Vietnam verfolgt einen globalen Ansatz zur Sicherung des Schutzes personenbezogener Daten und setzt diesen in seinem Rechtsrahmen um. Die Leitlinien sind noch in Arbeit, aber die allgemeinen Grundsätze für die Einhaltung der Vorschriften sind geklärt und sollen befolgt werden.

Die neue Verordnung über den Schutz personenbezogener Daten ("PDPD") ist am 1. Juli 2023 in Kraft getreten und führt verschiedene neue Anforderungen für Organisationen und Einzelpersonen (sowohl inländische als auch ausländische Unternehmen) ein, die an der Verarbeitung personenbezogener Daten im Land beteiligt sind. Der neue Erlass ist ein wichtiger Schritt zur Stärkung der Datenschutzrechte und ihrer Durchsetzung in Vietnam.

Zu den wichtigsten Punkten des PDPD gehören:

• Neue Definitionen: Die PDPD enthält weit gefasste Definitionen von "grundlegenden personenbezogenen Daten" und "sensiblen personenbezogenen Daten". Außerdem wird das Konzept des "Datenverantwortlichen", des "Datenverarbeiters" und der "datenkontrollierenden und datenverarbeitenden Stelle" eingeführt. Damit werden die Rollen und Verantwortlichkeiten klarer definiert.
• Datenschutzgrundsätze: Zu diesen Grundsätzen gehören Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Genauigkeit, Integrität, Vertraulichkeit und Verantwortlichkeit. Die Unternehmen müssen personenbezogene Daten in Übereinstimmung mit diesen Standards verarbeiten.
• Einwilligung der Betroffenen: Die PDPD stärkt die Anforderungen an die Einwilligung, die Zugangsrechte und den Schutz der Betroffenen. Ihre ausdrückliche Zustimmung muss für Datenverarbeitungsaktivitäten, grenzüberschreitende Übermittlungen und jede Datenerhebung oder jeden Datenverkauf eingeholt werden. Betroffene Personen können eine teilweise oder bedingte Einwilligung geben. Schweigen oder Nichtbeantwortung gelten nicht als Zustimmung. Die betroffenen Personen haben das Recht, ihre Daten einzusehen und zu überprüfen. Wird die Einwilligung widerrufen, müssen die entsprechenden Daten innerhalb von 72 Stunden gelöscht werden. Diese Bestimmungen zielen darauf ab, den vietnamesischen Bürgern mehr Kontrolle über ihre persönlichen Daten zu geben.
• Schadenersatzansprüche: Betroffene Personen können Schadenersatz fordern, wenn ihre Rechte aus der PDPD verletzt werden. Darüber hinaus ist das Sammeln, Übertragen oder Verkaufen personenbezogener Daten ohne Zustimmung nun illegal. Dies stärkt die Durchsetzung und den Schutz der betroffenen Personen vor unbefugter Datenverwendung.
• Folgenabschätzungsdossier: Innerhalb von 60 Tagen nach Beginn der Datenverarbeitung müssen Organisationen eine Folgenabschätzung für den Schutz personenbezogener Daten gemäß dem in der PDPD beschriebenen Formular erstellen. Das Ministerium für öffentliche Sicherheit - Abteilung für Cybersicherheit und die Verhütung und Kontrolle von High-Tech-Kriminalität - ist mit der Bewertung dieser Folgenabschätzungen beauftragt. Wenn sich Änderungen bei den verarbeiteten personenbezogenen Daten ergeben, müssen die Unternehmen ihre Bewertungen entsprechend ändern und aktualisieren. Die Unternehmen sind auch verpflichtet, ihre Folgenabschätzungen im Falle von Änderungen zu aktualisieren, indem sie dem Ministerium für öffentliche Sicherheit eine Aktualisierung übermitteln. Das Ministerium für öffentliche Sicherheit hat das Recht, den Datenschutz in Vietnam zu überprüfen.  
• Datenschutzbeauftragter (DSB): Das Unternehmen muss einen behördlichen Datenschutzbeauftragten ernennen, der für datenschutzrelevante Angelegenheiten zuständig ist. Die Angaben des DSB müssen der Behörde gemeldet und in die Folgenabschätzung aufgenommen werden.
• Grenzüberschreitende Datenübermittlung: Wenn das Unternehmen grenzüberschreitende Datenübermittlungen vornimmt, muss es auch diesbezüglich eine Folgenabschätzung durchführen. Bei Änderungen ist dem Ministerium für öffentliche Sicherheit eine Aktualisierung zu übermitteln. Das Ministerium für öffentliche Sicherheit hat das Recht, die Übermittlung von Daten ins Ausland zu überprüfen und kann bei Nichteinhaltung der PDPD weitere Übermittlungen untersagen.
• Sanktionen: Die Nichteinhaltung der PDPD kann zu Geldstrafen (d. h. der Betrag ist nicht endgültig), zur Aussetzung bestimmter Aktivitäten (z. B. Aussetzung der Datenübermittlung ins Ausland) und zu strafrechtlichen Sanktionen für bestimmte Handlungen führen, die das Recht auf Privatsphäre verletzen.

Daher empfehlen wir Unternehmen aller Branchen in Vietnam, die notwendigen Maßnahmen zu ergreifen und ihre Datenpraktiken und -richtlinien zu überprüfen, um die vollständige Einhaltung der PDPD zu gewährleisten und jegliche Art von finanziellen oder behördlichen Strafen zu vermeiden.