Die Änderungen der indischen Datenschutzgesetze haben lange auf sich warten lassen. Eine Entscheidung des Obersten Gerichtshofs aus dem Jahr 2017 gab den Anstoß für eine Überarbeitung der Gesetzgebung, als er feststellte, dass der Datenschutz ein Grundrecht ist. Kurz darauf wurde ein Gesetzentwurf eingebracht, der zu jahrelangen Überprüfungen, mehreren Versionen und Debatten führte. Im August wurde das indische Gesetz zum Schutz digitaler personenbezogener Daten (Digital Personal Data Protection Act of 2023, DPDPA) vom Präsidenten gebilligt. Das Gesetz wurde nach dem Vorbild der EU-Datenschutzgrundverordnung (GDPR) entworfen. Ursprünglich sollte es strenger sein als die GDPR, aber das hat sich nicht bewahrheitet, da die endgültige Fassung des Gesetzes abgeschwächt wurde.

Da Indien einer der größten offenen Internetmärkte und ein wichtiger Knotenpunkt für Offshore-Outsourcing-Projekte ist, wird das Gesetz wahrscheinlich hohe Wellen schlagen und die globale Politik erheblich beeinflussen. Diejenigen, die unter den Geltungsbereich des DPDPA fallen, müssen sich schnell über die Verpflichtungen zur Einhaltung der Vorschriften informieren, da das Gesetz voraussichtlich im nächsten Sommer in Kraft treten wird. Ein genaues Datum ist noch nicht festgelegt worden.

Überblick

Im Folgenden finden Sie zehn wichtige Bestimmungen, die Unternehmen den Einstieg in die Einhaltung der Vorschriften erleichtern.
1.    Die Erhebung und Verarbeitung von Daten von in Indien ansässigen Personen gilt sowohl für im Land ansässige Organisationen als auch für Organisationen in anderen Ländern, die Waren und Dienstleistungen für indische Datensubjekte anbieten. Die Verbraucher haben die typischen Rechte, die auch in anderen Gesetzen zu finden sind, einschließlich des Rechts auf Auskunft, Zugang, Berichtigung und Löschung.

2.    Es gibt keine gesonderten Bestimmungen für die Verarbeitung sensibler Daten. Dies unterscheidet sich von der Datenschutz-Grundverordnung und einigen einzelstaatlichen Gesetzen in den USA, wie z. B. in Utah.

3.    Es gibt keine zusätzlichen Anforderungen für internationale Datenübertragungen mit Ausnahme einiger weniger eingeschränkter Länder. Die Zentralregierung wird eine Liste dieser Länder veröffentlichen. Andere Gesetze wie die Datenschutz-Grundverordnung erschweren die Situation, indem sie Angemessenheitsbeschlüsse, Folgenabschätzungen für die Übermittlung oder Vertragsklauseln für grenzüberschreitende Aktivitäten vorschreiben.  

4.    Es gibt begrenzte Ausnahmen, darunter öffentlich zugängliche Daten, fusionsbedingte Übertragungen und Umstrukturierungsübertragungen.

5.    Unternehmen benötigen eine ausdrückliche Zustimmung, bevor sie Daten verarbeiten können. Dies ist ein einzigartiges Merkmal, da andere Gesetze wie die DSGVO mehrere Optionen bieten. Die Nutzer können ihre Einwilligung jederzeit widerrufen. Es gibt enge Ausnahmen, darunter die Verarbeitung in medizinischen Notfällen und zu Beschäftigungszwecken.

6.    Organisationen müssen angemessene Sicherheitsvorkehrungen treffen, um Verstöße gegen personenbezogene Daten zu verhindern.

7.    Datentreuhänder müssen einen Datenschutzbeauftragten benennen und dessen Kontaktinformationen veröffentlichen, der sich mit Fragen oder Bedenken bezüglich der Verarbeitungstätigkeiten befassen kann.

8.    Eine Organisation kann den Status eines bedeutenden Datentreuhänders erhalten, der mit mehr Verpflichtungen verbunden ist. Zu den Faktoren, die bei dieser Entscheidung eine Rolle spielen, gehören der Umfang der verarbeiteten Daten, die Sensibilität, die Sicherheit, die öffentliche Ordnung, das Risiko für die Wahldemokratie und vieles mehr. Bedeutende Datentreuhänder müssen einen in Indien ansässigen Datenschutzbeauftragten und einen unabhängigen Datenprüfer benennen. Außerdem müssen sie in regelmäßigen Abständen Bewertungen durchführen.

9.    Die neue Durchsetzungsbehörde wird das Data Protection Board of India sein. Zu ihren Aufgaben gehören die Aufsicht über die Schadensbegrenzung, die Bearbeitung von Verbraucherbeschwerden und Untersuchungen. Geldstrafen für die Nichteinhaltung der Vorschriften können bis zu 30 Millionen US-Dollar pro Verstoß betragen.

10.    Nachdem ein Datentreuhänder zwei oder mehr Mal zu einer Geldstrafe verurteilt wurde, kann der Datenschutzausschuss dazu raten, den Zugang zu den Informationen in seinen Systemen zu sperren.

Dies ist nur eine Momentaufnahme der Verantwortlichkeiten, und wie immer müssen Unternehmen das Gesetz vollständig lesen, um alle Compliance-Verpflichtungen zu verstehen. Die Zentralregierung plant außerdem die Veröffentlichung zusätzlicher Vorschriften, die weitere Orientierungshilfen bieten und die Reichweite des DPDPA besser erfassen werden.

Tipps zur Einhaltung von Vorschriften

Die wachsende globale Datenschutzlandschaft schafft neue und manchmal widersprüchliche Verantwortlichkeiten. Wenn mehr Verpflichtungen entstehen, ist es entscheidend zu wissen, wo Überschneidungen und Abweichungen bestehen, um ein Compliance-Programm aufrechtzuerhalten, das die Anforderungen aller geltenden Gesetze erfüllt. Für die Organisationen, die der neuen indischen Gesetzgebung unterliegen und bereits über GDPR-zentrierte Programme verfügen, wird es eine ganze Reihe von Überschneidungen geben, die den Übergang reibungsloser gestalten. Wie oben dargelegt, gibt es jedoch erhebliche Unterschiede im Umgang mit indischen Verbraucherdaten zu beachten. Ein Anbieter mit Fachwissen im Bereich Datenschutz, der Informationsmanagement-Tools implementieren, Sicherheitsmängel aufdecken und gründliche Compliance-Pläne aufstellen kann, ist eine nützliche Ressource zur Unterstützung interner Teams.

Um bestmöglich vorbereitet zu sein, ist es jetzt unerlässlich, die Datenerhebungs- und -verarbeitungspraktiken zu überprüfen, um festzustellen, was nicht mit dem neuen Gesetz übereinstimmt. Nach der Identifizierung von Mängeln können Unternehmen nach Wegen suchen, um die Sicherheit, die Richtlinien und die Benachrichtigungsmaßnahmen zu verbessern. Ein großes Augenmerk sollte auf der Frage liegen, wie eine angemessene Zustimmung der betroffenen Personen eingeholt werden kann, da dies ein wesentliches Merkmal des Gesetzes ist, das sich von anderen globalen Richtlinien unterscheidet. Falls und solange die Zentralregierung keine Vorschriften zur Klärung dieser Bestimmung erlässt, werden die meisten Verarbeitungstätigkeiten eine ausdrückliche Zustimmung erfordern. Zu den weiteren Bereichen, die es zu beobachten gilt, gehören die Frage, inwieweit die Auslagerung von Aktivitäten einer Organisation nach Indien neue Pflichten und Rechte mit sich bringt, wie sich die Benennung bedeutender Datentreuhänder entwickelt und wie sich die Durchsetzung entwickelt.
Herausforderungen
Denken Sie auch daran, dass jedes Gesetz nicht nur seine eigenen Verpflichtungen zur Einhaltung der Vorschriften mit sich bringt, sondern auch Herausforderungen. Das indische Gesetz sieht eine niedrigere Hürde für internationale Übermittlungen vor, was sich darauf auswirken könnte, wo Unternehmen mit Sitz in den USA oder anderen Ländern mit einem weniger ausgeprägten Datenschutzumfeld geschäftlich tätig werden wollen. In China liegt das Hauptaugenmerk auf der nationalen Sicherheit, was es internationalen Organisationen, die mit vertraulichen Kundendaten zu tun haben, erschwert, Routinegeschäfte zu tätigen. Eine Anwaltskanzlei kann beispielsweise gezwungen sein, Kundendaten an die Regierung weiterzugeben, oder sie kann daran gehindert werden, Daten an Mitarbeiter in anderen Büros zu übermitteln.

Dies sind nur einige Beispiele für die differenzierten Herausforderungen, die Unternehmen bei der Festlegung von Compliance-Zielen und strategischen Geschäftsentscheidungen berücksichtigen müssen. Die wichtigsten Schlussfolgerungen? Die Kenntnis der Gesetze, die Zusammenarbeit mit Experten für die Einhaltung der Vorschriften und das Verständnis der besonderen Hindernisse, die jedes Gesetz mit sich bringt, helfen dabei, sich in der sich ständig verändernden globalen Datenschutzlandschaft zurechtzufinden.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.