Die Kontrolle über die Rechte einer Person an ihren Daten wird zunehmend kommerzialisiert, insbesondere da große Datenmengen für die Entwicklung von Künstlicher Intelligenz (KI) benötigt werden. Gleichzeitig hat der zunehmende Fokus auf den Schutz persönlicher Daten verschiedene Länder dazu veranlasst, Gesetze zu erlassen, die die Rechte von Einzelpersonen an ihren Daten sichern. Zwei bedeutende Regelungen in diesem Bereich sind die Europäische Datenschutz-Grundverordnung (DSGVO) und das Thailändische Gesetz zum Schutz personenbezogener Daten (PDPA). Obwohl das PDPA stark von der DSGVO beeinflusst ist, gibt es wesentliche Unterschiede, die Unternehmen und Einzelpersonen kennen müssen, um die Vorschriften in beiden Regionen einzuhalten.

Im Folgenden werden die Hauptunterschiede zwischen DSGVO und PDPA beleuchtet, einschließlich ihrer Reichweite, rechtlichen Grundlagen, Strafen und mehr.

1. Reichweite und Anwendbarkeit

Die DSGVO hat eine weitreichende territoriale Gültigkeit. Sie gilt für alle Organisationen, die personenbezogene Daten von in der Europäischen Union lebenden Personen verarbeiten, unabhängig vom Standort der Organisation. Das bedeutet, dass auch Organisationen außerhalb der EU die DSGVO einhalten müssen, wenn sie Waren oder Dienstleistungen für EU-Bürger anbieten oder deren Verhalten überwachen.

Ähnlich erweitert das PDPA seine Gültigkeit über die Grenzen Thailands hinaus, wenn eine Organisation Daten von Personen in Thailand verarbeitet. Die Anwendbarkeit konzentriert sich jedoch stärker auf lokale Unternehmen. Das PDPA legt Wert auf die Einhaltung durch inländische Organisationen und bietet explizitere Richtlinien für den Umgang mit personenbezogenen Daten in Thailand.

2. Rechtliche Grundlage für die Datenverarbeitung

Unter der DSGVO gibt es sechs rechtliche Grundlagen für die Verarbeitung personenbezogener Daten: Einwilligung, Vertragserfüllung, rechtliche Verpflichtung, lebenswichtige Interessen, öffentliches Interesse und berechtigte Interessen. „Berechtigte Interessen“ können weit ausgelegt werden, müssen jedoch gegen die Rechte der betroffenen Personen abgewogen werden.

Das PDPA spiegelt diese rechtlichen Grundlagen wider, legt jedoch besonderen Wert auf die ausdrückliche Einwilligung. In Thailand wird Unternehmen empfohlen, Einwilligungen vorrangig zu verwenden, insbesondere bei der Verarbeitung sensibler Daten. Die Interpretation von „berechtigten Interessen“ ist im PDPA enger gefasst als in der DSGVO und bevorzugt stärker die Einwilligung der betroffenen Person.

3. Anforderungen an die Einwilligung

Die DSGVO schreibt vor, dass Einwilligungen „freiwillig, spezifisch, informiert und eindeutig“ sein müssen. Sie sollte durch eine klare Zustimmungshandlung erfolgen, und die betroffene Person hat das Recht, die Einwilligung jederzeit einfach zu widerrufen.

Das PDPA verfolgt einen ähnlichen Ansatz und fordert eine ausdrückliche Zustimmung zur Erhebung und Verarbeitung personenbezogener und sensibler Daten. Das PDPA legt jedoch besonderen Wert darauf, dass die Einwilligung in klarer und verständlicher Sprache formuliert ist. Zudem wird stark darauf geachtet, dass der Zweck der Datenerhebung eindeutig definiert ist, oft mit formaleren Formulierungen als bei der DSGVO.

4. Rechte der betroffenen Personen

Die DSGVO gewährt Einzelpersonen zahlreiche Rechte, darunter das Recht auf Zugang, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch gegen die Verarbeitung. Diese Rechte stehen im Mittelpunkt der DSGVO, um Einzelpersonen zu stärken.

Das PDPA bietet vergleichbare Rechte, jedoch mit einigen bemerkenswerten Unterschieden. Das Recht auf Datenübertragbarkeit ist beispielsweise nicht so klar definiert wie in der DSGVO. Auch das Recht auf Löschung besteht, weist jedoch Ausnahmen auf, die mit den thailändischen Vorschriften übereinstimmen und den Datenverantwortlichen manchmal mehr Spielraum geben, Löschungsanträge abzulehnen.

5. Meldung von Datenpannen

Die DSGVO schreibt vor, dass Datenverantwortliche Datenpannen innerhalb von 72 Stunden den Aufsichtsbehörden melden müssen, wenn die Panne voraussichtlich die Rechte und Freiheiten von Einzelpersonen gefährdet. Wenn das Risiko erheblich ist, müssen auch die betroffenen Personen umgehend informiert werden.

Das PDPA verlangt ebenfalls, dass Datenpannen innerhalb von 72 Stunden der thailändischen Datenschutzbehörde gemeldet werden. Im Gegensatz dazu gibt das PDPA jedoch mehr Spielraum bei der Benachrichtigung der betroffenen Personen und berücksichtigt dabei das wahrgenommene Risikoniveau.

6. Anforderungen an Datenschutzbeauftragte (DPO)

Die DSGVO verpflichtet Organisationen, einen Datenschutzbeauftragten (DPO) zu ernennen, wenn sie großflächig sensible Daten verarbeiten, Behörden sind oder regelmäßig Personen überwachen. Der DPO muss unabhängig sein und direkt an die Geschäftsleitung berichten.

Das PDPA verlangt ebenfalls einen DPO für Organisationen, die eine beträchtliche Menge sensibler Daten verarbeiten. Die Anforderungen sind jedoch weniger streng als bei der DSGVO, was es kleineren Unternehmen in Thailand erleichtert, diese Vorschriften einzuhalten.

7. Strafen bei Nichteinhaltung

Die DSGVO sieht erhebliche Strafen vor – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist. Diese Strafen sollen sicherstellen, dass auch große Organisationen die Vorschriften einhalten.

Das PDPA sieht im Vergleich dazu geringere, aber dennoch signifikante Strafen vor, mit Verwaltungsstrafen von bis zu 5 Millionen Baht (ca. 140.000 Euro). Zudem gibt es strafrechtliche Sanktionen, einschließlich möglicher Haftstrafen, was eine andere Ebene der Durchsetzung im Vergleich zur DSGVO darstellt.

8. Struktur der Aufsichtsbehörden

Die DSGVO verfügt über eine dezentralisierte Struktur, bei der jedes EU-Mitglied eine eigene unabhängige Aufsichtsbehörde für die Durchsetzung hat. Diese Behörden arbeiten in grenzüberschreitenden Fällen durch Mechanismen wie den Europäischen Datenschutzausschuss (EDPB) zusammen.

Die Durchsetzung des PDPA liegt in der Verantwortung einer zentralen Behörde, dem Komitee zum Schutz personenbezogener Daten (PDPC). Diese zentrale Behörde überwacht alle datenschutzrelevanten Angelegenheiten und schafft einen einheitlicheren Ansatz im Vergleich zum mehrbehördlichen System der DSGVO.

9. Lokale kulturelle und praktische Überlegungen

Die DSGVO wird einheitlich in den vielfältigen Kulturen der EU angewendet. Obwohl die Mitgliedstaaten in einigen Bereichen flexibel agieren können, gewährleistet die Verordnung ein hohes Maß an Datenschutz für alle Personen innerhalb der EU.

Das PDPA wurde so gestaltet, dass es mit den kulturellen und geschäftlichen Normen Thailands übereinstimmt. Es bietet mehr Flexibilität für kleine und mittelständische Unternehmen (KMU) und berücksichtigt die praktischen Anforderungen lokaler Geschäftspraktiken. Dadurch wird ein schrittweiser Ansatz für die Durchsetzung und Einhaltung ermöglicht.

Fazit

Das thailändische PDPA und die europäische DSGVO weisen zahlreiche Gemeinsamkeiten auf, da beide darauf abzielen, den Schutz personenbezogener Daten zu gewährleisten. Die Unterschiede spiegeln jedoch die unterschiedlichen regulatorischen, kulturellen und geschäftlichen Umfelder der Regionen wider, die sie abdecken.

Während die DSGVO umfassend ist und strenge Anforderungen sowie Sanktionen vorsieht, ist das PDPA anpassungsfähiger und auf den thailändischen Kontext zugeschnitten, wobei der Fokus auf Flexibilität und den Realitäten lokaler Unternehmen liegt.

Für global agierende Unternehmen ist es entscheidend, diese Unterschiede zu verstehen, um die Vorschriften in beiden Regionen einzuhalten. Die Anpassung von Datenschutzstrategien an die strengen Anforderungen der DSGVO und die differenzierten Vorgaben des PDPA kann Unternehmen helfen, teure Strafen zu vermeiden und gleichzeitig das Vertrauen der Verbraucher in den Schutz personenbezogener Daten zu stärken.

Rechtlicher Hinweis

Die in diesem Artikel bereitgestellten Informationen dienen ausschließlich allgemeinen Informationszwecken. Obwohl wir den Inhalt sorgfältig recherchiert haben, können Datenschutzgesetze wie DSGVO und PDPA Änderungen unterliegen, und ihre Auslegung kann variieren.

Der Inhalt dieses Artikels stellt keine Rechtsberatung dar. Wir empfehlen, sich an einen qualifizierten Rechtsanwalt zu wenden, um spezifische Fragen zu klären oder die Einhaltung gesetzlicher Vorschriften entsprechend den individuellen geschäftlichen Anforderungen sicherzustellen.

Wir übernehmen keine Garantie für die Vollständigkeit, Zuverlässigkeit oder Genauigkeit der bereitgestellten Informationen. Jegliche Nutzung dieser Informationen erfolgt auf eigenes Risiko. Wir übernehmen keine Haftung für Verluste oder Schäden, die sich aus der Nutzung dieser Informationen oder damit verbundener Materialien ergeben.