Recht kompakt | Malaysia | Datenschutzrecht
Malaysia: Datenschutz und KI
Seit 2013 ist der Personal Data Protection Act 2010 (PDPA) in Kraft. Änderungen erfolgten zuletzt durch den Personal Data Protection (Amendment) Act 2024. (Stand: 18.08.2025)
Von Julia Merle | Bonn
Nach dem PDPA dürfen personenbezogene Daten grundsätzlich nur dann durch Dritte verarbeitet werden, wenn der Dateninhaber seine Einwilligung erklärt hat (Sec. 6 Abs. 1 Buchst. a PDPA), es sei denn es liegt eine Notwendigkeit gemäß Absatz 2 vor. Bestimmte Datennutzer müssen sich über die Webseite des Department of Personal Data Protection (PDP) beim Personal Data Protection Commissioner registrieren (Sec. 13 ff. PDPA).
Im jüngsten Änderungsgesetz, dem am 17. Oktober 2024 im Amtsblatt veröffentlichten Personal Data Protection (Amendment) Act 2024, sind insbesondere folgende Anpassungen vorgesehen:
Als neues Betroffenenrecht neben beispielsweise dem Auskunftsrecht oder dem Recht auf Berichtigung wird das Recht auf Datenübertragbarkeit eingeführt (neue Sec. 43A, rights to data portability). Das bedeutet, dass betroffene Personen (data subjects) von dem Verantwortlichen verlangen dürfen, dass er ihre personenbezogenen Daten direkt an einen anderen Verantwortlichen ihrer Wahl überträgt. Das Gesetz verwendet nun die (aus der DSGVO bekannte) Bezeichnung "(Daten-)verantwortliche/r" (data controller/s) anstelle von "Datennutzer" (data user/s), Sec. 2 des Änderungsgesetzes.
Beim grenzüberschreitenden Datentransfer persönlicher Daten nach Sec. 129 PDPA entfällt gemäß Sec. 12 des Änderungsgesetzes insbesondere das Verfahren der sogenannten weißen Liste (Positivliste). So erlaubte Sec. 129 Abs. 1 PDPA die Übertragung persönlicher Daten ins Ausland bislang nur dann, wenn das entsprechende Drittland durch einen im Amtsblatt veröffentlichten Ministerentscheid bestimmt wurde. Dennoch bleiben die Bedingungen des sicheren Datentransfers in Abs. 2, die nun ausdrücklich der Verantwortliche zu erfüllen hat, weitgehend erhalten, nämlich:
- entweder die wesentliche Ähnlichkeit des in dem jeweiligen Land geltenden Datenschutzgesetzes mit dem PDPA oder
- die Gewährleistung eines angemessenen, mindestens dem PDPA entsprechenden Schutzniveaus bei der Verarbeitung persönlicher Daten.
Lediglich die Voraussetzung der Erfüllung derselben Gesetzeszwecke entfällt. Auch die sonstigen Fälle der rechtmäßigen Datenübertragung in Abs. 3 bleiben bis auf Buchstabe h bestehen. Dazu zählt etwa die Einwilligung der betroffenen Person zur Datenweitergabe ins Ausland.
Section 6 des Änderungsgesetzes führt in Teil II einen neuen Abschnitt 1A ein, nach dem Datenverantwortliche beziehungsweise -verarbeiter zur Benennung eines oder mehrerer Datenschutzbeauftragter (data protection officer) verpflichtet werden (neue Sec. 12A). Einzelheiten zur Ernennung etc. können den Guidelines auf der Webseite der Datenschutzkommission (Personal Data Protection Commissioner) entnommen werden. Auch zur Registrierung stellt die Behörde einen Leitfaden bereit. Zuletzt wurde am 1. August 2025 unter anderem die "Data Protection Officer (DPO) Competency Guideline" herausgegeben.
Datenverantwortliche werden ferner nach der neu eingeführten Sec. 12B verpflichtet, Datenpannen zu melden (siehe die neue Definition des "personal data breach" in Sec. 3 lit. d des Änderungsgesetzes). Die Meldung muss sowohl so bald wie möglich an die Datenschutzkommission, als auch – wenn wesentliche Schäden verursacht werden oder deren Verursachung möglich erscheint – ohne unnötige Verzögerung an die betroffenen Datensubjekte erfolgen. Bei Verstößen gegen diese Bestimmungen müssen Verantwortliche mit Bußgeldern bis zu 250.000 Malaysische Ringgit (RM; entspricht ca. 51.000 Euro) und/oder einer Haftstrafe von bis zu zwei Jahren rechnen. Auch zu diesem Thema hat die Datenschutzkommission inzwischen Guidelines herausgegeben.
Biometrische Daten fallen nun unter den Begriff der "sensiblen persönlichen Daten" (Sec. 3 lit. b und c des Änderungsgesetzes). Zu den sensiblen persönlichen Daten zählten nach Sec. 4 PDPA bisher unter anderem bereits religiöse Überzeugungen oder auch Gesundheitsinformationen.
Außerdem wurden die möglichen Sanktionen für Verletzungen der Prinzipien für den Schutz personenbezogener Daten (Personal Data Protection Principles) in Sec. 5 Abs. 1 lit. a bis g PDPA angehoben: So sind Bußgelder in Höhe von bis zu 1 Million RM (entspricht ca. 203.000 Euro) statt zuvor 300.000 RM und/oder Haftstrafen von bis zu drei Jahren (vorher zwei Jahre) möglich, Sec. 4 lit. b des Änderungsgesetzes.
Die Neuerungen traten bis Juni 2025 phasenweise in Kraft.
Für den Datenaustausch im öffentlichen Sektor wurde im Februar 2025 der für die Regierung verbindliche Data Sharing Act 2025 erlassen.
Die Bestimmungen zum Verbraucherschutz gelten auch im E-Commerce, da der Onlinehandel bei der Company Commission of Malaysia (CCM, SSM) zu registrieren ist, sodass die allgemeinen Handelsrichtlinien anwendbar sind. Insbesondere sind auch die aktuellen "Consumer Protection (Electronic Trade Transactions) Regulations 2024" zu beachten.
Als erstes eigenständiges Gesetz Malaysias in Bezug auf die Cybersicherheit ist ferner am 26. August 2024 das neue Cybersicherheitsgesetz (Cyber Security Act 2024) in Kraft getreten.
Im KI-Bereich hat Malaysia unter anderem im September 2024 unverbindliche Richtlinien veröffentlicht (National Guidelines on AI Governance and Ethics).
Einen Überblick zu den rechtlichen Entwicklungen zum Thema künstliche Intelligenz bietet die GTAI-Publikation Rechtsatlas KI.
Dieser Inhalt gehört zu
- Malaysia
- Rechtsthemen
- Datenschutz
- E-Commerce
- Recht
