Home
Intern
veröffentlicht am 14. Februar 2019
Ob man nun mit der Kreditkarte auf der Orchard Road einkaufen geht, Mitglied in einem Fitnessstudio wird oder als Geschäftsführer einer Firma einen neuen Mitarbeiter einstellt – persönliche Daten werden regelmäßig erfasst, gespeichert und verarbeitet. Technische Entwicklungen wie Internet, E-Mail, Mobiltelefonie, Videoüberwachung und elektronische Zahlungsmethoden schaffen immer neue Möglichkeiten zur Datenerfassung. Interesse an personenbezogenen Informationen haben v.a. private Unternehmen – auch in Singapur. Doch wie kann Datenmissbrauch effektiv verhindert werden und wie weit reicht der Schutz in Singapur? Im Folgenden soll dargelegt werden, in welchem Umfang personenbezogene Daten in Singapur geschützt werden und welche Rolle die neue EU-Datenschutz-Grundverordnung dabei spielt.
Singapur geht mit gutem Beispiel voran und hat 2014 den Personal Data Protection Act („PDPA”: Gesetz zum Schutz personenbezogener Daten) erlassen. Hiernach sollen elektronische und nichtelektronische Informationen, die einer bestimmten natürlichen Person zugeordnet sind und zu denen private Unternehmen Zugang haben, geschützt werden. Darunter fallen nach allgemeinem Verständnis Kontaktdaten wie Telefonnummern und E-Mail-Adressen, aber auch Kontonummern, Rentenversicherungsnummern, Kfz-Kennzeichen oder IP-Adressen beim Surfen. Geschäftliche Kontaktinformationen sowie Daten von nationalem Interesse sind von dem Schutzbereich des Gesetzes ausgenommen.
Allgemein erhalten Privatpersonen das Recht, über den Zweck der Sammlung, die Nutzung oder die Offenlegung ihrer persönlichen Daten informiert zu werden. So erlangen sie auch mehr Kontrolle über die Art und Weise der Erfassung ihrer Informationen. Der PDPA soll Singapur aber auch aus Sicht privater Unternehmen, die sensible Daten erheben und verarbeiten, zu einem sicheren Standort machen. Auf die Weise sollen rasant wachsende Industrien für Datenverarbeitung und Datenmanagement, wie etwa Cloud Computing, gefördert und Anreize für Investitionen in Singapur geschaffen werden.
In irgendeiner Form sind beinahe alle Unternehmen von dem PDPA betroffen. Sie müssen Maßnahmen setzen, um die Einhaltung der Bestimmungen des PDPA zu gewährleisten und nicht-autorisierte Zugänge, Nutzungen, Verbreitungen, Offenlegungen oder Ähnliches in Bezug auf personenbezogene Daten zu vermeiden. Vor Erfassung und Weiterverarbeitung personenbezogener Daten ist die Zustimmung des Berechtigten einzuholen, wobei der Berechtigte seine Zustimmung jederzeit widerrufen kann. Der Betroffene ist auch über den Zweck der Datennutzung vorab zu informieren. Fällt der Zweck weg, ist die Nutzung der Daten grundsätzlich nicht mehr gestattet.
Übertragen Unternehmen personenbezogene Daten von Singapur ins Ausland, haben sie sicherzustellen, dass diese auch im jeweiligen Land entsprechend vergleichbar geschützt sind. Insoweit könnte etwa die Weitergabe von Mitarbeiterdaten in Singapur an die Personalabteilung des ausländischen Headquarters den Standards des Datenschutzgesetzes unterliegen.
Auch vor Werbung per SMS bietet der PDPA Schutz. Es gibt ein sog. Do Not Call-Register („DNC”), in das sich seit 2014 jeder Inhaber einer singapurischen Telefonnummer eintragen lassen und damit jeglicher Kontaktaufnahme durch Unternehmen und Organisationen zu Marketingzwecken ausdrücklich widersprechen kann („opt-out”). Vor Übermittlung von Werbe-Nachrichten an eine singapurische Telefonnummer ist zu überprüfen, ob die Telefonnummer nicht im DNC registriert ist. Während einer Frist von 30 Tagen ab dem Zeitpunkt der Überprüfung darf man auf die Aktualität des Registers vertrauen. Nach Ablauf der Frist hat sich das Unternehmen erneut davon zu überzeugen, dass die zu kontaktierende Telefonnummer nicht im Register aufgeführt ist.
An die Regelungen des PDPA haben sich alle Unternehmen mit Aktivität in Singapur zu halten, auch solche, die nicht in Singapur registriert oder ansässig sind, aber Daten in und aus Singapur erheben.
Mit der Durchsetzung des neuen Datenschutzgesetzes ist die sog. Personal Data Protection Commission („PDPC”) beauftragt. Sie hat weitreichende Befugnisse im Hinblick auf die Kontrolle der Einhaltung des Gesetzes, der Bearbeitung von Beschwerden und der Verhängung von Sanktionen gegen Unternehmen. Bei Verstoß gegen das neue Gesetz drohen im Einzelfall Strafen bis zu 1 Mio. Singapur-Dollar und bei Missachtung der DNC-Regeln bis zu 10.000 Singapur-Dollar.
Seit Inkrafttreten des PDPA im Jahr 2014 bearbeitet die PDPC im Schnitt mehr als 35.000 Anfragen und ca. 3000 Beschwerden pro Jahr.
In den Jahren 2016 und 2017 – für die bereits vollständige Datensätze vorliegen – wurden 22 Organisationen mit einer Geldstrafe in Höhe eines Gesamtvolumens von 216.500 Singapur-Dollar geahndet. Fast jede dieser Strafen basiert auf inadäquaten Sicherungsmaßnahmen von persönlichen Daten. Nach Expertenansicht deutet das darauf hin, dass sich die Unternehmen auch Jahre nach Inkrafttreten des Gesetzes über die Auswirkungen des PDPA auf ihr Tagesgeschäft im Unklaren sind. Insbesondere kleinere und mittelgroße Unternehmen ignorieren die gesetzlichen Anforderungen an sie bisher weitgehend.
Die neue Datenschutz-Grundverordnung („GDPR”= engl. General Data Protection Regulation) der Europäischen Union („EU”) ist am 24. Mai 2016 in Kraft getreten und ist seit 25. Mai 2018 anzuwenden. Sie dient dazu, europäische Regelungen in Bezug auf die Verarbeitung personenbezogener Daten zu harmonisieren und ein gemeinsames gesamteuropäisches Datenschutzrecht zu schaffen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person”) beziehen. Namen sind immer personenbezogene Daten. Physische Merkmale, wie das Geschlecht einer Person, Hautfarbe oder Kleidergröße sind personenbezogene Daten, wenn sie sich einem Menschen zuordnen lassen.
Eine Verarbeitung von Daten besteht z.B. beim Erheben, Erfassen, Organisieren, Abfragen, Speichern, Verwenden oder Verbreiten personenbezogener Daten.
Kerngedanke der Verordnung sind die Prinzipien „Privacy by Design” und „Privacy by Default”, d.h. Aspekte der Privatsphäre sollen bereits bei der Entwicklung eines Dienstes oder Produktes berücksichtigt und privatsphärenfreundliche Voreinstellungen getroffen werden.
Artikel 5 der Verordnung statuiert maßgebliche Grundsätze, die bei der Verarbeitung personenbezogener Daten gelten. So muss die Verarbeitung rechtmäßig sein sowie zweckgebunden, verhältnismäßig, sicher und auf das Notwendigste beschränkt erfolgen. Daten dürfen nur solange gespeichert werden, wie es für den Verarbeitungszweck notwendig ist.
Eine Verarbeitung ist gemäß Artikel 6 der Verordnung nur rechtmäßig, wenn die betroffene Person in die Verarbeitung in Bezug auf einen genannten Zwecks eingewilligt hat oder eine der weiteren genannten Bedingungen erfüllt ist. So kann eine Verarbeitung ferner rechtmäßig sein, wenn sie zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist. Weiterhin kann sie im Falle des Schutzes lebenswichtiger Interessen und der Wahrnehmung einer Aufgabe im öffentlichen Interesse rechtmäßig sein.
Der Betroffene hat das Recht zu erfahren, welche Daten zu welchen Zwecken und wie lange gespeichert werden. Das Unternehmen ist verpflichtet, darüber zu informieren.
Bei Verstößen drohen Unternehmen hohe Strafen. Sie können sich auf 20 Mio. Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes des Unternehmens belaufen. Verstöße gegen die GDPR sind von dem Unternehmen innerhalb von 72 Stunden den Behörden zu melden.
Die GDPR gilt in allen 28 Mitgliedsstaaten der EU. Obwohl es sich um eine europäische Verordnung handelt, kann sie exterritorialen Effekt auf in Singapur tätige Unternehmen haben, denn gemäß Art. 3 der GDPR gilt das sog. Marktortprinzip. Demnach unterliegen Unternehmen außerhalb der EU den Regelungen der GDPR, wenn sie betroffenen Personen in der EU Waren oder Dienstleistungen anbieten oder das Verhalten von betroffenen Personen in der EU beobachten. Die Verwendung von europäischen Sprachen und das Beziffern von Preisen in Euro können als Indiz für das Anbieten von Waren oder Dienstleistungen in der EU gewertet werden. Ein Beobachten des Verhaltens betroffener Personen kann z.B. in Form von Cookies oder Like-Buttons erfolgen. In der Praxis wird der User daher nun vermehrt zur Zustimmung zur Speicherung von Cookies gebeten.
Sofern ein Unternehmen in Singapur bereits in Compliance mit dem PDPA agiert, bedeutet das nicht automatisch, dass es auch die Regelungen der GDPR einhält. Letztere gehen an einigen Stellen über die Regelungen des PDPA hinaus. So werden geschäftliche Kontaktinformationen vom PDPA grundsätzlich nicht erfasst. Nach der GDPR fallen diese in den Schutzbereich.
Weiterhin dürfen nach der GDPR personenbezogene Daten bestimmter Kategorien nicht verarbeitet werden. Darunter fallen z.B. Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder weltliche Überzeugungen oder die Gewerkschaftszugehörigkeit einer Person hervorgehen, sowie die Verarbeitung von genetischen oder biometrischen Daten zur Identifizierung einer Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Der PDPA sieht hierbei keine Einschränkungen vor.
Grundsätzlich muss sowohl nach dem PDPA als auch nach der GDPR die Zustimmung zur Datenerhebung seitens der Betroffenen eingeholt werden. Dabei besteht nach dem PDPA die Möglichkeit, dass eine nicht erteilte Ablehnung der Zustimmungserteilung zur Datenerhebung in Verbindung mit weiteren Umständen als Zustimmungserteilung gewertet werden kann. Nach der GDPR ist hingegen immer eine positive, freiwillige Zustimmungserteilung für einen konkreten Fall nach ausreichender Information der betroffenen Person erforderlich (sog. „opt-in”).
Des Weiteren besteht ein sog. Kopplungsverbot, wonach der betroffenen Person ein Dienst ohne Zustimmung zur Verarbeitung personenbezogener Daten nicht verwehrt werden darf. So ist für die Einrichtung eines E-Mail-Newsletters an sich ausschließlich die Eingabe der E-Mailadresse erforderlich. Fragt ein Unternehmen weitere personenbezogene Angaben ab, muss es dem Betroffenen die Möglichkeit einräumen, den Dienst – in dem Fall das Anfordern des Newsletters – auch ohne die Angabe weiterer Daten nutzen zu können.
Sowohl nach dem PDPA als auch nach den GDPR besteht die Möglichkeit, die Zustimmung zur Verarbeitung zu widerrufen. Nach dem PDPA muss ein Unternehmen nach Widerruf der Zustimmung aufhören, weitere Daten zu sammeln oder zu verwenden. Das Unternehmen trifft jedoch keine Pflicht, die bereits erhobenen Daten zu löschen, sofern ein unternehmerisches oder rechtliches Bedürfnis besteht, sie zu behalten. Hingegen müssen Unternehmen nach den GDPR bei Widerruf der Zustimmung aufhören die personenbezogenen Daten zu verarbeiten und die betroffene Person hat das Recht zu verlangen, dass ihre Daten gelöscht werden, sofern keine der in Artikel 6 des GDPR ausdrücklich normierten Rechtmäßigkeitsbedingungen vorliegt.
Der Schutz personenbezogener Daten bedarf mehr Aufmerksamkeit denn je. Die Regelungen des PDPA müssen beachtet werden. Unternehmen, die in Singapur agieren, sollten ihre Geschäftstätigkeit auch daraufhin untersuchen, ob sie Waren oder Dienstleistungen in der EU anbieten oder das Verhalten von betroffenen Personen in der EU beobachten. Sofern das der Fall ist, muss ferner Compliance mit der GDPR sichergestellt werden.
Dr. Paul Weingarten
Partner, Niederlassungsleiter
Anfrage senden
Kein Themenspecial verpassen mit unserem Newsletter!
