Ab Januar 2013

Singapur verschärft den Datenschutz

09.11.2012 | von Torsten Gründer
Um dem Schutz privater Daten künftig mehr Geltung zu verschaffen, hat das Parlament von Singapur in dritter und letzter Lesung mit dem Personal Data Protection Act (PDPA) Fakten geschaffen. Die Regelung zielt dabei auf die Unterbindung des Missbrauchs privater Daten durch Unternehmen.
Foto: nicky39 - Fotolia.com

Das im Januar zu erwartende Gesetz basiert auf einer einfachen, aber effektiven Opt-out-Variante, der sich alle Unternehmen mit Aktivitäten in Singapur unterwerfen müssten. Kern der Initiative ist das sogenannte Do Not Call Registry (DNC). Hier kann sich jeder Einwohner Singapurs mittels seiner Mobilfunknummer registrieren und aktiv über den Umgang mit seinen Daten durch Dritte bestimmen. Will eine Organisation künftig private Daten sammeln, nutzen oder offenlegen, etwa zu Marketingzwecken, muss es mit einem mehrwöchigen Vorlauf (in der Regel 30 Tage) zunächst prüfen, ob die betroffene Person überhaupt werbende Botschaften zu erhalten wünscht. Andernfalls drohen Strafen von bis zu einer Million Singapur Dollar (etwa 640.000 Euro) bei einer Datenschutzverletzung oder von bis zu 10.000 Singapur Dollar (6.400 Euro) bei Missachtung der DNC-Regeln - je Einzelfall.

Der PDPA schützt nur die Daten von Privatpersonen, Unternehmensdaten sowie auch Daten von nationalem Interesse sind ausgenommen. Dennoch kommt der Regelung hinsichtlich Cloud Computing und den Ambitionen Singapurs als führendem Internet-Hub und damit dem von IT-Dienstleistern zunehmend forcierten grenzüberschreitenden Datenaustausch (cross border data transfer) große Bedeutung zu. Übertragen Unternehmen künftig personenbezogene Daten von Singapur ins Ausland, haben sie sicher zu stellen, dass diese auch außerhalb des Stadtstaates einen dem PDPA vergleichbaren Schutz genießen. Damit nimmt Singapur eine Vorreiterolle in Sachen Datenschutz nicht nur in Asien ein.

Dem neuen Datenschutzgesetz ausdrücklich unterworfen sind auch jene Unternehmen, die gar nicht in Singapur registriert oder ansässig sind, aber Singapur-Daten erheben. Ebenso erfasst sind Firmen außerhalb Singapurs, die mit der Sammlung von Daten durch ein singapurisches Unternehmen beauftragt wurden. Damit der Stadtstaat seine ambitionierten Ziele auch tatsächlich grenzüberschreitend durchsetzen kann, soll die Personal Data Protection Commission (PDPC) geeignete Abkommen mit ausländischen Datenschutzbehörden vereinbaren. Diese Kommission wird über weitreichende Befugnisse verfügen. Sie wird die Einhaltung des PDPA überwachen und kann dabei u.a. Untersuchungen gegen Unternehmen einleiten und Strafen verhängen. (jha)

Newsletter 'CP Business-Tipps' bestellen!