Thailand · PDPA 2019WordPress-Hosting mit PDPA-(Thailand)-plugin in der Plattform integriert.
Ausdrückliche Einwilligung, Datenschutz-Portal, Workflow für Betroffenenanfragen und unterzeichnete DPA — übernommen vom compliance-MU-plugin von Yovale. Die PDPA greift bei jedem Unternehmen, das Waren, Dienstleistungen oder Monitoring an Personen in Thailand richtet — unabhängig davon, wo die Site gehostet wird. Yovale erledigt das auf jeder Site, in jedem Plan.
Wir nutzen cookies und ähnliche Werkzeuge, um Traffic zu messen und die Site zu verbessern. Unter der PDPA Thailands entscheidest du, was zugelassen wird. Nichts Nicht-Essentielles läuft, bevor du zustimmst.
Sechs Pflichten, die du erfüllen musst.
Der Personal Data Protection Act B.E. 2562 (2019), in Thailand seit dem 1. Juni 2022 in Kraft und von der PDPC Thailand durchgesetzt, gibt thailändischen Betroffenen durchsetzbare Rechte über ihre persönlichen Daten. Er gilt extraterritorial: Wer Waren oder Dienstleistungen an Personen in Thailand anbietet oder deren Verhalten überwacht, fällt in den Anwendungsbereich, auch wenn das Unternehmen außerhalb des Landes sitzt. Strukturell stark an die GDPR angelehnt, aber mit strengeren Einwilligungsregeln für sensible Daten.
- 01
Ausdrückliche Einwilligung
Besucher müssen aktiv zustimmen, BEVOR du analytics, ad-pixel oder irgendein nicht-essentielles script lädst. Die Einwilligung muss frei, spezifisch, informiert und nachweisbar sein. Sensible Daten (Gesundheit, Biometrie, Religion, Vorstrafen) erfordern eine gesonderte ausdrückliche Einwilligung.
- 02
Rechtsgrundlage & Zweckbindung
Jede Verarbeitung braucht eine dokumentierte Rechtsgrundlage nach den Abschnitten 24 und 26 der PDPA. Du nennst den Zweck bei der Erhebung und verwendest die Daten nicht später für unverbundene Zwecke.
- 03
Rechte der Betroffenen
Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung. Thailändische Betroffene können diese Rechte schriftlich oder elektronisch geltend machen; du hast 30 Tage Zeit, zu reagieren.
- 04
72-Stunden-Meldung von Datenpannen
Melde der PDPC Thailand innerhalb von 72 Stunden nach Kenntnisnahme einer Verletzung des Schutzes personenbezogener Daten. Bei voraussichtlich hohem Risiko für die Betroffenen musst du diese außerdem unverzüglich benachrichtigen.
- 05
DPO-Bestellung für große Verarbeiter
Ein Data Protection Officer ist Pflicht, wenn Kerntätigkeiten umfangreiche Verarbeitungen, regelmäßige systematische Überwachung oder die Verarbeitung sensibler Daten umfassen. Der DPO ist Ansprechpartner für die PDPC Thailand und für die Betroffenen.
- 06
Regeln für grenzüberschreitende Übermittlungen
Übermittlungen personenbezogener Daten aus Thailand erfordern ein angemessenes Datenschutzniveau, eine ausdrückliche Einwilligung, Standardvertragsklauseln, verbindliche interne Datenschutzvorschriften oder einen anderen rechtmäßigen Mechanismus unter der PDPA-Meldung für grenzüberschreitende Übermittlungen.
In der Plattform eingebaut. Kein plugin, das du installierst.
Yovale liefert PDPA-(Thailand)-compliance als signiertes must-use-plugin — Teil des hostings selbst, nichts, was du aus dem WordPress-Repository installierst. Es ist versions-gepinnt, wird von R2 mit SHA-256-Verifizierung geholt und beim Provisioning in ein pro Site bind-gemountetes mu-plugins-Verzeichnis abgelegt. Updates kommen über denselben Kanal wie deine hosting-Updates.
Banner für ausdrückliche Einwilligung
Geo-bewusst. Besucher aus Thailand sehen ausdrückliche opt-in-Flows, die den PDPA-Anforderungen entsprechen, mit einer separaten Abfrage für sensible Kategorien. GDPR-, CCPA-, DPDPA- und PIPL-Besucher sehen jeweils ihre Variante. Wird in 8 Sprachen ausgespielt. Im dashboard konfigurierbar.
Datenschutz-Portal
/.well-known/privacy auf jeder Yovale-Site. Thailändische Betroffene sehen, exportieren, beschränken oder löschen ihre Daten ohne Support-Ticket. Jede Anfrage landet im Compliance-Tab des dashboards mit einem 30-Tage-SLA-Timer.
Audit log
Jede erteilte, widerrufene oder geänderte Einwilligung wird auf der Cloudflare-edge-worker-Ebene protokolliert. Manipulationssicher, abfragbar, über die PDPA-Verjährungsfrist hinweg aufbewahrt — damit du Nachweise erbringen kannst, wenn die PDPC Thailand danach fragt.
Unterzeichnete DPA
Vorab unterzeichnete Auftragsverarbeitungsvereinbarung im Sinne des PDPA-Verantwortlicher-Verarbeiter-Modells. Listet jeden Unterauftragsverarbeiter (Cloudflare, Anexia, R2), Datenflüsse, Sicherheitsmaßnahmen und die 72-Stunden-Meldepflicht. PDF-Download für deine Unterlagen.
Warum Infrastruktur ein plugin schlägt.
Typisches WordPress-PDPA-plugin
- 200-500ms zusätzlich pro Seitenaufruf (banner-JS, cookie-scan, DB-Schreibvorgänge)
- Speichert Einwilligungsdatensätze in wp_options — langsam, untypisiert, bricht mit object caching
- Updates über wp-admin — du wartest es, du brichst es, du debuggst Konflikte
- Kostet $49-119/Jahr pro Site (Complianz, CookieBot, regionale Thai-Anbieter)
- Bricht beim Hoster-Wechsel; Einwilligungshistorie geht verloren
Der eingebaute Ansatz von Yovale
- 0ms Latenz — Einwilligungs-Status am edge worker berechnet, im CDN gecached
- Audit log in einer eigenen Datenbank, abfragbar, blockiert nie das Rendern
- Updates kommen über die Plattform — du siehst sie nicht, du brichst sie nicht
- In jedem Plan enthalten ($149 / $249 / $499 pro Jahr), keine Compliance-Gebühren pro Site
- Wandert mit deiner Site für immer mit — die Einwilligungshistorie gehört dir zum Export
14 regelwerke. je ein schalter. alles automatisch.
- Ausdrückliche Einwilligung für die Verarbeitung
- Rechtsgrundlage nach den Abschnitten 24 und 26
- 72-Stunden-Meldung an die PDPC Thailand
- Recht auf Löschung und Widerruf der Einwilligung
- Mechanismus für grenzüberschreitende Übermittlungen
PDPA (Thailand) + Yovale, beantwortet.
Mein Unternehmen sitzt nicht in Thailand — gilt die PDPA trotzdem?
Wenn du Waren oder Dienstleistungen an Personen in Thailand anbietest oder deren Verhalten beobachtest (analytics, ad-targeting, retargeting), ja. Section 5 der PDPA verleiht ihr extraterritoriale Reichweite, vergleichbar mit Article 3 der GDPR. Ob Unternehmen, server oder Team in Thailand sitzen oder nicht, ist unerheblich.
Wie unterscheidet sich die PDPA von der GDPR?
Die PDPA ist strukturell stark an die GDPR angelehnt — Verantwortlicher- und Verarbeiter-Rollen, Betroffenenrechte, Meldung von Datenpannen, DPO-Bestellung — die Erfahrungen lassen sich also weitgehend übertragen. Wesentliche Unterschiede: Eine ausdrückliche Einwilligung ist in mehr Fällen erforderlich, sensible Daten brauchen eine gesonderte ausdrückliche Einwilligung, und die Sanktionen umfassen administrative Bußgelder bis THB 5 million plus strafrechtliche Konsequenzen bis zu einem Jahr Freiheitsstrafe.
Brauche ich einen Data Protection Officer?
Ein DPO ist Pflicht, wenn deine Kerntätigkeiten umfangreiche Verarbeitungen, regelmäßige systematische Überwachung von Betroffenen oder sensible personenbezogene Daten (Gesundheit, Biometrie, Religion, Rasse, Vorstrafen) umfassen. Die meisten kleinen WordPress-Sites brauchen keinen — eine thailändische E-Commerce- oder Gesundheits-Plattform schon.
Funktioniert das auch für nicht-thailändische Besucher?
Ja. Das compliance-System ist geo-bewusst. Besucher aus Thailand sehen PDPA-Flows mit ausdrücklicher Einwilligung. EU-Besucher sehen GDPR-opt-in-Flows. US-Besucher sehen CCPA-opt-out-Flows. Dasselbe hosting handhabt jede Verordnung automatisch — keine zusätzliche Konfiguration pro Region.
Was passiert bei einer Betroffenenanfrage aus Thailand?
Besucher erledigen die meisten Anfragen selbst über das Datenschutz-Portal unter /.well-known/privacy auf deiner Domain. Anfragen mit menschlicher Prüfung (individuelle Löschung, komplexe Auskunftsersuchen, Einschränkung der Verarbeitung) siehst du im Compliance-Tab deines dashboards mit einem 30-Tage-SLA-Timer, der zum PDPA-Antwortfenster passt.
Ist die DPA am PDPA-Verantwortlicher-Verarbeiter-Modell ausgerichtet?
Ja. Die vorab unterzeichnete Auftragsverarbeitungsvereinbarung steht im dashboard als PDF-Download bereit. Wir sind Auftragsverarbeiter, du bist der Verantwortliche. Sie deckt alle Unterauftragsverarbeiter (Cloudflare, Anexia, R2), die 72-Stunden-Meldepflicht gegenüber der PDPC Thailand und die angewendeten Sicherheitsmaßnahmen ab.
Eine PDPA-konforme WordPress-Site in 60 Sekunden live.
Jede Yovale-Site ist ab dem Deployment PDPA-bereit. Kein plugin zum Installieren. Keiner DPA hinterherrennen. Kein banner zu konfigurieren. Starte den Growth-Test und sieh dir dein erstes Compliance-dashboard an.