Welche Verantwortung trägt ein Unternehmen bei der Weitergabe von Kundeninformationen?

Millionen von Kundendaten durchgesickert

Das Ministerium für öffentliche Sicherheit hat auf eine Reihe von Technologieunternehmen hingewiesen, die Kundeninformationen weitergegeben haben, oder auf Taxivermittlungsfirmen, die diese Informationen für die Werbung per SMS nutzten. Das Ministerium erklärte außerdem, dass der Verkauf und Verkauf personenbezogener Daten weit verbreitet, öffentlich und zunehmend kompliziert sei. Schlimmer noch: Viele Daten werden seit langem öffentlich und in großen Mengen im Cyberspace verkauft. Der Kauf und Verkauf findet nicht nur zwischen Einzelpersonen statt, sondern auch zwischen Unternehmen, Organisationen und Konzernen.

Im Jahr 2018 tauchten in Technologieforen Informationen über das Durchsickern von Thegioididong.com auf, bei dem Hacker wichtige Informationen wie E-Mail-Adressen, Transaktionsverläufe und sogar Kartennummern erbeutet hatten. Dies beunruhigte Millionen von Kunden. Gioi Di Dong veröffentlichte umgehend eine Pressemitteilung, in der bestätigt wurde, dass es sich um Falschinformationen handelte, das System weiterhin sicher sei, normal funktioniere und nicht beeinträchtigt sei. Danach beruhigte sich die Lage allmählich.

Im April 2018 stellte VNG fest, dass 160 Millionen Zing-ID-Konten gefährdet waren und einen Teil der Gaming-Kundendaten des Unternehmens beeinträchtigen könnten. Das Unternehmen erklärte, umgehend Maßnahmen ergriffen zu haben, um den Vorfall zu bewältigen, Eindringlinge zu verhindern und die Anzahl der betroffenen Nutzer durch technische Maßnahmen zu begrenzen. VNG räumte jedoch ein, dass die Daten einiger Nutzer durchgesickert seien. „Der tatsächlich betroffene Nutzerkreis ist jedoch überschaubar, konzentriert sich auf Gaming-Kunden und betrifft keine anderen VNG-Produkte.“ VNG verpflichtete sich, die Rechte und die Sicherheit der Kunden stets zu gewährleisten und alle auftretenden Probleme für Kunden umfassend zu lösen.

Laut Herrn Vo Do Thang vom Athena Cyber ​​Security Center muss in bestimmten Fällen, wie vom Ministerium für öffentliche Sicherheit genannt, untersucht werden, ob das System des Unternehmens angegriffen wurde oder ob Mitarbeiter des Unternehmens die Daten gestohlen und veröffentlicht haben. Unabhängig vom Grund weist ein Datenleck jedoch darauf hin, dass das System des Unternehmens eine Schwachstelle aufweist. Diese Schwachstelle kann technischer oder menschlicher Natur sein. Daher muss die Netzwerksicherheit im Allgemeinen sowie der Schutz personenbezogener Kundendaten regelmäßig und rund um die Uhr an 365 Tagen im Jahr überwacht und umgesetzt werden, ohne dass es zu Nachlässigkeiten kommt. Denn niemand kann behaupten, sein System sei immer sicher, da Hacker jederzeit angreifen können. Ganz zu schweigen von Fällen, in denen die eigenen Mitarbeiter des Unternehmens Kundendaten stehlen und verkaufen.

Die Welt verhängt schwere Strafen, Vietnam hingegen nur wenige.

In letzter Zeit gab es eine Reihe von Fällen der Offenlegung von Kundeninformationen, doch fast keine dieser Einheiten wurde dafür bestraft oder sanktioniert. Mittlerweile haben Länder weltweit sehr hohe Strafen für dieses Verhalten verhängt. So verurteilte die US-amerikanische Federal Trade Commission im Juli 2019 Facebook zu einer Geldstrafe von 5 Milliarden US-Dollar, nachdem Cambridge Analytica auf die persönlichen Daten von 87 Millionen Nutzern des sozialen Netzwerks zugegriffen und diese illegal verwendet hatte. Der Untersuchung zufolge erlaubte Facebook Cambridge Analytica während des Präsidentschaftswahlkampfs 2016 und des Brexit-Referendums 2016 in Großbritannien den illegalen Zugriff auf die Daten von 50 Millionen US-Nutzern. Dies ist die weltweit höchste Geldstrafe, die jemals für einen Skandal um die Weitergabe von Nutzerdaten verhängt wurde.

In Vietnam gibt es zahlreiche Vorschriften zu Strafen für Informationslecks und -offenlegung. Der derzeit in Konsultation befindliche und von der Regierung zu verkündende Verordnungsentwurf zu Strafen für Verwaltungsverstöße im Bereich der Cybersicherheit sieht für Organisationen, die gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen, eine Höchststrafe von bis zu 5 % des Gesamtumsatzes des vorangegangenen Geschäftsjahres in Vietnam für den zweiten oder weiteren Verstoß vor. Gleichzeitig kann eine zusätzliche Strafe in Form des Entzugs der Gewerbeerlaubnis für ein bis drei Monate für die Branche verhängt werden, die die Erhebung personenbezogener Daten erfordert.

Vu Ngoc Son, Technischer Direktor des vietnamesischen Unternehmens für Cybersicherheitstechnologie, erklärte, dass Unternehmen und Organisationen, die gegen das Gesetz verstoßen, aufgrund fehlender detaillierter Regelungen zum Schutz personenbezogener Daten bislang lediglich mit Verwaltungsstrafen belegt würden. Die im kommenden Entwurf vorgeschlagene Höchststrafe von bis zu 5 % des Gesamtumsatzes sei daher für Vietnam geeignet und halte Unternehmen davon ab, mehr Verantwortung für den Schutz von Kundendaten zu übernehmen. Laut Son sei diese Strafe im internationalen Vergleich jedoch noch nicht hoch. In vielen Ländern würden die meisten Strafen nach dem Ausmaß der Auswirkungen des jeweiligen Verstoßes bemessen. Wenn beispielsweise ein Verstoß von einem kleinen Unternehmen ausgeht, aber eine große Anzahl von Nutzern ernsthaft betrifft, fällt die Strafe dennoch sehr hoch aus. „In Vietnam gibt es noch immer keine Skala zur Bewertung der Auswirkungen jedes einzelnen Falles von Datenlecks. Daher ist es nur vernünftig, eine umsatzbasierte Strafe vorzuschlagen. Ich denke, dies wird einen neuen Schritt nach vorne bei der Kontrolle und dem Schutz personenbezogener Daten darstellen“, sagte Vu Ngoc Son.

Herr Vo Do Thang stimmte zu und bemerkte, dass detailliertere und öffentlich zugängliche Vorschriften zu spezifischen Verwaltungsstrafen für Verstöße gegen den Schutz personenbezogener Kundendaten Unternehmen dazu zwingen würden, ihre Netzwerksicherheitssysteme zu überprüfen. Um die Vertraulichkeit von Kundeninformationen zu gewährleisten, werden technische und personelle Ressourcen regelmäßig bewertet und überwacht. Dies ähnelt den Vorschriften zum Brandschutz in Bürogebäuden und an Orten mit hohem Personenaufkommen. Staatliche Verwaltungsbehörden müssen zudem die Inspektion, Überwachung und strenge Bestrafung von Unternehmen, die gegen die Vorschriften verstoßen, verstärken. Verstöße können im ersten Fall in den Medien öffentlich gemacht werden; bei einem zweiten Verstoß drohen entsprechende Verwaltungsstrafen, und der Dienst kann vorübergehend gesperrt werden, damit das Unternehmen sein Netzwerksicherheitssystem verbessern kann.