Nach dem die indische Regierung am 3. August 2022 den Entwurf zum Data Protection Bill 2019 zurückgezogen hatte, hat das indische Ministerium für Elektronik und Informationstechnologie wenige Monate später – am 18. November 2022 – mit dem Digital Personal Data Protection Bill 2022 (DPDP Bill, 2022) einen neuen und kürzeren Entwurf veröffentlicht. Der DPDP, 2022 soll den Grundstein für umfangreiche Regelungen zum Datenschutz in Indien bilden.
Wie ist die aktuelle Datenschutzrechtslage in Indien?
Der Schutz der Privatsphäre ist ein Grundrecht und wird von der indischen Verfassung geschützt. Im August 2017 wurde das Recht auf Privatsphäre als ein Grundrecht durch ein Urteil des obersten indischen Gerichtshofs anerkannt. Dieses in der Verfassung verankerte Recht wirft einen langen Schatten auf das indische Recht, beeinflusst die Politik und die Rechtsprechung und wirkt als Kontrollinstanz für Maßnahmen der Legislative und Exekutive. Die Regulierungen zur Verarbeitung personenbezogener Daten finden sich zurzeit im Wesentlichen im Information Technology Act, 2000 und in den Information Technology Rules, 2011. Zudem werden personenbezogene Daten durch indirekte Schutzmaßnahmen geschützt, die von den Gerichten durch verschiedene Urteile über die Jahre hinweg entwickelt werden. Eine nationale Aufsichtsbehörde für den Schutz personenbezogener Daten hat Indien nicht. Das Ministerium für Elektronik und IT ist verantwortlich für die Verwaltung der genannten Gesetze und den Erlass neuer Vorschriften. Mit dem geplanten DPDP Act, 2022 (siehe dieses PDF) sollen insbesondere die Grundsätze des Datenschutzes, wie z.B. Transparenz, Zweckbindung, Datenminimierung oder Speicherbegrenzung, eingehalten werden.Der Digital Personal Data Protection Act, 2022
In der Fassung von 2019 sollte die Übertragung, Verarbeitung und Speicherung von Daten im Ausland stark eingeschränkt werden. Dieser Gesetzentwurf wurde von diversen Organisationen kritisiert, vor allem von der Asia Internet Coalition, einer Handelsorganisation zu dem Unternehmen wie Google, Facebook und Amazon gehören. Die Begründung für die Kritik war, dass Entscheidungen über grenzüberschreitende Übertragungen frei von politischer Einflussnahme sein sollten. In der Folge ist der Gesetzentwurf des DPDP, 2022 bezüglich des grenzüberschreitenden Datenverkehrs weniger restriktiv. Das sind die wichtigsten Regelungen:Anwendbarkeit des DPDP Acts
Der DPDP Act, 2022 ist nach dem Entwurf anwendbar auf Rechtssubjekte, die innerhalb Indiens digitale personenbezogene Daten verarbeiten. Unter dem Merkmal digital werden personenbezogenen Daten erfasst, die online erhoben werden, sowie solche, die offline erhoben und anschließend digitalisiert werden. Ausgenommen sind also insbesondere Daten die offline erhoben und auch offline gespeichert werden.
Die Bestimmungen des DPDP Acts, 2022 sollen aber auch für die Verarbeitung digitaler personenbezogener Daten außerhalb des indischen Hoheitsgebiets gelten, wenn die Verarbeitung im Zusammenhang mit der Erstellung von Profilen oder dem Anbieten von Waren oder Dienstleistungen an Betroffene im indischen Hoheitsgebiet erfolgt.
Pflichten des Datenverarbeiters
Nach Abschnitt 5 des Entwurfs darf der Datenverarbeiter personenbezogene Daten nur in Übereinstimmung mit den Bestimmungen des DPDP Acts, 2022 und der auf seiner Grundlage erlassenen Vorschriften für einen rechtmäßigen Zweck verarbeiten, für den die betroffene Person eingewilligt hat oder eine Einwilligung gemäß den Bestimmungen des Gesetzes angenommen werden kann. Näheres zu etwaigen Fällen, in denen eine Einwilligung angenommen werden kann, nennt der Entwurf nicht.
Vergleichbar mit den Regelungen der Datenschutz-Grundverordnung (DSGVO) sieht auch der Entwurf zum indischen Gesetz eine Informationspflicht seitens des Datenverarbeiters vor. Hiernach muss dieser eine einwilligenden Person über die erhobenen Daten und den Zweck der Verarbeitung dieser benachrichtigen. Der Wortlaut des Entwurfs spricht hierbei jedoch nur von betroffenen Personen, die die aktiv eingewilligt haben, und nicht von denen, bei denen die Einwilligung angenommen wird. Diese dürften jedoch im Rahmen der Einhaltung des Transparenzgrundsatzes mit gemeint sein oder im finalen Gesetz mit aufgenommen werden.
Besondere Datenverarbeiter
Ein Datenverarbeiter kann zudem nach Abschnitt 11 des Entwurfs von der Regierung, auf Grundlage einer Bewertung relevanter Faktoren (z.B. Staatssicherheit, Umfang der Datenverarbeitung, Risiko einer Verletzung der Betroffenen), als ein besonderer Datenverarbeiter eingestuft werden. Insbesondere fallen hierrunter – vergleichbar mit Art. 9 DSGVO – Verarbeiter von personenbezogenen Daten besonderer Kategorien oder Daten im großen Umfang.
Benennung eines Datenschutzbeauftragten
Ist ein Datenverarbeiter als besonders klassifiziert, muss dieser einen Datenschutzbeauftragten mit Sitz in Indien ernennen. Neben der Berufung eines Datenschutzbeauftragten muss auch ein unabhängiger Prüfer ernannt werden, der die Einhaltung des DPDP Act, 2022 prüft. Des Weiteren sind auch weitere Maßnahmen wie die Durchführung einer Datenschutzfolgenabschätzung und einer regelmäßigen Prüfung vorzunehmen.
Rechte und Pflichten der Betroffenen
Seit Inkrafttreten der DSGVO sieht man global den Einfluss des europäischen Datenschutzrechts, insbesondere in Bezug auf die Rechte der Betroffenen. Auch im Entwurf für das indische Gesetz finden sich dem Art. 15 ff. DSGVO ähnliche Rechte, darunter:
- Recht auf Auskunft (Abschnitt 12 DPDP Act, 2022)
- Recht auf Korrektur und Löschung (Abschnitt 13 DPDP Act, 2022)
- Recht auf Beschwerde (Abschnitt 13 DPDP Act, 2022)
Ein weiteres ist das Recht auf Nominierung (Abschnitt 15 DPDP Act, 2022), nach welchem ein Betroffener das Recht hat, eine andere Person zu benennen, die im Falle des Todes oder der Geschäftsunfähigkeit des Betroffenen die Rechte dessen nach Maßgabe dieses Gesetztes wahrnimmt.
Schließlich regelt Kapitel 3 des Entwurfs am Ende noch diverse Pflichten seitens des Betroffenen.
Grenzüberschreitender Datentransfer
Ein Thema von hoher Relevanz trägt der grenzüberschreitende Datentransfer. Auch hier finden sich im DPDP Act, 2022 Vorschriften, die diese Sachverhalte regeln sollen. Abschnitt 17 DPDP Act, 2022 regelt, dass die Regierung nach einer Bewertung anhand von ihr als notwendig erachteten Faktoren Länder oder Gebiete außerhalb Indiens festlegen kann, in die personenbezogene Daten gemäß den festgelegten Bestimmungen übermittelt werden dürfen.
Zudem legt der darauffolgende Abschnitt einige Ausnahmen fest. Bezüglich des grenzüberschreitenden Datentransfers findet Abschnitt 17 keine Anwendung:
- wenn die Verarbeitung personenbezogener Daten für die Geltendmachung eines Rechtsanspruchs erforderlich ist,
- wenn die Verarbeitung personenbezogener Daten durch ein Gericht oder eine andere Stelle in Indien für die Ausübung einer gerichtlichen oder gerichtsähnlichen Funktion erforderlich ist,
- wenn personenbezogene Daten im Interesse der Vermeidung, Aufdeckung, Untersuchung oder Verfolgung einer Straftat oder die Verfolgung jeglicher Zuwiderhandlungen gegen ein Gesetz verarbeitet werden,
- wenn personenbezogene Daten von Auftraggebern, die sich nicht im indischen Hoheitsgebiet befinden, gemäß einem mit einer Person außerhalb des indischen Hoheitsgebiets geschlossenen Vertrag von einer in Indien ansässigen Person verarbeitet werden.
Grenzüberschreitende Datenübertragungen unterliegen nun einer zentralstaatlichen Beurteilung der Rechtslage des Empfangslandes. Die Absicht, grenzüberschreitende Übertragungen auf der Grundlage einer Angemessenheitsprüfung zu regeln, scheint fortschrittlich zu sein, aber der Entwurf gibt nicht an, auf welcher Grundlage eine solche Prüfung durchgeführt werden sollte.
Im Zusammenhang mit den Angemessenheitsmechanismen und den Alternativen dazu kann jedoch davon ausgegangen werden, dass die Regierung die Präzedenzfälle und Maßnahmen des Gerichtshofs der Europäischen Union in seinen verschiedenen Urteilen, insbesondere die Safe-Harbor-Entscheidungen in Schrems I und Schrems II bewerten wird. Zwar ist die Angabe objektiver Faktoren oder spezifischer Bedingungen aus Sicht des Datenschutzes ein konstruktiver Ansatz, doch sind solche Faktoren möglicherweise nicht in allen Empfängerländern allgemein anwendbar. Dementsprechend müssen Mechanismen wie die Standardvertragsklauseln (SCC) der EU, Zertifizierungen usw. als im Rahmen der Vorschriften vorgeschrieben angesehen werden.
Indische Datenschutzbehörde
Mit Abschnitt 19 des Entwurfs soll die Bildung einer indischen Datenschutzbehörde geregelt werden, welche man in Indien bisher nicht findet. Die Arbeitsverteilung im Rahmen er Behörde, die Entgegennahme von Beschwerden, die Bildung von Gruppen für Anhörungen, die Verkündung von Entscheidungen und andere Funktionen der Behörde sollen weitestgehend digital gestaltet werden.
Bußgelder
Kommt die indische Datenschutzbehörde zum Entschluss, dass eine Verletzung vorliegt, kann sie Bußgelder verhängen, wobei die Höhe nach diversen Kriterien bewertet werden soll. Darunter z.B. die Art, Schwere und Dauer des Verstoßes, die Art der vom Verstoß betroffenen personenbezogenen Daten oder das Bestehen einer Wiederholungsgefahr. Unter anderem können für Verletzungen gegen das Datenschutzgesetz Bußgelder von bis zu umgerechnet ca. 30 Millionen Euro (2,5 Milliarden ₹) anfallen.
Fazit
In Anbetracht der Tatsache, dass das Gesetz nach Abschnitt 29 DPDP Act, 2022 im Falle von konkurrierenden Vorschriften anderer Gesetze Vorrang hat, ist abzuwarten wie Indien bestehende Regelungen anpasst, um eine Harmonisierung in der indischen Regulierungslandschaft zwischen dem Act und bereits bestehenden Gesetzen zu schaffen. Insbesondere bleibt fraglich, wie der grenzüberschreitende Datentransfer weiter spezifisch geregelt wird und welche Grundlage für die Bestimmung der Angemessenheit von Ländern genutzt wird.
Die Mitgliedsstaaten der Europäischen Union dürften im Rahmen des DPDP Act, 2022 von der indischen Regierung ohne große Zweifel als angemessene Länder festgelegt werden. Ob auch die EU einen Angemessenheitsbeschluss nach Art. 45 DSGVO für Indien veröffentlicht ist jedoch fraglich. Dies dürfte vor allem davon abhängen, wie das geplante indische Datenschutzgesetz in die Regelungslandschaft implementiert wird und welche Änderungen bis zum Inkrafttreten des DPDP, 2022 noch vorgenommen werden.
Wann der DPDP Act, 2022 in Kraft treten wird ist derzeit unklar, da der Entwurf keinen Umsetzungszeitraum festlegt, sondern lediglich besagt, dass die Bestimmungen zu dem von der Regierung festgelegten Zeitpunkt in Kraft treten werden. Jüngsten Berichten zufolge könnte der Entwurf dem Parlament während der Haushaltssitzung Anfang 2023 vorgelegt werden. Es ist zunächst auf die Reaktionen zum Entwurf zu warten, der bis zum 2. Januar 2023 zur öffentlichen Konsultation stand.