Am 11. August 2023 – gipfelt Indiens sechs-Jahre-lange Datenschutzreise in der Gesetzesvorlage zum Datenschutz von digitalen personenbezogenen Daten, des Digital Personal Data Protection Bill. Diese Gesetzesvorlage wurde nun vom Präsidenten der Indischen Republik unterzeichnet und setzt somit den Digital Personal Data Protection Act 2023 (folgend der „Akt“ genannt) in Kraft.

Der Akt findet Anwendung auf personenbezogene Daten, die in digitaler Form erfasst und gesammelt werden sowie auf nicht-digitale personenbezogene Daten, die im Nachhinein digitalisiert und gespeichert wurden / werden. Personenbezogene Daten bezeichnen jegliche Daten, die in Beziehung stehen mit einer Person, die identifizierbar ist. Dazu gehören Informationen wie der Name, persönliche Identifikationsnummer (Aadhar), Steuernummer (PAN), Telefonnummer usw., Informationen mit deren Hilfe eine bestimmte Person identifizierbar ist. Keine Anwendung findet der Akt auf nicht-digitale Daten sowie Daten, die zu persönlichem und inländischem Gebrauch verarbeitet werden sowie Daten, die von einem Dateneigner (Betroffenen) öffentlich zugänglich gemacht wurden oder von jeder anderen Person mit einer rechtlichen Verpflichtung.

Der Akt hat sich bewusst dafür entschieden, öffentlich zugängliche Daten aus seinem Anwendungsbereich auszuschließen. Während dies Datentreuhändern und -verantwortlichen erlaubt Daten aus öffentlichen Quellen zu sammeln und zu verarbeiten, wirft dies dennoch die Frage auf in welchem Umfang wir annehmen können, alle verfügbaren öffentlichen Daten ohne Einverständnis des Betroffenen für uns verfügbar und zum Gebrauch nutzbar sind.

Über die generelle (allgemeine) Anwendbarkeit des Aktes hinaus, behandelt es den territorialen Rahmen der Verarbeitung. Der Akt gilt für alle in Indien verarbeiteten Daten, ungeachtet dessen, wessen Daten verarbeitet werden. Der Akt richtet sich ebenfalls auf den Bereich der grenzüberschreitenden Datentransfers und stellt fest, dass der Akt auch auf diejenigen Datenverarbeitungen von personenbezogenen Daten außerhalb von Indien Anwendung findet, die in einem Zusammenhang mit dem Angebot von Waren und Dienstleistungen an Betroffenen innerhalb Indiens stehen.

Zur Veranschaulichung: die personenbezogenen Daten eines nicht in Indien wohnhaften Inders in New York können unter diesem Akt geschützt werden, wenn dieser nicht in Indien wohnhafte Inder ein Bankkonto bei eine Bank mit Sitz in Indien hat. Der Grund hierfür ist, dass die Daten in Indien verarbeitet werden, ungeachtet dessen, wo diese Person sich derzeitig befindet. Ähnliches gilt, wenn ein ausländisches Unternehmen Waren und Dienstleistungen in Indien anbietet, dann fällt dieser geschäftliche Vorgang unter den Akt.

Der Akt findet Anwendung auf jeden, der personenbezogene Daten verarbeitet. Der Begriff verarbeiten des Aktes bezieht sich auf sammeln, erfassen, speichern, strukturieren, teilen oder jede andere automatisierte Verarbeitung von Daten. Der Akt definiert zwei wichtige Instanzen für die Verarbeitung von Daten: Daten-Verantwortlicher (Daten – Treuhänder) und Daten-(Auftrags-)Verarbeiter.

Der Daten-Verantwortliche – laut dem Gesetz – wird als jede Person, die allein oder in Verbindung mit anderen Personen definiert, zu welchem Zweck und mit welchen Mitteln personenbezogene Daten verarbeitet werden. Der Daten-Verantwortliche wird auch Datenverantwortlicher genannt, da die Rolle des Datenverantwortlichen in Bezug auf die Daten eine hohe Relevanz besitzt, da er derjenige ist, der entscheidet wie die Daten erhoben und gesammelt werden, warum sie gesammelt werden und für wie lange die Daten vorgehalten und gespeichert werden. In Bezug auf die Rechenschaftspflicht ist es der Daten-Verantwortliche, der dafür verantwortlich ist, dass die Daten der User gut geschützt sind.

Der Daten-(Auftrags-) Verarbeiter – im Wortlaut des Gesetzes – ist als jede Person definiert, die personenbezogene Daten im Auftrag des Daten-Verantwortlichen verarbeitet. Während der Daten-Verantwortliche die Verantwortung für die ganze Organisation trägt, ist die Aufgabe des Auftragsverarbeiters lediglich die Daten auf sicherem Weg zu verarbeiten. Ein Beispiel für einen solchen Auftrags-Datenverarbeiter ist ein Cloud-Service-Provider wie zum Beispiel Microsoft Azure, der die Daten der User im Auftrag des Verantwortlichen speichert. In ähnlicher Weise handeln Dienstleistungsanbieter als Auftragsverarbeiter, in dem sie KYC-Daten (Know Your Customer) im Auftrag von Banken sammeln und bereitstellen. Der Datenverantwortliche macht dem Auftragsverarbeiter genaue Vorgaben in Bezug auf die Art und Weise wie personenbezogene Daten zu verarbeiten sind.

Der Akt verändert die Art und Weise, wie Unternehmen mit den Daten ihrer User in Bezug auf das Sammeln und Verarbeiten umzugehen haben. Die Daten-Verantwortlichen benötigen nun eine Einverständnis zur Datenverarbeitung von den Betroffenen und diese Einverständniserklärung kann erst nach einer entsprechenden Benachrichtigung der Betroffenen über die Datenverarbeitung erfolgen.

Der Daten-Verantwortliche ist verpflichtet den Betroffenen mittels eines Hinweises zu informieren: über die Arten der personenbezogenen Daten, die verarbeitet werden und den Zweck der Verarbeitung sowie über Details darüber wie Betroffene ihre Rechte zum Widerruf der Einwilligung zu und Beschwerdeabhilfen geltend machen können. Weiterhin ist darüber zu informieren, wie Betroffene eine Beschwerde bei der Datenschutz-Aufsichtsbehörde einreichen können. Laut Gesetz wurde dem Data Protection Board (der Datenschutz-Aufsichtsbehörde) die Zuständigkeit zugesprochen, Beschwerden entgegenzunehmen und Streitfälle zu schlichten.

Dieser Datenschutzhinweis sollte auf Englisch verfasst sein, oder in einer der Sprachen, die unter dem Achten Anhang zur indischen Verfassung erwähnt sind. Diese Mitteilungen erfolgen in erster Linie in Form von Datenschutzhinweisen, die dem User während des Setup einer Applikation angezeigt werden können. Zum Beispiel: Ein e-Commerce-Unternehmen, das einen Online-Shop betreibt, muss die Datenschutzhinweise dem User während des Anmeldeprozesses in die APP zur Verfügung stellen und sichtbar machen. Der Hinweis kann in Gestalt eines Click-Banners bereitgestellt werden, über den der User auch sein Einverständnis geben kann. Es ist wichtig, dass der Daten-Verantwortliche die Bereitstellung der Datenschutzhinweise entsprechend dokumentiert.

Es gibt verschiedene Möglichkeiten, die Unternehmen nutzen können, um ihre User über die Verarbeitung ihrer personenbezogenen Daten zu informieren. Dies kann in Form eines kurzen Datenschutzhinweises geschehen, aber auch mit gestuften Datenschutzinformationen oder Just-in-Time-Hinweisen. Darüber hinaus ist der Daten-Verantwortliche verpflichtet den Betroffenen über die Datenverarbeitung so bald als „vernünftigerweise durchführbar“ („reasonably practicable“) zu informieren.

Personenbezogene Daten, die die Unternehmen vor in Kraft treten des Gesetzes erhalten haben, können Daten-Verantwortliche weiterhin wie gewohnt weiterverarbeiten, solange bis der Betroffene seine Einwilligung widerruft.

Der Verantwortliche ist für die Einhaltung der rechtlichen Bestimmungen des Gesetzes verantwortlich. Für die Verarbeitung der Daten kann der Verantwortliche einen Auftragsverarbeiter einsetzen, ernennen oder miteinbeziehen, der die Daten in seinem Namen verarbeitet.

Der Verantwortliche ist für die Einführung von organisatorischen und technischen Maßnahmen verantwortlich und ergreift angemessene Sicherheitsvorkehrungen. Zum Beispiel, als technische Maßnahmen kann ein Daten-Verantwortlicher Maßnahmen zur Pseudonymisierung und Verschlüsselung einsetzen. Oder als organisatorische Maßnahme kann der Daten-Verantwortliche regelmäßige Datenschutz-Assessments durchführen und interne Richtlinien für Changemanagement einsetzen, um das Niveau für Datenschutz und Datensicherheit zu erhöhen.

Der Daten-Verantwortliche hat dafür Sorge zu tragen, dass von Personen bereitgestellte personenbezogene Daten präzise, vollständig und unverändert sind. Darüber hinaus ist der Verantwortliche verpflichtet die Datenschutzaufsichtsbehörde (das Board) sowie die betroffenen Personen über entstandene Datenpannen – Datenschutzverstöße zu informieren. Eine weitere wichtige Verpflichtung, die der Akt an den Daten-Verantwortlichen stellt, ist das Schließen von Datenschutzverträgen mit Anbietern.

In Bezug auf das Löschen von Daten, sieht der Akt vor, dass der Daten-Verantwortliche Maßnahmen ergreifen muss, damit das Konto einer Person gelöscht wird, nachdem es für eine Weile inaktiv war. Wenn – zum Beispiel - ein Unternehmen in einem Bewerbungsprozess Daten zum Zweck der Durchführung von Bewerbungsgesprächen erhebt und speichert, dann verbleiben diese Daten oft noch sehr lange im Unternehmen, auch wenn der Bewerbungs- und Anstellungsprozess längst vorüber ist. In diesen Fällen sollte das Unternehmen die Daten dieser Kandidaten löschen.

Über all diese vorangegangenen Dinge hinaus, sieht der Akt vor, dass der Daten-Betoffene die Konsequenzen eines Widerrufs einer Einwilligung tragen muss. Allerdings soll dies die Rechtmäßigkeit der Verarbeitung der Daten nicht betreffen, die vor dem Widerruf auf der Basis einer Einwilligung verarbeitet wurden. Eine E-Commerce-App – zum Beispiel – hat die personenbezogenen Daten von Usern für die Lieferung von Waren verwendet. Wenn nun der User durch Widerspruch seine Einwilligung zur Datenverarbeitung wieder entzieht, kann das Unternehmen die App für die Nutzung durch diesen User beenden. Allerdings kann das Unternehmen die Daten des Users, die im Zusammenhang mit vor dem Widerruf getätigten Käufe erhoben wurden, weiterhin nutzen.

Über die Daten-Verantwortlichen hinaus, wird das Central Government wichtige Datenverantwortliche benennen. Diese wichtigen Daten-Verantwortlichen werden abhängig von der Menge und der Sensibilität der verarbeiteten personenbezogenen Daten, des Risikos für die Rechte der Betroffenen, potentielle Auswirkung auf die Souveränität und Integrität von Indien, des Risikos für die Wahlrechtsdemokratie, der Staatssicherheit und öffentliche Ordnung benannt.

Ein solcher wichtiger Daten-Verantwortlicher ist dazu verpflichtet, einen Datenschutzbeauftragten zu ernennen, sowie einen unabhängigen Daten-Prüfer, der Datenaudits durchführt, die Compliance Anforderungen des wichtigen Daten-Verantwortlichen prüft, der regelmäßige Datenschutz-Folgeabschätzungen durchführt und regelmäßige Audits vornimmt.

Der Datenschutzaufsichtsbehörde wird die Verantwortung für die Einhaltung der rechtlichen Vorgaben und den Vorschriften des Aktes und für die Bereitstellung von Abhilfe- und Minderungsmaßnahmen übertragen. Während der Akt keine strafrechtlichen Verbindlichkeiten vorsieht, kann die Datenschutzaufsichtsbehörde Bußgelder bis zu 250 INR crores für bestimmte Datenschutzverstöße verhängen. Neben dem Verhängen von Bußgeldern, wird die Datenschutzaufsichtsbehörde die Fortschritte bewerten, die das Unternehmen unternimmt, um die Auswirkungen des Datenschutzvorfalls oder die Unzulässigkeit der Datenverarbeitung abzuschwächen oder zu beseitigen. Wenn erforderlich, kann das Board in bestimmten Fällen die Regierung darum bitten, den Zugang zu den Plattformen des Verantwortlichen zu sperren.

In der folgenden Tabelle betrachten wir die wichtigsten Unterschiede und Gemeinsamkeiten zwischen der europäischen DSGVO und dem indischen DPDPA im Hinblick auf Compliance Anforderungen:

Das DPDPA ist ein Meilenstein in der indischen Datenschutzlandschaft. Auch wenn das Gesetz noch nicht den Zeitpunkt bekannt gegeben hat, ab dem die Unternehmen mit der Einhaltung der Vorschriften beginnen müssen, ist es für die Unternehmen ratsam, den Prozess einzuleiten. Die Unternehmen können einen dreigleisigen Ansatz verfolgen, der Folgendes umfasst:
a) Sensibilisierung der Mitarbeiter und der Unternehmensführung für die Feinheiten des neuen Datenschutzgesetzes und den Auftrag zur Einhaltung der Vorschriften;
b) Einleitung einer vorläufigen Bewertung des Stands der bestehenden Maßnahmen zur Einhaltung der Vorschriften; und
c) Erkennen der Lücken bei der Einhaltung der Vorschriften und Ergreifen von Maßnahmen zur Schließung dieser Lücken im Hinblick auf den DPDPA.