Der Digital Personal Data Protection Act 2023 Indiens

Datenschutz und Verantwortung im digitalen Zeitalter Indiens: In einer zunehmend digitalisierten Welt, in der persönliche Daten einen immer wichtigeren Stellenwert einnehmen, ist der Schutz personenbezogener Daten von immer größerer Bedeutung. Indiens Präsident hat sich diesem globalen Trend angeschlossen und hat am 11. August 2023 dem Digital Personal Data Protection Act (DPDP), dem ersten umfassenden indischen Gesetz zum Schutz von persönlichen Daten von Einzelpersonen, zugestimmt.

Anwendungsbereiche des DPDP

Dieses Gesetz umfasst grundsätzlich alle Einrichtungen, welche unabhängig von Größe oder Standort sowohl digital als auch analog personenbezogene Daten in irgendeiner Form innerhalb Indiens verarbeiten. Auch im Rahmen des Waren- oder Dienstleistungsangebotes ins Ausland findet das Gesetz Anwendung, nämlich immer dann, wenn personenbezogene Daten an Kunden übermittelt werden, welche der DSGVO unterliegen.

Trotzdem gewährt die Regierung Indiens innerhalb des Gesetzes auch einige Ausnahmen. Diese können teilweise bezüglich verschiedener Einzelheiten im Laufe der Zeit variieren, teilweise gibt es auch fixe und allgemein verbindliche Ausnahmen, wie beispielsweise folgende:

• Die Regierung kann sich selbst und weitere staatliche Stellen von den Verpflichtungen des DPDP bei Angelegenheiten der Strafverfolgung befreien.
• Die Regierung kann Datenverarbeiter unter Berücksichtigung von Art und Umfang der Daten befreien, wenn es öffentlich zugängliche Daten umfasst oder die Verarbeitung zu Forschungs- und Statistikzwecken im Vordergrund stehen.

Schlüsselbestimmungen des DPDP

Innerhalb des Gesetzes wird sich hauptsächlich auf zwei Rechtsgrundlagen konzentriert:

1. Einwilligung:

• Eine der wichtigsten Bestimmungen des DPDP ist die Einholung ausdrücklicher Zustimmung der Nutzer zur Verarbeitung ihrer persönlichen Daten. Dies bedeutet, dass Unternehmen und Organisationen die Zustimmung der Betroffenen einholen müssen, bevor sie deren Daten verwenden dürfen.

2. Rechtmäßige Verwendungszwecke:

• Daten werden von den Betroffenen freiwillig zur Verfügung gestellt
• Erfüllung gesetzlicher Aufgaben
• Medizinische Notfälle
• Spezifiziertes öffentliches Interesse und nationale Sicherheit
• Betrugsbekämpfung und Informationssicherheit

Zudem werden innerhalb des Gesetzes auch weitere zusätzliche Regelungen zur Verarbeitung getroffen:

• Datentransfer ins Ausland: Der DPDP enthält Regelungen zur Übertragung von Daten ins Ausland. Daten können nur an ausländische Unternehmen übertragen werden, die bestimmte (noch nicht konkretisierte) Datenschutzstandards erfüllen.
• Rechte der Betroffenen: Das Gesetz stärkt die Rechte der Betroffenen, einschließlich des Rechts auf Zugang/Auskunft zu ihren Daten sowie deren Verarbeitung, Berichtigung von Fehlinformationen und das Recht auf Vergessenwerden/Löschung. Zudem sieht das indische Recht vor, eine andere Person zur Ausübung der Rechte im Fall des Todes oder der Geschäftsunfähigkeit benennen zu dürfen.
• Datenschutzaufsicht: Der DPDP sieht die Schaffung einer unabhängigen Datenschutzaufsichtsbehörde vor, die die Einhaltung des Gesetzes überwacht und Verstöße ahnden wird.

Auswirkungen auf Unternehmen

Die Einführung des DPDP hat erhebliche Auswirkungen auf Unternehmen. Diese Unternehmen müssen nun erhebliche Anstrengungen unternehmen, um sicherzustellen, dass sie die Datenschutzbestimmungen einhalten. Dies umfasst:

• Wahrung der Rechte der Betroffenen
• Sicherstellung der Richtigkeit und Vollständigkeit
• Angemessene Sicherheitsvorkehrungen
• Speicherbegrenzung
• Verarbeitung nach einer wirksamen Rechtsgrundlage

Darüber hinaus ist es möglich, durch die Regierung zu einem sogenannten „wichtigen Datenverarbeiter“ eingestuft zu werden. In diesem Falle liegt eine Verarbeitung mit einem erhöhten Risiko für die Rechte und Freiheiten Betroffener vor und weitere Verpflichtungen zur Verarbeitung müssen beachtet werden:

• Ernennung eines Datenschutzbeauftragten
• Ernennung eines Datenprüfers
• Erstellung von Datenschutzfolgeabschätzungen

Potenziell drohende Sanktionen

Neben dem gewährten Schutz sowie den einzelnen zugesprochenen Rechten beinhaltet das Gesetz auch Sanktionen bei Verstößen. Diese können jedoch nicht nur die verarbeitenden Einrichtungen treffen, sondern im Zweifel auch Privatpersonen selbst.  
Bewusst falsche oder leichtfertige Beschwerden können hierbei beispielsweise mit einer Geldbuße von bis zu 10.000 INR (ca. 115 Euro) geahndet werden.

Unternehmen drohen dabei im Zweifel bei Verstößen eine Geldbuße von 10.000 (115 €) bis zu 2500 Millionen INR (knapp 30.000.000 €).

Vergleich mit der DSGVO

Obwohl die DPDPA der DSGVO ähnelt, weist sie mehrere einzigartige Merkmale auf. Im direkten Vergleich mit der DSGVO lassen sich folgende Schlussfolgerungen ziehen:

Fazit

Der DPDP bietet Chancen für den Schutz der Privatsphäre der Bürger Indiens und trägt zur Schaffung eines vertrauenswürdigen digitalen Ökosystems bei. So dient er dazu, das Vertrauen der internationalen Gemeinschaft in Indiens Fähigkeit zur Gewährleistung des Datenschutzes zu stärken. Dies könnte potenziell die Grundlage für einen Angemessenheitsbeschluss bzgl. des Austauschs von Datenschutzinformationen mit der EU darstellen. Dabei ist jedoch noch die Ausgestaltung einzelner Umsetzungsregelungen für relevante Bestimmungen des DPDP von Bedeutung. Werden diese jedoch wie vorgesehen umgesetzt, kann man davon ausgehen, dass die Mitgliedsstaaten der Europäischen Union das indische Recht gem. Art. 45 DSGVO für ein Drittland mit angemessenem Schutzniveau festlegen.

Sollten Sie Fragen oder Hilfe bei der Umsetzung des neuen indischen Datenschutzrechts benötigen, stehen wir Ihnen sehr gerne zur Seite.