Privatsphäre der betroffenen Person fördern. Allerdings gibt es unterschiedliche Regelungen zu Informationen im Zusammenhang mit personenbezogenen Daten, die sich auf Fragen der Rechte und Pflichten der betroffenen Personen, der Informationsverarbeitung und der Methoden zum Schutz personenbezogener Daten beziehen. Die vietnamesischen Gesetze zum Schutz personenbezogener Daten haben einige bemerkenswerte Ergebnisse erzielt, insbesondere hat die Regierung am 17. April 2023 das Dekret Nr. 12/2023/ND-CP zum Schutz personenbezogener Daten erlassen – ein separates Dokument, das dieses Thema in unserem Land regelt. Diese Rechtsdokumente haben einen Rechtskorridor für den Schutz personenbezogener Daten geschaffen. Legen Sie die Rechte der betroffenen Personen und der verarbeitenden Parteien fest, schreiben Sie Sanktionen für Verstöße gegen den Schutz personenbezogener Daten vor und benennen Sie die Abteilung für Cybersicherheit und High-Tech-Kriminalitätsprävention beim Ministerium für öffentliche Sicherheit als spezialisierte Agentur für den Schutz personenbezogener Daten.

Vietnam ist mit zahlreichen Risiken, Herausforderungen und Gefahren im Cyberspace konfrontiert, insbesondere mit der Weitergabe und Aneignung persönlicher Informationen und Daten, was zahlreiche schädliche Auswirkungen für die Bürger und die Gesellschaft hat.

Die tatsächliche Umsetzung dieser Dokumente hat jedoch auch viele Einschränkungen offenbart. So existieren die aktuellen separaten Rechtsdokumente lediglich auf Verordnungsebene und werden der Bedeutung des Schutzes personenbezogener Daten nicht gerecht. Viele Inhalte sind derzeit allgemein und unklar geregelt, sodass es an spezifischen Leitlinien für jeden Einzelfall mangelt. Auch sind die Sanktionen noch immer mild und nicht abschreckend genug.

Angesichts dieser Situation war und ist die weitere Verbesserung des Gesetzes zum Schutz personenbezogener Daten in Vietnam ein Thema, das auf der Grundlage von Erfahrungen aus anderen Ländern erforscht werden muss. Speziell:

Erstens: Erarbeiten Sie ein Gesetz zum Schutz personenbezogener Daten . Im Rahmen der industriellen Revolution 4.0 haben 80 Länder auf regionaler und nationaler Ebene separate Rechtsdokumente zum Schutz personenbezogener Daten erlassen. Vietnam muss bald ein allgemeines, spezialisiertes Gesetz zum Datenschutz prüfen und verabschieden, ähnlich wie die EU, China oder Singapur das Datenschutzgesetz vorsieht, das grundlegende Fragen und Prinzipien zum Schutz personenbezogener Daten festlegt. Die Verkündung eines eigenen Gesetzes zum Schutz personenbezogener Daten wird eine wichtige Rechtsgrundlage für den Schutz personenbezogener Daten sein, da die aktuellen Rechtsdokumente zu diesem Thema in unserem Land weder hinsichtlich der Verwendung der Terminologie noch hinsichtlich der inhaltlichen Regelungen einheitlich sind.

Zweitens: Die Sanktionen für Verstöße gegen den Schutz personenbezogener Daten müssen strenger angepasst und ergänzt werden, um der Art und Schwere des Verstoßes gerecht zu werden. Obwohl die Sanktionen für Verstöße gegen den Schutz personenbezogener Daten in unserem Land verwaltungs-, zivil- und strafrechtliche Sanktionen umfassen, sind sie im Allgemeinen recht milde und haben keine hohe abschreckende Wirkung. Die gängigste Methode besteht derzeit noch darin, Sanktionen für Verwaltungsverstöße zu verhängen. Die entsprechenden Regelungen sind jedoch in vielen Verordnungen verstreut und sehen recht niedrige Geldstrafen vor. Die höchsten betragen 100 Millionen VND für Einzelpersonen und 200 Millionen VND für Organisationen.

Der Schaden, der durch administrative Verstöße gegen den Schutz personenbezogener Daten entstehen kann, ist nicht nur ein materieller Schaden, sondern betrifft auch Ehre und Würde. Neben verwaltungsrechtlichen Sanktionen finden sich strafrechtliche Sanktionen bei Verstößen gegen den Schutz personenbezogener Daten lediglich in den Regelungen zum Datenschutz sowie in den Bereichen Informationstechnologie und Netzwerksicherheit in Artikel 159 und Artikel 288 des aktuellen Strafgesetzbuches mit relativ geringen Gefängnisstrafen von höchstens 7 Jahren Gefängnis und Geldstrafen von höchstens 1 Milliarde VND wieder. Verglichen mit den 20 Millionen Euro der EU, einer Million Singapur-Dollar oder einer lebenslangen Freiheitsstrafe in China ist diese Geldstrafe immer noch sehr niedrig und steht in keinem Verhältnis zu vielen Verstößen.

Gleichzeitig ist es notwendig, viele Verhaltensweisen zu regulieren, die derzeit nicht im Gesetz erwähnt werden, wie etwa den groß angelegten Datenhandel, die Einrichtung von Systemen zum Missbrauch von Daten, Verstöße im Marketingdienstleistungsgeschäft usw.

Drittens zum Modell der Datenschutzbehörde in Vietnam . Derzeit ist die Abteilung für Cybersicherheit und High-Tech-Kriminalitätsprävention beim Ministerium für öffentliche Sicherheit die spezialisierte Agentur für den Schutz personenbezogener Daten. Unter Bezugnahme auf internationale Vorschriften können wir die Einrichtung einer unabhängigen Datenschutzbehörde in Erwägung ziehen, die für die Durchsetzung des Datenschutzgesetzes verantwortlich ist, Inspektionen und Untersuchungen durchführt, Richtlinien herausgibt, Empfehlungen ausspricht und bei etwaigen Verstößen Sanktionen verhängt.

Wir können uns auf diese Modelle in der EU oder Singapur beziehen, um Gesetze zum Schutz personenbezogener Daten wirksam durchzusetzen und dabei den Schutz persönlicher Rechte mit der Gewährleistung der Netzwerksicherheit in Einklang zu bringen.

Der Schutz personenbezogener Daten ist keine einfache Angelegenheit, insbesondere wenn er im Kontext der Integration erfolgt, wenn in großem Umfang Aktivitäten zur Überwachung und Erfassung personenbezogener Daten stattfinden und das vietnamesische Rechtssystem, das dieses Thema regelt, sich noch im Aufbau- und Perfektionierungsprozess befindet.

Die Untersuchung des internationalen Rechts zu diesem Thema im Hinblick auf die praktische Situation in Vietnam wird uns dabei helfen, bald einen Rechtsrahmen für einen umfassenden Schutz personenbezogener Daten zu schaffen, der mit dem internationalen Recht vereinbar ist und eine wirksame Durchsetzung ermöglicht.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html