Thailand PDPA-Datenschutzleitfaden: Ihre Rechte nach dem Datenschutzgesetz

Thailands Datenschutzgesetz (PDPA / พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562) trat im Juni 2022 vollständig in Kraft und gibt thailändischen Einwohnern erhebliche Kontrolle über ihre persönlichen Daten. Obwohl das Gesetz seit mehreren Jahren gilt, wissen viele Menschen in Thailand immer noch nicht, welche Rechte sie haben oder wie sie diese ausüben können.

Dieser Leitfaden erklärt, was die PDPA für Sie als Privatperson bedeutet und wie Sie die Kontrolle über Ihre persönlichen Daten übernehmen.

Was die PDPA abdeckt

Die PDPA gilt für jede Organisation — thailändisch oder ausländisch — die personenbezogene Daten von Personen in Thailand erhebt, nutzt oder offenlegt. Dazu gehören:

• Banken und Finanzinstitute
• Telekommunikationsanbieter (AIS, TRUE, DTAC)
• E-Commerce-Plattformen (Shopee, Lazada)
• Social-Media-Unternehmen
• Krankenhäuser und Gesundheitsdienstleister
• Behörden
• Arbeitgeber
• Jede Website oder App, die Sie nutzen

Was als personenbezogene Daten gilt

Datentyp	Beispiele
Identifikation (ข้อมูลระบุตัวตน)	Name, Personalausweisnummer, Passnummer, ThaiD-Daten
Kontaktinformationen	Telefonnummer, E-Mail, LINE-ID, Adresse
Finanzdaten (ข้อมูลการเงิน)	Bankkonten, Kreditkartennummern, PromptPay-ID
Biometrische Daten	Fingerabdrücke, Gesichtserkennungsdaten, Stimmabdrücke
Gesundheitsdaten (ข้อมูลสุขภาพ)	Krankenakten, Rezepte, Krankenversicherungsdetails
Standortdaten	GPS-Daten, Check-in-Verlauf, Reiseaufzeichnungen
Online-Aktivität	Browserverlauf, Suchverlauf, Cookies
Beschäftigungsdaten	Gehalt, Arbeitshistorie, Leistungsbeurteilungen

Ihre Rechte unter der PDPA

1. Recht auf Information (สิทธิในการรับทราบ)

Vor der Datenerhebung müssen Organisationen Ihnen mitteilen:

• Welche Daten sie erheben
• Warum sie diese benötigen
• Wie lange sie diese aufbewahren
• Mit wem sie diese teilen
• Ihre Rechte bezüglich dieser Daten

In der Praxis: Dies ist das Einwilligungsformular oder die Datenschutzerklärung, die Sie bei der Registrierung sehen. Lesen Sie es — es ist wichtig.

2. Recht auf Einwilligung (สิทธิในการให้ความยินยอม)

Sie müssen eine klare Einwilligung erteilen, bevor Ihre Daten erhoben werden, außer in begrenzten Fällen (gesetzliche Pflicht, lebenswichtiges Interesse, öffentliches Interesse oder berechtigtes Interesse). Sie haben auch das Recht:

• Einwilligung jederzeit zu widerrufen
• Einwilligung zu verweigern, ohne dass Ihnen der Kerndienst verwehrt wird (Unternehmen dürfen den Service nicht verweigern, nur weil Sie optionale Datenerhebung abgelehnt haben)

3. Recht auf Zugang (สิทธิในการเข้าถึง)

Sie können eine Kopie aller personenbezogenen Daten anfordern, die eine Organisation über Sie hat. Sie müssen innerhalb von 30 Tagen antworten.

4. Recht auf Datenübertragbarkeit (สิทธิในการโอนย้ายข้อมูล)

Sie können Ihre Daten in einem gängigen, maschinenlesbaren Format anfordern und an einen anderen Dienstleister übertragen lassen.

5. Recht auf Berichtigung (สิทธิในการแก้ไข)

Wenn Ihre Daten ungenau oder unvollständig sind, haben Sie das Recht, Korrektur zu verlangen.

6. Recht auf Löschung (สิทธิในการลบ)

Sie können verlangen, dass eine Organisation Ihre Daten löscht, wenn:

• Die Daten für den Erhebungszweck nicht mehr notwendig sind
• Sie Ihre Einwilligung widerrufen
• Sie der Verarbeitung widersprechen und keine vorrangigen berechtigten Gründe bestehen
• Die Daten unrechtmäßig erhoben wurden

7. Recht auf Einschränkung der Verarbeitung (สิทธิในการระงับ)

Sie können verlangen, dass eine Organisation die Nutzung Ihrer Daten während einer Streitbeilegung einstellt.

8. Widerspruchsrecht (สิทธิในการคัดค้าน)

Sie können der Datenverarbeitung zu Direktmarketingzwecken jederzeit und bedingungslos widersprechen.

PDPA-Rechte-Übersichtstabelle

Recht	Wann anwenden	Antwortfrist
Zugang (เข้าถึง)	Sie wollen wissen, welche Daten vorhanden sind	30 Tage
Löschung (ลบข้อมูล)	Sie wollen Ihre Daten gelöscht haben	30 Tage
Berichtigung (แก้ไข)	Daten sind fehlerhaft	30 Tage
Übertragbarkeit (โอนย้าย)	Sie wechseln den Anbieter	30 Tage
Widerspruch (คัดค้าน)	Marketing, Profiling stoppen	Sofort bei Marketing
Einschränkung (ระงับ)	Verarbeitung während Streit pausieren	30 Tage
Einwilligungswiderruf (ถอนความยินยอม)	Sie ändern Ihre Meinung zur Datennutzung	Variiert

Wie Sie Ihre PDPA-Rechte ausüben

Schritt 1: Datenschutzkontakt finden

Die meisten Organisationen müssen einen Datenschutzbeauftragten (DPO) oder Ansprechpartner haben. Suchen Sie nach:

• Datenschutzrichtlinie auf ihrer Website
• "Datenschutzbeauftragter"-Kontakt in den Nutzungsbedingungen
• Kundenservice-Abteilungen (geben Sie an, dass es sich um eine PDPA-Anfrage handelt)

Schritt 2: Schriftliche Anfrage einreichen

Senden Sie eine formelle Anfrage per E-Mail oder Brief. Enthalten sollte:

• Vollständiger Name und Kontaktinformationen
• Identitätsnachweis (geschwärzte Ausweiskopie)
• Spezifisches Recht, das Sie ausüben
• Beschreibung der Daten, auf die Sie zugreifen, die gelöscht oder korrigiert werden sollen
• Verweis auf PDPA-Abschnitte 30-36

Schritt 3: Antwort verfolgen

Organisationen müssen innerhalb von 30 Tagen antworten. Bei Ablehnung müssen sie den Grund schriftlich erklären.

Schritt 4: Bei Bedarf eskalieren

Wenn die Organisation nicht konform geht, können Sie Beschwerde einreichen bei:

• Amt des Datenschutzausschusses (PDPC) — pdpc.or.th
• Gerichten — Sie können Schadenersatz für PDPA-Verstöße fordern

Proaktiv persönliche Daten schützen

Ihren Daten-Fußabdruck minimieren

• Nur wirklich notwendige Daten für den Dienst angeben
• Separate E-Mail-Adressen für verschiedene Dienste nutzen
• Optionale Datenerhebung wo möglich ablehnen
• App-Berechtigungen auf dem Telefon regelmäßig prüfen

Was Sie teilen, absichern

Wenn Sie sensible persönliche Informationen teilen müssen — Personalausweisnummern, Bankdaten, Krankenakten — senden Sie diese nie über WhatsApp oder E-Mail. Nutzen Sie LOCK.PUB, um verschlüsselte, passwortgeschützte Memos zu erstellen, die automatisch ablaufen. Der Empfänger sieht die Informationen mit dem Passwort, und sie zerstören sich nach Ablauf selbst. Keine Daten verbleiben in Chat-Verläufen oder E-Mail-Archiven.

Regelmäßige Daten-Audits

• Datenschutzeinstellungen in sozialen Medien vierteljährlich prüfen
• Prüfen, welche Apps Zugriff auf Ihr LINE-Konto haben
• Verbundene Apps in Google- und Apple-Konten prüfen
• Konten bei nicht mehr genutzten Diensten löschen

Was Unternehmen einhalten müssen

Unter der PDPA drohen bei Verstößen:

Verstoß	Höchststrafe
Verwaltungsbußgeld	Bis zu 5 Millionen THB
Strafrechtliche Sanktion	Bis zu 1 Jahr Haft und/oder 1 Million THB Geldstrafe
Zivilrechtliche Haftung	Tatsächlicher Schaden + Strafschadenersatz (bis 2x tatsächlich)

Unternehmen müssen außerdem:

• Datenschutzbeauftragten ernennen (bei großangelegter Verarbeitung)
• Aufzeichnungen über Datenverarbeitungsaktivitäten führen
• Angemessene Sicherheitsmaßnahmen implementieren
• PDPC über Datenverletzungen innerhalb von 72 Stunden informieren
• Einwilligung vor grenzüberschreitender Datenübertragung einholen (mit Ausnahmen)

Häufige PDPA-Szenarien im Alltag

• Ein Online-Shop sendet weiter Marketing-Nachrichten nach Ihrer Abmeldung — PDPA-Beschwerde wegen Verletzung Ihres Widerspruchsrechts
• Ein ehemaliger Arbeitgeber teilt Ihre Gehaltsinformationen — Löschung fordern und Beschwerde einreichen
• Ein Krankenhaus teilt Ihre Krankenakten ohne Einwilligung — Verletzt den PDPA-Schutz sensibler Daten
• Ein Telekommunikationsunternehmen verkauft Ihre Daten an Werbetreibende — Zugangsrecht nutzen, um zu sehen, wer Ihre Daten erhalten hat, dann Löschung fordern

Fazit

Die PDPA gibt Ihnen echte Macht über Ihre persönlichen Daten. Die Ausübung dieser Rechte ist kostenlos, und Organisationen müssen innerhalb von 30 Tagen konform gehen. Beginnen Sie damit, zu prüfen, welche Dienste Ihre Daten haben, und fordern Sie Löschung von denjenigen, die Sie nicht mehr nutzen.

Zum Teilen sensibler persönlicher Informationen, wenn nötig, besuchen Sie LOCK.PUB, um kostenlose verschlüsselte Memos zu erstellen, die sich selbst zerstören — so stellen Sie sicher, dass Ihre Daten nicht länger als nötig bestehen bleiben.