Recht Aktuell

14.08.2018

Indien - Gesetzentwurf zum Schutz personenbezogener Daten veröffentlicht

Von Robert Herzner

(GTAI) Der Entwurf eines Datenschutzgesetzes ist in Form des „The Personal Data Protection Bill, 2018“ (PDP-Gesetz) durch das Ministerium für Elektronik und Informationstechnologie (Ministry of Electronics and Information Technology, MEITY) am 27. Juli 2018 veröffentlicht worden. Das Hauptziel des PDP-Gesetzes besteht darin, dass personenbezogene Daten von Einzelpersonen nur dann verarbeitet werden können, wenn diese Personen ihre freie, informierte und ausdrückliche Zustimmung zu einer solchen Verarbeitung gegeben haben.

Einwilligung des Dateninhabers

Dabei sieht der Gesetzesentwurf die Einwilligung zur Verarbeitung personenbezogener Daten ausgehend von Kenntnis der Sachlage durch den Dateninhaber vor. Darüber hinaus besteht ein Anspruch auf die Berichtigung unrichtiger, unvollständiger oder veralteter personenbezogener Daten.  Unter bestimmten Umständen kann die Übermittlung personenbezogener Daten an Treuhänder, die den Zweck und die Art der Verarbeitung personenbezogener Daten bestimmen, veranlasst werden. Zudem führt das PDP-Gesetz auch das "Recht, vergessen zu werden" ein.

Pflichten von Daten-Treuhändern

Daten-Treuhänder unterliegen verschiedenen Anforderungen, um den Schutz der zu verarbeitenden Daten zu gewährleisten. Sie sind verpflichtet, die zuständige Behörde über Verstöße in Bezug auf personenbezogene Daten, die von ihnen verarbeitet werden, zu unterrichten, wenn diese Verstöße geeignet sind, dem Dateninhaber Schaden zuzufügen. Dazu sind die Richtlinien zur Verarbeitung von Daten umzusetzen und die Transparenz bei der Verarbeitung von Daten zu wahren. Es sind Sicherheitsvorkehrungen inklusive der Verschlüsselung von Daten zu treffen und ein Mechanismus zur Behebung von Beschwerden des Dateninhabers einzurichten.  

Grenzüberschreitende Übermittlung personenbezogener Daten

Personenbezogene Daten können aus Indien exportiert werden, wenn in einen Datentransfer generell eingewilligt wurde und dieser den Standardvertragsklauseln unterliegt, die von der zuständigen Behörde genehmigt wurden.  Hierbei haftet der Datenübermittler dem Inhaber für alle Schäden, die durch die Nichteinhaltung der Standardvertragsklauseln entstehen. Alternativ kann die grenzüberschreitende Übermittlung aufgrund einer behördlichen Genehmigung erfolgen. Das PDP-Gesetz sieht auch vor, dass Daten-Treuhänder eine Kopie aller persönlichen Daten auf einem Server in Indien speichern müssen. 

Anpassung an bisherige Bestimmungen

Mit dem PDP-Gesetz erfolgt eine grundsätzliche Überarbeitung der bisherigen Bestimmungen, die sich an den Datenschutzbestimmungen der Europäischen Union orientiert. Bisher war seit einer Entscheidung des Supreme Court nur ein Schutz privater Daten durch die Verfassung (August 2017, No 494 of 2012) anerkannt. Maßgebliche ergänzende Gesetze sind der Information Technology Act, 2000, und die Privacy Rules, 2011. Viele Normen sind noch nicht ausgearbeitet, es existiert auch keine Behörde, die die Datensicherheit beaufsichtigt, und gleichfalls keine Registrierungspflicht zur Datenweiterverarbeitung.

Der Entwurf des Gesetzes zum Schutz personenbezogener Daten ist auf der Webseite des Ministeriums veröffentlicht worden.

Hinweise zur Dauer des weiteren Gesetzgebungsverfahrens sind nicht aufgeführt. Der PDP-Gesetzentwurf muss, um Gesetz zu werden, von beiden Kammern des Parlaments verabschiedet werden und die Zustimmung des Präsidenten erhalten. Nach der Genehmigung werden die Bestimmungen voraussichtlich schrittweise in Kraft treten.