Indien schafft neue Regelungen zum Datenschutz − betroffen sind Unternehmen und Personen mit Aktivitäten am indischen Markt
Mit der Personal Data Protection Bill ist in Indien im Jahr 2018 ein neues Datenschutzgesetz in Kraft getreten, das neben in Indien niedergelassenen Personen, Unternehmen und anderen Institutionen auch Unternehmen außerhalb des Landes betrifft, die geschäftlich in Indien tätig sind und Produkte oder Leistungen auf dem indischen Markt anbieten.
Die Personal Data Protection Bill von 2018
Das Gesetz sieht neue Pflichten für datenverarbeitende Unternehmen vor und stärkt die Rechte der betroffenen Personen. Insbesondere die Neuregelung und Ausweitung von Betroffenenrechten erinnert stark an die Rechte der betroffenen Personen, wie sie in der Datenschutz-Grundverordnung (DSGVO) normiert sind. Darüber hinaus sieht die Personal Data Protection Bill unter anderem veränderte Vorgaben für die Einholung von Einwilligungen, die Nutzung von Cloud-Diensten, den Umgang mit Datenschutzverletzungen, den Umfang der Datenspeicherung sowie die Verarbeitung personenbezogener Daten von Kindern vor.
Das neue Gesetz führt zahlreiche, bereits aus der DSGVO bekannte Prinzipien ein, etwa der Speicherbegrenzung, der Datenminimierung, der Zweckbindung sowie Privacy by Design. Bestehende Vorgänge der Datenverarbeitung müssen daher insbesondere daraufhin überprüft werden, ob sie für das Erreichen der Zwecke tatsächlich erforderlich sind. Zudem müssen sämtliche Unternehmen − unabhängig von ihrer Größe, ihrem Umsatz oder ihrer Branche − eine Richtlinie zur Datenspeicherung vorhalten. In dieser Richtlinie müssen – ähnlich wie in einem Verzeichnis der Verarbeitungstätigkeiten (Art. 30 DSGVO) – unter anderem die Datenkategorien, die Zwecke der Verarbeitung und die Speicherfristen festgelegt werden.
Nutzung von Cloud-Diensten
Eine zentrale Neuerung gibt es im Bereich der Datenlokalisierungsanforderungen: Die von der Personal Data Protection Bill adressierten Unternehmen müssen nunmehr mindestens eine Kopie der personenbezogenen Daten auf einem Server oder in einem Rechenzentrum in Indien speichern. Wenn ein Unternehmen beispielsweise indischen Kunden einen Service aus dem Ausland bereitstellt, muss eine Kopie der Daten auch in Indien vorgehalten werden. Außerdem verlangt das Gesetz, dass Unternehmen keine sensiblen personenbezogenen Daten oder bestimmte Kategorien von personenbezogenen Daten, die von der Regierung als kritisch klassifiziert wurden, ins Ausland übermitteln oder dort speichern. Diese Regelung könnte sich insbesondere im Hinblick auf die Nutzung von Cloud-Diensten als problematisch erweisen.
Stärkung der Betroffenenrechte und Umgang mit Datenschutzverletzungen
Mit der Personal Data Protection Bill werden die Rechte der Personen, deren Daten verarbeitet werden, wesentlich gestärkt. Insbesondere haben Betroffene nach dem neuen Gesetz ein Auskunftsrecht gegenüber der für die Verarbeitung verantwortlichen Stelle. Daneben haben Betroffene ein Recht auf Berichtigung ihrer Daten, ein Recht auf Datenportabilität sowie ein Recht auf Vergessenwerden bzw. auf Löschung. Die Anforderungen ähneln damit sehr den Betroffenenrechten, wie sie in Art. 12 ff. der DSGVO vorgesehen sind. Einhergehend damit müssen Unternehmen ihre Datenverarbeitung dezidiert dokumentieren.
Sollte es zu Datenschutzverletzungen kommen, ist die Datenschutzaufsichtsbehörde umgehend zu benachrichtigen, sofern sich aus der Verletzung ein Risiko für die betroffenen Personen ergibt. Eine unterlassene Benachrichtigung kann mit einer Geldbuße belegt werden. Zudem sind Unternehmen verpflichtet, der Behörde eine geeignete und mit Fachkenntnissen ausgestattete Person − etwa den Datenschutzbeauftragten − als Ansprechpartner zu benennen.
Handlungsbedarf für Unternehmen
Die neuen Vorschriften der Personal Data Protection Bill bringen indischen Unternehmen sowie Unternehmen mit Tätigkeiten auf dem indischen Markt einen erheblichen Umsetzungsaufwand. Organisatorische und technische Maßnahmen werden insbesondere im Hinblick auf die Anpassung der bisherigen und zukünftigen Datenverarbeitungsvorgänge und den richtigen Umgang mit Betroffenenanfragen erforderlich. Um den neuen Anforderungen des indischen Datenschutzrechts nachkommen zu können, ist die Einführung eines Datenschutz-Managementsystems (DPMS), die Erfassung sämtlicher Datenverarbeitungstätigkeiten in einem Verzeichnis sowie die Erstellung von Richtlinien für die Datenverarbeitung anhand der verschiedenen Datenkategorien und Verarbeitungszwecke entscheidend.
Insgesamt weist die indische Personal Data Protection Bill an zahlreichen Stellen große Parallelen zur DSGVO auf. Das Datenschutzniveau von Indien hat sich durch die neuen gesetzlichen Regelungen dem der Europäischen Union angenähert. Unternehmen müssen bei sämtlichen Datenverarbeitungen dennoch die spezifischen Regelungen der jeweiligen Gesetze beachten. Für Unternehmen, die sowohl auf dem europäischen als auch dem indischen Markt tätig sind und Anforderungen der DSGVO in Bezug auf ihre Datenverarbeitungsprozesse umgesetzt und entsprechende technische und organisatorische Maßnahmen implementiert haben, dürften der Umsetzungsaufwand und die damit einhergehenden Kosten niedriger ausfallen.