Was ist das Gesetz zum Schutz digitaler personenbezogener Daten (DPDP-Gesetz)?
Anfang August 2023 verabschiedete das indische Parlament den Digital Personal Data Protection (DPDP) Act, 2023. Indiens Gesetz zum Schutz digitaler personenbezogener Daten ist ein bahnbrechendes Gesetz, das die Rechte des Einzelnen auf Schutz seiner personenbezogenen Daten mit der Notwendigkeit der Verarbeitung solcher Daten für rechtmäßige Zwecke in Einklang bringt. Das Gesetz legt Pflichten für Datenverantwortliche, also diejenigen, die Daten verarbeiten, fest und beschreibt die Rechte und Pflichten der Datenempfänger, also der Personen, auf die sich die Daten beziehen. Außerdem werden finanzielle Strafen für Verstöße eingeführt.
Das Gesetz von 2023 ist die zweite Fassung des im Parlament eingebrachten Gesetzentwurfs und die vierte insgesamt. Im Jahr 2017 erkannte der Oberste Gerichtshof Indiens im Puttaswamy-Urteil, auch bekannt als das Urteil zum Recht auf Privatsphäre, das Recht auf Privatsphäre als verfassungsmäßig geschütztes Recht an. Das Gericht wies außerdem auf das Fehlen eines umfassenden Datenschutzgesetzes in Indien sowie auf die Beschränkungen der bestehenden Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules oder SPDI Rules hin, die im Jahr 2011 in Kraft traten.
Im Anschluss an das Urteil zum Recht auf Privatsphäre entwickelte die indische Regierung einen Gesetzesentwurf zum Schutz der Privatsphäre der Inder. Frühere Versionen des Personal Data Protection Act wurden eingehend geprüft und waren letztendlich erfolglos, darunter auch der Data Protection Bill 2021, der einige Ähnlichkeiten mit der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union aufwies. Es wurde im August 2022 zurückgezogen.
Im November 2022 legte das Ministerium für Elektronik und Informationstechnologie den Gesetzentwurf zum Schutz digitaler personenbezogener Daten 2023 vor, und im August 2023 setzte der Präsident Indiens den „Gesetzentwurf zum Schutz digitaler personenbezogener Daten“ nach dessen Zustimmung durch beide Häuser des indischen Parlaments formell in Kraft.
Für wen gilt Indiens Gesetz zum Schutz digitaler personenbezogener Daten (DPDP-Gesetz)?
Das DPDP-Gesetz gilt für die Verarbeitung digitaler personenbezogener Daten, die im weitesten Sinne als Daten in digitaler Form (unabhängig davon, ob sie in digitaler Form erhoben oder in nicht-digitaler Form digitalisiert wurden) über eine Person definiert werden, die durch solche Daten identifizierbar ist. Das DPDP-Gesetz gilt für Organisationen, die Daten verarbeiten, wenn folgende Bedingungen erfüllt sind:
Nach Organisation
Organisationen, die „digitale personenbezogene Daten“ verarbeiten, welche die Identifizierung der „betroffenen Person“ ermöglichen. Der Datenverantwortliche ist die Person, auf die sich die Daten beziehen.
Organisationen, die „digitale personenbezogene Daten“ verarbeiten, welche die Identifizierung der „betroffenen Person“ ermöglichen. Der Datenverantwortliche ist die Person, auf die sich die Daten beziehen.
Nach Datentyp
Die Daten, die eine Organisation verarbeitet, werden entweder in digitalisierter Form erfasst oder digitalisiert.
Die Daten, die eine Organisation verarbeitet, werden entweder in digitalisierter Form erfasst oder digitalisiert.
Nach Standort
Organisationen, die digitale personenbezogene Daten innerhalb des indischen Territoriums verarbeiten. Alternativ dazu, wenn Sie digitale personenbezogene Daten außerhalb Indiens verarbeiten, die Verarbeitung jedoch im Zusammenhang mit einer Tätigkeit steht, die das Anbieten von Waren oder Dienstleistungen an Personen in Indien betrifft.
Organisationen, die digitale personenbezogene Daten innerhalb des indischen Territoriums verarbeiten. Alternativ dazu, wenn Sie digitale personenbezogene Daten außerhalb Indiens verarbeiten, die Verarbeitung jedoch im Zusammenhang mit einer Tätigkeit steht, die das Anbieten von Waren oder Dienstleistungen an Personen in Indien betrifft.
Aggregierte Daten, Daten, die für Haushalts-/häusliche Zwecke verwendet werden, und öffentlich zugängliche personenbezogene Daten fallen nicht unter das DPDP-Gesetz.
Wie Fortra-Datenschutzlösungen helfen können
Fortra Data Loss Prevention (DLP) kann eine entscheidende Rolle dabei spielen, Unternehmen bei der Einhaltung des indischen Digital Personal Data Protection Act, 2023 (DPDP-Gesetz) zu unterstützen. Das DPDP-Gesetz konzentriert sich auf den Schutz und die Verarbeitung personenbezogener Daten, gewährleistet die Datenschutzrechte von Einzelpersonen und setzt die Verantwortlichkeit der Datenverarbeiter durch. Fortra geht mit seinen umfassenden Datenschutz- und Sicherheitslösungen auf wichtige Aspekte dieser Verordnung ein. So geht's:
