Welche Verantwortung trägt ein Unternehmen bei der Weitergabe von Kundeninformationen?

Millionen von Kundendaten durchgesickert

Das Ministerium für öffentliche Sicherheit hat auf eine Reihe von Technologieunternehmen hingewiesen, die Kundeninformationen weitergegeben haben, oder auf Taxivermittlungsfirmen, die diese Passagierdaten nutzten, um Dienste per SMS anzubieten. Das Ministerium erklärte außerdem, dass die Weitergabe und der Verkauf personenbezogener Daten weit verbreitet, öffentlich und zunehmend kompliziert sei. Schlimmer noch: Viele Daten werden seit langem in großen Mengen öffentlich im Cyberspace verkauft. An diesem Kauf und Verkauf sind nicht nur Einzelpersonen beteiligt, sondern auch Unternehmen, Organisationen und Betriebe.

Im Jahr 2018 tauchten in Technologieforen Informationen über das Durchsickern von Thegioididong.com auf, bei dem Hacker wichtige Informationen wie E-Mail-Adressen, Transaktionsverläufe und sogar Kartennummern erbeutet hatten. Dies beunruhigte Millionen von Kunden. Gioi Di Dong veröffentlichte umgehend eine Pressemitteilung, in der bestätigt wurde, dass es sich um Falschinformationen handelte, das System weiterhin sicher sei, normal funktioniere und nicht beeinträchtigt sei. Danach beruhigte sich die Lage allmählich.

Im April 2018 verzeichnete VNG , dass 160 Millionen Zing-ID-Konten gefährdet waren und einen Teil der Gaming-Kundendaten des Unternehmens beeinträchtigen könnten. Das Unternehmen erklärte, umgehend Maßnahmen ergriffen zu haben, um den Vorfall zu bewältigen, Eindringlinge zu verhindern und die Zahl der betroffenen Nutzer durch technische Maßnahmen zu begrenzen. VNG räumte jedoch ein, dass die Daten einiger Nutzer durchgesickert waren. „Der tatsächliche Umfang des Vorfalls ist jedoch überschaubar, konzentriert sich auf Gaming-Kunden und betrifft keine anderen VNG-Produkte.“ VNG versprach, die Rechte und die Sicherheit der Kunden stets zu gewährleisten und alle auftretenden Probleme gründlich zu lösen.

Laut Herrn Vo Do Thang vom Athena Cyber ​​Security Center muss in bestimmten Fällen, wie dem vom Ministerium für öffentliche Sicherheit genannten, untersucht werden, ob das System des Unternehmens angegriffen wurde oder ob Mitarbeiter des Unternehmens die Daten gestohlen und veröffentlicht haben. Doch was auch immer der Grund ist: Ein Datenleck weist darauf hin, dass das System des Unternehmens eine Schwachstelle aufweist. Diese Schwachstelle kann technischer oder menschlicher Natur sein. Daher muss die Netzwerksicherheit im Allgemeinen sowie der Schutz der personenbezogenen Daten der Kunden regelmäßig und rund um die Uhr an 365 Tagen im Jahr überwacht und umgesetzt werden, ohne dass es zu Nachlässigkeiten kommt. Denn niemand kann behaupten, sein System sei immer sicher, da Hacker jederzeit angreifen können. Ganz zu schweigen von Situationen, in denen die eigenen Mitarbeiter des Unternehmens Kundendaten stehlen und an Dritte verkaufen …

Die Welt verhängt schwere Strafen, Vietnam hingegen nur wenige.

In letzter Zeit gab es eine Reihe von Fällen, in denen Kundendaten geleakt wurden, doch fast keine dieser Einheiten wurde dafür bestraft oder sanktioniert. Mittlerweile haben Länder auf der ganzen Welt hohe Strafen für dieses Verhalten verhängt. So beschloss die US-amerikanische Federal Trade Commission im Juli 2019, Facebook mit einer Geldstrafe von 5 Milliarden US-Dollar zu belegen, nachdem Cambridge Analytica auf die persönlichen Daten von 87 Millionen Nutzern des sozialen Netzwerks zugegriffen und diese illegal verwendet hatte. Der Untersuchung zufolge erlaubte Facebook Cambridge Analytica während des Präsidentschaftswahlkampfs 2016 und des Brexit-Referendums in Großbritannien 2016 den illegalen Zugriff auf die Daten von 50 Millionen US-Nutzern... Dies ist die weltweit höchste Geldstrafe, die jemals für einen Skandal um die Weitergabe von Nutzerdaten verhängt wurde.

In Vietnam gibt es zahlreiche Vorschriften zu Strafen für Informationslecks und -offenlegung. Der derzeit in Beratung befindliche und von der Regierung zu verkündende Verordnungsentwurf zu Strafen für Verwaltungsverstöße im Bereich der Netzwerksicherheit sieht für Organisationen, die gegen die Vorschriften zum Schutz personenbezogener Daten verstoßen, eine Höchststrafe von bis zu 5 % des Gesamtumsatzes des vorangegangenen Geschäftsjahres in Vietnam für den zweiten oder weiteren Verstoß vor. Gleichzeitig kann eine zusätzliche Strafe in Form des Entzugs der Gewerbeerlaubnis für ein bis drei Monate für die Erhebung personenbezogener Daten verhängt werden.

Vu Ngoc Son, Technischer Direktor der VN Cyber ​​Security Technology Company, erklärte, dass Unternehmen und Organisationen, die gegen die Vorschriften verstoßen, aufgrund fehlender detaillierter Regelungen zum Schutz personenbezogener Daten bislang lediglich mit Verwaltungsstrafen belegt würden. Die im kommenden Entwurf vorgeschlagene Höchststrafe von bis zu 5 % des Gesamtumsatzes sei daher für Vietnam geeignet und habe eine abschreckende Wirkung, sodass Unternehmen eine höhere Verantwortung für den Schutz von Kundendaten übernehmen müssten. Laut Son sei diese Strafe im internationalen Vergleich jedoch noch nicht hoch. In vielen Ländern würden die meisten Strafen nach dem Ausmaß der Auswirkungen des jeweiligen Verstoßes bemessen. Wenn beispielsweise ein Verstoß von einem kleinen Unternehmen ausgeht, aber eine große Anzahl von Nutzern schwer beeinträchtigt, fällt die Strafe dennoch sehr hoch aus. „In Vietnam gibt es noch keine Skala zur Bewertung der Auswirkungen jedes einzelnen Falles von Datenlecks. Daher ist es nur vernünftig, eine Strafe auf Grundlage des Umsatzes vorzuschlagen. Ich denke, dies wird einen neuen Schritt nach vorne bei der Kontrolle und dem Schutz personenbezogener Daten darstellen“, sagte Vu Ngoc Son.

Herr Vo Do Thang stimmte zu und merkte an, dass detailliertere Vorschriften zu konkreten und öffentlichen Verwaltungsstrafen für Verstöße gegen den Schutz personenbezogener Kundendaten Unternehmen dazu zwingen würden, ihre Netzwerksicherheitssysteme zu überprüfen. Um die Vertraulichkeit von Kundeninformationen zu gewährleisten, werden sowohl technische als auch personelle Ressourcen regelmäßig bewertet und überwacht. Dies ähnelt den Vorschriften zum Brandschutz in Bürogebäuden und an belebten Orten. Staatliche Verwaltungsbehörden müssen zudem die Kontrolle, Überwachung und strenge Bestrafung von Unternehmen, die gegen die Vorschriften verstoßen, verstärken. Der erste Verstoß kann in den Massenmedien öffentlich gemacht werden; der zweite Verstoß wird mit entsprechenden Verwaltungsstrafen geahndet, und der Dienst kann für eine gewisse Zeit gesperrt werden, damit das Unternehmen sein Netzwerksicherheitssystem stärken kann.