Die Struktur des vietnamesischen Datenschutzrechts im Jahr 2026

Das vietnamesische Regime ist nun eine zweischichtige Struktur: das PDPD von 2023 und das PDPL von 2026. Beide sind in Kraft, und Publisher müssen verstehen, welche Schicht welche Verpflichtung regelt.

Das PDPD — Dekret 13/2023/ND-CP

Das Dekret führte Vietnams erste umfassende Definition personenbezogener Daten ein, einen Katalog der Rechte betroffener Personen, Einwilligungsanforderungen, Regeln für grenzüberschreitende Datenübermittlungen und die grundlegende Verpflichtung zur Datenschutz-Folgenabschätzung (DPIA). Es bleibt in Kraft und regelt weiterhin die operativen Details.

Das PDPL — In Kraft seit 2026

Das PDPL hebt den Rahmen in primäres Recht mit höheren Sanktionen und breiterem Geltungsbereich an. Es stärkt das einwilligungszentrierte Modell, stärkt die Rechte der betroffenen Personen und erweitert die Durchsetzungsbefugnisse des Ministeriums für Öffentliche Sicherheit (MPS), das die primäre Aufsichtsbehörde bleibt. Das PDPL führt auch klarere Regeln für sensible personenbezogene Daten, automatisierte Entscheidungsfindung und die Verarbeitung von Daten Minderjähriger ein.

Wer reguliert wird

Das Gesetz gilt für jede Verarbeitung vietnamesischer personenbezogener Daten, unabhängig vom Standort des Verarbeiters. Ein in den USA ansässiger Publisher, der vietnamesische Nutzer über eine lokalisierte Website bedient, oder ein programmatischer Käufer, der auf vietnamesisches Inventar bietet, fällt in den Anwendungsbereich. Diese extraterritoriale Reichweite spiegelt das GDPR-Muster wider und ist eines der aggressiveren Elemente des vietnamesischen Rahmens.

Was als personenbezogene Daten gilt

Die vietnamesische Definition personenbezogener Daten ist weit gefasst und orientiert sich eng am internationalen Standard. Personenbezogene Daten sind alle Informationen, die eine bestimmte natürliche Person identifizieren oder identifizieren können, und werden in zwei Kategorien unterteilt, die für die Cookie-Einwilligung besonders relevant sind.

Grundlegende personenbezogene Daten

Grundlegende personenbezogene Daten umfassen Name, Geburtsdatum, Identifikationsnummern, Kontaktdaten, Gerätekennungen, IP-Adressen und Daten zur Online-Aktivität. Die meisten cookie-gesammelten Daten fallen hierunter, einschließlich Werbe-IDs, Sitzungs-IDs und Verhaltensprofile, die aus dem Browserverlauf erstellt wurden.

Sensible personenbezogene Daten

Sensible personenbezogene Daten umfassen politische und religiöse Ansichten, Gesundheitsinformationen, genetische Daten, biometrische Daten, sexuelle Orientierung, Vorstrafen, Finanzdaten und — entscheidend — Standortdaten, die zur Identifizierung einer bestimmten Person verwendet werden können. Sensible Daten lösen die strengsten Einwilligungsanforderungen aus, einschließlich spezifischer, gesonderter und in einigen Fällen schriftlicher oder elektronisch verifizierbarer Einwilligung.

Warum dies für Cookies relevant ist

Ein Cookie, das nur eine einfache Sitzungskennung erfasst, stellt grundlegende personenbezogene Daten dar. Ein Cookie, das eine standortbasierte Werbezielgruppe speist — üblich bei Retargeting- und Geo-Targeting-Kampagnen — berührt wahrscheinlich sensible personenbezogene Daten, sobald der Standort identifizierend wird. Die CMP-Konfiguration muss diese Zwecke trennen.

Cookie-Einwilligung nach vietnamesischem Recht

Vietnam folgt dem Opt-in-Einwilligungsmodell. Für Cookies, die personenbezogene Daten erfassen, gibt es keine Rückfallmöglichkeit über Hinweis und Wahl, und der Maßstab für eine gültige Einwilligung ist ähnlich dem GDPR-Standard.

Die vier Einwilligungsanforderungen

Die Einwilligung nach vietnamesischem Recht muss:

• Spezifisch sein — an einen klar identifizierten Verarbeitungszweck gebunden, nicht als allgemeine Pauschaleinwilligung
• Informiert sein — die betroffene Person versteht, welche Daten verarbeitet werden, warum, wer sie erhält und wie lange
• Freiwillig sein — keine vorausgefüllten Kontrollkästchen, keine Einwilligen-oder-verlassen-Mauern für nicht wesentliche Verarbeitung
• Ausdrückbar und widerrufbar sein — der Nutzer kann die Einwilligung über einen klaren Mechanismus erteilen und widerrufen

Wie eine konforme CMP aussieht

Eine für vietnamesischen Traffic konfigurierte CMP sollte im Jahr 2026 präsentieren:

• Ein sichtbares Banner, bevor ein nicht wesentliches Cookie oder Tracker ausgelöst wird, standardmäßig auf Vietnamesisch (Tiếng Việt) für vietnamesische Nutzer
• Separate Aktionen Akzeptieren, Ablehnen und Anpassen mit gleicher visueller Prominenz — keine Dark Patterns
• Granulare Steuerelemente für mindestens folgende Zwecke: Analyse, Werbung, Personalisierung, grenzüberschreitende Übermittlung und jede Verarbeitung sensibler Kategorien wie präziser Standort
• Einen dauerhaften, leicht auffindbaren Mechanismus zur Änderung oder zum Widerruf der Einwilligung nach der ersten Entscheidung
• Datenschutzerklärung auf Vietnamesisch mit klarer Offenlegung von Auftragsverarbeitern, Datenkategorien, Aufbewahrung und den Rechten des Nutzers

Einwilligungsnachweise

Verarbeiter müssen Einwilligungsnachweise aufbewahren — wer eingewilligt hat, wann, wozu, über welche Schnittstelle. Vietnamesische Durchsetzungsmaßnahmen haben bereits fehlende oder nicht nachweisbare Einwilligungsprotokolle beanstandet, und das PDPL formalisiert diese Verpflichtung. Eine CMP, die keine exportierbaren, zeitgestempelten Einwilligungsprotokolle erstellt, ist nicht konform.

Grenzüberschreitende Datenübermittlungen — Der schwierigste Teil

Vietnams Regime für grenzüberschreitende Übermittlungen ist eines der anspruchsvollsten in der Region und das Element, mit dem die meisten ausländischen Publisher zu kämpfen haben.

Die Übermittlungs-Folgenabschätzung

Bevor vietnamesische personenbezogene Daten ins Ausland übermittelt werden — was das Senden cookie-abgeleiteter Kennungen an eine Auslandsbörse oder einen Analyseanbieter einschließt — muss der Verantwortliche eine Übermittlungs-Folgenabschätzung erstellen. Die Abschätzung muss Zweck, Datenkategorien, Empfängerland und Empfänger, technische und organisatorische Schutzmaßnahmen sowie die Rechtsgrundlage für die Übermittlung dokumentieren.

Einreichung beim MPS

Die Abschätzung muss innerhalb von 60 Tagen nach Beginn der Verarbeitung beim Ministerium für Öffentliche Sicherheit eingereicht werden. Das MPS hat die Befugnis, grenzüberschreitende Übermittlungen auszusetzen, wenn die Abschätzung unzureichend ist oder die Zieldestination als unzureichend erachtet wird.

Praktische Auswirkungen für Publisher

Ein typischer programmatischer Anzeigen-Stack leitet Nutzerdaten in Millisekunden durch Dutzende von Auslandsanbietern. Jeder dieser Datenflüsse ist streng genommen eine grenzüberschreitende Übermittlung vietnamesischer personenbezogener Daten. Die Realität im Jahr 2026 ist, dass die meisten ausländischen Publisher entweder konsolidierte Abschätzungen für ihre gesamte Anbieterliste einreichen oder ihren Anbieterkreis reduzieren, um die Bewertungslast zu verringern. Beides ist nicht trivial, und das MPS hat signalisiert, dass es im Jahr 2026 eine aktivere Durchsetzung bei grenzüberschreitenden Datenflüssen beginnen wird.

Rechte betroffener Personen

Das PDPL konsolidiert und stärkt die im Rahmen des Dekrets gewährten Rechte. Vietnamesische betroffene Personen haben das Recht:

• Über die Verarbeitung ihrer Daten informiert zu werden
• Auf die verarbeiteten Daten zuzugreifen
• Ungenaue Daten zu berichtigen
• Daten löschen zu lassen, wenn die Verarbeitung nicht mehr gerechtfertigt ist
• Die Verarbeitung unter bestimmten Umständen einzuschränken
• Die Einwilligung so einfach zu widerrufen, wie sie erteilt wurde
• Der automatisierten Entscheidungsfindung zu widersprechen, die erhebliche Auswirkungen hat
• Beschwerde beim Ministerium für Öffentliche Sicherheit einzulegen

Antwortfristen

Verantwortliche müssen in den meisten Fällen innerhalb von 72 Stunden auf Anfragen betroffener Personen antworten — ein deutlich engeres Zeitfenster als der 30-Tage-Standard der GDPR. Die betriebliche Bereitschaft für diesen Zeitrahmen ist eine der häufigeren Compliance-Lücken für ausländische Publisher und erfordert Tools und Betriebshandbücher, die schneller sind als in anderen Regionen üblich.

Sonderregeln für Minderjährige

Das PDPL führt spezielle Schutzmaßnahmen für die Verarbeitung personenbezogener Daten Minderjähriger ein. Die Einwilligung zur Verarbeitung von Daten einer Person unter 15 Jahren muss von einem Elternteil oder gesetzlichen Vormund erteilt werden. Die Verarbeitung von Daten Personen zwischen 15 und 18 Jahren erfordert die eigene Einwilligung des Minderjährigen, jedoch mit erhöhten Transparenz- und Sorgfaltspflichten. Cookie-Einwilligungs-Benutzeroberflächen auf Websites, die ein erhebliches Publikum unter 18 Jahren ansprechen, benötigen altersgerechte Abläufe, die die wenigsten ausländischen Publisher standardmäßig eingerichtet haben.

Sanktionen und Durchsetzung

Das PDPL erhöht die Obergrenze für Verwaltungsstrafen erheblich. Sanktionen umfassen:

• Geldbußen von bis zu 5 Prozent des weltweiten Jahresumsatzes bei schwerwiegenden Verstößen mit sensiblen personenbezogenen Daten oder systematischen Versäumnissen
• Aussetzung der Verarbeitungstätigkeiten
• Obligatorische Unterbrechung grenzüberschreitender Übermittlungen
• Öffentliche Bekanntmachung des Verstoßes
• Strafrechtliche Haftung bei gravierenden Fällen, einschließlich des illegalen Verkaufs personenbezogener Daten

Durchsetzungstrend

Das MPS war im Verlauf von 2023 und Anfang 2024, während sich das Dekret einbürgerte, relativ ruhig, aber die Durchsetzung hat sich im Laufe von 2025 und in 2026 hinein beschleunigt. Ausländische Publisher wurden in mehreren veröffentlichten Maßnahmen genannt, fast immer zentriert auf eines von drei Problemen: fehlende oder unzureichende Einwilligung, nicht eingereichte grenzüberschreitende Übermittlungsabschätzungen oder das Versäumnis, auf Anfragen betroffener Personen innerhalb des 72-Stunden-Fensters zu antworten.

Prüf-Checkliste für vietnamesischen Traffic im Jahr 2026

• Das CMP-Banner wird auf Vietnamesisch für vietnamesische Nutzer angezeigt, mit Akzeptieren, Ablehnen und Anpassen mit gleicher Prominenz
• Einwilligungszwecke sind granular und trennen sensible Verarbeitung wie präzisen Standort
• Einwilligungsprotokolle sind zeitgestempelt, exportierbar und für die Dauer der Verarbeitung zuzüglich einer prüffähigen Marge aufbewahrt
• Die Datenschutzerklärung ist auf Vietnamesisch mit vollständiger Offenlegung von Auftragsverarbeitern, Aufbewahrung und Rechten verfügbar
• Die Übermittlungs-Folgenabschätzung wurde für jeden laufenden grenzüberschreitenden Datenfluss beim MPS eingereicht
• Der Workflow für Anfragen betroffener Personen kann von Anfang bis Ende innerhalb von 72 Stunden antworten
• Ein altersgerechter Einwilligungsablauf ist für Zielgruppen eingerichtet, die Minderjährige einschließen
• Die Anbieterliste wurde auf Notwendigkeit überprüft, wobei nicht verwendete oder redundante Anbieter entfernt wurden, um die grenzüberschreitende Angriffsfläche zu verringern

Der Ausblick auf 2026

Vietnams regulatorische Entwicklung ist klar. Das PDPD hat den Rahmen geschaffen. Das PDPL festigt ihn. Die Durchsetzung weitet sich aus. Für Publisher und Werbetreibende, die Vietnam als einen Markt mit leichteren Anforderungen behandelt haben, ist 2026 das Jahr, in dem dieser Ansatz kostspielig wird. Die gute Nachricht ist, dass ein moderner GDPR-kompatibler Einwilligungs-Stack das meiste von dem ist, was benötigt wird — die Lücken sind typischerweise das 72-Stunden-Antwortfenster, die Einreichung von Übermittlungs-Folgenabschätzungen und die vietnamesischsprachige Lokalisierung des CMP und der Datenschutzerklärung. Diese Lücken sind operativer, nicht architektonischer Natur, und sie können in Wochen statt in Quartalen geschlossen werden. Publisher, die sie schließen, bevor das MPS an ihre Tür klopft, werden den Übergang nicht bemerken. Diejenigen, die warten, schon.