PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss
Singapurs PDPA gilt auch für Mitarbeiterdaten mit spezifischen Regeln zu NRIC-Erhebung, Einwilligung und Aufbewahrung. Ein praktischer Leitfaden für Personalabteilungen.

PDPA und HR-Daten in Singapur — Was jeder Arbeitgeber wissen muss
Die Personalabteilung verwaltet die sensibelsten Daten
Personalabteilungen sind die Hueter einiger der persoenlichsten Informationen in jeder Organisation. Von NRIC-Nummern und Gehaltsdetails ueber medizinische Unterlagen, Leistungsbeurteilungen bis hin zu Disziplinarmassnahmen — die Personalabteilung handhabt Daten, von denen Mitarbeiter erwarten, dass sie geschuetzt werden.
In Singapur regelt das Personal Data Protection Act (PDPA), wie Organisationen personenbezogene Daten erheben, nutzen und offenlegen. Waehrend sich viele Unternehmen auf die Einhaltung des Kundendatenschutzes konzentrieren, sind Mitarbeiterdaten gleichermassen geschuetzt — und HR-Verstoesse gehoeren zu den haeufigsten PDPA-Beschwerden.
Wie das PDPA auf Mitarbeiterdaten anwendbar ist
Stillschweigende Einwilligung (Deemed Consent) — aber kein Freibrief
Das PDPA sieht eine „stillschweigende Einwilligung" fuer beschaeftigungsbezogene Zwecke vor. Das bedeutet, Arbeitgeber benoetigen keine ausdrueckliche Einwilligung fuer routinemaessige HR-Aktivitaeten wie:
- Gehaltsabrechnung
- CPF-Beitraege
- Steuererklaerungen an IRAS
- Verwaltung von Gesundheitsleistungen
Die stillschweigende Einwilligung ist jedoch keine pauschale Genehmigung. Sie deckt nur Zwecke ab, die eine vernuenftige Person im Beschaeftigungskontext als angemessen betrachten wuerde.
| Aktivitaet | Stillschweigende Einwilligung? | Anmerkung |
|---|---|---|
| Gehaltsabrechnung | Ja | Standard-Beschaeftigungszweck |
| CPF-Beitraege | Ja | Gesetzlich vorgeschrieben |
| IRAS-Steuererklaerung | Ja | Gesetzlich vorgeschrieben |
| Mitarbeiterfotos fuer Marketing | Nein | Ausdrueckliche Einwilligung erforderlich |
| Gesundheitsdaten an Kollegen weitergeben | Nein | Einwilligung oder Rechtsgrundlage erforderlich |
| Hintergrundpruefungen fuer Befoerderung | Situationsabhaengig | Mitarbeiter muss ueber den Zweck informiert werden |
Benachrichtigungspflicht
Auch bei stillschweigender Einwilligung muessen Arbeitgeber die Mitarbeiter informieren ueber:
- Welche personenbezogenen Daten erhoben werden
- Warum sie erhoben werden (die Zwecke)
- An wen sie moeglicherweise weitergegeben werden
Dies geschieht in der Regel ueber Arbeitsvertraege, Mitarbeiterhandbuecher oder spezielle Datenschutzhinweise.
NRIC-Richtlinien — Eine haeufige Falle
Seit dem 1. September 2019 gelten in Singapur die NRIC-Beratungsrichtlinien. Diese Regeln ueberraschen viele Personalabteilungen:
Was NICHT erlaubt ist
- Vollstaendige NRIC/FIN/Geburtsurkunden-Nummern erheben, sofern nicht gesetzlich vorgeschrieben oder zur genauen Identifizierung notwendig
- NRIC als allgemeinen Identifikator verwenden (z. B. Mitarbeiter-Login, Warteschlangennummern)
- NRICs ohne gueltige Rechtsgrundlage kopieren
Was stattdessen getan werden sollte
- Nur die letzten 4 Zeichen der NRIC erheben, wenn eine Teilidentifikation ausreicht
- Alternative Identifikatoren verwenden (Mitarbeiternummern)
- Vollstaendige NRIC nur bei gesetzlicher Pflicht aufbewahren (CPF, IRAS, MOM-Arbeitsgenehmigungen)
Ausnahmen fuer vollstaendige NRIC
| Szenario | Grund |
|---|---|
| CPF-Beitraege | Gesetzlich vorgeschrieben |
| IRAS-Steuererklaerung | Gesetzlich vorgeschrieben |
| Gesundheitsakten | Genaue Identifizierung erforderlich |
| Bildungseinrichtungen | Schueler-Identifikation |
| MOM-Arbeitsgenehmigungsantraege | Gesetzlich vorgeschrieben |
Rechte der Mitarbeiter unter dem PDPA
Zugang und Berichtigung
Mitarbeiter haben das Recht:
- Zugang zu ihren beim Arbeitgeber gespeicherten personenbezogenen Daten zu verlangen
- Berichtigung ungenauer Daten zu verlangen
- Darueber informiert zu werden, wie ihre Daten im vergangenen Jahr verwendet oder offengelegt wurden
Arbeitgeber muessen innerhalb von 30 Tagen auf Zugangsanfragen antworten und koennen eine angemessene Gebuehr fuer die Bearbeitung erheben.
Widerruf der Einwilligung
Mitarbeiter koennen die Einwilligung fuer nicht-essentielle Datenverarbeitung widerrufen. Arbeitgeber sollten sie jedoch ueber die Konsequenzen des Widerrufs informieren (z. B. Unmoeglichkeit, bestimmte Leistungen zu erbringen).
Datenaufbewahrung — Nicht ewig speichern
Eine der am meisten uebersehenen PDPA-Anforderungen ist die Aufbewahrungsbeschraenkungspflicht. Organisationen muessen aufhoeren, personenbezogene Daten aufzubewahren, wenn:
- Sie fuer den Zweck, fuer den sie erhoben wurden, nicht mehr benoetigt werden
- Es keine rechtliche oder geschaeftliche Anforderung gibt, sie zu behalten
Empfohlene Aufbewahrungsfristen fuer HR-Daten
| Datentyp | Empfohlene Aufbewahrung | Grund |
|---|---|---|
| Gehaltsunterlagen | 5-7 Jahre nach Austritt | IRAS-Pruefungsanforderungen |
| Steuerunterlagen (IR8A) | 5 Jahre | IRAS-Anforderung |
| CPF-Unterlagen | 5 Jahre | CPF Board-Anforderungen |
| Medizinische Erstattungen | 1-2 Jahre nach Austritt | Versicherungsabrechnung |
| Leistungsbeurteilungen | 2-3 Jahre nach Austritt | Referenzzwecke |
| Bewerbungsunterlagen (abgelehnte Kandidaten) | 6-12 Monate | Wiederholte Bewerbung |
Nach dem Ausscheiden eines Mitarbeiters sollte die Personalabteilung einen klaren Datenloeschungsplan haben, anstatt Unterlagen unbegrenzt aufzubewahren.
Grenzueberschreitende Uebermittlung von HR-Daten
Wenn Ihr Singapur-Buero Mitarbeiterdaten an eine Zentrale im Ausland sendet — zum Beispiel an eine regionale Zentrale in Hongkong oder eine Muttergesellschaft in den USA — muessen Sie sicherstellen, dass der Empfaenger ein vergleichbares Schutzniveau wie das PDPA bietet.
Gaengige Ansaetze:
- Verbindliche Unternehmensregeln fuer den unternehmensuebergreifenden Datenumgang
- Vertragliche Klauseln mit PDPA-aequivalentem Schutz
- Einwilligung des Mitarbeiters fuer die spezifische Uebermittlung einholen
Haeufige HR-PDPA-Verstoesse (und wie man sie vermeidet)
1. Gesundheitsinformationen ohne Einwilligung weitergeben
Ein Manager fragt die Personalabteilung nach dem Gesundheitszustand eines Mitarbeiters. HR teilt die Diagnose mit. Das ist ein Verstoss — medizinische Informationen erfordern eine spezifische Einwilligung fuer die Offenlegung ueber das Leistungsverwaltungsteam hinaus.
2. Sichtbare Gehaltsabrechnungen
Gedruckte Gehaltsabrechnungen auf Schreibtischen oder in offenen Briefkaesten liegen lassen, wo Kollegen sie sehen koennen, legt Gehaltsinformationen offen. Verwenden Sie versiegelte Umschlaege oder sichere digitale Zustellung.
3. Gehaltsinformationen an die falsche Person senden
Versehentliches E-Mailen von Gehaltsdetails an den falschen Empfaenger ist ein Datenschutzvorfall, der bewertet und moeglicherweise an die PDPC gemeldet werden muss.
4. Daten nach Mitarbeiteraustritt aufbewahren
Die vollstaendige HR-Akte eines ehemaligen Mitarbeiters 15+ Jahre „fuer alle Faelle" aufzubewahren, verstoesst gegen die Aufbewahrungsbeschraenkungspflicht.
Sensible HR-Dokumente sicher teilen
Viele dieser Verstoesse passieren, weil HR-Teams keine sicheren Kanaele fuer den Austausch sensibler Dokumente haben. Angebotsschreiben, Gehaltsinformationen und medizinische Unterlagen als einfache E-Mail-Anhaenge zu versenden, schafft unnoetige Risiken.
Tools wie LOCK.PUB ermoeglichen die Erstellung passwortgeschuetzter Memos fuer den sicheren Austausch sensibler HR-Informationen. Statt Gehaltsdetails oder medizinische Dokumentation per E-Mail zu senden, koennen Sie einen sicheren Link teilen, der ein Passwort fuer den Zugang erfordert — so kann nur der beabsichtigte Empfaenger den Inhalt einsehen.
HR-PDPA-Compliance-Checkliste
Nutzen Sie diese Checkliste zur Pruefung der PDPA-Compliance Ihrer Personalabteilung:
- Datenschutzhinweis fuer alle Mitarbeiter bereitgestellt
- Vollstaendige NRIC-Erhebung auf gesetzlich vorgeschriebene Zwecke beschraenkt
- Einwilligung fuer nicht-standardmaessige Datennutzung eingeholt (Fotos, Marketing)
- Aufbewahrungszeitplan dokumentiert und eingehalten
- Sichere Kanaele fuer sensible Mitarbeiterdaten verwendet
- Schutzmassnahmen fuer grenzueberschreitende Datenuebermittlung vorhanden (falls zutreffend)
- Verfahren fuer Zugangs- und Berichtigungsanfragen von Mitarbeitern eingerichtet
- HR-Personal in PDPA-Pflichten geschult
- Notfallplan fuer Datenschutzvorfaelle umfasst HR-Datenszenarien
Kosten bei Nichteinhaltung
Die PDPC kann Bussgelder von bis zu 1 Million SGD (oder 10% des Jahresumsatzes bei Organisationen mit ueber 10 Millionen SGD Umsatz) verhaengen. Ueber Bussgelder hinaus koennen PDPA-Verstoesse mit Mitarbeiterdaten zu Folgendem fuehren:
- Verlust des Vertrauens und der Moral der Mitarbeiter
- Reputationsschaeden
- Schwierigkeiten bei der Talentgewinnung
Wichtigste Erkenntnisse
- PDPA gilt fuer Mitarbeiterdaten — stillschweigende Einwilligung ist nicht unbegrenzt
- Stoppen Sie die Erhebung vollstaendiger NRICs — seit September 2019 nur bei gesetzlicher Pflicht erlaubt
- Speichern Sie Daten nicht ewig — erstellen Sie einen klaren Loeschungsplan
- Teilen Sie sensible HR-Dokumente sicher — erwaegen Sie Tools wie LOCK.PUB fuer passwortgeschuetztes Teilen
- Schulen Sie Ihr HR-Team — es verarbeitet die sensibelsten Daten Ihrer Organisation
Der Schutz von Mitarbeiterdaten ist nicht nur eine Frage der Compliance — es geht um Vertrauen. Beginnen Sie damit, Ihre aktuellen HR-Datenpraktiken zu pruefen und Luecken zu schliessen, bevor sie zu kostspieligen Fehlern werden.
Muessen Sie sensible HR-Dokumente sicher teilen? Probieren Sie LOCK.PUB — erstellen Sie passwortgeschuetzte Memos, auf die nur der beabsichtigte Empfaenger zugreifen kann.
Schlüsselwörter
Das könnte Sie auch interessieren
GDPR Compliance Guide for German Businesses: Checklist & Key Requirements
DSGVO fines hit all-time highs in 2025. Complete compliance checklist including DPO requirements, breach notification, NIS2, AI Act, and DORA.
Meldepflicht bei Datenschutzverletzungen in Singapur: Die 3-Tage-Regel
Verstehen Sie Singapurs Pflicht zur Meldung von Datenschutzverletzungen unter der PDPA. Die 3-Tage-Regel, Kriterien und erforderliche Schritte.
DPO-Ernennung in Singapur: Was jedes Unternehmen wissen muss
Alle Organisationen in Singapur müssen einen Datenschutzbeauftragten ernennen. PDPA-Anforderungen, Aufgaben, Qualifikationen und Outsourcing-Optionen.
Erstellen Sie jetzt Ihren passwortgeschützten Link
Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.
Kostenlos Starten