Rechtsbericht | Indien | Datenschutzrecht
Erstes Datenschutzgesetz in Indien verabschiedet
Am 11. August 2023 erhielt der Digital Personal Data Protection Act, 2023 (DPDP Act) die Zustimmung der Staatspräsidentin. Es ist Indiens erstes eigenes Gesetz zum Datenschutz.
30.08.2023
Von Julia Merle | Bonn
Bei dem DPDP Act handelt es sich um ein Rahmengesetz zum Schutz digitaler persönlicher Daten. Darin werden insbesondere bestimmte Grundprinzipien, Rechte und auch Pflichten von betroffenen Personen ("Data Principals") sowie Pflichten von Verantwortlichen ("Data Fiduciaries") festgelegt.
Das Gesetz betrifft die Verarbeitung digitaler personenbezogener Daten in Indien, wenn diese in digitaler Form gesammelt oder nachträglich digitalisiert werden. Auf die Verarbeitung nicht-digitalisierter Daten findet der DPDP Act somit keine Anwendung. Wenn digitale persönliche Daten außerhalb Indiens verarbeitet werden, um Personen in Indien Waren oder Dienstleistungen anzubieten, ist eine extraterritoriale Anwendbarkeit gegeben, Sec. 3 lit. b DPDP Act. Durch entsprechende Bekanntmachung kann die Zentralregierung den Transfer von persönlichen Daten in bestimmte Länder außerhalb Indiens beschränken (Sec. 16 DPDP Act, "Negativliste").
Zur Verarbeitung zählen beispielsweise Vorgänge wie das Sammeln, Aufnehmen, Aufbewahren, Ordnen, Nutzen, Teilen, Löschen oder Zerstören von Daten (Sec. 2 lit. x DPDP Act). Nach Sec. 4 DPDP Act darf eine Verarbeitung nur im Einklang mit diesem Gesetz sowie für rechtmäßige Zwecke und entweder mit Einwilligung der betroffenen Person (dazu Sec. 6 DPDP Act) oder zu bestimmten legitimen Nutzungszwecken (Sec. 7 DPDP Act), etwa zur Erfüllung rechtlicher Verpflichtungen oder bei medizinischen Notfällen, erfolgen.
Das Gesetz sieht die Einrichtung eines Data Protection Board of India (nachfolgend "DPBI") als Aufsichtsbehörde vor (Einzelheiten in Kap. V und VI des DPDP Act).
Verantwortliche müssen nach Sec. 8 DPDP Act unter anderem angemessene Vorkehrungen treffen, um Datenschutzverstößen vorzubeugen. Jede Datenpanne müssen sie dem DPBI und den betroffenen Personen melden. Verarbeiten bestimmte Verantwortliche beispielsweise große Mengen persönlicher Daten, sollen sie als sogenannte "Significant Data Fiduciaries" zusätzliche Pflichten wie die Benennung eines Datenschutzbeauftragten in Indien erfüllen (dazu Sec. 10 DPDP Act). Auftragsverarbeitung ist nur auf Grundlage eines wirksamen Vertrages im Zusammenhang mit dem Angebot von Waren und Dienstleistungen zulässig (Sec. 8 Abs. 2 DPDP Act, "Data Processor").
Stellt das DPBI eine erhebliche Gesetzesverletzung fest, kann es nach Gelegenheit zur Stellungnahme Geldbußen verhängen (Sec. 33 DPDP Act). Diese Sanktionen werden je nach Verstoß in der Tabelle im Anhang (Schedule) des Gesetzes spezifiziert.
Wann der DPDP Act beziehungsweise wann welche seiner 44 Bestimmungen in Kraft treten werden, wird noch entsprechend bekannt gegeben. Auch sollen regierungsseitig noch Umsetzungsregelungen bezüglich einzelner Bestimmungen erlassen werden (siehe dazu im Einzelnen: Sec. 40 DPDP Act).
Mit seinem Inkrafttreten wird der DPDP Act künftig die bisherigen Rechtsgrundlagen im Datenschutzbereich ablösen: Dies sind der Information Technology Act, 2000 (speziell dessen Sec. 43A) sowie die Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011.
Nachdem Anfang August 2022 der damalige Gesetzentwurf zurückgezogen worden war, begann die Erarbeitung eines neuen Entwurfs.
Zum Thema:
- Digital Personal Data Protection Act, 2023 in der Gazette of India vom 11. August 2023 (Englisch)
- Informationen des indischen Ministry of Electronics & Information Technology zum Data Protection Framework (Englisch)
- GTAI-Rechtsbericht E-Commerce und Datenschutz in Indien vom 19. April 2022
- Gesetze in Indien
