Privacy
7 min

PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss

Singapurs PDPA gilt auch für Mitarbeiterdaten mit spezifischen Regeln zu NRIC-Erhebung, Einwilligung und Aufbewahrung. Ein praktischer Leitfaden für Personalabteilungen.

LOCK.PUB
PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss

PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss

Die Personalabteilung verwaltet die sensibelsten Daten

Personalabteilungen sind die Hueter einiger der persoenlichsten Informationen in jeder Organisation. Von NRIC-Nummern und Gehaltsdetails ueber medizinische Unterlagen, Leistungsbeurteilungen bis hin zu Disziplinarmassnahmen — die Personalabteilung handhabt Daten, von denen Mitarbeiter erwarten, dass sie geschuetzt werden.

In Singapur regelt das Personal Data Protection Act (PDPA), wie Organisationen personenbezogene Daten erheben, nutzen und offenlegen. Waehrend sich viele Unternehmen auf die Einhaltung des Kundendatenschutzes konzentrieren, sind Mitarbeiterdaten gleichermassen geschuetzt — und HR-Verstoesse gehoeren zu den haeufigsten PDPA-Beschwerden.

Wie das PDPA auf Mitarbeiterdaten anwendbar ist

Stillschweigende Einwilligung (Deemed Consent) — aber kein Freibrief

Das PDPA sieht eine „stillschweigende Einwilligung" fuer beschaeftigungsbezogene Zwecke vor. Das bedeutet, Arbeitgeber benoetigen keine ausdrueckliche Einwilligung fuer routinemaessige HR-Aktivitaeten wie:

  • Gehaltsabrechnung
  • CPF-Beitraege
  • Steuererklaerungen an IRAS
  • Verwaltung von Gesundheitsleistungen

Die stillschweigende Einwilligung ist jedoch keine pauschale Genehmigung. Sie deckt nur Zwecke ab, die eine vernuenftige Person im Beschaeftigungskontext als angemessen betrachten wuerde.

Aktivitaet Stillschweigende Einwilligung? Anmerkung
Gehaltsabrechnung Ja Standard-Beschaeftigungszweck
CPF-Beitraege Ja Gesetzlich vorgeschrieben
IRAS-Steuererklaerung Ja Gesetzlich vorgeschrieben
Mitarbeiterfotos fuer Marketing Nein Ausdrueckliche Einwilligung erforderlich
Gesundheitsdaten an Kollegen weitergeben Nein Einwilligung oder Rechtsgrundlage erforderlich
Hintergrundpruefungen fuer Befoerderung Situationsabhaengig Mitarbeiter muss ueber den Zweck informiert werden

Benachrichtigungspflicht

Auch bei stillschweigender Einwilligung muessen Arbeitgeber die Mitarbeiter informieren ueber:

  • Welche personenbezogenen Daten erhoben werden
  • Warum sie erhoben werden (die Zwecke)
  • An wen sie moeglicherweise weitergegeben werden

Dies geschieht in der Regel ueber Arbeitsvertraege, Mitarbeiterhandbuecher oder spezielle Datenschutzhinweise.

NRIC-Richtlinien — Eine haeufige Falle

Seit dem 1. September 2019 gelten in Singapur die NRIC-Beratungsrichtlinien. Diese Regeln ueberraschen viele Personalabteilungen:

Was NICHT erlaubt ist

  • Vollstaendige NRIC/FIN/Geburtsurkunden-Nummern erheben, sofern nicht gesetzlich vorgeschrieben oder zur genauen Identifizierung notwendig
  • NRIC als allgemeinen Identifikator verwenden (z. B. Mitarbeiter-Login, Warteschlangennummern)
  • NRICs ohne gueltige Rechtsgrundlage kopieren

Was stattdessen getan werden sollte

  • Nur die letzten 4 Zeichen der NRIC erheben, wenn eine Teilidentifikation ausreicht
  • Alternative Identifikatoren verwenden (Mitarbeiternummern)
  • Vollstaendige NRIC nur bei gesetzlicher Pflicht aufbewahren (CPF, IRAS, MOM-Arbeitsgenehmigungen)

Ausnahmen fuer vollstaendige NRIC

Szenario Grund
CPF-Beitraege Gesetzlich vorgeschrieben
IRAS-Steuererklaerung Gesetzlich vorgeschrieben
Gesundheitsakten Genaue Identifizierung erforderlich
Bildungseinrichtungen Schueler-Identifikation
MOM-Arbeitsgenehmigungsantraege Gesetzlich vorgeschrieben

Rechte der Mitarbeiter unter dem PDPA

Zugang und Berichtigung

Mitarbeiter haben das Recht:

  1. Zugang zu ihren beim Arbeitgeber gespeicherten personenbezogenen Daten zu verlangen
  2. Berichtigung ungenauer Daten zu verlangen
  3. Darueber informiert zu werden, wie ihre Daten im vergangenen Jahr verwendet oder offengelegt wurden

Arbeitgeber muessen innerhalb von 30 Tagen auf Zugangsanfragen antworten und koennen eine angemessene Gebuehr fuer die Bearbeitung erheben.

Widerruf der Einwilligung

Mitarbeiter koennen die Einwilligung fuer nicht-essentielle Datenverarbeitung widerrufen. Arbeitgeber sollten sie jedoch ueber die Konsequenzen des Widerrufs informieren (z. B. Unmoeglichkeit, bestimmte Leistungen zu erbringen).

Datenaufbewahrung — Nicht ewig speichern

Eine der am meisten uebersehenen PDPA-Anforderungen ist die Aufbewahrungsbeschraenkungspflicht. Organisationen muessen aufhoeren, personenbezogene Daten aufzubewahren, wenn:

  • Sie fuer den Zweck, fuer den sie erhoben wurden, nicht mehr benoetigt werden
  • Es keine rechtliche oder geschaeftliche Anforderung gibt, sie zu behalten

Empfohlene Aufbewahrungsfristen fuer HR-Daten

Datentyp Empfohlene Aufbewahrung Grund
Gehaltsunterlagen 5-7 Jahre nach Austritt IRAS-Pruefungsanforderungen
Steuerunterlagen (IR8A) 5 Jahre IRAS-Anforderung
CPF-Unterlagen 5 Jahre CPF Board-Anforderungen
Medizinische Erstattungen 1-2 Jahre nach Austritt Versicherungsabrechnung
Leistungsbeurteilungen 2-3 Jahre nach Austritt Referenzzwecke
Bewerbungsunterlagen (abgelehnte Kandidaten) 6-12 Monate Wiederholte Bewerbung

Nach dem Ausscheiden eines Mitarbeiters sollte die Personalabteilung einen klaren Datenloeschungsplan haben, anstatt Unterlagen unbegrenzt aufzubewahren.

Grenzueberschreitende Uebermittlung von HR-Daten

Wenn Ihr Singapur-Buero Mitarbeiterdaten an eine Zentrale im Ausland sendet — zum Beispiel an eine regionale Zentrale in Hongkong oder eine Muttergesellschaft in den USA — muessen Sie sicherstellen, dass der Empfaenger ein vergleichbares Schutzniveau wie das PDPA bietet.

Gaengige Ansaetze:

  • Verbindliche Unternehmensregeln fuer den unternehmensuebergreifenden Datenumgang
  • Vertragliche Klauseln mit PDPA-aequivalentem Schutz
  • Einwilligung des Mitarbeiters fuer die spezifische Uebermittlung einholen

Haeufige HR-PDPA-Verstoesse (und wie man sie vermeidet)

1. Gesundheitsinformationen ohne Einwilligung weitergeben

Ein Manager fragt die Personalabteilung nach dem Gesundheitszustand eines Mitarbeiters. HR teilt die Diagnose mit. Das ist ein Verstoss — medizinische Informationen erfordern eine spezifische Einwilligung fuer die Offenlegung ueber das Leistungsverwaltungsteam hinaus.

2. Sichtbare Gehaltsabrechnungen

Gedruckte Gehaltsabrechnungen auf Schreibtischen oder in offenen Briefkaesten liegen lassen, wo Kollegen sie sehen koennen, legt Gehaltsinformationen offen. Verwenden Sie versiegelte Umschlaege oder sichere digitale Zustellung.

3. Gehaltsinformationen an die falsche Person senden

Versehentliches E-Mailen von Gehaltsdetails an den falschen Empfaenger ist ein Datenschutzvorfall, der bewertet und moeglicherweise an die PDPC gemeldet werden muss.

4. Daten nach Mitarbeiteraustritt aufbewahren

Die vollstaendige HR-Akte eines ehemaligen Mitarbeiters 15+ Jahre „fuer alle Faelle" aufzubewahren, verstoesst gegen die Aufbewahrungsbeschraenkungspflicht.

Sensible HR-Dokumente sicher teilen

Viele dieser Verstoesse passieren, weil HR-Teams keine sicheren Kanaele fuer den Austausch sensibler Dokumente haben. Angebotsschreiben, Gehaltsinformationen und medizinische Unterlagen als einfache E-Mail-Anhaenge zu versenden, schafft unnoetige Risiken.

Tools wie LOCK.PUB ermoeglichen die Erstellung passwortgeschuetzter Memos fuer den sicheren Austausch sensibler HR-Informationen. Statt Gehaltsdetails oder medizinische Dokumentation per E-Mail zu senden, koennen Sie einen sicheren Link teilen, der ein Passwort fuer den Zugang erfordert — so kann nur der beabsichtigte Empfaenger den Inhalt einsehen.

HR-PDPA-Compliance-Checkliste

Nutzen Sie diese Checkliste zur Pruefung der PDPA-Compliance Ihrer Personalabteilung:

  • Datenschutzhinweis fuer alle Mitarbeiter bereitgestellt
  • Vollstaendige NRIC-Erhebung auf gesetzlich vorgeschriebene Zwecke beschraenkt
  • Einwilligung fuer nicht-standardmaessige Datennutzung eingeholt (Fotos, Marketing)
  • Aufbewahrungszeitplan dokumentiert und eingehalten
  • Sichere Kanaele fuer sensible Mitarbeiterdaten verwendet
  • Schutzmassnahmen fuer grenzueberschreitende Datenuebermittlung vorhanden (falls zutreffend)
  • Verfahren fuer Zugangs- und Berichtigungsanfragen von Mitarbeitern eingerichtet
  • HR-Personal in PDPA-Pflichten geschult
  • Notfallplan fuer Datenschutzvorfaelle umfasst HR-Datenszenarien

Kosten bei Nichteinhaltung

Die PDPC kann Bussgelder von bis zu 1 Million SGD (oder 10% des Jahresumsatzes bei Organisationen mit ueber 10 Millionen SGD Umsatz) verhaengen. Ueber Bussgelder hinaus koennen PDPA-Verstoesse mit Mitarbeiterdaten zu Folgendem fuehren:

  • Verlust des Vertrauens und der Moral der Mitarbeiter
  • Reputationsschaeden
  • Schwierigkeiten bei der Talentgewinnung

Wichtigste Erkenntnisse

  1. PDPA gilt fuer Mitarbeiterdaten — stillschweigende Einwilligung ist nicht unbegrenzt
  2. Stoppen Sie die Erhebung vollstaendiger NRICs — seit September 2019 nur bei gesetzlicher Pflicht erlaubt
  3. Speichern Sie Daten nicht ewig — erstellen Sie einen klaren Loeschungsplan
  4. Teilen Sie sensible HR-Dokumente sicher — erwaegen Sie Tools wie LOCK.PUB fuer passwortgeschuetztes Teilen
  5. Schulen Sie Ihr HR-Team — es verarbeitet die sensibelsten Daten Ihrer Organisation

Der Schutz von Mitarbeiterdaten ist nicht nur eine Frage der Compliance — es geht um Vertrauen. Beginnen Sie damit, Ihre aktuellen HR-Datenpraktiken zu pruefen und Luecken zu schliessen, bevor sie zu kostspieligen Fehlern werden.


Muessen Sie sensible HR-Dokumente sicher teilen? Probieren Sie LOCK.PUB — erstellen Sie passwortgeschuetzte Memos, auf die nur der beabsichtigte Empfaenger zugreifen kann.

Schlüsselwörter

PDPA HR-Daten Singapur
Mitarbeiterdatenschutz Singapur
HR Personaldaten PDPA

Erstellen Sie jetzt Ihren passwortgeschützten Link

Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.

Kostenlos Starten
PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss | LOCK.PUB Blog