Launch Q3 2026
BearGuard®
BearGuard®
Governance & AI Guardrails
DE EN
🔒 Internationale Privacy

PDPA – Personal Data Protection Act (Singapur)

Singapurs PDPA schützt seit 2014 personenbezogene Daten (PDPC). Die Novelle 2021 stärkte Betroffenenrechte und Sanktionsmöglichkeiten erheblich.

LinkedIn X WhatsApp

Zusammenfassung

Der Personal Data Protection Act (PDPA) ist Singapurs umfassendes Datenschutzgesetz, das am 2. Juli 2014 in Kraft trat. Es wird von der Personal Data Protection Commission (PDPC) durchgesetzt und bildet das Rückgrat des Datenschutzrahmens in Singapur.

  • Konsentbasierter Ansatz: Einwilligung als zentrale Rechtsgrundlage, mit Ausnahmen für berechtigte Interessen.
  • Do-Not-Call-Register: Nationales Register zum Schutz vor unerwünschten Marketing-Kommunikationen.
  • Pflicht zur Datenpannen-Meldung: Seit 2021 Pflicht zur Meldung schwerwiegender Vorfälle.
  • Sanktionen: Bußgelder bis zu 1 Mio. SGD (vor Oktober 2022) bzw. 10 % des Jahresumsatzes in Singapur (ab 1. Oktober 2022).

Geschichte

Singapur verabschiedete den PDPA im Oktober 2012 als Reaktion auf das rapide Wachstum der digitalen Wirtschaft und den Bedarf an einem kohärenten Datenschutzrahmen. Das Gesetz trat stufenweise in Kraft: Zuerst das Do-Not-Call-Register (Januar 2014), dann die Datenschutzbestimmungen (Juli 2014).

Ein bedeutendes Datenleck bei SingHealth im Jahr 2018, bei dem Daten von 1,5 Millionen Patienten (einschließlich des Premierministers) kompromittiert wurden, beschleunigte Diskussionen über eine Verschärfung des Gesetzes. Im Jahr 2020 wurden umfangreiche Änderungen verabschiedet, die am 1. Februar 2021 in Kraft traten. Diese Novelle führte u.a. eine Pflicht zur Meldung von Datenpannen, eine erhöhte Bußgeldobergrenze und neue Rechte der Betroffenen ein. Am 1. Oktober 2022 trat die erhöhte Bußgeldobergrenze (bis zu 10 % des Jahresumsatzes in Singapur) in Kraft, und die PDPC aktualisierte ihre Durchsetzungsrichtlinien.

Im März 2024 veröffentlichte die PDPC die Leitlinien zum Schutz personenbezogener Daten von Kindern in der digitalen Umgebung. Seit dem 30. September 2024 müssen Organisationen die Geschäftskontaktdaten ihres Datenschutzbeauftragten (DPO) über ACRA BizFile+ bei der PDPC registrieren.

Geltungsbereich

Der PDPA gilt für alle privatwirtschaftlichen Organisationen, die personenbezogene Daten in Singapur erheben, nutzen oder offenlegen. Regierungsbehörden und in deren Auftrag handelnde Organisationen sind ausdrücklich ausgenommen und unterliegen stattdessen dem Public Sector (Governance) Act. Weitere Ausnahmen:

  • Natürliche Personen, die Daten für persönliche oder haushaltsbezogene Zwecke verarbeiten
  • Verstorbene Personen (deren Daten fallen nicht unter PDPA)

Der PDPA gilt sowohl für die Verarbeitung in Singapur als auch – unter bestimmten Umständen – für die Nutzung von in Singapur erhobenen Daten im Ausland. Er gilt nicht für Daten im Transit durch Singapur, wenn keine weitere Verarbeitung stattfindet.

Kernanforderungen

  • Einwilligungspflicht: Einwilligung vor oder bei Erhebung, Nutzung oder Offenlegung; Ausnahmen für berechtigte Interessen und andere gesetzlich definierte Zwecke.
  • Zweckbeschränkung: Daten dürfen nur für die angegebenen Zwecke genutzt werden.
  • Benachrichtigungspflicht: Information der betroffenen Person über Zwecke und Empfänger der Daten.
  • Auskunftsrecht: Betroffene können Auskunft über gehaltene personenbezogene Daten verlangen.
  • Berichtigungsrecht: Korrektur unrichtiger personenbezogener Daten.
  • Sicherheitspflicht: Angemessene Schutzmaßnahmen zur Verhinderung unbefugten Zugangs.
  • Aufbewahrungsbegrenzung: Daten dürfen nicht länger als notwendig aufbewahrt werden.
  • Transferbeschränkungen: Transfers nur in Länder mit vergleichbarem Schutzniveau oder unter vertraglich gesicherten Garantien.
  • Datenpannenmeldung: Benachrichtigung der PDPC und betroffener Personen bei Datenpannen mit erheblichem Schaden.
  • Do-Not-Call-Register: Marketing-Kommunikation an registrierte Nummern ist verboten.

Korrekturen & Errata

2026-QA-210 Präzisierung 20. März 2026
Fehlende Verbindung: pdpa-sg → gdpr

PDPA (Singapur) ist Pendant zu GDPR — Baseline-Querverbindung fehlte.

Alle Details auf der Errata-Seite →
2026-QA-116 Korrektur 28. Februar 2026
Qualitaetsaudit: PDPA – Personal Data Protection Act (Singapur)

1 Korrektur:
- Sanktions-Datum falsch: 10%-Bussgeldobergrenze gilt erst ab 1. Oktober 2022, nicht ab 2021
3 Praezisierungen.
2 Anmerkungen.

Alle Details auf der Errata-Seite →

Inhalt zuletzt geprüft: 23. Februar 2026. Fehler gefunden oder Aktualisierung nötig? [email protected]