PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss
Singapurs PDPA gilt auch für Mitarbeiterdaten mit spezifischen Regeln zu NRIC-Erhebung, Einwilligung und Aufbewahrung. Ein praktischer Leitfaden für Personalabteilungen.
PDPA und HR-Daten in Singapur — Was Arbeitgeber wissen müssen
Die Personalabteilung verwaltet die sensibelsten Daten
Personalabteilungen verwalten die sensibelsten persönlichen Informationen in einer Organisation: NRIC-Nummern, Gehaltsdetails, medizinische Unterlagen, Leistungsbeurteilungen und Disziplinarakten.
In Singapur regelt das Gesetz zum Schutz personenbezogener Daten (PDPA), wie Organisationen personenbezogene Daten erheben, nutzen und offenlegen. Mitarbeiterdaten sind gleichermaßen geschützt — und HR-Verstöße gehören zu den häufigsten PDPA-Beschwerden.
Wie das PDPA auf Mitarbeiterdaten anwendbar ist
Stillschweigende Einwilligung (Deemed Consent) — aber kein Freibrief
Das PDPA sieht eine „stillschweigende Einwilligung" für beschäftigungsbezogene Zwecke vor. Für routinemäßige HR-Aktivitäten wie Gehaltsabrechnung, CPF-Beiträge oder IRAS-Steuererklärungen ist keine ausdrückliche Einwilligung erforderlich.
Die stillschweigende Einwilligung ist jedoch keine pauschale Genehmigung — sie gilt nur für Zwecke, die eine vernünftige Person im Beschäftigungskontext als angemessen betrachten würde.
| Aktivität | Stillschweigende Einwilligung? | Anmerkung |
|---|---|---|
| Gehaltsabrechnung | Ja | Standard-Beschäftigungszweck |
| CPF-Beiträge | Ja | Gesetzlich vorgeschrieben |
| IRAS-Steuererklärung | Ja | Gesetzlich vorgeschrieben |
| Mitarbeiterfotos für Marketing | Nein | Ausdrückliche Einwilligung erforderlich |
| Gesundheitsdaten an Kollegen weitergeben | Nein | Einwilligung oder Rechtsgrundlage erforderlich |
Benachrichtigungspflicht
Auch bei stillschweigender Einwilligung müssen Arbeitgeber die Mitarbeiter informieren: welche Daten erhoben werden, warum und an wen sie weitergegeben werden können.
NRIC-Richtlinien — Eine häufige Falle
Seit dem 1. September 2019 gelten in Singapur die NRIC-Richtlinien.
Was NICHT erlaubt ist
- Vollständige NRIC/FIN/Geburtsurkunden-Nummern erheben, sofern nicht gesetzlich vorgeschrieben
- NRIC als allgemeinen Identifikator verwenden
Was stattdessen getan werden sollte
- Nur die letzten 4 Zeichen der NRIC erheben, wenn eine Teilidentifikation ausreicht
- Alternative Identifikatoren verwenden (Mitarbeiternummer)
- Vollständige NRIC nur bei gesetzlicher Pflicht aufbewahren (CPF, IRAS, MOM)
Rechte der Mitarbeiter
Mitarbeiter haben das Recht auf:
- Zugang zu ihren gespeicherten personenbezogenen Daten
- Berichtigung ungenauer Daten
- Information über die Verwendung und Offenlegung ihrer Daten im vergangenen Jahr
Arbeitgeber müssen innerhalb von 30 Tagen auf Zugangsanfragen antworten.
Datenaufbewahrung — Nicht ewig speichern
| Datentyp | Empfohlene Aufbewahrungsdauer | Grund |
|---|---|---|
| Gehaltsunterlagen | 5-7 Jahre nach Austritt | IRAS-Prüfungsanforderungen |
| Steuerunterlagen (IR8A) | 5 Jahre | IRAS-Anforderung |
| CPF-Unterlagen | 5 Jahre | CPF Board-Anforderung |
| Medizinische Erstattungen | 1-2 Jahre nach Austritt | Versicherungsabrechnung |
| Leistungsbeurteilungen | 2-3 Jahre nach Austritt | Referenzzwecke |
Häufige HR-PDPA-Verstöße
- Gesundheitsinformationen ohne Einwilligung weitergeben — ein Manager fragt HR nach dem Gesundheitszustand eines Mitarbeiters und HR teilt dies mit: Verstoß
- Sichtbare Gehaltsabrechnungen — gedruckte Gehaltsabrechnungen offen liegen lassen
- Fehlzustellung — Gehaltsinformationen versehentlich an falsche Empfänger senden
Sensible HR-Dokumente sicher teilen
LOCK.PUB ermöglicht die Erstellung passwortgeschützter Memos, um Gehaltsinformationen, Angebotsschreiben oder medizinische Unterlagen sicher zu teilen. Statt diese Informationen ungeschützt per WhatsApp oder E-Mail zu senden, können Sie einen sicheren Link teilen, der nur mit dem richtigen Passwort zugänglich ist.
HR-PDPA-Compliance-Checkliste
- Datenschutzhinweis für alle Mitarbeiter bereitgestellt
- Vollständige NRIC-Erhebung auf gesetzlich vorgeschriebene Zwecke beschränkt
- Einwilligung für nicht-standardmäßige Datennutzung eingeholt
- Aufbewahrungszeitplan dokumentiert und eingehalten
- Sichere Kanäle für sensible Mitarbeiterdaten verwendet
- HR-Personal in PDPA-Pflichten geschult
Kosten bei Nichteinhaltung
Die PDPC kann Bußgelder von bis zu 1 Million SGD (oder 10% des Jahresumsatzes bei Organisationen mit über 10 Millionen SGD Umsatz) verhängen.
Wichtigste Erkenntnisse
- PDPA gilt für Mitarbeiterdaten — stillschweigende Einwilligung ist nicht unbegrenzt
- Stoppen Sie die Erhebung vollständiger NRICs — seit September 2019 verboten, außer bei gesetzlicher Pflicht
- Speichern Sie Daten nicht ewig — erstellen Sie einen klaren Löschungsplan
- Teilen Sie sensible HR-Dokumente sicher — nutzen Sie LOCK.PUB für passwortgeschütztes Teilen
- Schulen Sie Ihr HR-Team — es verarbeitet die sensibelsten Daten der Organisation
Müssen Sie sensible HR-Dokumente sicher teilen? Probieren Sie LOCK.PUB — erstellen Sie passwortgeschützte Memos.
Schlüsselwörter
Das könnte Sie auch interessieren
Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel
Verstehen Sie Singapurs Pflicht zur Meldung von Datenschutzverletzungen unter der PDPA. Die 3-Tage-Regel, Kriterien und erforderliche Schritte.
DPO-Ernennung in Singapur: Was jedes Unternehmen wissen muss
Alle Organisationen in Singapur müssen einen Datenschutzbeauftragten ernennen. PDPA-Anforderungen, Aufgaben, Qualifikationen und Outsourcing-Optionen.
HealthHub & NEHR in Singapur: Was du über den Schutz deiner Gesundheitsdaten wissen solltest
Erfahre, wie deine Gesundheitsdaten im NEHR-System Singapurs gespeichert, geteilt und geschützt werden. Deine Rechte und sichere Wege, medizinische Informationen zu teilen.
Erstellen Sie jetzt Ihren passwortgeschützten Link
Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.
Kostenlos Starten