Privacy
7 min

Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

A comprehensive guide to Singapore's Personal Data Protection Act (PDPA). Understand your data rights, what organizations can and cannot do, and how to file complaints with the PDPC.

LOCK.PUB
Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act

Singapurs PDPA-Datenschutzleitfaden: Ihre Rechte unter dem Personal Data Protection Act

Singapurs Personal Data Protection Act (PDPA) ist seit 2014 in Kraft, doch vielen Singapurern sind die damit verbundenen Rechte nicht bewusst. In einem Stadtstaat, in dem nahezu jede Transaktion -- vom Taxifahren bis zum Kauf von Bubble Tea -- irgendeine Form der Datenerhebung beinhaltet, ist das Verstaendnis Ihrer Datenschutzrechte keine Option. Es ist unverzichtbar.

Das PDPA regelt, wie Organisationen Ihre persoenlichen Daten erheben, verwenden, offenlegen und speichern. Es wird von der Personal Data Protection Commission (PDPC) durchgesetzt, die befugt ist, Beschwerden zu untersuchen, Anweisungen zu erteilen und Geldstrafen von bis zu 1 Million S$ pro Verstoß zu verhaengen.

Was das PDPA abdeckt

Persoenliche Daten unter dem PDPA

Persoenliche Daten sind definiert als alle Daten, die eine Person identifizieren koennen, entweder allein oder in Kombination mit anderen Informationen. Dazu gehoeren:

Typ Beispiele
Identifikatoren NRIC-Nummer, FIN, Reisepassnummer
Kontaktinformationen Telefonnummer, E-Mail-Adresse, Wohnadresse
Finanzdaten Bankkontonummern, Kreditkartendetails, Einkommen
Beschaeftigungsdaten Berufsbezeichnung, Arbeitgeber, Gehalt, Leistungsbeurteilungen
Gesundheitsdaten Krankenakten, Rezepte, Versicherungsansprueche
Biometrische Daten Fingerabdruecke, Gesichtserkennungsdaten
Digitale Identifikatoren IP-Adressen, Geraete-IDs, Browserverlauf
Bilder und Aufnahmen Ueberwachungskamera-Material, Fotos, Sprachaufnahmen

Was nicht abgedeckt ist

Das PDPA gilt nicht fuer:

  • Regierungsbehoerden (geregelt durch das Government Instruction Manual)
  • Persoenliche oder haeusliche Zwecke (Ihre persoenliche Kontaktliste)
  • Geschaeftliche Kontaktinformationen fuer geschaeftliche Zwecke
  • Daten ueber verstorbene Personen (mehr als 10 Jahre nach dem Tod)

Ihre 5 wichtigsten Rechte unter dem PDPA

1. Recht auf Einwilligung

Organisationen muessen Ihre Einwilligung einholen, bevor sie Ihre persoenlichen Daten erheben, verwenden oder offenlegen. Sie muessen ueber den Zweck der Erhebung informiert werden, und Ihre Einwilligung muss freiwillig sein. Sie koennen die Einwilligung jederzeit widerrufen, wobei die Organisation Sie ueber die Konsequenzen informieren kann.

Praktischer Tipp: Wenn ein Geschaeft fuer ein Treueprogramm Ihre NRIC verlangt, koennen Sie ablehnen. Der Service muss auch ohne unnoetige persoenliche Daten erbracht werden.

2. Recht auf Zugang

Sie koennen Zugang zu Ihren persoenlichen Daten verlangen, die von einer Organisation gespeichert werden, sowie Informationen darueber, wie Ihre Daten im vergangenen Jahr verwendet oder offengelegt wurden. Die Organisation muss innerhalb von 30 Tagen antworten.

Praktischer Tipp: Sie koennen jedes Unternehmen anschreiben und fragen, welche persoenlichen Daten es ueber Sie gespeichert hat. Die Unternehmen sind gesetzlich verpflichtet, Ihnen Auskunft zu geben.

3. Recht auf Berichtigung

Wenn Ihre persoenlichen Daten bei einer Organisation ungenau oder unvollstaendig sind, haben Sie das Recht, eine Berichtigung zu verlangen. Die Organisation muss die Daten korrigieren und die korrigierte Version an jede andere Organisation senden, mit der sie im vergangenen Jahr geteilt wurden.

4. Recht auf Widerruf der Einwilligung

Sie koennen Ihre Einwilligung zur Erhebung, Verwendung oder Offenlegung Ihrer persoenlichen Daten durch eine Organisation jederzeit widerrufen. Die Organisation muss dem innerhalb einer angemessenen Frist nachkommen und Sie ueber etwaige Konsequenzen informieren (z. B. Unfaehigkeit, bestimmte Dienstleistungen zu erbringen).

5. Recht auf Datenuebertragbarkeit (Aenderung 2021)

Die Datenuebertragbarkeitspflicht, eingefuehrt mit der PDPA-Aenderung von 2021, ermoeglicht es Ihnen, die Uebermittlung Ihrer Daten an eine andere Organisation in einem gaengigen Format zu verlangen. Dies gilt fuer Daten, die von Ihnen bereitgestellt wurden und in elektronischer Form vorliegen.

Die NRIC-Erhebungsregeln

Eine der wirkungsvollsten PDPA-Richtlinien betrifft die NRIC-Erhebung. Seit September 2019:

Situation Darf die vollstaendige NRIC erhoben werden?
Kontoeröffnung bei einer Bank Ja -- gesetzlich vorgeschrieben
Krankenhausanmeldung Ja -- gesetzlich vorgeschrieben
Beschaeftigungsunterlagen Ja -- gesetzlich vorgeschrieben
Besucher-Logbuch eines Gebaeudes Nein -- letzte 4 Zeichen oder alternative ID verwenden
Treueprogramm im Einzelhandel Nein -- alternative Identifikatoren verwenden
Registrierung fuer Gewinnspiele Nein -- alternative Identifikatoren verwenden
Fitnessstudio-Mitgliedschaft Nein -- alternative Identifikatoren verwenden

Was Sie tun koennen: Wenn ein nicht wesentlicher Dienst Ihre vollstaendige NRIC verlangt, koennen Sie ablehnen und auf die PDPA Advisory Guidelines zu NRIC-Nummern verweisen.

Das Do-Not-Call-Register (DNC)

Das PDPA hat Singapurs Do Not Call (DNC) Registry eingerichtet, das es Ihnen ermoeglicht, Telemarketing-Anrufe, SMS und Faxe abzulehnen. Sie koennen Ihre Nummern unter dnc.gov.sg registrieren.

Registrierung Schutz
No Call Register Blockiert Telemarketing-Sprachanrufe
No Text Register Blockiert Telemarketing-SMS
No Fax Register Blockiert Telemarketing-Faxe

Organisationen drohen Strafen von bis zu 10.000 S$ pro unerlaubter Marketingnachricht.

So reichen Sie eine PDPA-Beschwerde ein

Wenn Sie glauben, dass eine Organisation Ihre persoenlichen Daten falsch gehandhabt hat:

Schritt 1: Organisation direkt kontaktieren

Schreiben Sie an den Datenschutzbeauftragten (DPO) der Organisation. Jede vom PDPA erfasste Organisation ist verpflichtet, einen DPO zu benennen. Schildern Sie klar, was passiert ist und was Sie von der Organisation erwarten.

Schritt 2: Beschwerde bei der PDPC einreichen

Wenn die Organisation nicht zufriedenstellend innerhalb von 30 Tagen antwortet, reichen Sie eine Beschwerde bei der PDPC unter pdpc.gov.sg ein. Fuegen Sie bei:

  • Ihre persoenlichen Daten
  • Angaben zur Organisation
  • Beschreibung des Vorfalls
  • Beweise (Screenshots, E-Mails, Korrespondenz)
  • Gewuenschte Loesung

Schritt 3: PDPC-Untersuchung

Die PDPC prueft die Beschwerde und kann eine Untersuchung einleiten. Moegliche Ergebnisse umfassen:

  • Anweisung an die Organisation, die Datenpraktik einzustellen
  • Anweisung zur Vernichtung unrechtmaeßig erhobener Daten
  • Geldstrafe von bis zu 1 Million S$
  • Oeffentliche Durchsetzungsentscheidung (auf der PDPC-Website veroeffentlicht)

Bedeutende PDPA-Durchsetzungsfaelle

Jahr Organisation Verstoß Strafe
2019 SingHealth 1,5 Millionen Patientenakten kompromittiert 250.000 S$
2019 IHiS (IT-Dienstleister) Mangelhafte Sicherheitsmaßnahmen beim SingHealth-Verstoß 750.000 S$
2020 Integrated Health Information Systems Unautorisierte Datenoffenlegung 50.000 S$
2021 Verschiedene KMU Unrechtmaeßige NRIC-Erhebung Verwarnungen und Anweisungen
2022 Mehrere Organisationen Datenlecks durch unzureichende Sicherheit Verschiedene Strafen

Praktische PDPA-Tipps fuer den Alltag

  1. Lesen Sie Datenschutzerklaerungen, bevor Sie sich fuer Dienste anmelden -- wissen Sie, welche Daten erhoben werden
  2. Nutzen Sie das DNC-Register, um unerwuenschte Marketingnachrichten zu stoppen
  3. Fordern Sie Datenloeschung von Diensten an, die Sie nicht mehr nutzen
  4. Wissen Sie, wann Sie die NRIC-Erhebung ablehnen koennen -- verweisen Sie auf die PDPA-Richtlinien
  5. Melden Sie Datenlecks, die Sie entdecken, bei der PDPC
  6. Fragen Sie nach dem Kontakt des DPO, wenn eine Organisation Ihre Daten erhebt
  7. Ueben Sie Ihr Zugangsrecht aus, um herauszufinden, welche Daten Unternehmen ueber Sie gespeichert haben

Persoenliche Daten sicher teilen

Unter dem PDPA muessen Organisationen Ihre Daten schuetzen. Aber auch Sie selbst spielen eine Rolle beim Schutz Ihrer Informationen. Wenn Sie persoenliche Daten teilen muessen -- Ihre NRIC fuer einen Bankantrag, Finanzdaten fuer eine Transaktion oder Krankenakten fuer eine Ueberweisung -- vermeiden Sie es, diese als Klartext ueber WhatsApp zu senden.

Nutzen Sie LOCK.PUB, um einen passwortgeschuetzten, selbstloeschenden Link mit Ihren sensiblen Informationen zu erstellen. Der Empfaenger gibt das Passwort ein, um die Daten einzusehen, und die Daten verschwinden nach der eingestellten Ablaufzeit. Dies minimiert das Risiko, dass Ihre persoenlichen Daten durch kompromittierte Messenger-Konten oder Geraetediebstahl offengelegt werden.

Das Fazit

Das PDPA gibt Ihnen echte, durchsetzbare Rechte ueber Ihre persoenlichen Daten in Singapur. Die wichtigste Erkenntnis: Sie haben das Recht zu erfahren, welche Daten Organisationen ueber Sie erheben, das Recht, unnoetige Erhebung abzulehnen, und das Recht, Beschwerden einzureichen, wenn Ihre Daten falsch gehandhabt werden.

Ueben Sie diese Rechte aktiv aus. Lehnen Sie unnoetige NRIC-Erhebung ab, registrieren Sie sich im DNC-Register, fordern Sie Datenloeschung bei ungenutzten Diensten an, und wenn Sie persoenliche Informationen teilen muessen, nutzen Sie LOCK.PUB fuer eine sichere Uebermittlung. Datenschutz ist kein Luxus -- er ist ein durch Singapurs Gesetze geschuetztes Recht.

Schlüsselwörter

PDPA Singapore
Personal Data Protection Act
Singapore privacy law
PDPC complaint
data protection Singapore
PDPA rights
Singapore data privacy
NRIC collection PDPA

Erstellen Sie jetzt Ihren passwortgeschützten Link

Erstellen Sie kostenlos passwortgeschützte Links, geheime Notizen und verschlüsselte Chats.

Kostenlos Starten
Singapore PDPA Privacy Guide: Your Rights Under the Personal Data Protection Act | LOCK.PUB Blog