Internationales Recht zum Schutz personenbezogener Daten und Auswirkungen auf Vietnam

Da Vietnam zu den Ländern mit der weltweit höchsten Internetentwicklung und Anwendungsgeschwindigkeit zählt und von fast 80 % der Bevölkerung genutzt wird, werden die persönlichen Daten von zwei Dritteln der Bevölkerung in vielen verschiedenen Formen und Detailstufen im Cyberspace gespeichert, veröffentlicht, weitergegeben und gesammelt.

In den Jahren 2022 und 2023 wurden in Vietnam fünf Strafverfahren geführt, bei denen es um den Kauf und Verkauf von Tausenden Gigabyte an Daten und Milliarden personenbezogener Informationen ging. Dies zeigt, dass es dringend notwendig ist, das Gesetz zum Schutz personenbezogener Daten auf der Grundlage von Forschung und Bezugnahme auf das Völkerrecht zu verbessern.

Internationales Recht zum Schutz personenbezogener Daten

Die DSGVO gilt als bedeutender rechtlicher Fortschritt, da sie den strengsten Mechanismus zum Schutz personenbezogener Daten weltweit schafft.

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gilt als bedeutender rechtlicher Fortschritt. Sie schafft den derzeit weltweit strengsten Mechanismus zum Schutz personenbezogener Daten und gilt für alle Organisationen und Unternehmen, die personenbezogene Daten von Bürgern in der EU verarbeiten.

Die DSGVO sieht einheitliche Strafen für Verstöße gegen die DSGVO vor. Bei geringfügigen Verstößen betragen die Strafen bis zu zwei Prozent des Umsatzes bzw. zehn Millionen Euro, bei schwerwiegenden Verstößen vier Prozent des Umsatzes bzw. 20 Millionen Euro. Zusätzlich zu den Strafen können Unternehmen, die gegen die DSGVO verstoßen, auch mit weiteren Sanktionen belegt werden, beispielsweise mit der Einstellung der Datenverarbeitung oder der Löschung von Daten, die unter Verstoß gegen die DSGVO verarbeitet wurden.

Die EU-Behörde für den Schutz personenbezogener Daten ist die EU-Datenschutzaufsichtsbehörde (EDSB) – ein unabhängiges Gremium, zu dessen Mitgliedern erfahrene Anwälte, IT-Experten und Administratoren gehören.

Die Hauptaufgabe dieses Gremiums besteht darin, die Verarbeitung personenbezogener Daten in EU-Agenturen und -Organisationen zu überwachen und in Fragen im Zusammenhang mit personenbezogenen Daten zu beraten. Die DSGVO erfordert außerdem die Einrichtung einer Datenschutzbehörde in jedem Mitgliedsstaat, beispielsweise einer nationalen Datenschutzkommission (Frankreich, Irland usw.) oder einer Datenschutzinspektion (Finnland, Lettland usw.).

Neben dem EDSB hat die EU auch den Europäischen Datenschutzausschuss (EDSA) eingerichtet, der sich aus Vertretern der nationalen Datenschutzbehörden der Mitgliedstaaten und Vertretern der EU zusammensetzt und als wichtigstes unabhängiges Beratungsgremium für Fragen des Schutzes personenbezogener Daten fungiert und für die einheitliche Anwendung der DSGVO in der gesamten Union verantwortlich ist.

Die DSGVO sieht äußerst abschreckende Sanktionen vor, sowohl materieller als auch immaterieller Art. Darüber hinaus ist die EU-Datenschutzbehörde nach dem Modell der Kommission/des Kommissars aufgebaut. Sie verfügt daher über weitreichende und unabhängige Sanktionsbefugnisse bei Verstößen von Organisationen gegen Datenschutzbestimmungen und kann die Verarbeitung personenbezogener Daten unabhängig beurteilen und darüber entscheiden.

Das 2021 in Kraft getretene chinesische Gesetz zum Schutz personenbezogener Daten (PIPL) gilt als das erste umfassende nationale Datenschutzgesetz in China. Das PIPL betrachtet personenbezogene Daten/persönliche Informationen relativ einheitlich als Informationen, die eine bestimmte Person identifizieren oder identifizieren und sich auf eine kleine Gruppe von Personen innerhalb Chinas beziehen (Artikel 4, Kapitel 1 PIPL). Gleichzeitig regelt es den Umgang mit sensiblen personenbezogenen Daten, um die Rechte und Pflichten der Parteien in Bezug auf spezifischere Datengruppen zu regeln.

Die Sanktionen für Verstöße gegen das Recht auf personenbezogene Daten sind gemäß dem PIPL sehr streng und umfassen Zwangsmaßnahmen, die Beschlagnahme illegaler Einkünfte, die Aussetzung von Dienstleistungen, den Entzug von Geschäfts- oder Betriebslizenzen und Geldstrafen von bis zu 50 Millionen Yuan oder 5 % des Jahresumsatzes einer Organisation im vorangegangenen Geschäftsjahr. Darüber hinaus können Verstöße auch im „Kreditregister“ der verarbeitenden Einheit im Rahmen des nationalen Sozialkreditsystems erfasst werden.

Darüber hinaus sind die Verarbeitungseinheiten für den Schadenersatz verantwortlich, wenn sie die Rechte und Interessen von Organisationen und Einzelpersonen verletzen. Strafrechtliche Sanktionen für derartige Verstöße sind im chinesischen Strafrecht ausdrücklich festgelegt. Es sieht eine höhere strafrechtliche Haftung für Personen vor, die für die Geheimhaltung von Informationen verantwortlich sind, die Möglichkeit der Beschlagnahme von Eigentum und eine lebenslange Freiheitsstrafe als Höchststrafe.

Der singapurische Personal Data Protection Act (PDPA) wurde 2012 verabschiedet (geändert 2020). Das singapurische Recht erkennt das Recht auf Schutz personenbezogener Daten sowie die Notwendigkeit für Organisationen an, unter bestimmten Umständen Informationen für angemessene Zwecke zu sammeln, zu verwenden und offenzulegen.

Das PDPA sieht zudem hohe Geldstrafen für Datenschutzverstöße vor. Personen, die gegen das Gesetz verstoßen, müssen mit Geld- oder Freiheitsstrafen rechnen. Die Höhe der Geldstrafe richtet sich nach Art und Schwere des Verstoßes und kann zwischen 2.000 und 100.000 SGD (entspricht 1,6 Milliarden VND) und/oder einer Freiheitsstrafe von höchstens 12 Monaten und in schweren Fällen von bis zu 3 Jahren betragen1. Agenturen und Unternehmen, die gegen das Gesetz verstoßen, können mit einer Geldstrafe von bis zu 10 % ihres Jahresumsatzes belegt werden.

Eine wichtige Rolle bei der Umsetzung des PDPA spielt die Personal Data Protection Commission (PDPC). Dabei handelt es sich um eine spezialisierte Stelle mit weitreichenden Befugnissen und Durchsetzungsmöglichkeiten. Sie ist berechtigt, von Einzelpersonen und Organisationen Informationen und Dokumente im Zusammenhang mit der Verarbeitung personenbezogener Daten anzufordern, bei Verstößen Geldstrafen zu verhängen und diese mit anderen Maßnahmen zu behandeln.

Die Einrichtung einer spezialisierten Agentur, der Singapore Personal Data Protection Commission, die unabhängig und proaktiv bei der Erkennung, Behandlung von Verstößen und der Verhängung von Sanktionen arbeitet, ist ebenfalls eine der Voraussetzungen für die wirksame Durchsetzung des Datenschutzes in Singapur.

Empfehlungen zur Verbesserung der Gesetze zum Schutz personenbezogener Daten in Vietnam

Derzeit gibt es in Vietnam 69 Rechtsdokumente, die sich direkt mit dem Thema des Schutzes personenbezogener Daten befassen und in verschiedenen Dokumenten festgelegt sind, darunter die Verfassung, der Kodex (4), das Gesetz (39), die Verordnung (1), das Dekret (2), das Rundschreiben/Gemeinsame Rundschreiben (4) und die Entscheidung des Ministers (1).

Diese Dokumente behandeln den Schutz personenbezogener Daten grundsätzlich im Sinne der Wahrung der Privatsphäre der betroffenen Personen, enthalten jedoch unterschiedliche Regelungen zu Informationen im Zusammenhang mit personenbezogenen Daten, die sich auf Rechte und Pflichten der betroffenen Personen, die Informationsverarbeitung und Methoden zum Schutz personenbezogener Daten beziehen. Das Gesetz zur Regelung des Schutzes personenbezogener Daten in Vietnam hat einige bemerkenswerte Ergebnisse erzielt, insbesondere hat die Regierung am 17. April 2023 das Dekret Nr. 12/2023/ND-CP zum Schutz personenbezogener Daten erlassen – ein separates Dokument zur Regelung dieses Themas in unserem Land. Diese Rechtsdokumente haben einen rechtlichen Korridor für den Schutz personenbezogener Daten geschaffen; sie legen die Rechte der betroffenen Personen und der verarbeitenden Parteien fest, schreiben Sanktionen für Verstöße gegen den Schutz personenbezogener Daten vor und benennen die Abteilung für Cybersicherheit und Hightech-Kriminalitätsprävention beim Ministerium für öffentliche Sicherheit als spezialisierte Agentur für den Schutz personenbezogener Daten …

Vietnam ist mit zahlreichen Risiken, Herausforderungen und Gefahren im Cyberspace konfrontiert, insbesondere mit der Weitergabe und Aneignung persönlicher Informationen und Daten, was zahlreiche schädliche Auswirkungen auf die Bürger und die Gesellschaft hat.

Die tatsächliche Umsetzung dieser Dokumente hat jedoch auch viele Einschränkungen offenbart. So existieren die aktuellen separaten Rechtsdokumente lediglich auf Verordnungsebene und werden der Bedeutung des Schutzes personenbezogener Daten nicht gerecht. Viele Inhalte sind derzeit allgemein und unklar geregelt, sodass es an spezifischen Anweisungen für jeden Einzelfall mangelt. Auch sind die Sanktionen noch immer mild und nicht abschreckend genug.

In dieser Situation war und ist die kontinuierliche Verbesserung des Gesetzes zum Schutz personenbezogener Daten in Vietnam ein Thema, das auf der Grundlage der Erfahrungen anderer Länder untersucht werden muss. Konkret:

Erstens: Erarbeitung eines Gesetzes zum Schutz personenbezogener Daten . Im Kontext der industriellen Revolution 4.0 haben 80 Länder auf regionaler und nationaler Ebene eigene Rechtsdokumente zum Schutz personenbezogener Daten erlassen. Vietnam muss bald ein allgemeines, spezialisiertes Datenschutzgesetz erarbeiten und erlassen, ähnlich wie die EU, China oder Singapur, das die grundlegenden Fragen und Prinzipien des Datenschutzes festlegt. Die Verabschiedung eines eigenen Datenschutzgesetzes wird eine wichtige Rechtsgrundlage für den Datenschutz sein, da die Rechtsdokumente zu diesem Thema in unserem Land derzeit hinsichtlich Terminologie und inhaltlicher Regelungen nicht einheitlich sind.

Zweitens: Die Sanktionen für Verstöße gegen den Schutz personenbezogener Daten müssen strenger angepasst und ergänzt werden, um sie der Art und Schwere des Verstoßes anzupassen. Obwohl die Sanktionen für Verstöße gegen den Schutz personenbezogener Daten in unserem Land verwaltungsrechtliche, zivilrechtliche und strafrechtliche Sanktionen umfassen, sind sie im Allgemeinen recht milde und haben keine große abschreckende Wirkung. Die gängige Methode besteht derzeit noch darin, Sanktionen für verwaltungsrechtliche Verstöße zu verhängen. Die entsprechenden Regelungen finden sich jedoch in zahlreichen Verordnungen mit recht niedrigen Bußgeldern, wobei die höchsten 100 Millionen VND für Einzelpersonen und 200 Millionen VND für Organisationen betragen.

Der Schaden, den administrative Verstöße gegen den Schutz personenbezogener Daten verursachen können, ist nicht nur materieller Natur, sondern auch eine Verletzung von Ehre und Würde. Neben administrativen Sanktionen finden sich strafrechtliche Sanktionen für Verstöße gegen den Schutz personenbezogener Daten nur in den Bestimmungen zum Datenschutz und im Bereich Informationstechnologie und Netzwerksicherheit in Artikel 159 und Artikel 288 des aktuellen Strafgesetzbuchs wieder, mit relativ niedrigen Gefängnisstrafen von nicht mehr als 7 Jahren und Geldstrafen von nicht mehr als 1 Milliarde VND. Diese Geldstrafe ist im Vergleich zu den 20 Millionen Euro der EU, 1 Million SGD in Singapur oder einer lebenslangen Haftstrafe in China immer noch sehr niedrig und steht in keinem Verhältnis zu vielen Verstößen.

Gleichzeitig ist es notwendig, viele Verhaltensweisen zu regulieren, die derzeit nicht im Gesetz erwähnt werden, wie etwa den groß angelegten Datenhandel, die Einrichtung von Systemen zur Datenverletzung, Verstöße im Marketingdienstleistungsgeschäft usw.

Drittens: Das Modell einer Datenschutzbehörde in Vietnam . Derzeit ist die Abteilung für Cybersicherheit und High-Tech-Kriminalitätsprävention im Ministerium für öffentliche Sicherheit die Fachbehörde für den Schutz personenbezogener Daten. Unter Berücksichtigung internationaler Vorschriften können wir die Einrichtung einer unabhängigen Datenschutzbehörde in Erwägung ziehen, die für die Durchsetzung des Datenschutzgesetzes, die Durchführung von Inspektionen und Prüfungen, die Herausgabe von Richtlinien und Empfehlungen sowie die Verhängung von Sanktionen bei etwaigen Verstößen zuständig ist.

Wir können uns auf diese Modelle in der EU oder Singapur beziehen, um die Gesetze zum Schutz personenbezogener Daten wirksam durchzusetzen und dabei den Schutz der Persönlichkeitsrechte mit der Gewährleistung der Netzwerksicherheit in Einklang zu bringen.

Der Schutz personenbezogener Daten ist keine einfache Angelegenheit, insbesondere wenn er im Kontext der Integration erfolgt, wenn in großem Umfang Aktivitäten zur Überwachung und Erfassung personenbezogener Daten stattfinden und das vietnamesische Rechtssystem, das dieses Thema regelt, sich noch im Aufbau- und Perfektionierungsprozess befindet.

Die Untersuchung des internationalen Rechts zu diesem Thema im Hinblick auf die praktische Situation in Vietnam wird uns dabei helfen, bald einen Rechtsrahmen für einen umfassenden Schutz personenbezogener Daten zu schaffen, der mit dem internationalen Recht vereinbar ist und eine wirksame Durchsetzung ermöglicht.

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html