Was ist PDPA – Singapurs Gesetz zum Schutz personenbezogener Daten?

Table of Contents

Im Zuge der zunehmenden Globalisierung des Internets haben die nationalen Behörden Maßnahmen zum Schutz der personenbezogenen Daten der Bürgerinnen und Bürger ergriffen. Dies geschieht nach zahlreichen großen Datenschutzverletzungen durch transnationale Unternehmen sowie der geheimen Sammlung personenbezogener Daten ohne behördliche Aufsicht. In Singapur ist das Datenschutzgesetz das PDPA.

In diesem Artikel erklären wir, was der PDPA ist, wie er funktioniert und wen er betrifft.

Was ist der PDPA?

Der Personal Data Protection Act (PDPA) ist ein Datenschutzgesetz, das am 15. Oktober 2012 vom Parlament von Singapur erlassen wurde. Das Gesetz trat im Juli 2014 in Kraft und wurde kürzlich im November 2020 aktualisiert.

Es regelt die gesamte Erfassung, Verwendung und Offenlegung personenbezogener Daten durch eine private Organisation, die mit singapurischen Staatsbürgern in Verbindung steht. Die Verordnung erkennt jedoch auch die Notwendigkeit an, dass Organisationen personenbezogene Daten unter angemessenen Umständen verwenden und sammeln.

Im Rahmen einer kürzlich durchgeführten Überprüfung wurde ein obligatorisches System zur Meldung von Datenschutzverletzungen eingeführt. Hier sind Organisationen, die von einer Datenschutzverletzung betroffen sind, verpflichtet, die singapurischen Behörden und betroffenen Personen zu benachrichtigen, sofern keine Ausnahme gilt.

Was sind die zehn datenschutzrechtlichen Verpflichtungen im PDPA?

Das PDPA definiert zehn Schutzverpflichtungen, darunter:

  1. Zweckbindung. Personenbezogene Daten nur für die definierten Zwecke zu verwenden oder weiterzugeben.
  2. Benachrichtigung. Informieren Sie die Personen über die Zwecke der Erhebung, Verwendung und Offenlegung ihrer personenbezogenen Daten während der Erhebung.
  3. Einwilligen. Stellen Sie sicher, dass die Einwilligung der Personen eingeholt wurde, bevor Sie ihre personenbezogenen Daten erheben, verwenden oder offenlegen.
  4. Zugang und Korrektur. Stellen Sie auf Anfrage die personenbezogenen Daten der Person und Informationen darüber zur Verfügung, wie die personenbezogenen Daten der Person im vergangenen Jahr verwendet oder offengelegt wurden. Korrigieren Sie die personenbezogenen Daten einer Person auf Anfrage.
  5. Genauigkeit. Stellen Sie sicher, dass personenbezogene Daten während der Erfassung oder bei einer Entscheidung, die die Person betrifft, korrekt und vollständig sind.
  6. Schutz. Bewahren Sie personenbezogene Daten in Ihrem Besitz sicher vor unbefugtem Zugriff, Änderung, Offenlegung, Verwendung und Vervielfältigung auf, sei es in gedruckter oder elektronischer Form.
  7. Begrenzung der Aufbewahrung. Bewahren Sie personenbezogene Daten nur für geschäftliche/rechtliche Zwecke auf und vernichten Sie personenbezogene Daten, wenn sie nicht mehr benötigt werden.
  8. Begrenzung der Übertragung. Stellen Sie sicher, dass externe Organisationen im Ausland einen Schutzstandard im Rahmen des PDPA von Singapur bieten.
  9. Offenheit. Benennung eines Datenschutzbeauftragten und Veröffentlichung seiner geschäftlichen Kontaktinformationen. Bereitstellung von Richtlinien und Praktiken zum Schutz personenbezogener Daten für die Öffentlichkeit und Mitarbeiter, einschließlich des Beschwerdeverfahrens.
  10. Nicht anrufen (DNC). Senden Sie keine Marketingnachrichten an Personen, die im nationalen DNC-Register registriert sind, per Sprache, SMS oder Fax, es sei denn, Sie haben deren klare und eindeutige Zustimmung eingeholt oder haben eine laufende Beziehung (für Text/Fax).

Denjenigen, die bereits mit der DSGVO vertraut sind, werden viele dieser Verpflichtungen bekannt vorkommen. Der PDPA ist jedoch mehrere Jahre älter als die DSGVO.

Die zehnte Verpflichtung – Do-Not-Call – wird nicht immer als Verpflichtung angesehen, sondern ist Teil der PDPA-Regelung für Telemarketing in Singapur. Stattdessen ist eine zehnte (oder elfte) Pflicht die Anforderung, die Behörden und Betroffenen nach einer Datenschutzverletzung zu benachrichtigen.

Was ist die Kommission für den Schutz personenbezogener Daten?

Die Personal Data Protection Commission (PDPC) wurde im Rahmen des PDPA als Regulierungsbehörde für den Datenschutz in Singapur eingerichtet. Der PDPC berät die Regierung zu künftigen Regulierungen und veröffentlicht regelmäßig beratende Leitlinien zum Datenschutz.

Die PDPC ist Teil der konvergenten Regulierungsbehörde für Telekommunikation und Medien, der Infocomm Media Development Authority (IMDA). Beide Behörden fallen wiederum in den Zuständigkeitsbereich des Ministeriums für Kommunikation und Information.

Die Schaffung des PDPC ist Teil eines Vorstoßes in Richtung einer „Kultur der Rechenschaftspflicht“. So hat die PDPC im Jahr 2019 die Zertifizierung des Datenschutz-Gütesiegels eingeführt. Es handelt sich um ein freiwilliges, unternehmensweites Zertifizierungsprogramm, das für ein Unternehmen entwickelt wurde, um seine verantwortungsvollen Datenschutzpraktiken nachzuweisen.

Das PDPC setzt auch zahlreiche Organisationen wegen PDPA-Verstößen durch und verfolgt sie, insbesondere darunter SingHealth nach der Datenschutzverletzung von SingHealth im Jahr 2018.

Wofür gilt der PDPA?

Wie andere Datenschutzgesetze, wie z. B. die DSGVO des Vereinigten Königreichs und der EU und das LGPD Brasiliens, enthält das PDPA „extraterritoriale Auswirkungen“. Das bedeutet, dass Organisationen, die nicht in Singapur ansässig sind, verpflichtet sein können, dem PDPA zuzustimmen, wenn eine Organisation Daten in Singapur sammelt, verwendet oder offenlegt.

Wenn beispielsweise ein nicht-singapurisches Unternehmen – wie Facebook – online Daten von Singapurern sammelt, unterliegt es dem PDPA. Es drohen auch Strafen, sollte sich herausstellen, dass es nicht im Einklang mit der Verordnung steht.

Welche Strafen ergeben sich bei Nichteinhaltung des PDPA?

Sollte festgestellt werden, dass eine Organisation gegen das PDPA verstößt, behält sich die PDPC das Recht vor, mehrere Strafen durchzusetzen. Dazu gehört, dass die Organisation Folgendes tun muss:

– Beenden Sie die Erfassung, Verwendung oder Offenlegung personenbezogener Daten, die gegen den PDPA verstoßen.
– Vernichtung personenbezogener Daten, die unter Verstoß gegen den PDPA erhoben wurden.
– Gewähren Sie Zugriff auf personenbezogene Daten oder korrigieren Sie diese.
– Zahlung einer Geldstrafe von bis zu 1 Mio. SGD (ca. 625.735 €).

Die letztgenannte Geldbuße ist deutlich niedriger als die nach der EU-DSGVO verhängten Strafen, die 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes erreichen können – je nachdem, welcher Betrag höher ist. Mit der jüngsten Änderung hat der PDPC nun jedoch die Befugnis, höhere Geldstrafen zu verhängen. Dazu gehören maximal 10 % des Jahresumsatzes des Unternehmens in Singapur (wenn der Umsatz 10 Mio. SGD (ca. 6.257.210 €) oder bis zu 1 Mio. SGD (ca. 625.735 €) übersteigt).

Darüber hinaus dürften bestrafte Unternehmen auch unter Reputationsschäden und öffentlichen Gegenreaktionen leiden.

Schlussfolgerung

Der PDPA ist das singapurische Datenschutzgesetz. Sie regelt die Verarbeitung personenbezogener Daten im privaten Bereich. Wenn Sie in Singapur Geschäfte tätigen, ist es wichtig, sich mit dem Inhalt der Rechnung vertraut zu machen.

Weitere Informationen finden Sie auf der PDPC-Website.

Quellen:

https://www.dataguidance.com/notes/singapore-data-protection-overview
https://www.pwc.com/sg/en/personal-data-protection.html
https://en.wikipedia.org/wiki/Personal_Data_Protection_Act_2012
https://sso.agc.gov.sg/Act/PDPA2012?ProvIds=P1IV-#P1IV-
https://www.pdpc.gov.sg/

Sales & Support