Das PDPA und das Risikomanagement für Drittparteien

Das Gesetz zum Schutz personenbezogener Daten (PDPA) in Singapur enthält Richtlinien zur Gewährleistung der Datensicherheit und des Datenschutzes durch Dritte. Wir überprüfen die wichtigsten PDPA-Anforderungen und geben Best Practices zur Vereinfachung des Compliance-Prozesses weiter.

Mitratech-Mitarbeiter
Mitratech-Mitarbeiter März 29, 2023 7 min gelesen
Decorative image

Das Gesetz zum Schutz personenbezogener Daten (Personal Data Protection Act, PDPA) ist ein Gesetz in Singapur, das die Erfassung, Verwendung und Weitergabe personenbezogener Daten regelt. Dieser Beitrag befasst sich mit wichtigen Aspekten des PDPA in Bezug auf Dritte und nennt entscheidende Fähigkeiten, um die Anforderungen zu erfüllen.

Über das Gesetz zum Schutz personenbezogener Daten

Das PDPA wurde erstmals 2012 verabschiedet und 2020 überarbeitet. Es erkennt sowohl das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten als auch die Notwendigkeit für Organisationen an, diese Daten für angemessene Zwecke zu erheben, zu verwenden und weiterzugeben. Das bedeutet, dass Organisationen mit ihren externen Datenverarbeitern zusammenarbeiten müssen, um sicherzustellen, dass diese über solide Datenschutzpraktiken verfügen. Die Nichteinhaltung der PDPA-Bestimmungen kann zu einer Geldstrafe in Höhe von 10 % des Jahresumsatzes der Organisation oder bis zu 1 Million S$, je nachdem, welcher Betrag höher ist, führen.

Um Organisationen mit Kunden in Singapur Leitlinien an die Hand zu geben, enthält das PDPA „Datenschutzbestimmungen“, die folgende Punkte behandeln:

  • Angemessene Zwecke, Benachrichtigung über die Zwecke und Einholung der Einwilligung für die Erhebung, Verwendung oder Weitergabe personenbezogener Daten;
  • Einzelpersonen den Zugriff auf ihre personenbezogenen Daten und deren Berichtigung zu ermöglichen;
  • Sorgfältiger Umgang mit personenbezogenen Daten (im Hinblick auf die Gewährleistung der Richtigkeit), Schutz personenbezogener Daten (einschließlich Schutz bei internationalen Übermittlungen) und Löschung personenbezogener Daten, wenn diese nicht mehr benötigt werden;
  • Benachrichtigung der Datenschutzkommission von Singapur und der betroffenen Personen über Datenschutzverletzungen;
  • Verfügen über Richtlinien und Verfahren zur Einhaltung des PDPA.

Das PDPA umfasst zehn Verpflichtungen, von denen eine – die Schutzverpflichtung (Abschnitt 24) – am unmittelbarsten für die Auslagerung der Datenverarbeitung an Dritte gilt. Das PDPA schreibt jedoch keine bestimmten Prozesse oder Technologien für den Datenschutz durch Dritte vor. Stattdessen wurden Leitlinien zu den wichtigsten Konzepten des PDPA (überarbeitet am 17. Mai 2022) veröffentlicht, die Unternehmen Flexibilität bei der Umsetzung geeigneter Datenschutzkontrollen einräumen.

Beratungsrichtlinien zu Schlüsselkonzepten im PDPA: Wie man die TPRM-Anforderungen erfüllt

Es ist von entscheidender Bedeutung, sicherzustellen, dass Dritte bei der Speicherung, Verwaltung oder Pflege der Kundendaten Ihres Unternehmens die strengsten Sicherheitskontrollen anwenden. In diesem Abschnitt werden bewährte Verfahren anhand ausgewählter Artikel des PDPA beschrieben, damit Ihre Datenschutzteams sicherstellen können, dass Dritte ihren Datenschutzverpflichtungen nachkommen.

HINWEIS: Dies ist nur eine Zusammenfassung der wichtigsten Artikel und sollte nicht als umfassende, endgültige Anleitung betrachtet werden. Eine vollständige Liste der Artikel finden Sie im vollständigen Dokument. Bitte lesen Sie dieses sorgfältig durch und wenden Sie sich an Ihren Wirtschaftsprüfer.

Die Datenschutzverpflichtung, 17.3 c)

Die PDPA verlangt von Organisationen, „robuste Richtlinien und Verfahren zu implementieren, um ein angemessenes Sicherheitsniveau für personenbezogene Daten unterschiedlicher Sensibilität zu gewährleisten“.

Um diesen Anforderungen gerecht zu werden, sollten Unternehmen erwägen, die folgenden Kriterien als Teil ihres Risikomanagementprogramms für Dritte festzulegen:

  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Klare Rollen und Verantwortlichkeiten (z. B. RACI) für alle Mitglieder des Teams
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Vierte-Partei-Zuordnung zur Ermittlung von vorgelagerten Abhängigkeiten
  • Quellen für kontinuierliche Überwachungsdaten (z. B. Cyber-, Geschäfts-, Reputations-, Finanzdaten), um einen ständigen Einblick in neu auftretende Risiken für Daten zu ermöglichen
  • Vertraglich festgelegte Leistungskennzahlen (KPIs) und Risikokennzahlen (KRIs) als Messgrößen
  • Berichterstattung zur Erfüllung der Anforderungen mehrerer interner (und externer) Stakeholder
  • Risikominderungs- und Abhilfemaßnahmen, einschließlich der Anwendbarkeit von kompensierenden Kontrollen

Viele Unternehmen entscheiden sich dafür, sich an einem anerkannten Risikomanagement-Rahmenwerk wie ISO zu orientieren, um dies zu erreichen. Wenn Sie den Prozess der Bewertung Ihres TPRM-Programms anhand eines Branchen-Rahmenwerks automatisieren möchten, sollten Sie eine Bewertungsplattform wählen, die mehrere vorgefertigte Fragebogenoptionen bietet, die mit verschiedenen Rahmenwerken kompatibel sind.

Die Datenschutzverpflichtung, 17.3 d)

Die PDPA verlangt von Organisationen, dass sie „auf Verstöße gegen die Informationssicherheit vorbereitet sind und in der Lage sind, schnell und effektiv darauf zu reagieren“.

Die schnelle Identifizierung, Reaktion, Meldung und Eindämmung der Auswirkungen von Vorfällen bei Drittanbietern ist manuell oder ohne eine solide Grundlage für das Vorfallmanagement nicht zu bewältigen. Zu den wichtigsten Funktionen, die Sie im Rahmen Ihres Vorfallreaktionsprogramms prüfen sollten, gehören:

  • Kontinuierlich aktualisierte und anpassbare Fragebögen zum Ereignis- und Vorfallmanagement, um angesichts sich ständig ändernder Bedrohungen flexibel zu bleiben.
  • Echtzeit-Verfolgung der Fragebogenausfüllung, um sicherzustellen, dass akzeptable Fortschritte erzielt werden
  • Festgelegte Risikoverantwortliche mit automatischer Erinnerungsfunktion, um die Erhebungen im Zeitplan zu halten
  • Proaktive Berichterstattung durch Anbieter, damit Dritte Vorfälle selbst melden können
  • Konsolidierte Ansichten von Risikobewertungen, Anzahl, Punktzahl und markierten Antworten für jeden Anbieter
  • Workflow-Regeln zur Auslösung automatisierter Playbooks, um auf Risiken entsprechend ihrer potenziellen Auswirkungen auf das Unternehmen zu reagieren
  • Anleitung von eingebauten Sanierungsempfehlungen zur Risikominderung
  • Integrierte Berichtsvorlagen
  • Daten- und Beziehungskartierung zur Identifizierung von Beziehungen zwischen Ihrem Unternehmen und Dritten, Vierten oder N-ten Parteien, um Informationspfade zu visualisieren und gefährdete Daten zu ermitteln

Die Datenschutzverpflichtung, 17.4

Die PDPA empfiehlt Unternehmen, eine Risikobewertung durchzuführen, um festzustellen, ob ihre Maßnahmen zur Informationssicherheit angemessen sind. Dabei können die folgenden Faktoren berücksichtigt werden:

a) die Größe der Organisation und die Menge und Art der von ihr gespeicherten personenbezogenen Daten;

b) wer innerhalb der Organisation Zugang zu den personenbezogenen Daten hat; und

c) ob die personenbezogenen Daten von einem Dritten im Auftrag der Organisation gespeichert oder verwendet werden oder werden sollen.

Um diese Vorschläge umzusetzen, sollten Sie die folgenden Funktionen in Betracht ziehen:

Selbsteinschätzungen

Führen Sie eine interne Datenschutz-Folgenabschätzung (Privacy Impact Assessment, PIA) durch, die sich auf die sensibelsten datenschutzrelevanten Daten und Geschäftsprozesse mit dem höchsten Risiko konzentriert. Die PIA bewertet die Herkunft, Art und Schwere des potenziellen Risikos. Außerdem enthält sie Empfehlungen zur Minderung der identifizierten Risiken, um die künftige Einhaltung der Datenschutzbestimmungen sicherzustellen.

Erkennung und Zuordnung von Daten von Dritt-, Viert- und N-Parteien

Bewertungen und passives Scannen können die Erfassung von Beziehungen ermöglichen, um Datenübertragungen zwischen Geschäftsbeziehungen nachzuverfolgen, festzustellen, wo Daten vorhanden sind, wohin sie fließen und an wen außerhalb des Unternehmens sie weitergegeben werden.

Risikobewertungen von Anbietern

Überprüfen Sie die Datenschutzkontrollen von Drittanbietern anhand der PDPA unter Verwendung eines gemeinsamen Rahmens wie ISO. Spezifische Fragebogeninhalte helfen dabei, Risiken zu identifizieren und sie Kontrollmaßnahmen zuzuordnen, um einen klaren Überblick über potenzielle Problembereiche zu erhalten. Überwachen Sie im Rahmen dieses Prozesses kontinuierlich das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Risikoreaktion und Abhilfe

Legen Sie Schwellenwerte fest und automatisieren Sie die Risikoidentifizierung auf deren Grundlage. Nutzen Sie Workflow-Regeln, die identifizierte Risiken an die zuständigen Stakeholder weiterleiten, damit diese sie umgehend prüfen und Maßnahmen ergreifen können. Geben Sie Dritten verbindliche Empfehlungen zur Behebung von Mängeln, um sie zur Rechenschaft zu ziehen.

Compliance-Überwachung und Berichterstattung

Strukturieren Sie die Berichterstattung zur Einhaltung der PDPA-Anforderungen anhand eines branchenüblichen Rahmens wie ISO. Auf diese Weise können Sie Risiken und Reaktionen auf Kontrollen automatisch abbilden, eine prozentuale Konformitätsbewertung erstellen und stakeholder-spezifische Berichte erstellen, um Transparenz hinsichtlich der Datensicherheit zu gewährleisten.

Kontinuierliche Überwachung von Sicherheitsverletzungen

Behalten Sie potenzielle Risiken für Daten im Blick, indem Sie Datenbanken zu Datenschutzverletzungen überwachen. Diese bieten Einblicke in Art und Umfang gestohlener Daten, Compliance- und Regulierungsfragen sowie Echtzeit-Benachrichtigungen zu Datenschutzverletzungen bei Anbietern.

Wie Prevalent dabei hilft, die Anforderungen des PDPA TPRM zu erfüllen

Organisationen, die die PDPA einhalten müssen, sollten sicherstellen, dass Dritte, an die sie personenbezogene Daten weitergeben, über Kontrollmechanismen zum Schutz dieser Daten verfügen. Prevalent bietet Organisationen eine skalierbare Plattform für das Risikomanagement von Dritten, die sich mit Datenschutzrisiken befasst. Die Prevalent-Plattform:

  • Schafft eine solide Grundlage für den Schutz von Daten Dritter mit einem umfassenden TPRM-Programm.
  • Transparenz darüber, wo sich Datenschutzdaten befinden, wie sie fließen und wer Zugriff darauf hat
  • Beschleunigt die Identifizierung und Behebung von Risiken und mindert so die Kosten und den Schaden für den guten Ruf.
  • Erstellung gezielter Berichte für Aufsichtsbehörden, Anbieter und interne Interessengruppen
  • Überwacht kontinuierlich auf Verstöße und beschleunigt die Reaktion auf Vorfälle, um das Risiko eines schädlichen und kostspieligen Vorfalls im Bereich der Datensicherheit zu mindern.

Mit Prevalent verfügen Anbieter, Sicherheits- und Datenschutzteams über eine einzige, gemeinsame Plattform für die Durchführung von Datenschutzbewertungen und die Minderung von Datenschutzrisiken sowohl bei Dritten als auch intern.

Weitere Informationen zu den Lösungen von Prevalent für die Einhaltung der PDPA finden Sie in unserer umfassenden PDPA-Compliance-Checkliste, die Sie herunterladen können, oder vereinbaren Sie einen Termin für eine Demo.

Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.