Sie sind ein ausländisches Unternehmen, das in Deutschland investieren möchte?

Zu Invest

Rechtsbericht | Malaysia | Datenschutz

Änderungen im malaysischen Datenschutzrecht

Der am 17. Oktober 2024 im Amtsblatt veröffentlichte Personal Data Protection (Amendment) Act 2024 bringt einige Neuerungen mit sich. Darunter das Recht auf Datenübertragbarkeit.

15.11.2024

Von Julia Merle | Bonn

Wesentliche Rechtsgrundlage des Datenschutzrechts Malaysias ist der Personal Data Protection Act 2010 (PDPA). Im jüngsten Änderungsgesetz sind insbesondere folgende Anpassungen vorgesehen: 

Als neues Betroffenenrecht wird das Recht auf Datenübertragbarkeit in Sec. 9 des Änderungsgesetzes eingeführt (neue Sec. 43A, rights to data portability). Das bedeutet, dass betroffene Personen (data subjects) von dem Verantwortlichen verlangen dürfen, dass er ihre personenbezogenen Daten direkt an einen anderen Verantwortlichen ihrer Wahl überträgt. 

Das Gesetz verwendet nun die (aus der DSGVO bekannte) Bezeichnung "(Daten-)verantwortliche/r" (data controller/s) anstelle von "Datennutzer" (data user/s), Sec. 2 des Änderungsgesetzes.

Beim grenzüberschreitenden Datentransfer nach Sec. 129 PDPA entfällt gemäß Sec. 12 des Änderungsgesetzes künftig insbesondere das Verfahren der sogenannten weißen Liste (Positivliste). So erlaubt Sec. 129 Abs. 1 PDPA die Übertragung persönlicher Daten ins Ausland bislang nur dann, wenn das entsprechende Drittland durch einen im Amtsblatt veröffentlichten Ministerentscheid bestimmt wurde. Dennoch bleiben die Bedingungen des sicheren Datentransfers in Abs. 2, die nun ausdrücklich der Verantwortliche zu erfüllen hat, weitgehend erhalten, nämlich: 

  • entweder die wesentliche Ähnlichkeit des in dem jeweiligen Land geltenden Datenschutzgesetzes mit dem PDPA oder 
  • die Gewährleistung eines angemessenen, mindestens dem PDPA entsprechenden Schutzniveaus bei der Verarbeitung persönlicher Daten.

Lediglich die Voraussetzung der Erfüllung derselben Gesetzeszwecke entfällt. Auch die sonstigen Fälle der rechtmäßigen Datenübertragung in Abs. 3 bleiben bis auf Buchstabe h bestehen.

Section 6 des Änderungsgesetzes führt in Teil II einen neuen Abschnitt 1A ein, nach dem Datenverantwortliche beziehungsweise -verarbeiter zur Benennung eines oder mehrerer Datenschutzbeauftragter (data protection officer) verpflichtet werden (neue Sec. 12A). Die Umstände des Ernennungsverfahrens sollen noch seitens der Datenschutzkommission (Commissioner, Teil IV PDPA) näher ausgeführt werden. 

Datenverantwortliche werden ferner nach der neu eingeführten Sec. 12B verpflichtet, Datenpannen zu melden (siehe die neue Definition des "personal data breach" in Sec. 3 lit. d des Änderungsgesetzes). Die Meldung muss sowohl so bald wie möglich an die Datenschutzkommission, als auch – wenn wesentliche Schäden verursacht werden oder deren Verursachung möglich erscheint – ohne unnötige Verzögerung an die betroffenen Datensubjekte erfolgen. Bei Verstößen gegen diese Bestimmungen müssen Verantwortliche mit Bußgeldern bis zu 250.000 Malaysische Ringgit (RM; entspricht ca. 53.000 Euro) und/oder einer Haftstrafe von bis zu zwei Jahren rechnen. 

Biometrische Daten fallen nun unter den Begriff der "sensiblen persönlichen Daten" (Sec. 3 lit. b und c des Änderungsgesetzes). Damit sind aus einer technischen Verarbeitung resultierende persönliche Daten bezüglich der physischen, physiologischen oder verhaltensbezogenen Merkmale einer Person gemeint. Zu den sensiblen persönlichen Daten zählen nach Sec. 4 PDPA bisher unter anderem bereits religiöse Überzeugungen oder auch Gesundheitsinformationen.

Außerdem werden die möglichen Sanktionen für Verletzungen der Prinzipien für den Schutz personenbezogener Daten (Personal Data Protection Principles) in Sec. 5 Abs. 1 lit. a bis g PDPA angehoben: So sind künftig Bußgelder in Höhe von bis zu 1 Million RM (entspricht ca. 212.000 Euro) statt bisher 300.000 RM und/oder Haftstrafen von bis zu drei Jahren (bislang zwei Jahre) möglich, Sec. 4 lit. b des Änderungsgesetzes. 

Das Änderungsgesetz war am 31. Juli 2024 vom malaysischen Parlament verabschiedet worden. Seit mehreren Jahren befand sich der Entwurf bereits im Gesetzgebungsverfahren. Er erhielt am 9. Oktober 2024 die königliche Zustimmung, die Veröffentlichung des Gesetzes im Amtsblatt folgte einige Tage später. Die Bekanntgabe des Datums seines Inkrafttretens in der Gazette seitens des zuständigen Ministeriums für Digitales steht noch aus; verschiedene Termine für einzelne Bestimmungen sind möglich (Sec. 1 Abs. 2 des Änderungsgesetzes). 

An mehreren Stellen verweist das Änderungsgesetz auf noch zu erlassene Umsetzungsbestimmungen, die die neuen Vorschriften näher ausführen. Mehrere Konsultationspapiere bezüglich neuer Richtlinien zur Meldung einer Datenpanne, zur Datenübertragbarkeit, zur Benennung von Datenschutzbeauftragten sowie zuletzt insbesondere hinsichtlich des grenzüberschreitenden Datentransfers wurden bereits veröffentlicht. 

Zum Thema: 

nach oben

Alle Rechte vorbehalten. Nachdruck – auch teilweise – nur mit vorheriger ausdrücklicher Genehmigung. Trotz größtmöglicher Sorgfalt keine Haftung für den Inhalt.

© 2024 Germany Trade & Invest

Gefördert vom Bundesministerium für Wirtschaft und Klimaschutz aufgrund eines Beschlusses des Deutschen Bundestages.

Feedback
Anmeldung

Bitte melden Sie sich auf dieser Seite mit Ihren Zugangsdaten an. Sollten Sie noch kein Benutzerkonto haben, so gelangen Sie über den Button "Neuen Account erstellen" zur kostenlosen Registrierung.

Passwort vergessen?