Recht kompakt | Thailand | Datenschutz und E-Commerce
Datenschutzrecht und E-Commerce in Thailand
Am 27. Mai 2019 wurde der Personal Data Protection Act, B.E. 2562 (2019) (PDPA, Gesetz zum Schutz persönlicher Daten) veröffentlicht. Es ist Thailands erstes Datenschutzgesetz.
07.06.2022
Von Julia Merle, Robert Herzner, Frauke Schmitz-Bauerdick
Zuvor bestanden in Thailand noch keine Datenschutzbestimmungen, diese Rechte wurden nur durch die Verfassung sowie zum Beispiel strafrechtliche Vorschriften geschützt.
Der PDPA enthält nun Datenschutzbestimmungen und Sanktionen, wenn personenbezogene Daten ohne Einwilligung des Inhabers gesammelt, bearbeitet oder weitergegeben werden. Einige Grundsätze aus der EU-Datenschutzgrundverordnung (DSGVO) wurden übernommen. Die Benennung eines Datenschutzbeauftragten sowie dessen Vertreter in Thailand ist gegebenenfalls erforderlich. Die wichtigsten operativen Regelungen des PDPA, insbesondere zum Sammeln der Daten und zu den Rechten der betroffenen Personen, sollten zunächst ab 27. Mai 2020 Anwendung finden. Mit einem am 21. Mai 2020 veröffentlichten Royal Decree wurde die Anwendbarkeit dieser Bestimmungen in zahlreichen Geschäftsfeldern verschoben bis zum 31. Mai 2021. Gemäß einer Notification des zuständigen Ministeriums vom 24. Juni 2020 hatten für die Datenverarbeitung Verantwortliche bis dahin dennoch bestimmte Maßnahmen in Bezug auf die Datensicherheit zu ergreifen.
Mit einem am 8. Mai 2021 veröffentlichten zweiten Royal Decree ist das Datum um ein weiteres Jahr bis zum 31. Mai 2022 verschoben worden, sodass der PDPA für viele Verantwortliche (personal data controllers) erst seit dem 1. Juni 2022 seine Wirksamkeit in vollem Umfang entfaltet (dazu: GTAI-Rechtsmeldung vom 7. Juni 2021).
Als Mitglied des Asia Pacific Economic Forum (APEC) finden in Thailand die Cross Border Privacy Rules Anwendung, welche sich stark an europäischen Prinzipien anlehnen.
Neben den Richtlinien für den Schutz des geistigen Eigentums ist im E-Commerce der Computer Crime Act B.E. 2550 (2007), zuletzt geändert durch Computer Crime Act (No. 2) B.E. 2560 (2017), zu beachten. Dieser regelt die Verwendung falscher Daten und die Versendung von E-Mails für Werbezwecke.
Ende Mai 2019 ist das Cybersicherheitsgesetz (Cybersecurity Act, B.E. 2562 (2019)) in Kraft getreten.