In einem exklusiven Q&A mit der Thai-Italian Chamber of Commerce (TICC), der Thailändisch-Italienischen Handelskammer, interviewte Herr Giacomo Iobizzi, Generalsekretär der TICC, zwei führende Experten auf dem Gebiet der Compliance mit dem PDPA: Frau Werinorn Manphan, Counsel in der Abteilung für Unternehmens- und Handelsrecht bei MPG, und Herrn Eddy Bellavoine, Chief Commercial Officer (CCO) bei SafeComs. Die Diskussion befasste sich mit den zentrale Herausforderungen, Best Practices und entscheidende Fälle im Zusammenhang mit der Einhaltung des Personal Data Protection Act (PDPA) und zeigte die fachliche Führungsrolle der Experten auf.
Gesetzliche Pflichten von Datenverantwortlichen
Frage: Welche besonderen Verpflichtungen hat ein Datenverantwortlicher in Thailand, wenn eine betroffene Person die Löschung, Vernichtung oder Anonymisierung ihrer personenbezogenen Daten verlangt?
Werinorn: Gemäß der PDPA in Thailand sind Datenverantwortliche dazu verpflichtet, unverzüglich auf Anfragen Löschung, Vernichtung oder Anonymisierung personenbezogener Daten zu reagieren. Das Gesetz verlangt, dass diese Anfragen ohne unangemessene Verzögerung und in der Regel innerhalb von 30 Tagen erfüllt werden, mit einer möglichen Verlängerung um weitere 30 Tage, falls erforderlich. Die sofortige Löschung oder Vernichtung sollte erfolgen, wenn sie technisch realisierbar ist. Falls dies technisch nicht möglich ist, müssen vorübergehende Maßnahmen ergriffen werden (z. B. das Sperren oder Unbrauchbarmachen der Daten), um die Risiken zu minimieren. Sofern eine Löschung nicht möglich ist, ist eine Anonymisierung erforderlich, um sicherzustellen, dass die Daten die betroffene Person nicht mehr identifizieren können. Pseudonymisierung ist zwar kein Ersatz für Anonymisierung, kann jedoch als zusätzliche Schutzmaßnahme zur Verhinderung der Re-Identifikation eingesetzt werden. Diese Maßnahmen entsprechen den Prinzipien der Datenminimierung und Sicherheit, die die PDPA fordert.
Herausforderungen bei der PDPA-Compliance
Frage: Welche Hauptprobleme haben Unternehmen bei der Umsetzung der PDPA-Compliance?
Eddy: Bei der Umsetzung der Vorgaben des PDPA sehen sich Unternehmen mit mehreren Herausforderungen konfrontiert. Einerseits kann die Identifizierung und Kartierung personenbezogener Daten – also das Verständnis dafür, wo sie gespeichert sind und wie sie innerhalb des Unternehmens fließen – komplex und ressourcenintensiv sein. Begrenzte Budgets und Personalmangel verschärfen das Problem zusätzlich, wodurch die Umsetzung effektiver Compliance-Maßnahmen und Mitarbeiterschulungen erschwert wird.
Ein weiteres Hindernis ist die Integration der PDPA-Anforderungen in bestehende IT-Systeme, die möglicherweise erhebliche Aktualisierungen benötigen, um die Compliance-Standards zu erfüllen. Zudem erfordert die konsistente Einhaltung der PDPA-Prinzipien durch alle Mitarbeiter fortlaufende Anstrengungen und Überwachung.
Ein wesentlicher Aspekt der Compliance ist die Klassifizierung personenbezogener Daten in zwei Kategorien:
✓ Allgemeine personenbezogene Daten (z. B. Namen, Kontaktdaten), die grundlegende Schutzmaßnahmen erfordern.
✓ Sensible personenbezogene Daten (z. B. Gesundheitsdaten, religiöse Überzeugungen), für die strengere Sicherheitsvorkehrungen erforderlich sind und eine ausdrückliche rechtliche Begründung für die Erhebung und Nutzung nötig ist.
Die rechtliche Grundlage für die Verarbeitung personenbezogener Daten variiert je nach Art der Daten und ihrem Verwendungszweck. Unternehmen sind verpflichtet, ihre Gründe für die Datenverarbeitung klar zu definieren und zu dokumentieren. Dies gilt unabhängig davon, ob die Datenverarbeitung auf einer Einwilligung, einer vertraglichen Notwendigkeit oder einer gesetzlichen Verpflichtung beruht. So können Unternehmen die Einhaltung der PDPA-Anforderungen gewährleisten.
Datenerhebung und Vorstrafen
Frage: Unter welchen Umständen darf ein Datenverantwortlicher in Thailand personenbezogene Daten über Vorstrafen erheben?
Werinorn: Die Erhebung personenbezogener Daten über Vorstrafen ist in Thailand nur unter bestimmten, gesetzlich festgelegten Bedingungen nach dem PDPA und der dazugehörigen Regelungen zulässig, wie der PDPC-Bekanntmachung vom 8. Januar 2024, festgelegt sind. Die Erhebung solcher Daten ist nur in bestimmten gesetzlich geregelten Fällen zulässig oder mit ausdrücklicher Zustimmung der betroffenen Person. Zu den rechtmäßigen Zwecken zählen beispielsweise die Überprüfung von Qualifikationen im Rahmen von Einstellungen, die Beurteilung der Berechtigung für staatliche Dienstleistungen wie Lizenzierung oder Registrierung oder andere gesetzlich vorgeschriebene Aktivitäten. Gemäß Artikel 26 des PDPA sind die für die Verarbeitung Verantwortlichen dazu verpflichtet, eine klare Dokumentation des Zwecks zu führen und angemessene Garantien zum Schutz dieser sensiblen Daten einzuführen.
Häufige Fehler bei der Umsetzung
Frage: Welche häufigen Fehler oder Versäumnisse haben Sie bei der Umsetzung der PDPA beobachtet?
Eddy: Zu den häufigsten Fehlern bei der Umsetzung des PDPA gehört ein unzureichendes Einwilligungsmanagement, beispielsweise durch vorab angekreuzte Kästchen anstelle einer klaren, aktiven Zustimmung. Viele Unternehmen haben keine ausreichende Dokumentation ihrer Datenverarbeitungsprozesse, die jedoch essenziell ist, um die Compliance nachzuweisen. Schwache Zugriffskontrollen und unzureichende Verschlüsselung erhöhen das Risiko von Datenschutzverletzungen während unzureichende Mitarbeiterschulungen zu einer uneinheitlichen Einhaltung von Compliance-Protokollen führen. Ein weiteres gravierendes Versäumnis liegt in der unzureichenden Verwaltung externer Datenverarbeiter begründet, wodurch Unternehmen erhebliche rechtliche und finanzielle Risiken eingehen, wenn es zu Verstößen oder Datenlecks kommt.
Grenzüberschreitende Datenübertragungen
Frage: Welche Anforderungen muss ein Datenverantwortlicher in Thailand erfüllen, um personenbezogene Daten in ein anderes Land zu übertragen?
Werinorn: Grenzüberschreitende Datenübermittlungen nach dem thailändischen PDPA setzen voraus, dass das Zielland über angemessene Datenschutzstandards verfügt, die mit dem thailändischen PDPA vergleichbar sind. Sind solche Standards nicht vorhanden, können Datenverantwortliche auf bindende Unternehmensregeln (BCRs) für konzerninterne Übertragungen oder auf vertragliche Klauseln und andere Schutzmaßnahmen zurückgreifen. Alle Übertragungen müssen mit den gesetzlichen Grundlagen der Verarbeitung gemäß den Abschnitten 28 und 29 des PDPA übereinstimmen, beispielsweise durch Einwilligung oder vertragliche Notwendigkeit. Zudem müssen die Risiken der Übertragung bewertet, dokumentiert und geeignete Schutzmaßnahmen ergriffen werden.
Langfristige Compliance-Sicherung
Frage: Welche Maßnahmen können Unternehmen ergreifen, um die Einhaltung des PDPA zu gewährleisten, ohne dass dies zu einer übermäßigen Belastung führt?
Eddy: Um die Einhaltung des PDPA nachhaltig zu gewährleisten, sollten Unternehmen die Einhaltung in die täglichen Abläufe integrieren und wiederholende Aufgaben wie die Verwaltung von Einwilligungen und das Löschen von Daten automatisieren, um den manuellen Aufwand zu verringern Regelmäßige Mitarbeiterschulungen und der Einsatz zentraler Datenverwaltungstools können dazu beitragen, Prozesse zu rationalisieren und die Einhaltung der Vorschriften zu verbessern. Regelmäßige Audits und Überprüfungen sind ein effektives Mittel, um proaktiv Lücken zu erkennen und zu beheben. Unternehmen sollten zudem Vorfallreaktionspläne für Datenpannen entwickeln und Experten hinzuziehen, um kontinuierliche Verbesserungen sicherzustellen. Diese Maßnahmen minimieren den operativen Aufwand und gewährleisten langfristige Compliance.
Lehren aus dem JIB-Fall
Frage: Können Sie einen aktuellen Fall in Thailand nennen, der die Bedeutung der PDPA-Compliance unterstreicht?
Werinorn: Der Fall JIB ist ein bedeutendes Beispiel für die Konsequenzen mangelnder PDPA-Compliance. JIB, ein führender IT-Distributor in Thailand, wurde mit einer Geldstrafe von 7 Millionen Baht belegt, unter anderem wegen unzureichender Sicherheitsmaßnahmen, verspäteter Meldung von Datenpannen und der fehlenden Ernennung eines Datenschutzbeauftragten (DPO). Der PDPC ordnete an, dass JIB sein Datenschutzmanagement innerhalb von 30 Tagen grundlegend überarbeiten, zusätzliche Schutzmaßnahmen implementieren und wöchentliche Fortschrittsberichte vorlegen muss. Dieser Fall verdeutlicht, wie wichtig proaktive Maßnahmen sind, um finanzielle Strafen und Reputationsschäden zu vermeiden.
Key Takeaways
Diese aufschlussreiche Diskussion beleuchtete die Herausforderungen, gesetzlichen Verpflichtungen und Best Practices im Bereich der PDPA-Compliance. Die juristische Expertise von Khun Werinorn Manphan und die fachlichen Einblicke von Khun Eddy Bellavoine boten Unternehmen eine umfassende Orientierungshilfe für den Umgang mit dem thailändischen Datenschutzgesetz. Der Fall JIB verdeutlicht dabei eindrucksvoll, dass proaktive Maßnahmen unerlässlich sind, um Risiken zu minimieren und die Einhaltung regulatorischer Vorgaben in der heutigen Geschäftswelt sicherzustellen.