Datenschutz in Indien

PrintMailRate-it

zuletzt aktualisiert am 25. November 2020 | Lesedauer ca. 4 Minuten


Gegenwärtig hat Indien noch keine spezifischen Gesetze zum Datenschutz erlassen. In Indien wird das Datenschutzrecht derzeit hauptsächlich durch den Information Tech­no­logy Act, 2000 („IT Act”) und die Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011 („IT Rules”) geregelt. Darüber hinaus ist die indische Regierung dabei, das Gesetz zum Schutz personen­bezogener Daten, das Personal Data Protection Bill, 2019 („PDP Bill”), zu ver­abschieden und um­zusetzen, das sich an der all­gemeinen europäischen Daten­­schutz­grund­verordnung, 2016 („DSGVO”) orientieren soll.



Vorschriften des IT-Act/IT-Rules

Die IT-Rules gelten nur für Unternehmen mit Sitz in Indien, egal ob sie Daten von natürlichen Personen mit Sitz innerhalb oder außerhalb Indiens verarbeiten. Die Verarbeitung umfasst das Sammeln, Empfangen, Besitzen, Speichern, Handeln oder Verarbeiten von sensiblen oder persönlichen Daten. Unter „sensiblen persönlichen Informationen oder Daten” versteht man Passwörter, finanzielle Informationen, physische, physiologische oder psychische Gesundheitszustände, sexuelle Orientierung, medizinische Aufzeichnungen und medizinische Vorgeschichte sowie biometrische Informationen. Es schließt jedoch keine persönlichen Daten ein, die frei verfügbar oder öffentlich zugänglich sind oder nach dem Gesetz über das Right of Information Act, 2005 oder nach einem anderen geltenden Gesetz bereitgestellt wurden.


Export sensibler persönlicher Daten außerhalb Indiens zulässig

Der Export sensibler persönlicher Daten oder Informationen außerhalb Indiens ist zulässig, vorausgesetzt, dass die in Indien erforderlichen Datenschutzstandards eingehalten werden und, dass ein rechtmäßiger Vertrag vorliegt und dem Export der sensiblen persönlichen Daten oder Informationen vorher zugestimmt wurde.


Aufbewahrungsfristen

Die IT Rules schreiben vor, dass Daten und Informationen nicht länger als erforderlich aufbewahrt werden sollen. Es gilt hierbei keine allgemeine Verjährungsfrist für die Aufbewahrung von Daten. Jedoch können sektorenspezifische Aufbewahrungsfristen anwendbar sein, wie z.B. im Finanzsektor. Die allgemeine Praxis zeigt jedoch, dass Daten grundsätzlich für die Dauer der geltenden vertragsrechtlichen Verjährungsfristen in Bezug auf mögliche Klagegründe aufbewahrt werden.


Compliance

Die IT-Rules verlangen von Unternehmen, dass sie über eine Datenschutzrichtlinie verfügen. Ferner sollen Unternehmen bei der Sammlung oder Übertragung sensibler persönlicher Daten oder Informationen die Einwilligung der betreffenden Personen einholen und sie über den Erhalt der gesammelten Daten informieren. Wenn eine solche Einwilligung als Teil eines Standardvertrags eingeholt wird, müssen die Vertragsbedingungen angemessen sein. Darüber hinaus müssen Personen, die ihre Daten oder Informationen Unternehmen zur Verfügung gestellt haben, die Möglichkeit haben, ihre Einwilligung zurückzuziehen. In den Fällen steht es den Unternehmen frei, die Waren oder Dienstleistungen nicht zu liefern, für die die Informationen angefordert wurden. Neben dem Recht, sich gegen die Weitergabe von Daten und Informationen zu entscheiden, haben Personen das Recht, die von ihnen zur Verfügung gestellten Daten und Informationen zu überprüfen und die Berichtigung oder Ergänzung zu verlangen, sofern diese unrichtig sind.


The Personal Data Protection Bill, 2019 („PDP Bill“)

Das PDP Bill ist der DSGVO sehr ähnlich, sodass es für Unternehmen, die bereits DSGVO-konform sind und die Bestimmungen des IT-Acts und der-IT Rules befolgen, keine Schwierigkeit darstellen wird, sich an das PDP Bill anzupassen. So sieht z.B. auch das PDP Bill einen Datenschutzbeauftragten vor, der vor den Daten­schutz­behörden weitreichende Befugnisse haben soll.

Der Schutzbereich des PDP Bill umfasst indische Unternehmen und indische Staatsbürger mit Sitz in Indien, erstreckt sich dabei jedoch auf alle juristische Personen, die personenbezogene Daten verarbeiten, auch wenn die außerhalb Indiens verarbeitet werden. Das Gesetz betrifft damit auch Unternehmen, die außerhalb Indiens ansässig sind und Produkte oder Leistungen auf dem indischen Markt anbieten.


Datenlokalisierung

Eine zentrale Neuerung gibt es im Bereich der Datenlokalisierungsanforderungen. Es ist vorgesehen, dass Unternehmen, die Daten sammeln oder verarbeiten, diese Daten oder eine Kopie dieser Daten auf lokalen Servern innerhalb der territorialen Gerichtsbarkeit Indiens speichern müssen.

Außerdem verlangt das Gesetz, dass Unternehmen keine sensiblen personenbezogenen Daten oder bestimmte Kategorien von personenbezogenen Daten, die von der Regierung als kritisch klassifiziert wurden, ins Ausland übermitteln oder dort speichern dürfen.

Übertragungen ins Ausland sollten zudem nur zugelassen sein, wenn bei der Übertragung ein angemessenes Schutzniveau gewährleistet wird, die betroffene Person eingewilligt hat und den indischen Behörden, die für die Durchsetzung der einschlägigen Gesetze zuständig sind, die Daten bei Bedarf zugänglich gemacht werden können.

Zum heutigen Zeitpunkt werden die meisten dieser Informationen entweder teilweise oder vollständig außer­halb Indiens gespeichert, insbesondere bei ausländisch investierten Unternehmen. Durch die Erfordernis der Datenlokalisierung sollten Unternehmen zeitig den Handlungsbedarf prüfen und ggf. in den Ausbau lokaler IT-Infrastruktur investieren.


Die DSGVO und ihre Anwendbarkeit in Indien

Gemäß der DSGVO darf der Austausch persönlicher Daten aus dem Gebiert der Europäischen Union in nicht-europäische Länder nur dann stattfinden, wenn dieses nicht-europäische Land die Standards der DSGVO einhält. Dabei wurden bestimmte Kriterien festgelegt, die das nicht-europäische Land erfüllen muss, damit der Austausch von Daten ohne zusätzliche Genehmigung stattfinden kann. Dabei wird untersucht, ob das Land ein sicheres Umfeld für den Schutz persönlicher Daten und Informationen geschaffen hat.


Die Datenschutzbestimmungen werden überprüft und ihre Wirksamkeit berechnet. Die internationalen Konventionen oder Verträge, die die außereuropäischen Nationen abgeschlossen haben, werden ebenfalls geprüft. Die Europäische Union hat nur 13 Ländern die Angemessenheit ihrer Datenschutzbestimmungen zugesprochen, und Indien hat diese Zustimmung noch nicht erhalten. Indien hofft, dass mit dem neuem PDP Bill die Zustimmung bald erteilt wird. In der Zwischenzeit ist es für Unternehmen in Indien notwendig, die zusätzlichen Compliance-Anforderungen der DSGVO einzuhalten, um weiterhin Transaktionen mit Unterneh­men in der EU fortsetzen zu können. Dabei können Checklisten, Compliance-Strukturen und regelmäßige Überprüfungen helfen. Hierbei müssen indische Unternehmen insbesondere darauf achten, dass alle Einwilligungen, Datenschutzrichtlinien und -hinweise DSGVO-konform sind.

Es sollte verstanden werden, dass alle Unternehmen, egal wie groß oder klein sie in Indien sind, die Be­stimmun­gen der DSGVO einhalten müssen, sofern sie Daten von natürlichen Personen der EU verarbeiten. Die ist insbesondere für IT/ITESUnternehmen der Fall. Solche Unternehmen sind es gewohnt IT-Audits und eidesstaatliche Erklärungen bzgl. der Umsetzung der Cybersicherheit und des Datenschutzes gemäß der DSGVO vorzulegen, um so weiterhin Geschäfte mit Unternehmen in der EU tätigen zu können.


Fazit

Die digitalisierte Welt und insbesondere der digitalisierte Geschäftsverkehr macht es unumgänglich für Indien, den Sicherheitsmaßnahmen zum Datenschutz aus dem Westen zu folgen. Jedes globale Unternehmen muss sich darauf einstellen, in jedem Land den gleichen Datenschutz zu gewährleisten und die Rechte der natürlichen Personen zu schützen. Alle Branchen und Unternehmen, ob groß oder klein, sind von diesen IT-Sicherheits- und Datenschutzgesetzen betroffen. Die Kosten, um den Datenschutz zu gewährleisten, sollten alle Unternehmen nicht außer Acht lassen und von daher auch in Indien in die aktuellen und künftigen Kosten- und Finanzierungsanalysen einplanen.

Kontakt

Contact Person Picture

Archita Sarkar

Associate Partner

+91 20 6625 7114

Anfrage senden

Contact Person Picture

Dharm Veer Singh Krishnawat

Partner, Niederlassungsleiter Ahmedabad

+91 976 990 0330

Anfrage senden

 Wir beraten Sie gern!

 Unternehmer­briefing

Kein Themen­special verpas­sen mit unserem Newsletter!

Deutschland Weltweit Search Menu