Singapore Personal Data Protection Act

Singapur PDPA Compliance-Leitfaden

Navigieren Sie Singapurs umfassenden Datenschutzrahmen mit Zuversicht. Von den 11 Datenschutzpflichten ueber obligatorische Verletzungsmeldung bis hin zu KI-Governance helfen wir Ihnen, PDPA-Anforderungen mit klaren Prozessen und auditbereiten Nachweisen umzusetzen.

PDPA-Bewertung startenCompliance-Beratung buchen

Was ist Singapurs PDPA?

Der Personal Data Protection Act 2012 (PDPA) ist Singapurs umfassendes Datenschutzgesetz, das die Erhebung, Verwendung und Offenlegung personenbezogener Daten durch privatwirtschaftliche Organisationen regelt. Das Gesetz etabliert einen sektoruebergreifenden Mindeststandard fuer den Datenschutz.

Warum das jetzt wichtig ist: Die Aenderungen von 2020 (in Kraft seit 1. Februar 2021) staerkten die Durchsetzungsbefugnisse erheblich mit obligatorischer Verletzungsmeldung innerhalb von 3 Tagen, Geldstrafen von bis zu 10% des Jahresumsatzes und strengeren Rechenschaftsanforderungen. Die Personal Data Protection Commission (PDPC) setzt PDPA aktiv mit oeffentlichen Durchsetzungsentscheidungen durch.

11 Pflichten

Umfassender Schutzrahmen

3-Tage-Meldung

Obligatorische Verletzungsmeldung an PDPC

Durchgesetzt von der Personal Data Protection Commission (PDPC) unter IMDA. Ergaenzt die DSGVO fuer eine globale Datenschutzstrategie.

Wer braucht PDPA-Compliance?

Alle privatwirtschaftlichen Organisationen

Jede Organisation, die personenbezogene Daten in Singapur erhebt, verwendet oder offenlegt

Datenvermittler

Organisationen, die personenbezogene Daten im Auftrag anderer verarbeiten

Digitale Plattformen & E-Commerce

Online-Dienste, die personenbezogene Kundendaten erheben

Finanzdienstleistungen

Banken, Versicherer, Zahlungsdienstleister, die sensible Finanzdaten verarbeiten

Gesundheitsdienstleister

Kliniken, Krankenhaeuser und Gesundheitstechnologie-Plattformen

KI-System-Bereitsteller

Organisationen, die KI fuer automatisierte Entscheidungen einsetzen, die Einzelpersonen betreffen

Wie VerifyWise die PDPA-Compliance unterstuetzt

VerifyWise bietet ein Singapur-Compliance-Preset im Checklisten-Modus, strukturiert um Transparenz, Rueckverfolgbarkeit, Ergebnisueberwachung und regelmaessige Auditpflichten

Singapur-Anforderung
VerifyWise-Abdeckung
Transparenzmassnahmen
Checklisten-Element zur Dokumentation der KI-Nutzungsoffenlegung und Transparenzpraktiken
Rueckverfolgbarkeitsaufzeichnungen
Strukturiertes Checklisten-Tracking mit Auditdatum und Systembeschreibungs-Metadaten
Ergebnisueberwachung
Checklisten-Element mit optionaler quantitativer Analyse nachteiliger Auswirkungen
Regelmaessiger Auditplan
Dediziertes Checklisten-Element zur Dokumentation von Audithaefigkeit und -methodik

Zusaetzliche Compliance-Funktionen

Bestandsaufnahme und Zuordnung personenbezogener Daten

Pflegen Sie ein vollstaendiges Verzeichnis der Verarbeitungstaetigkeiten personenbezogener Daten in Ihrer Organisation. Die Plattform erfasst, welche Daten Sie erheben, warum Sie sie verarbeiten, wer Zugang hat und wo sie gespeichert werden, um die Rechenschaftspflichten der PDPC zu erfuellen.

Adressiert: Rechenschaftspflicht, Offenheit, Zweckbindung

Einwilligungsverwaltung und -verfolgung

Dokumentieren Sie Einwilligungserfassungsmethoden, verfolgen Sie Widerrufsantraege und verwalten Sie Szenarien der stillschweigenden Einwilligung, die mit den Aenderungen von 2020 eingefuehrt wurden. Die Plattform pflegt auditbereite Einwilligungsnachweise mit Zeitstempeln und Belegen.

Adressiert: Einwilligungspflicht, Benachrichtigung, Rechenschaftspflicht

Datenschutz-Folgenabschaetzungen

Fuehren Sie strukturierte Datenschutz-Folgenabschaetzungen fuer neue Datenverarbeitungstaetigkeiten durch. Die Plattform leitet Sie durch Risikoidentifikation, Auswahl von Schutzmassnahmen und Dokumentation, die angemessene Sicherheitsvorkehrungen belegt.

Adressiert: Schutzpflicht, Rechenschaftspflicht

Workflows zur Meldung von Datenschutzverletzungen

Verwalten Sie die obligatorische 3-Tage-Meldefrist mit strukturierten Vorfallworkflows. Die Plattform verfolgt die Verletzungsbewertung, PDPC-Meldungseinreichung und Kommunikation mit betroffenen Personen gemaess den Aenderungen von 2020.

Adressiert: Pflicht zur Meldung von Datenschutzverletzungen

Portal fuer Betroffenenrechte

Bearbeiten Sie Zugangs- und Berichtigungsantraege mit Workflows, die die Antwortfristen der PDPC durchsetzen. Die Plattform verfolgt Antraege, verwaltet Berechnungen angemessener Gebuehren und pflegt Aufzeichnungen ueber Antworten fuer Auditzwecke.

Adressiert: Zugangs- und Berichtigungspflicht, Rechenschaftspflicht

Bewertungen grenzueberschreitender Uebermittlungen

Bewerten Sie grenzueberschreitende Datenuebermittlungen mit strukturierten Risikobewertungen und Verfolgung vertraglicher Schutzmassnahmen. Die Plattform dokumentiert Uebermittlungsmechanismen und stellt die Einhaltung der PDPA-Uebermittlungsbegrenzungspflicht sicher.

Adressiert: Uebermittlungsbegrenzungspflicht, Rechenschaftspflicht

Alle Aktivitaeten werden mit Zeitstempeln, zugewiesenen Datenschutzbeauftragten und Genehmigungsworkflows verfolgt. Dieser Pruefpfad demonstriert systematische PDPA-Compliance gegenueber PDPC-Ermittlern.

Vollstaendige Abdeckung der PDPA-Pflichten

VerifyWise bietet dedizierte Werkzeuge fuer alle 11 Datenschutzpflichten

11

PDPA-Pflichten

69

Compliance-Kontrollen mit dedizierten Werkzeugen

100%

Abdeckung aller Pflichten

Einwilligung8/8

Einwilligungserfassung, Widerruf, stillschweigende Einwilligung

Zweckbindung5/5

Nutzungsbeschraenkung auf identifizierte Zwecke

Benachrichtigung6/6

Datenschutzhinweise und Transparenz

Zugang & Berichtigung7/7

Verwaltung von Betroffenenrechten

Richtigkeit4/4

Datenqualitaet und -richtigkeit

Schutz9/9

Sicherheitsmassnahmen

Aufbewahrungsbegrenzung5/5

Aufbewahrungsfristen und Loeschung

Uebermittlungsbegrenzung6/6

Grenzueberschreitende Uebermittlungen

Offenheit4/4

DSB und Richtlinienverfuegbarkeit

Datenschutzverletzung8/8

Meldung von Verletzungen innerhalb von 3 Tagen

Rechenschaftspflicht7/7

DSB, Richtlinien, Compliance-Rahmen

Von Grund auf fuer Singapurs PDPA entwickelt

3-Tage-Verletzungsmeldung

Automatisierte Workflows fuer die obligatorische PDPC-Meldefrist

AI Governance Framework

Ausrichtung an Model AI Governance Framework und AI Verify

DNC Registry-Integration

Do Not Call-Compliance-Tracking und Nachweise

Multi-Framework-Zuordnung

Zuordnung zu DSGVO und ISO 27701-Anforderungen

11 Datenschutzpflichten

PDPA etabliert umfassende Pflichten fuer die Verwaltung personenbezogener Daten

Einwilligungspflicht

Gueltige Einwilligung einholen, bevor personenbezogene Daten erhoben, verwendet oder offengelegt werden, mit klaren Ausnahmen.

  • Einwilligung muss freiwillig, informiert und zweckspezifisch sein
  • Mechanismus zum Widerruf der Einwilligung erforderlich
  • Bestimmungen zur stillschweigenden Einwilligung (Aenderung 2020)
  • Ausnahmen bei berechtigtem Interesse, sofern anwendbar
  • Dokumentation der Einwilligungserfassungsmethode

Zweckbindung

Personenbezogene Daten nur fuer Zwecke erheben, verwenden und offenlegen, die unter den gegebenen Umstaenden als angemessen gelten.

  • Zweck vor der Erhebung identifizieren und dokumentieren
  • Zweck muss fuer eine vernuenftige Person angemessen erscheinen
  • Keine Nutzung oder Offenlegung ueber den urspruenglichen Zweck hinaus ohne neue Einwilligung
  • Zweckangabe in Datenschutzhinweisen
  • Zweckbindung in Datenverarbeitungsvereinbarungen

Benachrichtigungspflicht

Betroffene ueber die Zwecke der Datenerhebung, -verwendung und -offenlegung informieren.

  • Datenschutzhinweis vor oder zum Zeitpunkt der Erhebung
  • Benachrichtigung ueber Zwecke in klarer Sprache
  • Geschaeftliche Kontaktinformationen bereitstellen
  • Mitteilung, ob die Erhebung obligatorisch ist
  • Aktualisierung der Datenschutzhinweise bei Zweckaenderungen

Zugang & Berichtigung

Betroffenen Zugang zu ihren personenbezogenen Daten gewaehren und die Berichtigung ungenauer Daten ermoeglichen.

  • Beantwortung von Zugangsantraegen innerhalb von 30 Tagen
  • Daten in verstaendlicher Form bereitstellen
  • Berichtigung ungenauer oder unvollstaendiger Daten ermoeglichen
  • Angemessene Gebuehren fuer Zugangsantraege moeglich
  • Begrenzte Ausnahmen fuer die Verweigerung des Zugangs

Richtigkeitspflicht

Sicherstellen, dass personenbezogene Daten richtig und vollstaendig sind, wenn sie fuer Entscheidungen verwendet oder an andere weitergegeben werden.

  • Verfahren zur Richtigkeitspruefung
  • Berichtigungsverfahren bei festgestellten Ungenauigkeiten
  • Periodische Datenqualitaetspruefungen
  • Quellenpruefung fuer kritische Daten
  • Aktualisierungsverfahren fuer veraltete Daten

Schutzpflicht

Personenbezogene Daten mit angemessenen Sicherheitsvorkehrungen schuetzen, um unbefugten Zugang, Erhebung, Verwendung, Offenlegung, Kopieren, Aenderung oder Entsorgung zu verhindern.

  • Risikobasierte Sicherheitsmassnahmen entsprechend dem Schadenspotenzial
  • Technische und organisatorische Schutzmassnahmen
  • Zugriffskontrollen und Authentifizierung
  • Verschluesselung sensibler Daten bei Uebertragung und Speicherung
  • Sicherheitstests und Schwachstellenmanagement

Aufbewahrungsbegrenzung

Aufbewahrung personenbezogener Daten einstellen, wenn die Zwecke nicht mehr erfuellt werden und die Aufbewahrung nicht gesetzlich vorgeschrieben ist.

  • Aufbewahrungsfristen fuer verschiedene Datenkategorien
  • Dokumentierte geschaeftliche oder gesetzliche Aufbewahrungsanforderungen
  • Sichere Loeschungs- oder Anonymisierungsverfahren
  • Periodische Ueberpruefung aufbewahrter Daten
  • Entsorgungsprotokolle zur Rechenschaftspflicht

Uebermittlungsbegrenzung

Personenbezogene Daten nur dann ausserhalb Singapurs uebermitteln, wenn die empfangende Rechtsordnung vergleichbaren Schutz bietet oder angemessene vertragliche Schutzmassnahmen bestehen.

  • Bewertung des Datenschutzrechts der empfangenden Rechtsordnung
  • Vertragliche Schutzmassnahmen (BCRs, Standardvertragsklauseln)
  • Uebermittlungs-Folgenabschaetzungen fuer risikoreiche Uebermittlungen
  • Individuelle Einwilligung fuer Uebermittlungen ohne Schutzmassnahmen
  • Dokumentation der Uebermittlungsmechanismen

Offenheitspflicht

Richtlinien und Praktiken fuer die Verwaltung personenbezogener Daten entwickeln und implementieren sowie Informationen darueber verfuegbar machen.

  • Dokumentierte Datenschutzrichtlinien und -verfahren
  • Benannter Datenschutzbeauftragter (DSB) als Kontakt
  • Oeffentlich verfuegbare Datenschutzrichtlinie
  • Mitarbeiterschulung zum Datenschutz
  • Regelmaessige Richtlinienueberpruefung und -aktualisierung

Meldung von Datenschutzverletzungen

PDPC innerhalb von 3 Kalendertagen nach Bewertung einer meldepflichtigen Datenschutzverletzung benachrichtigen. Betroffene benachrichtigen, wenn die Verletzung voraussichtlich erheblichen Schaden oder Auswirkungen verursacht.

  • Verfahren zur Erkennung und Bewertung von Verletzungen
  • PDPC-Meldung innerhalb von 3 Kalendertagen (Aenderung 2020)
  • Benachrichtigung Betroffener bei voraussichtlich erheblichem Schaden
  • Verletzungsregister und Vorfallsdokumentation
  • Nachpruefung und Nachverfolgung von Abhilfemassnahmen

Rechenschaftspflicht

PDPA-Pflichten einhalten und die Einhaltung gegenueber der PDPC nachweisen koennen.

  • Datenschutz-Managementprogramm
  • Benannter Datenschutzbeauftragter (DSB)
  • Compliance-Ueberwachungs- und Auditprozesse
  • Mitarbeiterschulungs- und Sensibilisierungsprogramme
  • Compliance-Nachweise (Richtlinien, Protokolle, Bewertungen, Aufzeichnungen)

Singapurs KI-Governance-Rahmen

Freiwillige aber einflussreiche Rahmenwerke fuer den verantwortungsvollen KI-Einsatz

Governance-Rahmen

Model AI Governance Framework

Singapurs freiwilliger Rahmen fuer den verantwortungsvollen Einsatz von KI

Schluesselkomponenten

  • Interne Governance-Strukturen und -Massnahmen
  • Menschliche Beteiligung an KI-gestuetzter Entscheidungsfindung
  • Betriebsmanagement fuer KI-Systeme
  • Stakeholder-Interaktion und Kommunikation

Anwendbarkeit: Freiwillig, aber zunehmend von Regulierungsbehoerden und Kunden erwartet

Rahmenwerk ansehen
Technische Tests

AI Verify Testing Framework

Technisches Testtoolkit fuer die Validierung von KI-Systemen

Schluesselkomponenten

  • Transparenztests fuer Erklaerbarkeit
  • Fairness- und Verzerrungserkennung
  • Robustheits- und Sicherheitsvalidierung
  • Sicherheits- und Leistungstests

Anwendbarkeit: Technisches Validierungswerkzeug fuer das Model AI Governance Framework

Rahmenwerk ansehen

Profi-Tipp: Obwohl Singapurs Model AI Governance Framework freiwillig ist, demonstriert seine Implementierung verantwortungsvolle KI-Praktiken gegenueber Regulierungsbehoerden, Kunden und Stakeholdern. Kombinieren Sie es mit PDPA-Compliance fuer umfassenden KI-Datenschutz.

KI-Governance-Richtlinien erkunden

Do Not Call Registry

Singapurs Opt-out-Register fuer Marketingkommunikation

Was Sie wissen muessen

Das Do Not Call (DNC) Registry ermoeglicht es Einzelpersonen, sich von Marketing-Telefonanrufen, SMS, Fax und MMS abzumelden. Vor dem Versand von Marketingnachrichten ueber diese Kanaele muessen Organisationen das DNC Registry pruefen (gueltig fuer 30 Tage) und einen Nachweis der Pruefung aufbewahren.

Was es ist

Singapurs Do Not Call Registry ermoeglicht es Einzelpersonen, sich von Marketingnachrichten abzumelden

Abgedeckte Kanaele

Telefonanrufe, SMS, Fax, MMS (ohne E-Mails und physische Post)

Vor der Kontaktaufnahme

DNC Registry pruefen und Nachweis der Pruefung aufbewahren (30-Tage-Gueltigkeit)

Ausnahmen

Bestehende Kundenbeziehungen, begrenzte Szenarien stillschweigender Einwilligung

Strafen

Bis zu SGD 10.000 pro Verstoss

DNC-Compliance-Checkliste

  • DNC Registry pruefen

    Vor jeder Marketingkampagne ueber abgedeckte Kanaele

  • Nachweise aufbewahren

    Aufzeichnungen der DNC-Pruefungen 3 Jahre aufbewahren

  • Opt-outs respektieren

    Marketing einstellen, wenn Nummer im DNC Registry steht

  • Ausnahmen validieren

    Bestehende Beziehungen oder eindeutige Einwilligung dokumentieren

24-Wochen-Umsetzungs-Roadmap

Ein praktischer Weg zur PDPA-Compliance mit klaren Meilensteinen

Phase 1Wochen 1-4

Grundlagen & Lueckenanalyse

  • Datenschutzbeauftragten (DSB) benennen
  • Bestandsaufnahme personenbezogener Daten durchfuehren
  • Datenfluesse und Verarbeitungstaetigkeiten abbilden
  • Lueckenanalyse gegenueber den 11 Pflichten
Phase 2Wochen 5-10

Richtlinien- & Governance-Rahmen

  • PDPA-konforme Datenschutzrichtlinien entwickeln
  • Verfahren zur Einwilligungserfassung etablieren
  • Prozesse fuer Betroffenenrechte erstellen
  • Basis-Sicherheitsmassnahmen implementieren
Phase 3Wochen 11-18

Operative Umsetzung

  • Workflows zur Meldung von Datenschutzverletzungen bereitstellen
  • Aufbewahrungs- und Loeschungsplaene implementieren
  • Bewertungen grenzueberschreitender Uebermittlungen etablieren
  • Personal zu PDPA-Anforderungen schulen
Phase 4Wochen 19-24

Ueberwachung & kontinuierliche Compliance

  • Compliance-Ueberwachungsprozesse aktivieren
  • Interne PDPA-Audits durchfuehren
  • Uebungen zur Vorfallreaktion etablieren
  • Zyklus der kontinuierlichen Verbesserung erstellen

Strafen und Durchsetzung

Verstaendnis der Durchsetzungsbefugnisse und des Strafrahmens der PDPC

Geldstrafen (Aenderungen 2020)

  • Bis zu SGD 1 Million an Geldstrafen, ODER
  • Bis zu 10% des jaehrlichen Singapur-Umsatzes (je nachdem, welcher Betrag hoeher ist)
  • Erhebliche Erhoehung gegenueber der vorherigen SGD 1 Million-Obergrenze
  • PDPC beruecksichtigt Organisationsgroesse, verursachten Schaden, Compliance-Historie

Strafrechtliche Sanktionen

  • Wissentliche oder fahrlaessige unbefugte Offenlegung: bis zu SGD 5.000 Geldstrafe
  • Unsachgemaesse Verwendung personenbezogener Daten: bis zu SGD 5.000 oder 2 Jahre Freiheitsstrafe
  • Behinderung einer PDPC-Untersuchung: zusaetzliche Strafen
  • Geschaeftsfuehrer und leitende Angestellte koennen persoenlich haftbar gemacht werden

Durchsetzungsansatz

  • PDPC veroeffentlicht Durchsetzungsentscheidungen oeffentlich
  • Reputationsschaden durch oeffentliche Durchsetzungsbescheide
  • Obligatorische Compliance-Anweisungen und Abhilfeanordnungen
  • Nachfolge-Audits bei erheblichen Verletzungen

Aktuelle Durchsetzungstrends

  • Hoehere Strafen seit 2020

    Geldstrafen erreichen jetzt Millionenbetraege bei schwerwiegenden Verletzungen

  • Oeffentliche Durchsetzungsentscheidungen

    PDPC veroeffentlicht detaillierte Fallstudien, die Reputationsschaden verursachen

  • Fokus auf Rechenschaftspflicht

    Ungenugende Richtlinien und DSB-Aufsicht haeufig beanstandet

Faktoren bei der Strafbemessung

Organisationsgroesse & Umsatz

Groessere Organisationen sehen sich hoeheren Strafen gegenueber

Verursachter Schaden

Anzahl betroffener Personen und Schwere der Auswirkungen

Compliance-Historie

Wiederholte Verstoesse fuehren zu hoeheren Strafen

Kooperation mit PDPC

Selbstanzeige und Abhilfemassnahmen werden beruecksichtigt

Richtlinienvorlagen

PDPA-konforme Richtliniensammlung

Zugang zu 37 einsatzbereiten Richtlinien, abgestimmt auf PDPA-Pflichten, DSGVO und Singapurs Model AI Governance Framework

Kern-PDPA-Richtlinien

  • • Datenschutzrichtlinie (Benachrichtigung)
  • • Einwilligungsmanagement-Richtlinie
  • • Richtlinie fuer Betroffenenrechte
  • • Datenschutzrichtlinie
  • • Datenaufbewahrung & Entsorgung
  • • Richtlinie fuer grenzueberschreitende Uebermittlung
  • + 6 weitere Richtlinien

Vorfall & Verletzung

  • • Meldung von Datenschutzverletzungen
  • • Verfahren zur Verletzungsbewertung
  • • Vorfallreaktionsplan
  • • PDPC-Melde-Workflow
  • • Benachrichtigung Betroffener
  • • Abhilfemassnahmen nach Verletzung
  • + 4 weitere Richtlinien

KI-Governance

  • • KI-Governance-Rahmen
  • • Algorithmische Transparenz
  • • KI-Folgenabschaetzung
  • • Human-in-the-Loop-Richtlinie
  • • Erklaerbarkeitsstandards
  • • KI-Fairness & Verzerrung
  • + 5 weitere Richtlinien
Alle Richtlinienvorlagen durchsuchen

Haeufig gestellte Fragen

Haeufige Fragen zur PDPA-Compliance

Wenn Ihre Organisation eine privatwirtschaftliche Einrichtung ist, die personenbezogene Daten in Singapur erhebt, verwendet oder offenlegt, gilt PDPA. Dies umfasst Einzelunternehmen, Personengesellschaften, Kapitalgesellschaften und auslaendische Einrichtungen mit Niederlassungen in Singapur. Oeffentliche Behoerden unterliegen separater Gesetzgebung, folgen aber aehnlichen Grundsaetzen. Weitere Details zur Anwendbarkeit finden Sie in der Uebersicht der PDPC.
Die Aenderungen von 2020 (in Kraft seit 1. Februar 2021) fuehrten die obligatorische Meldung von Datenschutzverletzungen innerhalb von 3 Kalendertagen an die PDPC ein, erweiterte Ausnahmen bei berechtigtem Interesse zur Einwilligung, Bestimmungen zur stillschweigenden Einwilligung, erhoehte Geldstrafen von bis zu 10% des Jahresumsatzes und strengere Rechenschaftsanforderungen. Organisationen muessen Richtlinien und Verfahren aktualisieren, um diese Aenderungen zu beruecksichtigen.
Wenn eine meldepflichtige Datenschutzverletzung eintritt (unbefugter Zugang, Verwendung, Offenlegung, Verlust oder Aenderung, die voraussichtlich erheblichen Schaden verursacht), haben Sie 3 Kalendertage ab der Bewertung, um die PDPC zu benachrichtigen. Sie muessen auch betroffene Personen benachrichtigen, wenn die Verletzung voraussichtlich erheblichen Schaden oder erhebliche Auswirkungen verursacht (groessangelegte Verletzung). Die Plattform hilft bei der Verfolgung der Bewertungszeitlinie und verwaltet Meldungsworkflows.
PDPA verlangt von Organisationen, mindestens eine Person zu benennen, die fuer die Sicherstellung der Compliance verantwortlich ist. Obwohl es nicht obligatorisch ist, diese Person 'DSB' zu nennen, ist dies empfohlen. Die Kontaktinformationen des DSB muessen oeffentlich zugaenglich gemacht werden. Bei kleineren Organisationen kann ein bestehender Mitarbeiter diese Aufgabe neben anderen Pflichten uebernehmen.
Die Aenderungen von 2020 fuehrten Bestimmungen zur 'stillschweigenden Einwilligung' ein, bei denen die Einwilligung in bestimmten Szenarien ohne ausdrueckliches Opt-in angenommen werden kann, wie z.B. bei vertraglicher Notwendigkeit oder berechtigten Interessen. Organisationen muessen Betroffenen dennoch angemessene Benachrichtigung und Gelegenheit zum Widerspruch bieten. Dies ist begrenzter als die Rechtsgrundlage der berechtigten Interessen unter der DSGVO, bietet aber notwendige Flexibilitaet.
PDPA und DSGVO teilen aehnliche Grundsaetze, unterscheiden sich aber in Details. PDPA verfolgt einen einwilligungsbasierten Ansatz mit begrenzten Ausnahmen bei berechtigtem Interesse, waehrend die DSGVO sechs Rechtsgrundlagen einschliesslich breiterer berechtigter Interessen kennt. Die Einwilligungsanforderungen von PDPA sind in mancher Hinsicht strenger, in anderer flexibler. Organisationen, die in beiden Rechtsordnungen taetig sind, halten sich oft an die strengere Anforderung.
Singapur hat ein freiwilliges Model AI Governance Framework veroeffentlicht, das PDPA ergaenzt. Obwohl freiwillig, wird es zunehmend von Regulierungsbehoerden und Kunden erwartet. Es umfasst interne Governance, menschliche Aufsicht, Betriebsmanagement und Stakeholder-Kommunikation fuer KI-Systeme. VerifyWise hilft bei der gemeinsamen Implementierung von PDPA- und KI-Governance-Anforderungen.
Ja, aber nur wenn die empfangende Rechtsordnung vergleichbaren Schutz bietet ODER Sie angemessene vertragliche Schutzmassnahmen implementieren (wie Standardvertragsklauseln oder Binding Corporate Rules). Sie muessen bewerten, ob die Uebermittlung sensible Daten betrifft, das Datenschutzrecht der Rechtsordnung pruefen und Uebermittlungs-Folgenabschaetzungen fuer risikoreiche Uebermittlungen durchfuehren. Die PDPC bietet Leitlinien zu akzeptablen Uebermittlungsmechanismen.
Seit den Aenderungen von 2020 kann die PDPC Geldstrafen von bis zu SGD 1 Million ODER 10% des jaehrlichen Singapur-Umsatzes verhaengen (je nachdem, welcher Betrag hoeher ist). Strafrechtliche Sanktionen umfassen Geldstrafen bis zu SGD 5.000 und Freiheitsstrafe bis zu 2 Jahren fuer wissentliche oder fahrlaessige Verstoesse. Die PDPC veroeffentlicht auch Durchsetzungsentscheidungen, was erheblichen Reputationsschaden verursacht. Beruecksichtigte Faktoren sind Organisationsgroesse, verursachter Schaden und Compliance-Historie.
Sie muessen auf Zugangsantraege innerhalb von 30 Kalendertagen antworten und die Daten in verstaendlicher Form bereitstellen. Sie koennen eine angemessene Gebuehr zur Kostendeckung erheben. Bei Berichtigungsantraegen muessen Sie ungenaue oder unvollstaendige Daten berichtigen und andere Organisationen benachrichtigen, an die Sie die Daten weitergegeben haben. Begrenzte Ausnahmen bestehen (Rechtsprivileg, unangemessen wiederholte Anfragen). Die Plattform verfolgt diese Fristen und verwaltet Antwortworkflows.
Singapurs DNC Registry ermoeglicht es Einzelpersonen, sich von Marketinganrufen, SMS, Fax und MMS abzumelden (nicht E-Mails oder physische Post). Vor dem Versand von Marketingnachrichten ueber abgedeckte Kanaele muessen Sie das DNC Registry innerhalb von 30 Tagen pruefen und Nachweise aufbewahren. Verstoesse koennen Strafen von bis zu SGD 10.000 pro Verstoss nach sich ziehen. Ausnahmen bestehen fuer bestehende Kundenbeziehungen mit Einwilligung.
KI-Systeme, die personenbezogene Daten verarbeiten, muessen alle PDPA-Pflichten einhalten. Dies umfasst Einwilligung zur Datenerhebung, Zweckbindung, Richtigkeit, Sicherheitsmassnahmen und Rechenschaftspflicht. Singapurs Model AI Governance Framework bietet zusaetzliche freiwillige Leitlinien zu Transparenz, Fairness und menschlicher Aufsicht. Organisationen sollten PDPA-Compliance und KI-Governance gemeinsam implementieren. Siehe unsere EU AI Act-Seite fuer einen Vergleich mit anderen KI-Regulierungen.

Bereit fuer die PDPA-Compliance?

Starten Sie Ihre PDPA-Compliance-Reise mit unseren gefuehrten Bewertungs- und Implementierungswerkzeugen, abgestimmt auf alle 11 Datenschutzpflichten.

PDPA-Bewertung startenBeratung vereinbaren
Singapore PDPA Compliance Guide | Data Protection | VerifyWise