Schritte zur Sicherung der Menschenrechte im digitalen Wandel

Beim Schutz personenbezogener Daten handelt es sich um den Schutz der grundlegenden Menschenrechte und Freiheiten in Bezug auf Daten.

Am 17. April 2023 erließ die Regierung das Dekret Nr. 13/2023/ND-CP (Dekret) zum Schutz personenbezogener Daten, das ab dem 1. Juli 2023 in Kraft tritt und die Anforderungen zum Schutz der Rechte an personenbezogenen Daten erfüllt sowie Verstöße gegen den Schutz personenbezogener Daten verhindert, die die Rechte und Interessen von Einzelpersonen und Organisationen beeinträchtigen.

Highlights

Das Dekret ist ein Rechtsdokument, das den Schutz personenbezogener Daten und die Verantwortung der entsprechenden Behörden, Organisationen und Einzelpersonen zum Schutz personenbezogener Daten regelt.

Der Schutz personenbezogener Daten ist in erster Linie der Schutz der grundlegenden Menschenrechte und Freiheiten im Zusammenhang mit Daten. Die Bestimmungen des Dekrets zum Schutz personenbezogener Daten im Betrieb zielen darauf ab, die Verletzung der persönlichen Rechte und Freiheiten jeder Person zu verhindern.

Gleichzeitig ist die Sicherheit personenbezogener Daten von besonderer Bedeutung, da der Diebstahl von Daten wirtschaftliche und soziale Verluste verursachen kann und Risiken birgt wie: Erpressung, Betrug, Enteignung von Eigentum, Verleumdung, Verletzung der Ehre oder Würde, sexueller Missbrauch usw. Dies kann sowohl materielle als auch geistige Folgen haben und die Rechte und legitimen Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen.

Zweitens: Förderung und Achtung der Rechte der Betroffenen. Zu den Rechten der Betroffenen gehören das Auskunftsrecht, das Recht auf Einwilligung in die Verarbeitung personenbezogener Daten, das Recht auf Information und das Recht auf Löschung.

Darüber hinaus haben betroffene Personen das Recht, sich vor der Verletzung ihrer personenbezogenen Daten durch andere zu schützen. Betroffene haben das Recht, Schadensersatz zu verlangen, wenn ein Verstoß gegen die Bestimmungen des Dekrets das Recht auf Datenschutz beeinträchtigt. Das Dekret legt zudem klar fest, dass die Erhebung, Übermittlung oder der Kauf und Verkauf personenbezogener Daten ohne deren Einwilligung einen Gesetzesverstoß darstellt.

Das Recht der betroffenen Person auf Schutz personenbezogener Daten ist jedoch kein absolutes Recht, sondern kann in Notfällen eingeschränkt werden, um das Leben und die Gesundheit der Person oder anderer zu schützen; in Notsituationen im Zusammenhang mit der Landesverteidigung, der nationalen Sicherheit, der sozialen Ordnung und Sicherheit; bei der Erfüllung festgelegter vertraglicher Verpflichtungen oder bei der Unterstützung der in speziellen Gesetzen vorgeschriebenen Aktivitäten staatlicher Stellen.

Ziel der Ausnahmeregelungen ist es, den Grundsatz umzusetzen, die Rechte von Einzelpersonen und Organisationen zu gewährleisten, ohne jedoch die legitimen Interessen anderer Einzelpersonen oder Organisationen oder die nationalen Interessen bei der Ausübung dieser Rechte zu verletzen.

Drittens: Förderung der internationalen Integration im Bereich Datenschutz. Das Dekret steht im Einklang mit internationalen Praktiken und Vorschriften zum Datenschutz. Viele Industrieländer haben den Datenschutz bereits gesetzlich verankert, was für Vietnam eine wichtige Grundlage darstellt.

Darüber hinaus haben internationale Organisationen, denen Vietnam angehört oder mit denen es zusammenarbeitet, Konventionen, Empfehlungen und Standards zum Schutz der Privatsphäre und personenbezogener Daten herausgegeben. Dazu gehören die Datenschutzgrundsätze der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD), das Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung von Informationen und personenbezogenen Daten, die UN-Leitlinien für computergestützte personenbezogene Daten und Informationsdateien, das Datenschutzrahmenwerk der Asiatisch -Pazifischen Wirtschaftsgemeinschaft (APEC), internationale Standards zum Schutz der Privatsphäre und personenbezogener Daten (Madrider Resolution) und die EU-Datenschutz-Grundverordnung (DSGVO).

Darüber hinaus haben im Zuge der Förderung der Zusammenarbeit zwischen unserem Land und anderen Ländern und Territorien mehr als 80 Länder Rechtsdokumente zum Schutz personenbezogener Daten erlassen, von denen viele Bestimmungen enthalten, die für vietnamesische Organisationen und Einzelpersonen gelten. Spezifische und detaillierte Regelungen zum Schutz personenbezogener Daten zielen daher darauf ab, in Vietnam ein Umfeld der Gleichheit und Rechtsstaatlichkeit zu schaffen, auch für ausländische Einzelpersonen und Organisationen.

Die Herausforderungen

Derzeit bestehen bei der Umsetzung des Dekrets noch erhebliche Herausforderungen.

Erstens besteht die Herausforderung darin, die Mitarbeiter eines Unternehmens zu verwalten. Derzeit bauen viele Unternehmen ein Modell auf, bei dem Muttergesellschaft und Tochtergesellschaften dasselbe Verwaltungsökosystem nutzen. Auf Mitarbeiterinformationen kann über das gemeinsame System problemlos zugegriffen werden.

Allerdings wird nach vietnamesischem Recht jedes Unternehmen (einschließlich Mutter- und Tochtergesellschaften) als separate und unabhängige juristische Person betrachtet, sodass die Übermittlung personenbezogener Daten von Mitarbeitern durch Unternehmen im selben Ökosystem zur Unterstützung des internen Managementprozesses des Unternehmens auch als Verstoß gegen die Verantwortung des Unternehmens zum Schutz personenbezogener Daten angesehen werden kann.

Andererseits haben viele Unternehmen derzeit Schwierigkeiten, das Dekret umzusetzen, und haben die Mechanismen und Vorschriften zur Verwaltung und zum Schutz der personenbezogenen Daten ihrer Mitarbeiter gemäß dem Dekret noch nicht fertiggestellt.

Zweitens steht es nicht im Einklang mit den gesetzlichen Bestimmungen für die Tätigkeit von Kreditinstituten. Derzeit wird die Tätigkeit von Kreditinstituten durch spezielle gesetzliche Bestimmungen geregelt, beispielsweise: das Gesetz über Kreditinstitute 2010 (geändert und ergänzt 2014); das Gesetz zur Bekämpfung der Geldwäsche; das Dekret 117/2018/ND-CP über die Wahrung der Vertraulichkeit und Bereitstellung von Kundeninformationen von Kreditinstituten und ausländischen Bankfilialen; das Rundschreiben 09/2020/TT-NHNN der Staatsbank zur Regelung der Sicherheit von Informationssystemen im Bankgeschäft auf der Ebene unterhalb des Gesetzes.

Bei Bankgeschäften hingegen betrifft die Datenverarbeitung personenbezogene Daten, etwa: Das Erfassen, Aufzeichnen, Analysieren, Bestätigen, Speichern, Bearbeiten, Veröffentlichen, Kombinieren, Zugreifen, Abrufen, Wiederaufrufen, Verschlüsseln, Entschlüsseln, Kopieren, Teilen, Übermitteln, Bereitstellen, Übermitteln, Löschen, Vernichten personenbezogener Daten oder andere damit verbundene Aktionen sind für die Bereitstellung von Dienstleistungen für Kunden und das Risikomanagement bei Bankgeschäften sowie die Gewährleistung der Sicherheit des Währungssystems unerlässlich. Daher ist für viele Aktivitäten zur Verarbeitung personenbezogener Kundendaten keine Zustimmung des Kunden erforderlich und dies auch nicht. In Absatz 2, Artikel 3 und Absatz 1, Artikel 9 des Dekrets ist festgelegt, dass die betroffenen Personen das Recht haben, über die Verarbeitung ihrer personenbezogenen Daten informiert zu werden, außer in Fällen, in denen andere Gesetze etwas anderes vorsehen.

Oder in Absatz 2, Artikel 9 wird festgelegt, dass die betroffene Person das Recht hat, der Verarbeitung ihrer personenbezogenen Daten nicht zuzustimmen. Die betroffene Person hat das Recht auf Löschung, Zugriff, Beantragung einer Einschränkung der Datenverarbeitung und Widerspruch gegen die Datenverarbeitung, außer in Fällen, in denen andere Gesetze andere Bestimmungen als Artikel 9 vorsehen. Daher wäre es verwirrend und unangemessen, wenn das Dekret starr und ohne einheitliche Leitlinien angewendet würde.

Darüber hinaus erfolgt die Bereitstellung von Dienstleistungen und Produkten durch Kreditinstitute über viele Prozesse im Rahmen eines Produkts. Jeder Prozess im Rahmen eines Produkts umfasst viele verschiedene Schritte und bezieht sich auf die Erhebung, Auswertung, Analyse und Bereitstellung von Daten aus sehr großen Kundendateien. Das Dekret verpflichtet den Verantwortlichen und den Auftragsverarbeiter personenbezogener Daten, bei allen Verarbeitungsvorgängen die Einwilligung der betroffenen Person (des Kunden) einzuholen (Artikel 11). Vor der Durchführung von Datenverarbeitungsvorgängen muss die betroffene Person benachrichtigt werden (Artikel 13). Dies stellt weiterhin ein weiteres Hindernis für die Geschäftstätigkeit von Kreditinstituten dar.

Darüber hinaus müssen Kreditinstitute ihre Informationstechnologiesysteme und andere untergesetzliche Dokumente im Zusammenhang mit der Geschäftstätigkeit von Kreditinstituten anpassen; Vertrags- und Vereinbarungsvorlagen müssen überarbeitet werden, um dem Dekret zu entsprechen, was zu erheblichen Schwierigkeiten für den Bankbetrieb führt.

Drittens ist sich ein Teil der Bevölkerung nicht darüber im Klaren, wie man seine persönlichen Daten schützt, und gibt daher leichtfertig persönliche Informationen auf Social-Networking-Plattformen weiter, wodurch es unabsichtlich Kriminellen ermöglicht wird, diese Informationen für böse Zwecke auszunutzen.

Manche Menschen sind sich des Wertes des Schutzes personenbezogener Daten hinsichtlich der Wahrung der Privatsphäre nicht ganz bewusst und haben Angst, persönliche Informationen preiszugeben. Dies erschwert den Behörden die staatliche Verwaltung des Schutzes personenbezogener Daten sowie die Untersuchung und Behandlung von Verstößen gegen das Gesetz zum Schutz personenbezogener Daten.

Darüber hinaus hat der Kauf und Verkauf personenbezogener Daten und das damit verbundene Risiko eines Informationsverlusts schwerwiegende Folgen und wirkt sich auf sozioökonomische Probleme aus. Betrügerische Phänomene und Spam-Werbung über Anrufe und Nachrichten sind nach wie vor kompliziert und beeinträchtigen das Leben der Menschen.

Die Sicherheit personenbezogener Daten ist von besonderer Bedeutung, da Datendiebstahl wirtschaftliche und soziale Verluste verursachen und die Rechte und berechtigten Interessen von Behörden, Organisationen, Unternehmen und Einzelpersonen direkt beeinträchtigen kann. (Quelle: Shutterstock)

Umsetzung des Dekrets in die Praxis

Vietnam ist mit über 70 Millionen Nutzern eines der Länder mit der weltweit höchsten Internetentwicklung und -anwendungsgeschwindigkeit. Personenbezogene Daten von mehr als zwei Dritteln der Bevölkerung unseres Landes wurden und werden in unterschiedlicher Form und Detailliertheit im digitalen Umfeld, dem Cyberspace, gespeichert, veröffentlicht, weitergegeben und gesammelt.

Das Dekret stellt einen Durchbruch bei der Gewährleistung der Menschenrechte im digitalen Wandel dar, überwindet Mängel und Unzulänglichkeiten bei der Gewährleistung, dem Schutz und der Sicherung personenbezogener Daten und erhöht die Verantwortung in- und ausländischer Behörden, Organisationen und Einzelpersonen, die in Vietnam direkt an der Verarbeitung personenbezogener Daten beteiligt sind oder damit in Zusammenhang stehen.

Damit das Dekret in der Praxis wirklich wirksam ist, müssen folgende Punkte berücksichtigt werden:

Erstens: Die Verantwortung der Unternehmen für den Schutz der Arbeitnehmerrechte muss gestärkt werden. Unternehmen müssen beim Einsatz von Arbeitskräften Informationen über ihre Mitarbeiter sammeln und speichern. Arbeitgeber und Unternehmen erhalten und verwalten im Rahmen des Arbeitsmanagements viele personenbezogene Daten ihrer Mitarbeiter. Eine nachlässige Verwaltung und Verarbeitung dieser Informationen kann jedoch unvorhersehbare Folgen haben.

Unternehmen müssen die Gesamtauswirkungen des Erlasses sorgfältig prüfen und bewerten, Verfahren und Anweisungen zum Umgang mit personenbezogenen Daten gemäß den neuen Bestimmungen umgehend überprüfen und aktualisieren, die Einrichtung von Mechanismen und die Erstellung von Governance-Regelungen auf Grundlage der Bestimmungen des Erlasses in Erwägung ziehen und diese Mechanismen und Regelungen während des gesamten Betriebsprozesses aufrechterhalten und einhalten.

Zweitens müssen die Hindernisse für die Kreditaktivitäten der Kreditinstitute beseitigt werden . Die Staatsbank muss eng mit den zuständigen Ministerien, insbesondere dem Ministerium für öffentliche Sicherheit, zusammenarbeiten, um einheitliche Richtlinien zum Schutz personenbezogener Daten im Kreditsektor bereitzustellen. Dabei muss sichergestellt werden, dass die Kreditinstitute ihre operative Verantwortung für den Schutz von Kundendaten wahrnehmen und gleichzeitig spezielle Anforderungen und Aufgaben erfüllen.

Drittens ist es für die tatsächliche Umsetzung des Dekrets notwendig, die Rechtslage umfassend zu verbreiten und zu informieren. Insbesondere muss die Notwendigkeit hervorgehoben werden, das Dekret mit dem höchsten Ziel der Achtung und des Schutzes der Bürger- und Menschenrechte zu erlassen. Vor allem muss der Betroffene selbst die Datenschutzbestimmungen sorgfältig verstehen und sein Bewusstsein und seine Verantwortung dafür stärken.