Privacy
6 min

Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel

Verstehen Sie Singapurs Pflicht zur Meldung von Datenschutzverletzungen unter der PDPA. Die 3-Tage-Regel, Kriterien und erforderliche Schritte.

LOCK.PUB
Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel

Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel

Seit dem 1. Februar 2021 sind Organisationen in Singapur gesetzlich verpflichtet, die Personal Data Protection Commission (PDPC) über bestimmte Datenschutzverletzungen zu informieren. Dies ist keine Empfehlung — es ist eine zwingende Pflicht unter dem geänderten PDPA.

Die Konsequenzen sind erheblich. Bei Nichtmeldung können finanzielle Strafen von bis zu 10% des Jahresumsatzes in Singapur oder S$1 Million verhängt werden, je nachdem welcher Betrag höher ist.

Dieser Leitfaden erklärt genau, wann Sie melden müssen, wie schnell Sie handeln müssen und welche Informationen Sie bereitstellen müssen.

Wann ist eine Verletzung meldepflichtig?

Nicht jede Datenschutzverletzung löst die Meldepflicht aus. Eine Verletzung ist meldepflichtig, wenn sie eine dieser Bedingungen erfüllt:

Bedingung Schwelle
Erheblicher Schaden Die Verletzung verursacht oder wird voraussichtlich erheblichen Schaden bei betroffenen Personen verursachen
Umfang Die Verletzung betrifft 500 oder mehr Personen, unabhängig davon, ob ein Schaden wahrscheinlich ist

Was gilt als „erheblicher Schaden"?

Das PDPA definiert erheblichen Schaden weitreichend. Es umfasst:

  • Identitätsdiebstahl oder Betrug
  • Finanziellen Verlust
  • Bedrohung der körperlichen Sicherheit
  • Erpressung
  • Belästigung
  • Verlust von Beschäftigungsmöglichkeiten
  • Rufschädigung

Wenn eines dieser Ergebnisse wahrscheinlich ist, ist die Verletzung meldepflichtig — selbst wenn nur eine Person betroffen ist.

Die 3-Tage-Meldefrist

Sobald Sie festgestellt haben, dass eine Verletzung meldepflichtig ist, müssen Sie die PDPC innerhalb von 3 Kalendertagen benachrichtigen. Nicht Werktage — Kalendertage, einschließlich Wochenenden und Feiertagen.

Zeitlicher Ablauf

Tag 0: Verletzung entdeckt
  ↓
Verletzung sofort eindämmen
  ↓
Bewerten: Ist sie meldepflichtig? (So schnell wie vernünftigerweise möglich)
  ↓
Tag 1-3 nach Bewertung: PDPC benachrichtigen
  ↓
Sobald praktikabel: Betroffene Personen benachrichtigen (wenn erheblicher Schaden wahrscheinlich)

Wichtig: Sie können die Bewertung nicht auf unbestimmte Zeit hinauszögern, um die 3-Tage-Frist zu umgehen. Die PDPC erwartet eine zügige Bewertung von Verletzungen.

Was Ihre PDPC-Meldung enthalten muss

Ihre Meldung an die PDPC muss enthalten:

  1. Art der Verletzung — Was passiert ist (z.B. unbefugter Zugriff, versehentliche Offenlegung, Ransomware)
  2. Betroffene Arten personenbezogener Daten — NRIC-Nummern, Finanzdaten, Gesundheitsdaten, Kontaktdaten usw.
  3. Zeitpunkt der Verletzung — Datum und Uhrzeit, sofern bekannt
  4. Anzahl betroffener Personen — Genaue oder geschätzte Zahl
  5. Ergriffene Abhilfemaßnahmen — Was Sie getan haben oder planen
  6. Kontaktinformationen — Wen die PDPC für Rückfragen erreichen kann

Das PDPC-Meldeformular ist auf der PDPC-Website verfügbar.

Benachrichtigung betroffener Personen

Wenn die Verletzung voraussichtlich erheblichen Schaden verursacht, müssen Sie betroffene Personen so bald wie praktikabel benachrichtigen. Ihre Benachrichtigung sollte enthalten:

  • Welche personenbezogenen Daten kompromittiert wurden
  • Was die Betroffenen zu ihrem Schutz tun können (z.B. Passwörter ändern, Konten überwachen)
  • Wie sie Ihre Organisation für weitere Informationen kontaktieren können

Erforderliche Schritte bei einer Datenschutzverletzung

Schritt Maßnahme Frist
1 Verletzung eindämmen — Leck stoppen, Systeme isolieren Sofort
2 Verletzung bewerten — Meldepflicht feststellen So schnell wie vernünftigerweise möglich
3 PDPC benachrichtigen — Meldeformular einreichen Innerhalb von 3 Kalendertagen nach Bewertung
4 Betroffene informieren — wenn erheblicher Schaden wahrscheinlich Sobald praktikabel
5 Dokumentieren und überprüfen — Vorfall aufzeichnen und Verbesserungen umsetzen Fortlaufend

Reale Fälle und Strafen

Singapur setzt die Meldepflicht aktiv durch. Organisationen, die keine angemessenen Datenschutzmaßnahmen implementiert haben, mussten erhebliche Strafen zahlen:

  • SingHealth (2018): Je S$250.000 Strafe für SingHealth und IHIS nach einer Verletzung, die 1,5 Millionen Patienten betraf
  • Grabcar (2019): S$10.000 Strafe für einen Datenoffenlegungs-Vorfall

Diese Fälle zeigen, dass die PDPC die Durchsetzung ernst nimmt, unabhängig von der Größe der Organisation.

Berichte über Datenschutzverletzungen sicher teilen

Wenn eine Verletzung eintritt, muss Ihr Incident-Response-Team sensible Bewertungsberichte, forensische Erkenntnisse und Sanierungspläne mit Stakeholdern teilen — Rechtsberatern, dem Management, Versicherern und möglicherweise der PDPC selbst.

Diese Dokumente enthalten Details über Ihre Schwachstellen und die kompromittierten personenbezogenen Daten. Der Versand per regulärer E-Mail oder WhatsApp ist riskant.

LOCK.PUB bietet passwortgeschützte Memos, mit denen Sie Dokumente zur Bewertung von Datenschutzverletzungen sicher teilen können. Sie können eine Ablaufzeit festlegen, um den Zugriff zu begrenzen, was besonders wichtig ist bei Dokumenten, die Details über aktive Sicherheitslücken enthalten.

Vorbereitung vor einem Vorfall

Der schlechteste Zeitpunkt, Ihren Reaktionsplan auszuarbeiten, ist während eines tatsächlichen Vorfalls. Bereiten Sie sich jetzt vor:

  • Ihren Reaktionsplan dokumentieren — Wer macht was und in welcher Reihenfolge
  • Ihr Meldeteam identifizieren — DPO, Rechtsabteilung, IT, Kommunikation
  • Benachrichtigungsvorlagen vorbereiten — Für PDPC und betroffene Personen
  • Planspielübungen durchführen — Eine Verletzung simulieren, um Ihre Reaktion zu testen
  • Jährlich überprüfen und aktualisieren — Bedrohungslandschaften ändern sich

Zusammenfassung

  1. Die Meldepflicht bei Datenschutzverletzungen gilt seit dem 1. Februar 2021
  2. Sie müssen die PDPC innerhalb von 3 Kalendertagen nach Feststellung der Meldepflicht informieren
  3. Eine Verletzung ist meldepflichtig, wenn sie erheblichen Schaden verursacht ODER 500+ Personen betrifft
  4. Nichtmeldung kann Strafen von bis zu 10% des Jahresumsatzes oder S$1 Million nach sich ziehen
  5. Bereiten Sie Ihren Reaktionsplan vor einem Vorfall vor

Wenn Sie während eines Vorfalls Dokumente zu Datenschutzverletzungen sicher teilen müssen, bietet LOCK.PUB eine einfache Möglichkeit, Passwortschutz mit automatischem Ablauf hinzuzufügen.

Warten Sie nicht auf eine Datenschutzverletzung — bereiten Sie heute Ihren Reaktionsplan vor.

Schlüsselwörter

Datenschutzverletzung Meldung Singapur
PDPA Datenleck 3 Tage
Singapur Datenschutzverletzung Meldepflicht
PDPC Meldung Datenleck
Singapur Datenpanne

Erstellen Sie jetzt Ihren passwortgeschützten Link

Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.

Kostenlos Starten
Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel | LOCK.PUB Blog