Ihre deutschsprachige Rechtsanwaltskanzlei in Thailand
CBBL Rechtsanwalt Dr. Andreas Respondek, Kanzlei Respondek & Fan, Bangkok
Dr. Andreas Respondek
Rechtsanwalt
Respondek & Fan
Bangkok

Aktuelles zum thailändischen Wirtschaftsrecht

Thailand führt einen Rahmen für verbindliche Unternehmensregeln für konzerninterne grenzüberschreitende Datenübermittlungen ein

Veröffentlicht am 04.04.2026

Von unserem deutschsprachigen CBBL-Anwalt in Bangkok:

Dr. Andreas Respondek
Rechtsanwalt

zum Autor
 
sowie Ms. Sutthida Norasarn und Ms. Mooknapa Kliengsong

Thailand hat mit der Einführung der Verordnung über die Prüfung und Zertifizierung verbindlicher Unternehmensregeln innerhalb desselben verbundenen Unternehmens oder derselben Unternehmensgruppe B.E. 2568 (2025) (die BCR-Verordnung) einen bedeutenden Schritt zur Stärkung seines Datenschutzsystems unternommen.

Die Verordnung, die vom thailändischen Amt des Ausschusses für den Schutz personenbezogener Daten (Personal Data Protection Committee, PDPC) erlassen wurde und am 17. Februar 2026 in Kraft getreten ist, schafft einen formellen Mechanismus zur Zertifizierung verbindlicher Unternehmensregeln (Binding Corporate Rules, BCR) als rechtmäßige Grundlage für grenzüberschreitende Datenübermittlungen gemäß dem Gesetz zum Schutz personenbezogener Daten B.E. 2562 (2019) („PDPA“).

1. Rolle und Funktion von verbindlichen Unternehmensregeln (BRC) in Thailand

BCR sind interne Datenschutzrichtlinien, die von multinationalen Unternehmensgruppen verabschiedet werden, um die Übermittlung personenbezogener Daten zwischen verbundenen Unternehmen in verschiedenen Rechtsordnungen zu regeln. Ihr Hauptzweck besteht darin, sicherzustellen, dass alle Unternehmen innerhalb der Gruppe ein einheitliches und durchsetzbares Datenschutzniveau anwenden, unabhängig davon, wo die Daten verarbeitet werden.

Gemäß der thailändischen BCR-Verordnung ist die Anwendung von BCR auf konzerninterne Übermittlungen beschränkt, die zu internen Geschäftszwecken erfolgen. Alle beteiligten Unternehmen müssen an dieselben Regeln gebunden sein, die rechtlich durchsetzbar sein und mit den im thailändischen Personal Data Protection Act (PDPA) festgelegten Standards im Einklang stehen müssen.

2. Zulassungsvoraussetzungen für eine BCR-Zertifizierung in Thailand und Antragsanforderungen

Um eine BCR-Zertifizierung in Thailand zu beantragen, muss der Antragsteller ein in Thailand eingetragenes Unternehmen mit physischer Präsenz im Land sein und Teil eines verbundenen Unternehmens oder einer Unternehmensgruppe sein. Befindet sich der Hauptsitz der Gruppe außerhalb Thailands, kann ein lokales Unternehmen der Gruppe benannt werden, um den Antrag einzureichen und die Verantwortung für die Einhaltung der Vorschriften in Thailand zu übernehmen.

Die Verordnung unterscheidet zwischen BCR, die für Datenverantwortliche gelten (BCR-C), und solchen, die für Datenverarbeiter gelten (BCR-P). Nach Einreichung eines Antrags ist das PDPC verpflichtet, innerhalb von 180 Tagen eine Entscheidung zu treffen. Nach der Zertifizierung bleiben die BCR auf unbestimmte Zeit gültig, sofern sie nicht später geändert oder widerrufen werden.

3. Kernbewertungskriterien für BCR-Anträge in Thailand

Das PDPC bewertet BCR-Anträge anhand mehrerer Schlüsselkriterien. Dazu gehört, ob die Regeln für alle beteiligten Unternehmen rechtsverbindlich sind, ob sie in der Praxis durchsetzbar sind und ob sie ausreichende Garantien für den Schutz personenbezogener Daten bieten.

Antragsteller müssen nachweisen, dass wirksame interne Kontrollen vorhanden sind, wie z. B. Systeme zur Überwachung der Einhaltung, Prüfmechanismen und Verfahren für Korrekturmaßnahmen. Darüber hinaus müssen BCR klare Verpflichtungen zur Zusammenarbeit mit dem PDPC und, im Falle von Auftragsverarbeitern, mit den zuständigen Datenverantwortlichen festlegen.

Die Verordnung verlangt zudem, dass BCR angemessene Schutzmaßnahmen für betroffene Personen enthalten, einschließlich Mechanismen zur Bearbeitung von Beschwerden und zur Durchsetzung von Rechten. Technische und organisatorische Sicherheitsmaßnahmen müssen den PDPA-Standards entsprechen, und Mechanismen zur Rechenschaftspflicht, wie beispielsweise Aufbewahrungspflichten und Risikobewertungen, müssen klar in das Rahmenwerk integriert sein.

4. Wechselwirkung mit GDPR-Rahmenwerken

Für Unternehmen, die bereits BCR gemäß der EU-Datenschutz-Grundverordnung (GDPR) implementiert haben, bietet das thailändische System ein gewisses Maß an Flexibilität. Bestehende, nach der DSGVO genehmigte BCR können als Grundlage für die Zertifizierung in Thailand dienen, sofern die gemäß der BCR-Verordnung erforderlichen zusätzlichen Unterlagen eingereicht werden. Dieser Ansatz soll Doppelarbeit reduzieren und die Angleichung zwischen den Rechtsordnungen erleichtern.

5. Praktische Auswirkungen für die Legitimierung konzerninterner grenzüberschreitender Datenübermittlung nach thailändischem Recht

Die Einführung der BCR-Verordnung bietet Unternehmen einen strukturierten und zuverlässigen Weg zur Legitimierung konzerninterner grenzüberschreitender Datenübermittlungen nach thailändischem Recht. Die Erlangung der Zertifizierung erfordert jedoch eine sorgfältige Vorbereitung. Insbesondere sollten Organisationen sicherstellen, dass ihre BCR klar formuliert, rechtlich durchsetzbar und durch solide Governance- und Compliance-Rahmenwerke gestützt sind.

Für multinationale Konzerne stellt diese Entwicklung eine Gelegenheit dar, Datenschutzpraktiken über Rechtsordnungen hinweg zu harmonisieren und gleichzeitig die Einhaltung lokaler regulatorischer Anforderungen sicherzustellen.

6. Fazit

Die BCR-Verordnung markiert eine wichtige Entwicklung in Thailands Datenschutzlandschaft durch die Einführung eines formellen Zertifizierungssystems für konzerninterne Datenübermittlungen.

Das Rahmenwerk bietet eindeutige praktische Vorteile, insbesondere für Organisationen mit bestehenden globalen Compliance-Strukturen, doch hängt eine erfolgreiche Zertifizierung von der Stärke, Klarheit und Durchsetzbarkeit der internen Datenschutzrichtlinien des Antragstellers ab.

Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Falls Sie Fragen haben oder maßgeschneiderte rechtliche Unterstützung benötigen, wenden Sie sich bitte an das Team von Respondek & Fan.

Sie haben weitere Fragen zu den neuen verbindlichen Unternehmensregeln in Thailand für konzerninterne grenzüberschreitende Datenübermittlungen?

Sprechen Sie uns an!

Unser deutschsprachiger CBBL-Anwalt in Bangkok, Herr Rechtsanwalt Dr. Andreas Respondek, berät Sie gerne: respondek@cbbl-lawyers.de, Tel. +66 2 635 5498