Ihre deutschsprachige Rechtsanwaltskanzlei in Thailand
CBBL Rechtsanwalt Dr. Andreas Respondek, Kanzlei Respondek & Fan, Bangkok
Dr. Andreas Respondek
Rechtsanwalt
Respondek & Fan
Bangkok

Aktuelles zum thailändischen Wirtschaftsrecht

Zertifizierungssystem für verbindliche Unternehmensregeln in Thailand eingeführt

Veröffentlicht am 08.12.2025

Von unserem deutschsprachigen CBBL-Anwalt in Bangkok, Herrn Rechtsanwalt Dr. Andreas Respondek, respondek@cbbl-lawyers.de, Tel. +66 2 635 5498, www.rflegal.com sowie Ms. Sutthida Norasarn und Ms. Mooknapa Kliengsong


Am 29. September 2025 veröffentlichte die thailändische Datenschutzbehörde PDPC (Personal Data Protection Committee) die Vorschriften zur Überprüfung und Zertifizierung verbindlicher Unternehmensregeln B.E. 2568 (2025) („Vorschriften“). Die neuen Vorschriften präzisieren die Verfahren und Kriterien der PDPC-Behörde für die Überprüfung und Zertifizierung verbindlicher Unternehmensregeln („BCR“) gemäß Abschnitt 29 des thailändischen Gesetzes zum Schutz personenbezogener Daten B.E. 2562 (2019) (Personal Data Protection Act, PDPA).

Die neuen Vorschriften gelten für die grenzüberschreitende Übermittlung personenbezogener Daten aus Thailand durch in Thailand ansässige Datenexporteure an Datenempfänger im Ausland, die derselben Unternehmensgruppe oder demselben Konzern angehören. Sie sollen konzerninterne internationale Datenübermittlungen erleichtern, unabhängig davon, ob das Zielland vom thailändischen Ausschuss für den Schutz personenbezogener Daten als Land mit einem angemessenen Schutzniveau für personenbezogene Daten eingestuft wurde oder nicht.

Im Zusammenhang mit dieser Entwicklung hat das PDPC-Büro am 30. September 2025 zwei in Thailand tätigen Unternehmen die BCR (Binding Corporate Rules) -Zertifizierung erteilt. Dies ist der erste konkrete Fortschritt seit im März 2024 die Mitteilung des PDPC in Kraft getreten ist, in der die Kriterien für den Schutz personenbezogener Daten, die gemäß Abschnitt 29 des PDPA B.E. 2566 (2023) ins Ausland übermittelt oder übertragen werden, festgelegt wurden.

Die wichtigsten Punkte der neuen Vorschriften sind im Folgenden zusammengefasst:

1. Klassifizierung von BCR (Binding Corporate Rules) in Thailand

BCR werden in Thailand in zwei Hauptkategorien unterteilt:

  • BCR für Datenverantwortliche (BCR-C)
  • BCR für Datenverarbeiter (BCR-P)

Die relevante Kategorie muss bei der Einreichung der BCR beim thailändischen PDPC-Büro zur Prüfung und Zertifizierung ausdrücklich angegeben werden.

2. Dokumentationsanforderungen für BCR-Antragsteller in Thailand

Antragsteller müssen ihren BCR-Antrag zusammen mit allen Begleitunterlagen in thailändischer Sprache erstellen und einreichen. Eine Standardvorlage für den Antrag wird möglicherweise in Zukunft vom PDPC-Büro zur Verfügung gestellt. Wenn Begleitunterlagen in einer Fremdsprache verfasst sind, muss ihnen eine beglaubigte thailändische Übersetzung beigefügt werden, die entweder von einem Notar oder einer anderen qualifizierten Person beglaubigt wurde. Zu den Begleitunterlagen können unter anderem rechtsverbindliche Instrumente wie konzerninterne Vereinbarungen oder eine Liste der unter die BCR fallenden Unternehmen gehören.

3. Beschleunigtes Antragsverfahren, wenn bereits eine BCR-Genehmigung vorliegt (z.B. gemäß EU- oder britischen DSGVO)

Organisationen, die zuvor bereits eine BCR-Genehmigung gemäß der EU- oder britischen DSGVO oder von einer von der PDPC gemäß Abschnitt 28 anerkannten Gerichtsbarkeit erhalten haben, können ihren Antrag im Rahmen eines beschleunigten Verfahrens einreichen. Um sich zu qualifizieren, müssen Antragsteller die erforderlichen Unterlagen vorlegen, darunter den Nachweis der BCR-Genehmigung durch die zuständige Aufsichtsbehörde und einen thailändischen BCR-Nachtrag. Der Nachtrag muss mindestens die folgenden Elemente enthalten:

  • Liste der haftbaren BCR-Mitglieder: Thailändische Unternehmen innerhalb der Unternehmensgruppe, die in den BCR ausdrücklich als verantwortlich für die Behebung und Wiedergutmachung von Schäden benannt sind, die durch Verstöße gegen die BCR durch andere Gruppenmitglieder außerhalb Thailands entstehen.
  • Bestätigung der Rechte Dritter: Gewährleistung, dass betroffene Personen in Thailand das Recht haben, Beschwerden einzureichen und die Durchsetzung der BCR zu verlangen.
  • Anerkennung der thailändischen Gerichtsbarkeit: Anerkennung der PDPC-Behörde als Aufsichtsbehörde und der thailändischen Gerichte als für relevante Angelegenheiten zuständig.
  • Zusätzliche Compliance-Bestimmungen: Klarstellung oder Aufnahme aller Bestimmungen, die zur Gewährleistung der vollständigen Einhaltung des PDPA und der damit verbundenen Vorschriften erforderlich sind.

4. Wichtige Kriterien für die BCR-Zertifizierung in Thailand

Für die BCR-Zertifizierung bewertet das PDPC-Büro die folgenden wichtigen Aspekte:

  • Rechtsverbindlichkeit: Die BCRs müssen Mechanismen enthalten, die sicherstellen, dass sie sowohl innerhalb der Unternehmensgruppe als auch in ihren ausländischen Niederlassungen rechtlich durchsetzbar sind.
  • Durchsetzbarkeit: Die BCR müssen klare, überprüfbare Maßnahmen vorsehen, um eine ordnungsgemäße Umsetzung und Einhaltung innerhalb der gesamten Organisation zu gewährleisten.
  • Zusammenarbeit: Alle Mitglieder der Unternehmensgruppe müssen mit dem PDPC-Büro in Thailand zusammenarbeiten und die geltenden gesetzlichen Anforderungen einhalten. Im Falle von BCR, die für Auftragsverarbeiter gelten (BCR-P), sollten die Regeln ausdrücklich die Pflicht des Auftragsverarbeiters festlegen, den für die Verarbeitung Verantwortlichen bei der Einhaltung der einschlägigen Gesetze zu unterstützen.
  • Rechte der betroffenen Personen: Die BCR müssen gewährleisten, dass die betroffenen Personen ihre Rechte ausüben können und Zugang zu Beschwerdemechanismen haben.
  • Maßnahmen zum Schutz personenbezogener Daten: Die BCR müssen die Einhaltung der Grundsätze des Schutzes personenbezogener Daten nach geltendem Recht, einschließlich der Grundprinzipien des Datenschutzes und angemessener Sicherheitsvorkehrungen, klar widerspiegeln.
  • Rechenschaftspflicht: Die BCR müssen Mechanismen zur Rechenschaftspflicht festlegen, wie z. B. die Führung von Aufzeichnungen über Verarbeitungsaktivitäten und die Umsetzung von Richtlinien zur Risikobewertung.

Angesichts dieser Entwicklungen sowie der jüngsten Genehmigungen durch das thailändische PDPC-Amt und der Veröffentlichung offizieller Leitlinien gemäß den neuen Vorschriften, werden BCR in Thailand zunehmend als praktische und strategische Lösung für die grenzüberschreitende Übermittlung personenbezogener Daten innerhalb von Unternehmensgruppen anerkannt. Unternehmen, die den Einsatz von BCR für internationale Datenübermittlungen in Betracht ziehen, sollten interne Bewertungen durchführen, um die Einhaltung der aktualisierten Anforderungen sicherzustellen.


Dieser Artikel soll einen allgemeinen Überblick geben und stellt keine Rechtsberatung dar. Wenn Sie Fragen haben oder maßgeschneiderte Rechtsberatung benötigen, wenden Sie sich bitte an das Team von Respondek & Fan.

Sie haben weitere Fragen zur Einführung des Zertifizierungssystem für verbindliche Unternehmensregeln in Thailand?

Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Bangkok, Herr Rechtsanwalt Dr. Andreas Respondek, berät Sie gerne: respondek@cbbl-lawyers.de, Tel. +66 2 635 5498


News weltweit
Rechtsnews Thailand
Recht und Steuern Thailand

Das neue CBBL Video


Kontakt

Tel. +49 - 7221 - 922 866 0

mail@cbbl-lawyers.de

Newsletter bestellen

Anschrift

CBBL Cross Border Business Law AG

Schützenstraße 7

D-76530 Baden-Baden

Rechtliche Hinweise

Impressum

Datenschutz

Haftungsausschluss

Folgen Sie uns

LinkedIn Icon Instagram Icon

© Cross Border Business Law AG