Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel
Verstehen Sie Singapurs Pflicht zur Meldung von Datenschutzverletzungen unter der PDPA. Die 3-Tage-Regel, Kriterien und erforderliche Schritte.

Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel
Seit dem 1. Februar 2021 sind Organisationen in Singapur gesetzlich verpflichtet, die Personal Data Protection Commission (PDPC) über bestimmte Datenschutzverletzungen zu informieren. Dies ist keine Empfehlung — es ist eine zwingende Pflicht unter dem geänderten PDPA.
Die Konsequenzen sind erheblich. Bei Nichtmeldung können finanzielle Strafen von bis zu 10% des Jahresumsatzes in Singapur oder S$1 Million verhängt werden, je nachdem welcher Betrag höher ist.
Dieser Leitfaden erklärt genau, wann Sie melden müssen, wie schnell Sie handeln müssen und welche Informationen Sie bereitstellen müssen.
Wann ist eine Verletzung meldepflichtig?
Nicht jede Datenschutzverletzung löst die Meldepflicht aus. Eine Verletzung ist meldepflichtig, wenn sie eine dieser Bedingungen erfüllt:
| Bedingung | Schwelle |
|---|---|
| Erheblicher Schaden | Die Verletzung verursacht oder wird voraussichtlich erheblichen Schaden bei betroffenen Personen verursachen |
| Umfang | Die Verletzung betrifft 500 oder mehr Personen, unabhängig davon, ob ein Schaden wahrscheinlich ist |
Was gilt als „erheblicher Schaden"?
Das PDPA definiert erheblichen Schaden weitreichend. Es umfasst:
- Identitätsdiebstahl oder Betrug
- Finanziellen Verlust
- Bedrohung der körperlichen Sicherheit
- Erpressung
- Belästigung
- Verlust von Beschäftigungsmöglichkeiten
- Rufschädigung
Wenn eines dieser Ergebnisse wahrscheinlich ist, ist die Verletzung meldepflichtig — selbst wenn nur eine Person betroffen ist.
Die 3-Tage-Meldefrist
Sobald Sie festgestellt haben, dass eine Verletzung meldepflichtig ist, müssen Sie die PDPC innerhalb von 3 Kalendertagen benachrichtigen. Nicht Werktage — Kalendertage, einschließlich Wochenenden und Feiertagen.
Zeitlicher Ablauf
Tag 0: Verletzung entdeckt
↓
Verletzung sofort eindämmen
↓
Bewerten: Ist sie meldepflichtig? (So schnell wie vernünftigerweise möglich)
↓
Tag 1-3 nach Bewertung: PDPC benachrichtigen
↓
Sobald praktikabel: Betroffene Personen benachrichtigen (wenn erheblicher Schaden wahrscheinlich)
Wichtig: Sie können die Bewertung nicht auf unbestimmte Zeit hinauszögern, um die 3-Tage-Frist zu umgehen. Die PDPC erwartet eine zügige Bewertung von Verletzungen.
Was Ihre PDPC-Meldung enthalten muss
Ihre Meldung an die PDPC muss enthalten:
- Art der Verletzung — Was passiert ist (z.B. unbefugter Zugriff, versehentliche Offenlegung, Ransomware)
- Betroffene Arten personenbezogener Daten — NRIC-Nummern, Finanzdaten, Gesundheitsdaten, Kontaktdaten usw.
- Zeitpunkt der Verletzung — Datum und Uhrzeit, sofern bekannt
- Anzahl betroffener Personen — Genaue oder geschätzte Zahl
- Ergriffene Abhilfemaßnahmen — Was Sie getan haben oder planen
- Kontaktinformationen — Wen die PDPC für Rückfragen erreichen kann
Das PDPC-Meldeformular ist auf der PDPC-Website verfügbar.
Benachrichtigung betroffener Personen
Wenn die Verletzung voraussichtlich erheblichen Schaden verursacht, müssen Sie betroffene Personen so bald wie praktikabel benachrichtigen. Ihre Benachrichtigung sollte enthalten:
- Welche personenbezogenen Daten kompromittiert wurden
- Was die Betroffenen zu ihrem Schutz tun können (z.B. Passwörter ändern, Konten überwachen)
- Wie sie Ihre Organisation für weitere Informationen kontaktieren können
Erforderliche Schritte bei einer Datenschutzverletzung
| Schritt | Maßnahme | Frist |
|---|---|---|
| 1 | Verletzung eindämmen — Leck stoppen, Systeme isolieren | Sofort |
| 2 | Verletzung bewerten — Meldepflicht feststellen | So schnell wie vernünftigerweise möglich |
| 3 | PDPC benachrichtigen — Meldeformular einreichen | Innerhalb von 3 Kalendertagen nach Bewertung |
| 4 | Betroffene informieren — wenn erheblicher Schaden wahrscheinlich | Sobald praktikabel |
| 5 | Dokumentieren und überprüfen — Vorfall aufzeichnen und Verbesserungen umsetzen | Fortlaufend |
Reale Fälle und Strafen
Singapur setzt die Meldepflicht aktiv durch. Organisationen, die keine angemessenen Datenschutzmaßnahmen implementiert haben, mussten erhebliche Strafen zahlen:
- SingHealth (2018): Je S$250.000 Strafe für SingHealth und IHIS nach einer Verletzung, die 1,5 Millionen Patienten betraf
- Grabcar (2019): S$10.000 Strafe für einen Datenoffenlegungs-Vorfall
Diese Fälle zeigen, dass die PDPC die Durchsetzung ernst nimmt, unabhängig von der Größe der Organisation.
Berichte über Datenschutzverletzungen sicher teilen
Wenn eine Verletzung eintritt, muss Ihr Incident-Response-Team sensible Bewertungsberichte, forensische Erkenntnisse und Sanierungspläne mit Stakeholdern teilen — Rechtsberatern, dem Management, Versicherern und möglicherweise der PDPC selbst.
Diese Dokumente enthalten Details über Ihre Schwachstellen und die kompromittierten personenbezogenen Daten. Der Versand per regulärer E-Mail oder WhatsApp ist riskant.
LOCK.PUB bietet passwortgeschützte Memos, mit denen Sie Dokumente zur Bewertung von Datenschutzverletzungen sicher teilen können. Sie können eine Ablaufzeit festlegen, um den Zugriff zu begrenzen, was besonders wichtig ist bei Dokumenten, die Details über aktive Sicherheitslücken enthalten.
Vorbereitung vor einem Vorfall
Der schlechteste Zeitpunkt, Ihren Reaktionsplan auszuarbeiten, ist während eines tatsächlichen Vorfalls. Bereiten Sie sich jetzt vor:
- Ihren Reaktionsplan dokumentieren — Wer macht was und in welcher Reihenfolge
- Ihr Meldeteam identifizieren — DPO, Rechtsabteilung, IT, Kommunikation
- Benachrichtigungsvorlagen vorbereiten — Für PDPC und betroffene Personen
- Planspielübungen durchführen — Eine Verletzung simulieren, um Ihre Reaktion zu testen
- Jährlich überprüfen und aktualisieren — Bedrohungslandschaften ändern sich
Zusammenfassung
- Die Meldepflicht bei Datenschutzverletzungen gilt seit dem 1. Februar 2021
- Sie müssen die PDPC innerhalb von 3 Kalendertagen nach Feststellung der Meldepflicht informieren
- Eine Verletzung ist meldepflichtig, wenn sie erheblichen Schaden verursacht ODER 500+ Personen betrifft
- Nichtmeldung kann Strafen von bis zu 10% des Jahresumsatzes oder S$1 Million nach sich ziehen
- Bereiten Sie Ihren Reaktionsplan vor einem Vorfall vor
Wenn Sie während eines Vorfalls Dokumente zu Datenschutzverletzungen sicher teilen müssen, bietet LOCK.PUB eine einfache Möglichkeit, Passwortschutz mit automatischem Ablauf hinzuzufügen.
Warten Sie nicht auf eine Datenschutzverletzung — bereiten Sie heute Ihren Reaktionsplan vor.
Schlüsselwörter
Das könnte Sie auch interessieren
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
DPO-Ernennung in Singapur: Was jedes Unternehmen wissen muss
Alle Organisationen in Singapur müssen einen Datenschutzbeauftragten ernennen. PDPA-Anforderungen, Aufgaben, Qualifikationen und Outsourcing-Optionen.
HealthHub & NEHR in Singapur: Was du über den Schutz deiner Gesundheitsdaten wissen solltest
Erfahre, wie deine Gesundheitsdaten im NEHR-System Singapurs gespeichert, geteilt und geschützt werden. Deine Rechte und sichere Wege, medizinische Informationen zu teilen.
Erstellen Sie jetzt Ihren passwortgeschützten Link
Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.
Kostenlos Starten