Die Struktur des PDPA im Jahr 2026

Der PDPA ist das primäre Datenschutzgesetz in Thailand, und seine Struktur ähnelt der DSGVO stark. Die untergeordneten Vorschriften von 2024 und 2025 fügten operationelle Details hinzu, die zuvor im Basisgesetz fehlten.

Was die untergeordneten Vorschriften hinzufügten

Im Laufe der Jahre 2024 und 2025 erließ der PDPC untergeordnete Vorschriften zu folgenden Themen: Mechanismen für grenzüberschreitende Datenübermittlungen, Bestellung und Pflichten von Datenschutzbeauftragten, Verfahren zur Meldung von Datenschutzverletzungen, Anforderungen an Verarbeitungsverzeichnisse, Fristen für Arbeitsabläufe bei Betroffenenrechten und spezifische Einwilligungsstandards für besondere Kategorien personenbezogener Daten. Diese Vorschriften verschoben den PDPA kollektiv von einem allgemeinen Rahmen zu einem operativen Regime, das in seiner Spezifizität der DSGVO vergleichbar ist.

Wer reguliert wird

Der PDPA gilt für die meisten Verantwortlichen und Auftragsverarbeiter mit extraterritorialer Reichweite für ausländische Organisationen, die personenbezogene Daten von Personen in Thailand im Zusammenhang mit dem Anbieten von Waren oder Dienstleistungen oder der Verhaltensüberwachung verarbeiten. Ausländische Publisher, die thailändische Nutzer über lokalisierte Websites oder programmatisch eingekauftes Inventar gegen thailändische IPs bedienen, befinden sich typischerweise im Anwendungsbereich, und der PDPC hat in frühen Durchsetzungsschreiben auf die extraterritoriale Bestimmung verwiesen.

Verwaltungs- und strafrechtliche Sanktionen

Der PDPA sieht Verwaltungsgeldbußen von bis zu 5 Millionen THB pro Verstoß sowie strafrechtliche Sanktionen für die schwerwiegendsten Verstöße vor, einschließlich der Freiheitsstrafe für Direktoren unter bestimmten Umständen. Die Obergrenze der Verwaltungsgeldbuße ist in absoluten Zahlen niedriger als bei der DSGVO, aber die eskalierende Durchsetzungshaltung des PDPC und die Möglichkeit strafrechtlicher Haftung machen das tatsächliche Risiko erheblich.

Was unter dem PDPA als personenbezogene Daten gilt

Die Definition personenbezogener Daten im PDPA orientiert sich eng an der DSGVO. Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, und der PDPC hat Cookies, Werbe-IDs, IP-Adressen, Geräte-Fingerprints und Verhaltensprofile konsequent als personenbezogene Daten behandelt, wenn sie direkt oder durch Kombination mit anderen Informationen einer Person zugeordnet werden können.

Besondere Kategorien personenbezogener Daten

Der PDPA bestimmt eine breite besondere Kategorie, die umfasst: rassische oder ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung, Sexualverhalten, Strafregister, Gesundheitsdaten, Behinderung, Gewerkschaftszugehörigkeit, genetische Daten und biometrische Daten. Die Verarbeitung besonderer Kategorien personenbezogener Daten erfordert ausdrückliche Einwilligung und löst zusätzliche Pflichten des Verantwortlichen aus.

Warum das für Cookies wichtig ist

Ein Cookie, das eine routinemäßige Kennung speichert, sind gewöhnliche personenbezogene Daten. Ein Cookie, das ein Zielgruppensegment speist, das die besondere Liste des PDPA berührt — Gesundheitsinteressen, religiöse Zugehörigkeit, politische Neigungen — ist die Verarbeitung besonderer Kategorien und erfordert eine ausdrückliche Einwilligung statt der allgemeinen Werbeeinwilligung. Deutschsprachiges Zielgruppen-Targeting, das sich mit der besonderen Liste überschneidet, sollte speziell auf diese Grenze hin geprüft werden. (Hinweis: Hier ist thailändischsprachiges Targeting gemeint — Zielgruppen-Targeting in thai, das sich mit der sensiblen Liste überschneidet, sollte geprüft werden.)

Cookie-Einwilligung unter dem PDPA im Jahr 2026

Der PDPA erlaubt mehrere Rechtsgrundlagen für die Verarbeitung, aber für Cookies und ähnliche Technologien, die nicht unbedingt für die Erbringung der Dienstleistung erforderlich sind, haben die Leitlinien des PDPC und die frühe Durchsetzung auf die Einwilligung als praktische Grundlinie konvergiert.

Die Elemente einer wirksamen Einwilligung

Die Einwilligung unter dem PDPA muss:

• Freiwillig erteilt sein — ohne Zwang oder Kopplung an die Erbringung wesentlicher Dienstleistungen
• Informiert sein — die betroffene Person versteht, welche Daten von wem und zu welchem Zweck verarbeitet werden
• Spezifisch sein — an klar identifizierte Zwecke geknüpft, nicht an eine pauschale Einwilligung
• Eindeutig sein — durch eine klare bestätigende Handlung ausgedrückt, nicht aus Inaktivität hergeleitet
• Ausdrücklich bei besonderen Kategorien personenbezogener Daten sein, mit einer separaten und spezifischen Einwilligung für die besondere Verarbeitung

Wie eine konforme CMP aussieht

Eine CMP, die für den thailändischen Datenverkehr im Jahr 2026 konfiguriert ist, sollte Folgendes präsentieren:

• Ein sichtbares Banner, bevor ein nicht notwendiges Cookie oder Tracker ausgelöst wird, standardmäßig auf Thai (ภาษาไทย) für thailändische Nutzer
• Gleiche visuelle Prominenz für ยอมรับ (Akzeptieren), ปฏิเสธ (Ablehnen) und ตั้งค่า (Einstellungen) — der PDPC hat Banner-Designs kritisiert, bei denen die Ablehnungsoption visuell abgeschwächt ist
• Granulare Umschalter je Zweck: Analyse, Werbung, Personalisierung, grenzüberschreitende Übermittlung und jede Verarbeitung besonderer Kategorien
• Einen separaten, klar beschrifteten Ablauf für die Verarbeitung besonderer Kategorien personenbezogener Daten, hinter einer eigenen Aktion abgesichert
• Einen dauerhaften, leicht auffindbaren Mechanismus zum Widerruf der Einwilligung nach der ersten Wahl
• Eine Datenschutzmitteilung auf Thai mit vollständiger Offenlegung des Verantwortlichen, der Auftragsverarbeiter, der Zwecke, der Empfänger, der Speicherdauer und der Rechte

Einwilligungsnachweise

Verantwortliche müssen Nachweise über die Einwilligung aufbewahren — wer eingewilligt hat, wann, zu welchem Zweck und über welche Oberfläche. Unzureichende Einwilligungsnachweise wurden in mehreren Durchsetzungsschreiben des PDPC im Jahr 2025 zitiert, und exportierbare zeitgestempelte Protokolle sind die Mindesterwartung.

Grenzüberschreitende Übermittlungen nach den Vorschriften von 2025

Die Übermittlungsvorschriften von 2025 waren die folgenreichste jüngste Entwicklung für ausländische Publisher und klärten die verfügbaren Mechanismen für grenzüberschreitende Datenströme.

Die anerkannten Übermittlungsmechanismen

Die Vorschriften von 2025 sehen vier primäre Wege vor:

• Angemessenheitsbeschluss, bei dem der PDPC das Zielland als ausreichend geschützt bewertet hat
• Geeignete Garantien durch vertragliche Mechanismen, einschließlich vom PDPC genehmigter Standardvertragsklauseln und verbindlicher interner Datenschutzvorschriften
• Spezifische Ausnahmen, einschließlich ausdrücklicher Einwilligung der betroffenen Person mit ausreichender Offenlegung, Vertragsnotwendigkeit, lebenswichtigen Interessen und erheblichen öffentlichen Interessen
• Zertifizierungssysteme, die vom PDPC für bestimmte Sektoren oder Tätigkeiten anerkannt werden

Die Angemessenheitsliste

Der PDPC hat bis Anfang 2026 Angemessenheitsbeschlüsse für eine Handvoll Rechtsordnungen erlassen. Die Vereinigten Staaten stehen nicht auf der Liste, was bedeutet, dass Übermittlungen an US-amerikanische Ad-Tech- und Analytics-Anbieter Standardvertragsklauseln, Zertifizierungen oder eine einwilligungsbasierte Ausnahme erfordern.

Der praktische Ansatz für 2026

Für die meisten ausländischen Publisher besteht der praktische Ansatz darin, vom PDPC genehmigte Standardvertragsklauseln mit internationalen Auftragsverarbeitern abzuschließen, den Übermittlungsmechanismus in der Thai-sprachigen Datenschutzmitteilung zu dokumentieren und nur dort durch eine einwilligungsbasierte Genehmigung zu ergänzen, wo der Standardmechanismus nicht eindeutig passt.

Betroffenenrechte unter dem PDPA

Der PDPA gewährt eine Reihe von Rechten, die eng an die DSGVO angelehnt sind:

• Recht auf Auskunft über beim Verantwortlichen gespeicherte personenbezogene Daten
• Recht auf Berichtigung unrichtiger oder unvollständiger Daten
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht gegen die Verarbeitung
• Recht auf Widerruf der Einwilligung
• Recht, nicht einer automatisierten Entscheidungsfindung mit erheblichen Auswirkungen unterworfen zu werden
• Recht auf Beschwerde beim PDPC

Antwortfristen

Verantwortliche müssen auf Anfragen betroffener Personen im allgemeinen Rahmen innerhalb von 30 Tagen antworten, mit kürzeren Fristen für bestimmte Anfragearten. Die operative Bereitschaft für dieses Fenster — mit Thai-sprachigem Tooling und Runbooks — ist eine häufige Lücke bei ausländischen Publishern, die auf einen europäischen Rhythmus ausgerichtet sind.

Die DPO-Anforderung

Die untergeordnete Vorschrift von 2024 klärte, wann ein DPO erforderlich ist. Verantwortliche, die große Mengen personenbezogener Daten verarbeiten, eine systematische Überwachung von betroffenen Personen durchführen oder besondere Kategorien personenbezogener Daten in großem Umfang verarbeiten, müssen einen DPO benennen. Ausländische Verantwortliche, die den Mengenschwellenwert über thailändische Nutzer erreichen, fallen in den Anwendungsbereich. Die Kontaktdaten des DPO müssen in der Thai-sprachigen Datenschutzmitteilung zugänglich sein.

Sanktionen und Durchsetzungshaltung im Jahr 2026

Die Durchsetzungsaktivität des PDPC hat sich im Laufe der Jahre 2024 und 2025 erheblich gesteigert und 2026 befindet sich auf einer ähnlichen Entwicklungslinie.

Die Struktur der Verwaltungsgeldbußen

Verwaltungsgeldbußen staffeln sich nach Verstoßtyp mit Höchstbeträgen von 5 Millionen THB pro Verstoß für die schwerwiegendsten Verstöße. Routineverstöße — unzureichende Einwilligungsbanner, fehlende Datenschutzmitteilungen, fehlende Reaktion auf Anfragen betroffener Personen — ziehen typischerweise Geldbußen im unteren Hunderttausende-THB-Bereich nach sich, können aber bei wiederholten oder erschwerenden Verstößen schnell eskalieren.

Das Auffangnetz der strafrechtlichen Haftung

Anders als die DSGVO sieht der PDPA strafrechtliche Haftung für die schwerwiegendsten Verstöße vor, einschließlich der Freiheitsstrafe für Direktoren unter bestimmten Umständen. Die untergeordnete Vorschrift von 2024 klärte den Umfang der strafrechtlichen Haftung, und obwohl sie bis dato im Jahr 2026 nicht gegen ausländische Publisher angewendet wurde, prägt die Möglichkeit die Risikoanalyse für jede Organisation, die thailändische Daten in großem Umfang verarbeitet.

Durchsetzungsthemen

Die Maßnahmen des PDPC aus dem Jahr 2025 und dem frühen Jahr 2026 konzentrieren sich auf: mehrdeutige oder fehlende Einwilligungsbanner, fehlende Datenschutzmitteilungen auf Thai, grenzüberschreitende Übermittlungen ohne gültigen Mechanismus gemäß den Vorschriften von 2025, fehlende Reaktion auf Anfragen betroffener Personen innerhalb des 30-Tage-Fensters und fehlende DPO-Benennungen für Verantwortliche im Anwendungsbereich. Ausländische Publisher wurden in allen fünf Kategorien zitiert.

Prüfliste für den Thai-Datenverkehr im Jahr 2026

• Das CMP-Banner wird auf Thai mit ยอมรับ, ปฏิเสธ und ตั้งค่า bei gleicher visueller Prominenz ausgespielt
• Einwilligungszwecke sind granular und trennen die Verarbeitung besonderer Kategorien hinter einem eigenen Einwilligungsablauf ab
• Die Datenschutzmitteilung ist auf Thai verfügbar mit vollständiger Offenlegung von Verantwortlichem, Auftragsverarbeitern, Zwecken, Speicherdauer, Rechten und DPO-Kontakt
• Grenzüberschreitende Übermittlungen stützen sich auf vom PDPC genehmigte Standardvertragsklauseln, einen Angemessenheitsbeschluss, BCRs, Zertifizierungen oder eine dokumentierte Ausnahme
• Einwilligungsprotokolle sind zeitgestempelt, exportierbar und für den anwendbaren Zeitraum aufbewahrt
• Der Arbeitsablauf für Anfragen betroffener Personen kann auf Thai von Anfang bis Ende innerhalb von 30 Tagen antworten
• Ein DPO ist dort benannt, wo er erforderlich ist, und die Kontaktdaten sind in der Datenschutzmitteilung veröffentlicht
• Die Anbieterliste wurde auf Notwendigkeit geprüft, wobei ungenutzte oder redundante Anbieter entfernt wurden, um die grenzüberschreitende Übermittlungsfläche zu reduzieren
• Zielgruppensegmente besonderer Kategorien sind hinter ausdrücklicher, separat erfasster Einwilligung abgesichert
• Das Runbook zur Meldung von Datenschutzverletzungen ist auf die Meldefristen des PDPA abgestimmt

Der Ausblick für 2026

Thailands Datenschutzregime hat sich von einem Basisgesetz mit begrenzter operationeller Spezifizität zu einem Regime mit den untergeordneten Vorschriften, der Durchsetzungskapazität und dem politischen Willen entwickelt, um bedeutsam durchgesetzt zu werden. Die Vorschriften für grenzüberschreitende Übermittlungen von 2025 schlossen die folgenreichste strukturelle Lücke, und die frühe Durchsetzungshaltung des PDPC ist konsistent mit einem ernsthaften Regulierer, der sich in der Mitte einer Skalierung befindet, und nicht mit einem, der still bleiben wird. Für Publisher, die bereits einen Einwilligungsstack auf DSGVO-Niveau betreiben, ist die Lücke bis zur PDPA-Konformität operativ und nicht architektonisch: Thai-sprachige CMP und Datenschutzmitteilung, vom PDPC genehmigte Übermittlungsmechanismen, der 30-Tage-Antwortrhythmus, DPO-Benennung wo erforderlich und Sorgfalt mit der umfassenderen Liste sensibler Daten des PDPA. Die Lücke kann in Wochen geschlossen werden, wenn sie priorisiert wird — und Thailand ist ein bedeutender südostasiatischer Markt, so dass die Priorisierung sich typischerweise schnell auszahlt. Publisher, die Thailand bis 2024 als einen eher leichten Markt behandelt haben, finden 2026 erheblich anspruchsvoller, und der Trend ist klar.