ein. Prüfungen

Datenschutzprüfungen sind ein zentrales Instrument zur Sicherstellung einer nachhaltigen Einhaltung des thailändischen Datenschutzgesetzes (PDPA) und, wo zutreffend, der EU-Datenschutzverordnung (DSGVO). Für Unternehmen, die in Thailand und Deutschland tätig sind, dienen Prüfungen nicht nur als regulatorischer Schutz, sondern auch als Instrument der Governance und des Risikomanagements. Unsere Prüfungspraxis ist darauf ausgelegt, Management, Vorständen und Stakeholdern ein klares, nach außen hin vertretbares, Verständnis des Standes der Datenschutzentwicklung und -Exposition ihrer Organisation zu vermitteln.

Wir führen sowohl vor Ort als auch aktenbasierte Datenschutzprüfungen durch, abhängig von der operativen Struktur, der Branche und dem Risikoprofil des Kunden. Unsere Audits folgen einem strukturierten PDCA-Zyklus (Plan–Do–Check–Act), um kontinuierliche Verbesserungen an Stelle einer einmaliger Einhaltung der Vorgaben sicherzustellen. Dabei bewerten wir die Geschäftsprozesse der Mandanten hinsichtlich Datenschutz, einschließlich Governance-Strukturen, interner Verantwortlichkeiten, technischer und organisatorischer Maßnahmen sowie Eskalationsverfahren. Ein zentraler Schwerpunkt liegt auf der Überprüfung und Validierung von Records of Processing Activities (RoPA), Datenflusserfassung, -hinweisen, Einwilligungsmechanismen, Datenverarbeitungsvereinbarungen und grenzüberschreitenden Datenübertragungsvoraussetzungen. Wo erforderlich, vergleichen wir bestehende Prozesse mit regulatorischen Erwartungen und Durchsetzungspraktiken, sowohl in Thailand als auch in der EU, ab.

Über die rechtliche Einhaltung hinaus sind unsere Datenschutzaudits mit Anforderungen an die Finanzberichterstattung und Corporate Governance abgestimmt. Wir unterstützen Jahresabschlussprozesse, indem wir potenzielle Datenschutzrisiken identifizieren, die offengelegt oder dargestellt werden müssen. Unsere Prüfungsergebnisse können so strukturiert werden, dass sie die Berichterstattung an Steuerberater und Wirtschaftsprüfer erleichtern, einschließlich Bewertungen möglicher Verwaltungsstrafen, Strafrisiken und bedingter Haftungen durch Nichteinhaltung des PDPA oder der DSGVO. Wo relevant, unterstützen wir das Management dabei, Datenschutzbefunde in Risikobewertungen für interne Nutzung, Finanzberichte, interne Kontrollsysteme und Compliance-Berichte zu integrieren und so eine Konsistenz zwischen rechtlichen, operativen und finanziellen Perspektiven sicherzustellen.

b. Compliance-Beratung (DSGVO, PDPA)

Effektive Datenschutz-Compliance erfordert mehr als Richtlinien und interne Vorgaben – sie erfordert einen rechtlich fundierten und operativ eingebetteten Compliance-Rahmen, der sowohl mit den Anforderungen der DSGVO als auch der PDPA übereinstimmt.

Wir beraten Unternehmen, die in Thailand und Deutschland tätig sind, sowohl beim Aufbau, als auch der Umsetzung und der Wartung von Datenschutzprogrammen, die regulatorischer Prüfung und Durchsetzung standhalten. Unsere Compliance-Beratung ist auf das Geschäftsmodell, die Branche, die Datenverarbeitungsaktivitäten und die grenzüberschreitende Exposition des Kunden zugeschnitten.

Ein zentrales Element unserer Beratungsarbeit betrifft die Rechte von Inhabern personenbezogener Daten, einschließlich Zugriff, Behebung, Löschung, Einschränkung, Einspruch und Datenportabilität. Wir unterstützen Mandanten bei der Gestaltung konformer interner Verfahren zur Bearbeitung von Anfragen von Rechteinhabern innerhalb gesetzlicher Fristen, um eine ordnungsgemäße Dokumentation und Eskalationsmechanismen sicherzustellen. Darüber hinaus beraten wir zu Meldepflichten bei

Datenschutzverstößen, einschließlich der Planung von Vorfällen, Sicherheitsbewertungen, Benachrichtigungsschwellen und Meldefristen für Aufsichtsbehörden und betroffene Personen nach DSGVO und PDPA. Unsere Beratung richtet sich dabei auf die Durchsetzungspraxis lokaler Behörden und konzentrieren sich darauf, regulatorische Risiken zu minimieren und gleichzeitig Transparenz und Glaubwürdigkeit zu bewahren.

Grenzüberschreitende Datenübertragungen zwischen einem deutschen Hauptsitz und thailändischen Tochtergesellschaften stellen ein kritisches Compliance-Risiko dar. Wir beraten zu internationalen Datenübertragungen gemäß Artikel 44 ff. DSGVO, wobei Thailand derzeit kein angemessenes Schutzniveau i.S.v. Artikel 45 DSGVO aufweist. Vor diesem Hintergrund umfassen unsere Dienstleistungen die Umsetzung und Pflege von Standardvertragsklauseln (SCCs) zwischen Gruppeneinheiten, Unterstützung bei der Entwicklung verbindlicher Unternehmensregeln (BCRs) für multinationale Unternehmensgruppen sowie Übertragungsausnahmen nach Artikel 49 DSGVO. Darüber hinaus beraten wir deutsche Unternehmen bei der Ernennung und Aufsicht von Datenschutzbeauftragten (DPOs) auf Gruppen- und lokaler Ebene, einschließlich Berichtslinien, Anforderungen an Unabhängigkeit und Aufgaben auf Tochtergesellschaftsebene. Die Beratung umfasst Bewertungen potenzieller Verwaltungssanktionen und Geldstrafen, sodass deutsche Muttergesellschaften Risiken quantifizieren, interne Prüfungsanforderungen erfüllen und eine effektive konzernweite Compliance-Governance nachweisen können.

Nach dem Deutschen Corporate Governance Code (DCGK) ist der Vorstand für die Einrichtung eines effektiven Compliance- und Risikomanagementsystems verantwortlich, während der Aufsichtsrat dessen Angemessenheit und Effektivität überwachen muss. Datenschutzrisiken nach DSGVO und PDPA stellen daher ein meldepflichtiges Compliance-Risiko dar, das für beide Organe relevant sein kann. Das Versäumnis, solche Risiken angemessen zu identifizieren, zu bewerten und zu mindern, kann zu einer persönlichen Haftungsrisiken im Rahmen von D&O-Versicherungsrahmen führen, insbesondere wenn bekannte Mängel noch nicht behoben werden. Eine dokumentierte, risikobasierte Strafexpositionsbewertung unterstützt fundierte Entscheidungen, eine vertretbare Risikoakzeptanz und nachweisbare Einhaltung der DCGK-Aufsichtspflichten.