Das indische Gesetz zum Schutz digitaler persönlicher Daten (DPDPA) verstehen

Der Digital Personal Data Protection Act ist die umfassendste Datenschutzverordnung in der Geschichte Indiens und stärkt die Datenschutzrechte von fast 1,5 Milliarden Menschen. Sie ersetzt das frühere Flickwerk an Datenschutzgesetzen des Landes, darunter:

• Abschnitt 43A und 87(2)(ob) des im Jahr 2000 erlassenen Information Technology Act.
• die 2011 in Kraft getretenen „Information Technology (Angemessene Sicherheitspraktiken und -verfahren und sensible personenbezogene Daten oder Informationen)“-Regeln.

Vor dem DPDPA gab es in Indien keinen einheitlichen Rechtsrahmen zur Regelung des Datenschutzes. Das begann sich 2017 zu ändern, als der Oberste Gerichtshof des Landes entschied, dass die Privatsphäre ein Grundrecht ist, was zu jahrelangen Beratungen und Verhandlungen über ein entsprechendes Gesetz führte.

Schließlich verabschiedete das indische Parlament am 11. August 2023 das DPDP-Gesetz nach etwas mehr als einer Woche abschließender Genehmigungsverfahren. Es gilt für alle Einrichtungen, die in Indien „digitale personenbezogene Daten” verarbeiten, unabhängig von ihrer Größe oder ihrem privaten Status.

Was sind digitale personenbezogene Daten?

Der PDPA enthält insbesondere den Begriff „digital” in seinem Namen, und das ist beabsichtigt. Im Gegensatz zu anderen Verordnungen konzentriert es sich speziell auf digitalisierte personenbezogene Daten, die das Gesetz als „Daten über eine Person, die verwendet werden können, um sie entweder durch oder in Verbindung mit diesen Daten zu identifizieren” definiert. Dazu gehören:

• Namen
• Adressen
• Telefonnummern 
• Geburtsdaten
• E-Mail-Adressen
• Bildung
• finanzielle Informationen
• medizinische Unterlagen
• Passwörter

Es gibt mehrere Ausnahmen, z. B. Daten, die aufgrund einer rechtlichen Verpflichtung öffentlich zugänglich gemacht werden, und Daten, die zu Forschungszwecken verarbeitet werden.

Wer muss die DPDPA-Verordnung einhalten?

Der DPDPA gilt für jede Organisation, die personenbezogene Daten innerhalb des indischen Hoheitsgebiets verarbeitet, wenn diese Informationen erfasst werden:

• in digitaler Form, oder;
• in nicht-digitaler Form, aber nachträglich digitalisiert

Darüber hinaus gilt der Gesetzentwurf wie andere wichtige Vorschriften auch extraterritorial. Dies bedeutet, dass sie auch für alle Unternehmen gilt, die personenbezogene Daten verarbeiten, um Waren oder Dienstleistungen in Indien anzubieten, unabhängig davon, wo die Datenerhebung stattfindet.

Die Nichteinhaltung des DPDPA kann erhebliche Strafen nach sich ziehen, darunter Geldbußen von bis zu 4 % des weltweiten Jahresumsatzes oder INR 250 Crores (ca. 30 Mio. USD), je nachdem, welcher Betrag höher ist.

Schauen wir uns die wichtigsten Begriffe, Rechte und Anforderungen des DPDPA an:

Definitionen im Rahmen des DPDPA

Das DPDP-Gesetz enthält mehrere einzigartige Begriffe, die sich von anderen wichtigen Vorschriften unterscheiden. Dazu gehören:

• Datenschutzbeauftragte: Dazu gehören alle Stellen, die für die Erfassung und Verarbeitung von Daten verantwortlich sind. Dieser Begriff stammt aus der Datenschutz-Grundverordnung (DSGVO), in der diese Stelle als „für die Datenverarbeitung Verantwortlicher” bezeichnet wird.
• Signifikante Datenschutzbeauftragte (Significant Data Fiduciary, SDF): SDFs sind Datenschutzbeauftragte, die von der indischen Regierung auf der Grundlage von Datenvolumen, Sensibilität, Risiko und Auswirkungen auf die nationale Sicherheit speziell ausgewählt werden. SDFs müssen zusätzliche Datenschutzanforderungen erfüllen.
• Dateninhaber:in: Als Äquivalent zur „betroffenen Person” bezieht sich dies auf die Person, deren personenbezogene Daten von einem Datenschutzbeauftragten erfasst werden.
• Zustimmungsmanager: Ein Zustimmungsmanager ist eine dritte Organisation mit der Befugnis, die Zustimmung von Dateninhaber:innen über eine transparente Plattform unabhängig zu verwalten, zu überprüfen und zu widerrufen. Diese Einrichtungen erleichtern den Datenschutzbeauftragten die Erfüllung ihrer rechtlichen Anforderungen.

Rechte zum Schutz der Privatsphäre

Der DPDPA legt standardisierte Rechte fest, die den Bürgerinnen und Bürgern die Kontrolle über ihre persönlichen Daten geben. Diese Rechte bilden auch die wichtigste rechtliche Grundlage für die Vorschriften und Anforderungen an die Datenverarbeitung. Dazu gehören:

• Das Recht auf Zugriff auf personenbezogenen Daten: Organisationen müssen den Dateninhaberinnen und -inhabern die Möglichkeit geben, Zugriff auf ihre personenbezogene Daten zu beantragen, um so Transparenz zu gewährleisten.
• Das Recht auf Beantragung von Löschung: Einzelpersonen können Datenschutzbeauftragte auch jederzeit auffordern, ihre digitalen personenbezogenen Daten zu löschen.
• Das Recht auf Berichtigung von Ungenauigkeiten: Dateninhaber:innen können Berichtigungen oder Aktualisierungen unvollständiger oder ungenauer Informationen beantragen.
• Das Recht auf Zustimmung zur Datenerfassung: Datenschutzbeauftragte müssen eine klare und informierte Zustimmung einholen, um sicherzustellen, dass die Einzelpersonen über die Datenerfassung und -verarbeitung informiert sind und ihr Einverständnis geben.
• Das Recht auf Abhilfe bei Beschwerden: Einzelpersonen können Beschwerden einreichen und Rechtsmittel einlegen, wenn sie glauben, dass ihre Rechte verletzt wurden.

Compliance-Vorgaben

Einem Bericht vom Januar 2024 zufolge haben 85 % der Datenschutzbeauftragten erste Schritte zur Vorbereitung auf die Einhaltung des DPDPA unternommen, das noch nicht in Kraft getreten ist. Ihre Vorbereitung wird jedoch durch das „Fehlen von Durchführungsbestimmungen für zahlreiche Vorschriften der Verordnung behindert”.

Einfach ausgedrückt: Die genauen Anforderungen müssen noch festgelegt werden. Einige hochrangige Verpflichtungen stehen jedoch bereits fest:

• Einholung der Zustimmung: Organisationen müssen eine klare, spezifische und informierte Zustimmung von Einzelpersonen einholen, bevor sie deren Daten erfassen oder verarbeiten. Dazu gehört, dass sie darüber informiert werden, welche Daten erfasst werden, warum sie erfasst werden und wie sie verwendet werden.
• Begrenzung der Datenerfassung: Die Datenschutzbeauftragten dürfen nur Daten erfassen, die für den angegebenen Zweck erforderlich sind, und nicht darüber hinaus.
• Sicherstellung der Datengenauigkeit: Die Unternehmen müssen die gesammelten Daten korrekt und auf dem neuesten Stand halten und etwaige Ungenauigkeiten korrigieren, wenn sie von der betroffenen Person darauf hingewiesen werden. Das bedeutet auch, dass sie Mechanismen implementieren müssen, die es den Dateninhaberinnen und -inhabern ermöglichen, Aktualisierungen anzufordern.
• Umsetzen von Sicherheitsmaßnahmen Datenschutzbeauftragte sind gesetzlich verpflichtet, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen vor unbefugtem Zugriff, Verstößen und anderen Sicherheitsrisiken zu schützen. Dazu gehören Verschlüsselung, Public Key Infrastructure (PKI) und ähnliche Schutzmaßnahmen.
• Meldung von Datenschutzverletzungen: Die betroffenen Einrichtungen müssen den Datenschutzausschuss und die betroffenen Personen im Falle einer Datenverletzung benachrichtigen. Nach dem DPDPA umfasst eine Datenschutzverletzung die unbefugte Verarbeitung, Weitergabe, Änderung, den Verlust oder jede Handlung, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Daten beeinträchtigt.
• Begrenzung der Datenspeicherung: Die Datenschutzbeauftragten dürfen personenbezogene Daten nicht länger aufbewahren, als es für den angegebenen Zweck erforderlich ist, es sei denn, dies ist gesetzlich vorgeschrieben, und müssen die Informationen entsprechend löschen.

Datenschutz-Grundverordnung. Er weicht jedoch in mehrfacher Hinsicht von der Datenschutz-Grundverordnung (DSGVO) ab:

Geltungsbereich

• DSGVO: Gilt für die Verarbeitung personenbezogener Daten von Personen innerhalb der EU, unabhängig davon, wo die Verarbeitung stattfindet.
• DPDPA: Gilt für die Verarbeitung digitaler personenbezogener Daten innerhalb Indiens und hat eine extraterritoriale Wirkung, wenn die Verarbeitung mit dem Angebot von Waren oder Dienstleistungen an Personen in Indien zusammenhängt.

Empfindlichkeit

• DSGVO: Unterscheidet zwischen personenbezogenen Daten und besonderen Datenkategorien, die einen höheren Schutz erfordern. Außerdem werden Kinder unter verschiedenen Altersgrenzen (in der Regel unter 16 Jahren) definiert, für die besondere Datenschutzbestimmungen gelten.
• DPDPA: Es wird nicht zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten unterschieden. Allerdings werden Kinder als Personen unter 18 Jahren definiert und strengere Verpflichtungen auferlegt, die u. a. das Tracking oder die Verhaltensüberwachung von Kindern und an sie gerichtete Werbung verbieten.

Datenübertragung

• DSGVO: Erfordert spezielle Übermittlungsmechanismen wie Standardvertragsklauseln für die Übermittlung von Daten in Länder außerhalb der EU.
• DPDPA: Erlaubt grenzüberschreitende Datenübertragungen, außer in Länder, die von der indischen Regierung eingeschränkt werden.

Entrust bietet eine breite Palette von Produkten und Lösungen, die Ihnen helfen, die Einhaltung des DPDPA zu vereinfachen und personenbezogene Daten in der gesamten Organisation zu schützen.