DSGVO vs PDPA: EU- und Singapurer Datenschutzgesetze im Vergleich
Singapurs PDPA (Personal Data Protection Act) bietet einen Rahmen für den Schutz personenbezogener Daten, der individuelle Rechte mit dem Bedarf von Organisationen, Daten zu erheben und zu nutzen, in Einklang bringt. Während sowohl die DSGVO als auch der PDPA Einwilligung und Zweckbindung verlangen, enthält der PDPA ein einzigartiges Do Not Call (DNC)-Register für Marketingkommunikation und hat andere Strafschwellen. Die Personal Data Protection Commission (PDPC) setzt das Gesetz durch.
| Merkmal | GDPR | PDPA |
|---|---|---|
| Geografischer Geltungsbereich | Europäische Union und EWR-Mitgliedstaaten | Singapur |
| Für wen es gilt | Jede Organisation, die Daten von EU-Bürgern verarbeitet, unabhängig vom Standort | Organisationen, die personenbezogene Daten in Singapur erheben oder nutzen, mit sektorspezifischen Ausnahmen |
| Einwilligungsanforderungen | Opt-in-Einwilligung als eine von sechs Rechtsgrundlagen für die Verarbeitung | Einwilligung erforderlich mit Ausnahmen für berechtigte Interessen, Geschäftsverbesserung und öffentlich verfügbare Daten |
| Cookie- und Tracking-Regeln | Nicht wesentliche Cookies erfordern eine ausdrückliche vorherige Einwilligung gemäß ePrivacy-Richtlinie | Kein spezifisches Cookie-Gesetz; PDPA-Einwilligungsanforderungen gelten für online erhobene personenbezogene Daten |
| Individuelle Rechte | Auskunft, Berichtigung, Löschung, Übertragbarkeit, Einschränkung, Widerspruch | Auskunft, Berichtigung, Widerruf der Einwilligung, Datenübertragbarkeit (Änderung 2021) |
| Höchststrafen | Bis zu 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes | Bis zu 1 Million SGD oder 10 % des Jahresumsatzes in Singapur für größere Organisationen |
| Aufsichtsbehörde | Nationale Datenschutzbehörden in jedem EU-Mitgliedstaat | Personal Data Protection Commission (PDPC) |
Wichtige Unterschiede
Beide Gesetze verlangen eine Einwilligung vor der Verarbeitung personenbezogener Daten, unterscheiden sich aber im Ansatz. Die DSGVO bietet sechs Rechtsgrundlagen für die Verarbeitung, wobei die Einwilligung nur eine Option ist. Der PDPA verlangt die Einwilligung als primäre Grundlage, enthält aber Ausnahmen für Geschäftsverbesserung, berechtigte Interessen (hinzugefügt mit den Änderungen 2021) und öffentlich verfügbare Daten.
Der PDPA enthält das Do Not Call-Register, eine einzigartige Funktion, die in der DSGVO nicht vorkommt. Organisationen müssen das DNC-Register überprüfen, bevor sie Marketingnachrichten per Telefon, SMS oder Fax an Singapurer Nummern senden. Die DSGVO behandelt Direktmarketing durch separate Bestimmungen und die ePrivacy-Richtlinie statt durch ein zentralisiertes Register.
Die Strafen unter dem PDPA wurden durch die Änderungen 2021 deutlich erhöht. Die Höchststrafe beträgt nun 1 Million SGD oder 10 % des Jahresumsatzes der Organisation in Singapur, je nachdem, welcher Betrag höher ist, für Organisationen mit einem Jahresumsatz von mehr als 10 Millionen SGD. Zuvor lag die Obergrenze bei 1 Million SGD. Das Maximum der DSGVO beträgt 20 Millionen EUR oder 4 % des weltweiten Jahresumsatzes. Der PDPA führte mit den Änderungen 2021 auch eine obligatorische Meldepflicht bei Datenschutzverletzungen ein.
Wie Pryvii Ihnen hilft
Pryvii scannt Ihre Website sowohl auf DSGVO- als auch auf PDPA-Anforderungen und verifiziert Einwilligungsmechanismen, Datenschutzhinweise und Datenerhebungspraktiken. Es prüft, ob Ihre Website Singapur-spezifische Anforderungen wie DNC-Compliance-Offenlegungen und PDPA-spezifische Einwilligungsbestimmungen neben DSGVO-Standards erfüllt.
Häufig gestellte Fragen
Erfordert Singapurs PDPA Cookie-Einwilligungsbanner?
Der PDPA hat kein spezifisches Cookie-Gesetz-Äquivalent zur ePrivacy-Richtlinie. Wenn Cookies jedoch personenbezogene Daten erheben, gelten die Einwilligungsanforderungen des PDPA. Organisationen sollten Einwilligungsmechanismen für Tracking implementieren, das personenbezogene Daten erhebt, obwohl der Ansatz weniger streng sein kann als die DSGVO-Anforderung, alle nicht wesentlichen Cookies vor der Einwilligung zu blockieren.
Was ist das Do Not Call-Register und hat die DSGVO ein Äquivalent?
Das DNC-Register ist eine Singapur-spezifische Funktion, bei der Personen ihre Telefonnummern registrieren können, um Marketingnachrichten abzulehnen. Organisationen müssen das Register überprüfen, bevor sie Telemarketing-Kommunikation senden. Die DSGVO hat kein zentralisiertes Register, bietet aber das Recht auf Widerspruch gegen Direktmarketing gemäß Artikel 21, und die ePrivacy-Richtlinie reguliert elektronische Marketingkommunikation.
Hat Singapur eine DSGVO-Angemessenheitsentscheidung?
Singapur hat keine formelle DSGVO-Angemessenheitsentscheidung der Europäischen Kommission. Die EU und Singapur haben jedoch eine starke Handelsbeziehung, und Datenübermittlungen stützen sich in der Regel auf Standardvertragsklauseln oder andere genehmigte Mechanismen. Die Änderungen des PDPA von 2021 haben ihn näher an die DSGVO-Standards gebracht, was zukünftige Angemessenheitsdiskussionen unterstützen könnte.
Verwandte Vergleiche
Überprüfen Sie Ihre Compliance
Scannen Sie Ihre Website in wenigen Minuten auf Konformität mit mehreren Vorschriften.