Loading…
Das PDPA Singapurs ist ein durchdachtes und pragmatisches Datenschutzgesetz, das seit den Änderungen von 2020 erheblich gereift ist. Es nutzt einen pflichtenbasierten Rahmen anstelle der Aufzählung von Rechtsgrundlagen wie in der DSGVO, hat Direktmarketing-Regeln über das Do-Not-Call-Register integriert und begrenzt Bußgelder auf 10 % des in Singapur erzielten Umsatzes. Für Unternehmen mit Hauptsitz im asiatisch-pazifischen Raum ist das PDPA häufig der Ort, an dem das globale Datenschutzprogramm tatsächlich aufgebaut wird.
| Dimension | 🇪🇺 GDPR | 🇸🇬 PDPA |
|---|---|---|
| Rechtsinstrument | Verordnung (EU) 2016/679 | Personal Data Protection Act 2012 (Act 26 of 2012); die Änderungen von 2020 haben ihn erheblich gestärkt |
| Aufsichtsbehörde | 27 Datenschutzbehörden der EU-Mitgliedstaaten + EDPB | Personal Data Protection Commission (PDPC) |
| Struktureller Ansatz | Aufzählung von Rechtsgrundlagen (Art. 6); rechtebasiert (Kapitel III) | Pflichtenbasiert – 9 Kernpflichten + Do-Not-Call-Regime + Meldung von Datenschutzverletzungen |
| Höchstbußgeld | €20M oder 4 % des weltweiten Umsatzes (Art. 83(5)) | Obergrenze S$1M; für Organisationen mit einem Jahresumsatz von >S$10M in Singapur bis zu 10 % des Jahresumsatzes |
| Bußgeld der unteren Stufe | €10M oder 2 % des weltweiten Umsatzes | Gleiche Obergrenze pro Verstoß; variiert je nach Art des Verstoßes |
| Einwilligungsmodell | Opt-in (eine von sechs Rechtsgrundlagen) | Einwilligungspflicht + angenommene Einwilligung (benachrichtigungsbasiert) + Ausnahme für berechtigte Interessen |
| Rechtsgrundlagen | Sechs – Einwilligung, Vertrag, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliche Aufgabe, berechtigte Interessen | Einwilligung oder eine von 13 gesetzlichen Ausnahmen (Schedules 1–2) |
| Benachrichtigungspflicht (Einwilligung) | Datenschutzhinweis zum Zeitpunkt der Erhebung | Benachrichtigungspflicht – Zweck wird vor/bei der Erhebung mitgeteilt |
| Auskunftsrecht | Artikel 15 – Bestätigung + Kopie innerhalb von 1 Monat | Auskunftspflicht – innerhalb angemessener Frist, Gebühr zulässig |
| Recht auf Berichtigung | Artikel 16 | Berichtigungspflicht |
| Recht auf Datenübertragbarkeit | Artikel 20 – strukturiertes, gängiges Format | Ja – durch die Änderungen von 2020 hinzugefügt |
| Recht auf Löschung | Artikel 17 | Implizit über die Pflicht zur Speicherbegrenzung; vor 2020 kein eigenständiges Löschrecht |
| DPO-Anforderung | In definierten Fällen verpflichtend (Artikel 37) | Für alle Verantwortlichen verpflichtend (Section 11(3) PDPA) – Name und Kontaktdaten müssen veröffentlicht werden |
| Meldung von Datenschutzverletzungen | 72 Stunden an die Aufsichtsbehörde + Benachrichtigung der Betroffenen bei hohem Risiko | 72 Stunden an die PDPC + Benachrichtigung der betroffenen Personen – Schwelle: erheblicher Schaden ODER 500+ Personen |
| Grenzüberschreitende Übermittlung | SCCs, BCRs, Angemessenheitsbeschluss (Kapitel V) | Übermittlungsbeschränkung – Bewertung des vergleichbaren Schutzniveaus; vertragliche Schutzmaßnahmen |
| Direktmarketing | Rechtsgrundlage erforderlich + ePrivacy-Regeln | Pflicht zum Do-Not-Call-Register; Einwilligungs- + Opt-out-Architektur |
| Sensible Daten | Artikel 9 – besondere Kategorien personenbezogener Daten, ausdrückliche Einwilligung + Bedingung | Keine formale Kategorie sensibler Daten – wird über zweckspezifische Einwilligung behandelt |
| Daten von Kindern | Standardalter 16 (Mitgliedstaaten können auf 13 senken) | Unter 13 – Einwilligung der Eltern |
| Data Protection Trustmark | Kein formales System | Ja – freiwillige Zertifizierung (PDPA DPTM) |
| Beginn der Sanktionen | Mai 2018 | Materielle Sanktionen ab 2014; die Änderungen von 2020 erweiterten die Obergrenzenstruktur |
Größtenteils. Ergänzen Sie einen gemäß Section 11(3) bestellten DPO mit öffentlich verfügbaren Kontaktdaten, registrieren Sie Direktmarketing-Kampagnen gegebenenfalls beim DNC-Register, stellen Sie die Meldung von Datenschutzverletzungen innerhalb von 72 Stunden an die PDPC sicher und prüfen Sie die Schutzmaßnahmen der Übermittlungsbeschränkung für Übermittlungen aus Singapur.
Singapur unterhält ein nationales Do-Not-Call-Register. Bevor Telemarketing-Anrufe, SMS oder Fax-Mitteilungen an eine singapurische Nummer gesendet werden, müssen Organisationen das jeweils relevante DNC-Register (Voice, Text, Fax) prüfen. Verstöße werden nach dem PDPA gesondert geahndet.
Eine freiwillige Zertifizierung, die von der IMDA verwaltet wird. Sie weist die Einhaltung des PDPA durch den Inhaber nach – ein nützliches Vertrauenssignal für den B2B-Vertrieb, insbesondere gegenüber Einkäufern aus dem öffentlichen Sektor und der Finanzbranche.
Moderat, aber konsequent. Die PDPC veröffentlicht Durchsetzungsentscheidungen und hat Organisationen wie SingHealth (S$250K), Integrated Health Information Systems (S$750K) und verschiedenen Marketingorganisationen wegen DNC-Verstößen Bußgelder in Millionenhöhe auferlegt.
Nicht zwingend. Der DPO muss unter einer in Singapur veröffentlichten Kontaktadresse erreichbar sein, muss jedoch nicht in Singapur ansässig sein. RegulatoryBridge bestellt in der Regel einen regionalen DPO mit Präsenz in Singapur.
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.