1 20

IHK-Global Business Ausgabe 1/2025

ASIEN-PAZIFIK

MALAYSIA Änderungen im Datenschutzrecht

wie möglich an die Datenschutzkom- mission, als auch – wenn wesentliche Schäden verursacht werden oder de- ren Verursachung möglich erscheint – ohne unnötige Verzögerung an die be- troffenen Datensubjekte erfolgen. Bei Verstößen drohen Bußgelder von bis zu 250.000 Malaysische Ringgit (RM; rund 53.000 Euro) und/oder eine Haftstrafe von bis zu zwei Jahren. Sensible persönliche Daten Biometrische Daten fallen nun unter den Begriff der „sensiblen persön- lichen Daten“ (Sec. 3 lit. b und c). Damit sind aus einer technischen Ver- arbeitung resultierende persönliche Daten bezüglich der physischen, phy- siologischen oder verhaltensbezoge- nen Merkmale einer Person gemeint. Zu den sensiblen persönlichen Daten zählen im PDPA bisher bereits unter anderem religiöse Überzeugungen oder auch Gesundheitsinformationen. Sanktionen bei Verstößen Die möglichen Sanktionen bei Verlet- zungen des Schutzes personenbezoge- ner Daten werden angehoben: Künftig sind Bußgelder von bis zu 1 Million RM (entspricht rund 212.000 Euro) statt bisher 300.000 RM und/oder Haft- strafen von bis zu drei Jahren (bislang zwei Jahre) möglich (Sec. 4 lit. b). Inkrafttreten Das zuständige Ministerium für Di- gitales hat das Datum für das Inkraft- treten des Änderungsgesetzes noch nicht in der Gazette bekanntgegeben. Verschiedene Termine für einzelne Bestimmungen sind möglich (Sec. 1 Abs. 2). GTAI/IHK Gesetzestext des Personal Data Protection (Amendment) Act 2024 (auf Englisch):

Um die persön- lichen Daten ihrer Kunden besser zu schützen, müs- sen Unterneh- men in Malaysia zahlreiche neue Vorschriften umsetzen.

Rechtsgrundlage des Daten- schutzes in Malaysia ist der

den, wenn das Drittland durch einen Ministerentscheid bestimmt wurde. Dennoch bleiben die Bedingungen des sicheren Datentransfers in Abs. 2, die nun ausdrücklich der Verantwort- liche zu erfüllen hat, weitgehend erhalten, nämlich: • entweder die wesentliche Ähnlich- keit des in dem jeweiligen Land geltenden Datenschutzgesetzes mit dem PDPA oder • die Gewährleistung eines angemes- senen, mindestens dem PDPA ent- sprechenden Schutzniveaus bei der Verarbeitung persönlicher Daten. Benennung eines Datenschutzbeauftragten Section 6 des Änderungsgesetzes führt in Teil II einen neuen Abschnitt 1A ein, nach dem Datenverantwortliche beziehungsweise -verarbeiter zur Be- nennung eines oder mehrerer Daten- schutzbeauftragter verpflichtet werden. Meldepflicht von Datenpannen Datenverantwortliche werden ferner nach der neu eingeführten Sec. 12B verpflichtet, Datenpannen zu melden. Die Meldung muss sowohl so bald

„Personal Data Protection Act 2010 (PDPA)“. Im jüngsten Änderungsge- setz – dem Personal Data Protection (Amendment) Act 2024 – sind insbesondere folgende Anpassungen vorgesehen: Recht auf Datenübertragbarkeit Das Gesetz verwendet nun die (aus der DSGVO bekannte) Bezeichnung „(Daten-)verantwortliche/r“ anstelle von „Datennutzer“. Als neues Betroffenenrecht wird das Recht auf Datenübertragbarkeit ein- geführt. Das bedeutet, dass betroffene Personen von dem Verantwortlichen verlangen dürfen, dass er ihre perso- nenbezogenen Daten direkt an einen anderen Verantwortlichen ihrer Wahl überträgt. Grenzüberschreitender Datentransfer Beim grenzüberschreitenden Daten- transfer entfällt künftig das Verfah- ren der sogenannten weißen Liste (Positivliste) nach Sec. 129 des PDPA. Danach dürfen persönlicher Daten nur dann ins Ausland übertragen wer-

 pdp.gov.my/ppdpv1/en/amendment- of-personal-data-protection-act-2024

14

IHK Global Business 01/2025

ihk.de/rhein-neckar

Made with FlippingBook Learn more on our blog