Datenschutzgesetz Indien

In Indien gibt es noch kein einheitliches Datenschutzgesetz, das den Umgang mit personenbezogenen Daten regelt. Mit dem “Digital Personal Data Protection Act, 2023” wird sich das ändern, allerdings ist bisher noch nicht bekannt, wann er in Kraft tritt.
Bisherige Rechtsgrundlagen im Datenschutzbereich sind der “Information Technology Act, 2000” (speziell dessen Sec. 43A) sowie die “Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011”. Aus europäischer Sicht gilt Indien daher noch als “unsicherer Drittstaat”. Unternehmen müssen vor der Übertragung personenbezogener Daten nach Indien notwendige Garantien von den Datenempfängern einfordern, etwa über die EU-Standardvertragsklauseln und weitere Vereinbarungen.   
Mögliche Erleichterungen sind aber in Sicht. In den letzten Jahren hat die indische Regierung intensiv an einem ersten Datenschutzgesetz gearbeitet, das in vielen Punkten der DSGVO ähnelt und dem von der EU geforderten Datenschutzniveau entsprechen könnte. Nach einigen Überarbeitungen hat Indiens Präsidentin Draupadi Murmu schließlich am 11. August 2023 den “Digital Personal Data Protection Act, 2023 (DPDP Act)” unterzeichnet.  
Das Gesetz betrifft die Verarbeitung digitaler personenbezogener Daten in Indien, wenn diese in digitaler Form gesammelt oder nachträglich digitalisiert werden. Wenn digitale persönliche Daten außerhalb Indiens verarbeitet werden, um Personen in Indien Waren oder Dienstleistungen anzubieten, ist eine extraterritoriale Anwendbarkeit gegeben. Durch entsprechende Bekanntmachung kann die Zentralregierung aber den Transfer von persönlichen Daten in bestimmte Länder außerhalb Indiens beschränken. Zudem sieht das Gesetz die Einrichtung eines Data Protection Board of India (DPBI) als Aufsichtsbehörde vor. Diese ist befugt, Verstöße festzustellen und Sanktionen zu verhängen. 
Das Gesetz tritt erst in Kraft, wenn seine 44 Bestimmungen (notifications) durch die Zentralregierung verabschiedet wurden. Erst danach kann die EU über einen Angemessenheitsbeschluss entscheiden. Wann dies der Fall sein wird, kann derzeit nicht gesagt werden. Einige Tochtergesellschaften deutscher Unternehmen haben aber bereits damit begonnen, ihre Dokumentation und Prozesse zu überprüfen und zu aktualisieren, um nach Inkrafttreten die Umsetzung zu erleichtern.  
Auf der Webseite des indischen Ministry of Electronics & Information Technology (MEITY) steht das neue Datenschutzgesetz als Download zur Verfügung.