Wählen Sie Ihre Region: Singapur & Asien-Pazifik Europa Lateinamerika
RESGUARD
solutions

PDPA Singapur: Was jedes Unternehmen wissen muss

 

Ein praktischer Leitfaden zum Personal Data Protection Act

Startseite / Blog / Datenschutz
29. Oktober 2025 Datenschutz 9 Min. Lesezeit

Singapurs Personal Data Protection Act (PDPA) etabliert einen umfassenden Rahmen fuer die Erhebung, Nutzung, Offenlegung und den Schutz personenbezogener Daten. Fuer Unternehmen, die in Singapur taetig sind, ist das Verstaendnis und die Einhaltung des PDPA nicht nur eine gesetzliche Anforderung, sondern ein grundlegender Aspekt zur Aufrechterhaltung des Kundenvertrauens und der betrieblichen Integritaet.

Ueberblick ueber den PDPA

Der PDPA wurde 2012 erlassen und hat mehrere Aenderungen erfahren, insbesondere 2020-2021, die eine obligatorische Meldung von Datenschutzverletzungen, erweiterte Bestimmungen zur vermuteten Einwilligung und verstaerkte Durchsetzungsbefugnisse einfuehrten. Das Gesetz balanciert den Schutz der individuellen Privatsphaere mit der Notwendigkeit fuer Organisationen, personenbezogene Daten fuer legitime und angemessene Zwecke zu erheben und zu nutzen.

Die Personal Data Protection Commission (PDPC) ist die Regulierungsbehoerde, die fuer die Verwaltung und Durchsetzung des PDPA, die Bereitstellung beratender Leitlinien und die Bearbeitung von Beschwerden von Einzelpersonen zustaendig ist.

Wesentliche Pflichten nach dem PDPA

Einwilligungspflicht

Organisationen muessen die Einwilligung von Einzelpersonen einholen, bevor sie deren personenbezogene Daten erheben, nutzen oder offenlegen. Die Einwilligung muss informiert sein, was bedeutet, dass Einzelpersonen den Zweck verstehen sollten, fuer den ihre Daten erhoben werden. Die Aenderungen von 2021 fuehrten das Konzept der vermuteten Einwilligung durch Benachrichtigung und vertragliche Notwendigkeit ein, was Organisationen groessere Flexibilitaet bietet.

Zweckbindungspflicht

Personenbezogene Daten duerfen nur fuer Zwecke erhoben, genutzt oder offengelegt werden, die eine vernuenftige Person unter den gegebenen Umstaenden als angemessen erachten wuerde und fuer die die Person informiert wurde und ihre Einwilligung erteilt hat.

Benachrichtigungspflicht

Organisationen muessen Einzelpersonen ueber die Zwecke informieren, fuer die ihre personenbezogenen Daten erhoben, genutzt oder offengelegt werden. Dies geschieht typischerweise durch Datenschutzerklaerungen und Datenschutzhinweise.

Auskunfts- und Berichtigungspflichten

Auf Anfrage muessen Organisationen Einzelpersonen Zugang zu ihren personenbezogenen Daten gewaehren und darueber informieren, wie diese im vergangenen Jahr genutzt oder offengelegt wurden. Sie muessen auch Fehler oder Auslassungen in personenbezogenen Daten auf Anfrage korrigieren.

Richtigkeitspflicht

Organisationen muessen angemessene Anstrengungen unternehmen, um sicherzustellen, dass erhobene personenbezogene Daten korrekt und vollstaendig sind, insbesondere wenn sie wahrscheinlich fuer eine Entscheidung verwendet werden, die die Person betrifft, oder an eine andere Organisation weitergegeben werden.

Schutzpflicht

Es muessen angemessene Sicherheitsvorkehrungen getroffen werden, um personenbezogene Daten vor unbefugtem Zugriff, unbefugter Erhebung, Nutzung, Offenlegung, Kopierung, Aenderung, Entsorgung oder aehnlichen Risiken zu schuetzen. Dies umfasst sowohl technische als auch organisatorische Massnahmen.

Aufbewahrungsbegrenzungspflicht

Organisationen muessen die Aufbewahrung personenbezogener Daten einstellen oder die Mittel entfernen, durch die die Daten bestimmten Personen zugeordnet werden koennen, sobald vernuenftigerweise anzunehmen ist, dass der Zweck, fuer den sie erhoben wurden, nicht mehr erfuellt wird und die Aufbewahrung fuer rechtliche oder geschaeftliche Zwecke nicht mehr erforderlich ist.

Uebermittlungsbeschraenkungspflicht

Bei der Uebermittlung personenbezogener Daten ausserhalb Singapurs muessen Organisationen sicherstellen, dass die empfangende Partei einen vergleichbaren Schutzstandard bietet. Dies kann durch vertragliche Vereinbarungen, verbindliche Unternehmensregeln oder das Vertrauen auf vergleichbare auslaendische Gesetze erreicht werden.

Meldepflicht bei Datenschutzverletzungen

Seit Februar 2021 muessen Organisationen die PDPC ueber Datenschutzverletzungen informieren, die voraussichtlich zu erheblichem Schaden fuer betroffene Personen fuehren oder von erheblichem Ausmass sind (500 oder mehr betroffene Personen). Die Meldung muss innerhalb von drei Kalendertagen nach der Feststellung, dass die Verletzung meldepflichtig ist, erfolgen.

Anforderung eines Datenschutzbeauftragten

Jede dem PDPA unterliegende Organisation muss mindestens eine Person als Datenschutzbeauftragten (Data Protection Officer, DPO) benennen. Der DPO ist fuer die Sicherstellung der PDPA-Compliance, die Bearbeitung von Datenschutzanfragen und -beschwerden sowie die Foerderung einer Datenschutzkultur innerhalb der Organisation verantwortlich.

Fuer kleine und mittlere Unternehmen, die moeglicherweise nicht ueber die Ressourcen fuer einen dedizierten DPO verfuegen, bietet ein externer DPO-Dienst eine effektive und kostenguenstige Loesung zur Erfuellung dieser obligatorischen Anforderung.

Das Do-Not-Call-Register

Der PDPA etabliert auch das Do-Not-Call-Register (DNC-Register), das Einzelpersonen ermoeglicht, ihre singapurischen Telefonnummern zu registrieren, um keine Marketingnachrichten mehr zu erhalten. Organisationen muessen das DNC-Register ueberpruefen, bevor sie Marketingnachrichten per Sprachanruf, Textnachricht oder Fax versenden.

Aufbau eines PDPA-Compliance-Programms

Ein strukturierter Ansatz zur PDPA-Compliance umfasst mehrere wichtige Schritte:

  1. Benennen Sie einen Datenschutzbeauftragten: Bestimmen Sie einen DPO oder beauftragen Sie DPO-Unterstuetzungsdienste, um Ihr Compliance-Programm zu ueberwachen
  2. Fuehren Sie eine Datenbestandsaufnahme durch: Erfassen Sie alle Fluesse personenbezogener Daten und identifizieren Sie, welche Daten erhoben werden, wo sie gespeichert sind, wie sie verarbeitet werden und wer Zugriff hat
  3. Ueberpruefen Sie Einwilligungspraktiken: Stellen Sie sicher, dass Einwilligungsmechanismen klar, spezifisch und dokumentiert sind. Implementieren Sie Bestimmungen zur vermuteten Einwilligung, wo anwendbar
  4. Implementieren Sie Sicherheitsmassnahmen: Setzen Sie geeignete technische und organisatorische Kontrollen zum Schutz personenbezogener Daten ein
  5. Entwickeln Sie einen Plan zur Reaktion auf Datenschutzverletzungen: Etablieren Sie Verfahren zur Erkennung, Bewertung und Meldung von Datenschutzverletzungen innerhalb der vorgeschriebenen Fristen
  6. Erstellen Sie Datenschutzrichtlinien: Dokumentieren Sie Richtlinien fuer Datenhandhabung, -aufbewahrung, -uebermittlung und -entsorgung unter Verwendung eines verwalteten Richtlinien-Frameworks
  7. Schulen Sie Mitarbeiter: Fuehren Sie regelmaessige Datenschutz-Sensibilisierungsschulungen fuer alle Mitarbeiter durch
  8. Fuehren Sie Bewertungen durch: Fuehren Sie regelmaessige Bewertungen mit Tools wie unserem Datenschutz-Manager durch, um Compliance-Luecken zu identifizieren und zu beheben

Durchsetzung und Sanktionen

Die PDPC hat die Befugnis, Anweisungen zu erteilen, finanzielle Sanktionen zu verhaengen und Durchsetzungsentscheidungen zu veroeffentlichen. Seit den Aenderungen von 2021 betraegt die maximale finanzielle Sanktion 10 % des Jahresumsatzes einer Organisation in Singapur oder 1 Million SGD, je nachdem, welcher Betrag hoeher ist, fuer Organisationen mit einem Jahresumsatz von ueber 10 Millionen SGD.

Die PDPC war aktiv in der Durchsetzung und hat Entscheidungen zu einer breiten Palette von Sektoren und Verstoessen erlassen. Haeufige Feststellungen umfassen unzureichende Sicherheitsmassnahmen, uebermaessige Datenerhebung und das Versaeumnis, eine ordnungsgemaesse Einwilligung einzuholen.

PDPA vs. DSGVO: Wesentliche Unterschiede

Obwohl PDPA und DSGVO gemeinsame Ziele verfolgen, gibt es bemerkenswerte Unterschiede. Die DSGVO gilt basierend auf dem Wohnsitz der betroffenen Personen, waehrend der PDPA fuer in Singapur taetige Organisationen gilt. Die DSGVO gewaehrt umfassendere individuelle Rechte, einschliesslich Datenuebertragbarkeit und Recht auf Vergessenwerden, die im PDPA nicht ausdruecklich geregelt sind. Allerdings bieten die Bestimmungen zur vermuteten Einwilligung des PDPA eine Flexibilitaet, die in der DSGVO nicht zu finden ist.

Organisationen, die in beiden Rechtsordnungen taetig sind, sollten einen harmonisierten Ansatz verfolgen, der die strengeren Anforderungen jedes Gesetzes erfuellt. Eine umfassende Compliance-Plattform kann helfen, Anforderungen aus mehreren Rechtsordnungen effizient zu verwalten.

Fazit

PDPA-Compliance ist eine fortlaufende Verpflichtung, die nachhaltige Aufmerksamkeit und regelmaessige Ueberpruefung erfordert. Durch das Verstaendnis der wichtigsten Pflichten, die Implementierung robuster Prozesse und den Einsatz digitaler Tools koennen Organisationen in Singapur personenbezogene Daten effektiv schuetzen und gleichzeitig ihren regulatorischen Verantwortlichkeiten nachkommen. Beginnen Sie mit einer gruendlichen Bewertung Ihrer aktuellen Datenverarbeitungspraktiken und bauen Sie ein Compliance-Programm auf, das mit Ihrem Unternehmen waechst.

PDPA Singapur Datenschutz Compliance Privatsphaere

Weiterlesen

Verwandte Artikel

DSGVO-Compliance-Leitfaden

Vollstaendiger Leitfaden zum Verstaendnis und zur Implementierung der DSGVO-Compliance.

Grenzueberschreitende Datenuebermittlungen

Internationale Datenschutzgesetze fuer rechtmaessige Datenuebermittlungen meistern.

DSARs bearbeiten

Betroffenenauskunftsersuchen effizient und konform verwalten.

Bleiben Sie Informiert

Entdecken Sie Unsere Compliance-Lösungen

Durchstöbern Sie alle unsere Cyber-Compliance-Ressourcen oder erfahren Sie, wie unsere Plattform und Expertendienste Ihrer Organisation helfen können, Compliance zu erreichen und aufrechtzuerhalten.

Alle Artikel Kontakt
Kontaktformular