Indien DPDP Act 2023: Einhaltung des Schutzes digitaler personenbezogener Daten

Indiens Digital Personal Data Protection Act 2023 (DPDP Act), das am 11. August 2023 in Kraft trat, stellt einen bahnbrechenden Wandel in Indiens Ansatz zur Datenschutzregulierung dar. Nach fast einem Jahrzehnt gesetzgeberischer Beratungen – einschließlich des Berichts des Justice Srikrishna Committee (2017), mehrerer Gesetzesentwürfe zum Schutz personenbezogener Daten und eines Urteils des Obersten Gerichtshofs, in dem die Privatsphäre als Grundrecht bestätigt wird (Justice K.S. Puttaswamy vs. Union of India, 2017) – verfügt Indien nun über einen umfassenden, durchsetzbaren Datenschutzrahmen.

Das DPDP-Gesetz führt Konzepte wie „Datentreuhänder“, „Datenprinzipal“ und „Einwilligungsmanager“ ein, richtet das Data Protection Board of India (DPBI) als Durchsetzungsbehörde ein und sieht Geldstrafen von bis zu ₹250 Crore (ca. 30 Millionen USD) pro Verstoß vor. Das Gesetz ist jetzt in Kraft und seine Durchführungsbestimmungen werden voraussichtlich im Zeitraum 2025–2026 fertiggestellt und bekannt gegeben.

Wichtige Erkenntnisse

• Das DPDP-Gesetz 2023 gilt für die digitale Verarbeitung personenbezogener Daten in Indien und extraterritorial für Dienstleistungen, die indischen Einzelpersonen angeboten werden
• Die Einwilligung ist die primäre Rechtsgrundlage, ergänzt durch „legitime Nutzungen“ für bestimmte Zwecke (Beschäftigung, Gerichtsverfahren, öffentliches Interesse).
• „Bedeutende Datentreuhänder“ müssen sich mit erhöhten Pflichten auseinandersetzen, einschließlich DPIA-Anforderungen und der Ernennung eines unabhängigen Datenprüfers
• Das Data Protection Board of India (DPBI) ist die Durchsetzungsbehörde mit der Befugnis zur Untersuchung, Entscheidung und Verhängung von Strafen
• Die Höchststrafe beträgt ₹250 crore (~30 Millionen US-Dollar) pro Verstoß; Bei mehreren Verstößen fallen die Strafen kumulativ an
• Grenzüberschreitende Datenübertragungen sind in alle Länder zulässig, mit Ausnahme derjenigen, die durch eine Mitteilung der Zentralregierung ausdrücklich eingeschränkt sind
• Datenverantwortliche (Einzelpersonen) haben das Recht auf Zugang, Berichtigung, Löschung, Nominierung und Beschwerdebehebung – Die Durchführungsbestimmungen (die noch finalisiert werden müssen) werden die wichtigsten betrieblichen Anforderungen festlegen, einschließlich des Formats der Einwilligungserklärung, der Aufbewahrungsfristen und der Treuhandkriterien für wichtige Daten

---

DPDP Act 2023: Rahmenübersicht

Schlüsselterminologie

Das DPDP-Gesetz führt eine eigene Terminologie ein, die sich von den von der DSGVO beeinflussten Rahmenwerken unterscheidet:

• Personenbezogene Daten: Alle Daten über eine Person, die durch oder in Bezug auf diese Daten identifizierbar ist
• Digitale personenbezogene Daten: Personenbezogene Daten in digitaler Form oder nicht digitale personenbezogene Daten, die anschließend digitalisiert werden
• Datenverantwortlicher: Die Person, auf die sich die personenbezogenen Daten beziehen (entspricht der „betroffenen Person“ der DSGVO).
• Datentreuhänder: Jede Person, die allein oder gemeinsam mit anderen den Zweck und die Mittel der Verarbeitung bestimmt (entspricht dem „Datenverantwortlichen“ der DSGVO).
• Datenverarbeiter: Eine Person, die personenbezogene Daten im Auftrag eines Datentreuhänders verarbeitet
• Signifikanter Datentreuhänder (SDF): Ein Datentreuhänder, der von der Zentralregierung auf der Grundlage des Datenvolumens/der Sensibilität der Daten, des Risikos für Datenverantwortliche, nationaler Sicherheitserwägungen und anderer Kriterien benannt wird

Geltungsbereich

Das DPDP-Gesetz gilt für:

1. Verarbeitung digitaler personenbezogener Daten innerhalb Indiens
2. Verarbeitung digitaler personenbezogener Daten außerhalb Indiens – wenn dies zum Zweck des Anbietens von Waren oder Dienstleistungen an Datenauftraggeber in Indien erfolgt

Ausnahmen: Verarbeitung für persönliche oder häusliche Zwecke; personenbezogene Daten, die der Datenverantwortliche selbst öffentlich zugänglich gemacht hat oder zu deren Veröffentlichung der Datenverantwortliche gesetzlich verpflichtet ist.

---

Zustimmung als Stiftung

Im Gegensatz zu den meisten globalen Datenschutzgesetzen mit mehreren gleichen Rechtsgrundlagen macht das DPDP-Gesetz die Einwilligung zur primären Rechtsgrundlage, ergänzt durch „legitime Verwendungen“ für bestimmte aufgezählte Kategorien. Dies ist eine grundlegende Designentscheidung mit erheblichen praktischen Auswirkungen.

Einwilligungsanforderungen

Die Einwilligung nach dem DPDP-Gesetz muss sein:

• Kostenlos: Kein Zwang oder Konditionalität
• Spezifisch: Für jeden beschriebenen Zweck
• Informiert: Basierend auf einer eindeutigen Einwilligungserklärung
• Unbedingt: Nicht davon abhängig, dass mehr Daten als nötig bereitgestellt werden
• Eindeutig: Klare positive Maßnahme

Anforderungen an die Einwilligungserklärung (Abschnitte 5 und 7): Bevor Datentreuhänder eine Einwilligung einholen, müssen sie eine Mitteilung vorlegen, die Folgendes enthält:

• Description of personal data to be processed
• Zweck der Verarbeitung
• Art und Weise, wie der Datenverantwortliche seine Rechte ausüben kann
• Art und Weise, wie Beschwerden beim Datentreuhänder vorgebracht werden können
• Art und Weise, wie Beschwerden beim DPBI eingereicht werden können

Mitteilungen müssen in Englisch und den im achten Anhang der Verfassung genannten Sprachen (22 Amtssprachen) verfasst sein – eine wichtige betriebliche Anforderung für verbraucherorientierte Unternehmen.

Einwilligungsmanager: Das DPDP-Gesetz führt Einwilligungsmanager ein – registrierte Unternehmen, die als Vermittler fungieren und die Einwilligung im Namen von Datenauftraggebern verwalten. Datenverantwortliche können ihre Einwilligungen über mehrere Datentreuhänder hinweg über einen einzigen Einwilligungsmanager verwalten. Dabei handelt es sich um einen innovativen Mechanismus, der einzigartig für den indischen Rahmen ist.

Legitime Verwendungen (Abschnitt 7)

Eine Verarbeitung ohne Einwilligung ist für bestimmte „legitime Zwecke“ zulässig:

1. Staatliche Aufgaben: Verarbeitung durch staatliche Stellen zur Bereitstellung von Subventionen, Leistungen, Dienstleistungen, Zertifikaten, Lizenzen
2. Medizinischer Notfall: Behandlung eines medizinischen Notfalls, der lebensbedrohlich oder unmittelbar gesundheitsgefährdend ist
3. Epidemie/Katastrophe: Reaktion auf Epidemien, Pandemien oder Katastrophen
4. Beschäftigungszwecke: Verarbeitung zur Erfüllung von Pflichten oder zur Ausübung gesetzlicher Rechte im Zusammenhang mit der Beschäftigung (einschließlich Überprüfung vor der Einstellung)
5. Gerichtliche Anordnungen: Durch gerichtliche Anordnungen erforderliche Verarbeitung
6. Forschung und Statistik: Verarbeitung zur Betrugsprävention/-erkennung, Kreditbewertung, Rechtsrecherche, statistische Zwecke – im Rahmen vorgeschriebener Standards
7. Gerechte und angemessene Zwecke: Verarbeitung für Zwecke, die von der Zentralregierung als fair und angemessen festgelegt wurden

---

Datengrundrechte

Das DPDP-Gesetz gewährt Datenauftraggebern folgende Rechte (§§ 11–14):

Bemerkenswertes Fehlen: Das DPDP-Gesetz sieht keine ausdrücklichen Rechte auf Portabilität, Einschränkung oder Widerspruch gegen automatisierte Entscheidungsfindung in derselben Form wie die DSGVO vor. Die Durchführungsbestimmungen der Zentralregierung können einige dieser Probleme durch vorgeschriebene Standards beheben.

Reaktionszeitplan: Das Gesetz legt keine Zeitpläne fest – es wird erwartet, dass diese in den Durchführungsbestimmungen vorgeschrieben werden. Datentreuhänder müssen Beschwerden innerhalb einer vorgeschriebenen Frist anerkennen und innerhalb einer weiteren vorgeschriebenen Frist lösen.

---

Datentreuhänderpflichten

Allgemeine Pflichten (§ 8)

Alle Datentreuhänder müssen:

• Aufrechterhaltung der Datengenauigkeit (Vollständigkeit, Genauigkeit, Übereinstimmung mit dem Zweck)
• Implementieren Sie Datensicherheitsmaßnahmen, einschließlich Verschlüsselung, Zugriffskontrollen und Reaktion auf Vorfälle
• Löschen Sie personenbezogene Daten, wenn der Zweck erfüllt ist oder die Einwilligung widerrufen wird (es sei denn, eine gesetzliche Verpflichtung erfordert eine Aufbewahrung).
• Stellen Sie einen Beschwerdebeauftragten (oder Beamten/Mechanismus) für Datenhauptbeschwerden ein
• Daten von Kindern nicht ohne nachweisbare Einwilligung der Eltern verarbeiten (für Kinder unter 18 Jahren)
• Verfolgen oder überwachen Sie das Verhalten von Kindern nicht und richten Sie keine gezielte Werbung an Kinder

Datenschutz für Kinder

Das DPDP-Gesetz sieht strenge Bestimmungen für Daten von Kindern (Personen unter 18 Jahren) vor:

• Für die Verarbeitung ist eine nachweisbare Einwilligung der Eltern erforderlich
• Verbot von Tracking, Verhaltensüberwachung und gezielter Werbung für Kinder
• Keine Verarbeitung der Daten von Kindern, die ihrem Wohlergehen schadet

Die Durchführungsbestimmungen legen den technischen Mechanismus für die überprüfbare elterliche Zustimmung fest – dies stellt eine erhebliche UX- und technische Herausforderung für Verbraucher-Apps dar.

Signifikante Datentreuhänder (SDFs)

Die Zentralregierung wird bestimmte Datentreuhänder aufgrund folgender Faktoren zu bedeutenden Datentreuhändern ernennen:

• Umfang und Sensibilität der verarbeiteten personenbezogenen Daten
• Gefährdung der Rechte von Datenverantwortlichen
• Mögliche Auswirkungen auf die Souveränität und Integrität Indiens
• Gefahr für die Wahldemokratie
• Sicherheit des Staates
• Öffentliche Ordnung

Für SDFs gelten zusätzliche Pflichten (§ 10):

• Datenschutz-Folgenabschätzung (DPIA): Durchführung und Dokumentation von Datenschutz-Folgenabschätzungen für Verarbeitungsaktivitäten mit hohem Risiko
• Datenprüfung: Regelmäßige Prüfung durch einen unabhängigen Datenprüfer
• Datenschutzbeauftragter (DPO): Ernennen Sie einen in Indien ansässigen DPO als wichtiges Führungspersonal
• Andere Maßnahmen: Wie von der Zentralregierung vorgeschrieben

Die Kriterien für die SDF-Bezeichnung sind noch nicht endgültig – in den Durchführungsbestimmungen werden Schwellenwerte festgelegt. Basierend auf internationalen Präzedenzfällen sind Technologieunternehmen mit Millionen indischen Nutzern, Social-Media-Plattformen und große E-Commerce-Unternehmen wahrscheinliche Kandidaten.

---

Grenzüberschreitende Datenübertragungen

Abschnitt 16 des DPDP-Gesetzes verfolgt einen bemerkenswerten Ansatz: Personenbezogene Daten können in jedes Land außerhalb Indiens übertragen werden, mit Ausnahme derjenigen, die durch Mitteilung der Zentralregierung ausdrücklich eingeschränkt werden.

Hierbei handelt es sich um einen Positivlisten-/Negativbeschränkungsansatz. Standardmäßig sind Übertragungen zulässig, die Regierung kann jedoch Übertragungen in bestimmte Länder aus Gründen der nationalen Sicherheit, aus strategischen Gründen oder aus anderen Gründen einschränken.

Praktische Auswirkungen:

• Unternehmen können Daten international übertragen, ohne dass die Übertragung einzeln bewertet wird (vorbehaltlich länderspezifischer Einschränkungen). – Die Zentralregierung wird eine Liste der Länder veröffentlichen, in denen Beschränkungen gelten – Unternehmen müssen Beschränkungen überwachen und umsetzen
• Neben dem DPDP-Gesetz gelten weiterhin sektorspezifische Lokalisierungsanforderungen (Finanzdaten gemäß RBI, Gesundheitsdaten gemäß NMC/Gesundheitsministerium).

Aktueller Status: Bis Anfang 2026 wurden keine Länderbeschränkungsbenachrichtigungen herausgegeben. Die Durchführungsbestimmungen legen den Rahmen für die Veröffentlichung und Aktualisierung der Sperrliste fest.

---

Datenschutzbehörde von Indien (DPBI)

In Abschnitt 18 wird das DPBI als unabhängiges Entscheidungsgremium mit folgenden Befugnissen eingerichtet:

• Beschwerden von Datenverantwortlichen entgegennehmen und untersuchen
• Durchführung von Untersuchungen zu mutmaßlichen Verstößen
• Erteilung von Anordnungen einschließlich Geldstrafen
• Anweisungen an Datentreuhänder und -verarbeiter erteilen
• Überweisen Sie Angelegenheiten an die Zentralregierung, damit diese politische Maßnahmen ergreifen kann

DPBI-Struktur: Vorsitzender ist ein von der Zentralregierung ernannter Vorsitzender; Zu den Mitgliedern zählen Experten aus den Bereichen Technologie, Recht und öffentliche Ordnung. Das DPBI ist noch nicht konstituiert – seine Einsatzbereitschaft wird von der Umsetzung der Vorschriften und der Ernennung durch die Regierung abhängen.

Untersuchungsprozess: Datenverantwortliche können sich beim DPBI beschweren, nachdem sie den internen Beschwerdemechanismus des Datentreuhänders ausgeschöpft haben. Das DPBI kann Nachforschungen anstellen, Dokumente einholen, Zeugen vorladen und Vorführungsanzeigen ausstellen. Unternehmen haben das Recht, vor einem Strafbefehl gehört zu werden.

Strafen

Das DPDP-Gesetz legt einen Strafplan (Schedule of DPBI) fest:

Die Strafen gelten pro Verstoß und können kumulativ sein – ein einzelner Datenverstoß mit Sicherheits- und Benachrichtigungsfehlern könnte theoretisch insgesamt 450 Crore ₹ nach sich ziehen.

---

Benachrichtigung über Verstöße

Gemäß Abschnitt 8 müssen Datentreuhänder das DPBI (und Datenauftraggeber mit vorgeschriebenen Mitteln) über jede Verletzung des Schutzes personenbezogener Daten informieren. Im Gegensatz zum risikobasierten Schwellenwert der DSGVO (nur „führt voraussichtlich zu einem hohen Risiko“) erfordert das DPDP-Gesetz offenbar die Meldung aller Verstöße, die digitale personenbezogene Daten betreffen. In den Durchführungsbestimmungen wird Folgendes festgelegt:

• Zeitplan für die Benachrichtigung
• Form und Inhalt der Benachrichtigung – Art und Weise der Benachrichtigung betroffener Datenprinzipale

Da es keine festgelegten Fristen gibt, besteht die beste Vorgehensweise darin, sich an den 72-Stunden-Standard der DSGVO für die DPBI-Benachrichtigung zu halten und Datenverantwortliche unverzüglich über Verstöße mit hohem Risiko zu benachrichtigen.

---

Zeitplan für die Umsetzung des DPDP-Gesetzes

August 2023: DPDP-Gesetz erlassen und Zustimmung des Präsidenten erhalten

2024: Regierungskonsultation zu Durchführungsbestimmungen; Feedbackperioden der Stakeholder

2025–2026: Es wird erwartet, dass Durchführungsbestimmungen mitgeteilt werden, die Folgendes festlegen:

• Format und Sprachanforderungen der Einwilligungserklärung
• Aufbewahrungsfristen für Daten
• Kriterien und Schwellenwerte für die SDF-Ausweisung
• Überprüfbarer Mechanismus zur Zustimmung der Eltern
• Registrierungsanforderungen für Consent Manager
• Verfassung und Betriebsabläufe des DPBI
• Qualifikationsanforderungen für Datenprüfer

Aktuelle Situation: Das Gesetz ist in Kraft, aber viele betriebliche Anforderungen hängen von Durchführungsbestimmungen ab. Unternehmen sollten Compliance-Programme entwerfen, die die Strenge auf DSGVO-Niveau berücksichtigen und gleichzeitig die Regelentwicklungen überwachen.

---

Checkliste zur Einhaltung des DPDP-Gesetzes

• Anwendbarkeitsanalyse abgeschlossen (Indien-Betriebe, indische Kunden)
• Bestandsaufnahme personenbezogener Daten für alle Verarbeitungsaktivitäten abgeschlossen
• Die Einwilligungserklärung wurde entsprechend den Anforderungen der Abschnitte 5 und 7 entwickelt
• Einwilligungsmechanismus implementiert (affirmativ, spezifisch, bedingungslos)
• Übersetzung der Einwilligungserklärung in die anwendbaren indischen Sprachen geplant
• Analyse legitimer Nutzungen zur Verarbeitung ohne Einwilligung abgeschlossen
• Identifizierung der Kinderdaten abgeschlossen – Einverständnismechanismus der Eltern geplant
• Dokumentierte Verfahren zum Schutz der Rechte des Dateninhabers (Zugriff, Berichtigung, Löschung, Nominierung)
• Beschwerdebeauftragter benannt und Kontaktinformationen veröffentlicht
• Sicherheitsmaßnahmen implementiert (Verschlüsselung, Zugriffskontrolle, Reaktion auf Vorfälle)
• Verfahren zur Meldung von Verstößen dokumentiert (im Einklang mit den DPBI-Meldeanforderungen)
• Verfahren zur Datenaufbewahrung und -löschung dokumentiert und automatisiert
• Bewertung grenzüberschreitender Transfers – eingeschränkte Überwachung der Länderliste geplant
• SDF-Benennungsbewertung – bereiten Sie sich auf zusätzliche Verpflichtungen vor, wenn diese wahrscheinlich in Frage kommen
• DPIA-Prozess für Hochrisikoverarbeitung eingerichtet
• Schulung der Mitarbeiter zu den Pflichten nach dem DPDP-Gesetz abgeschlossen

---

Häufig gestellte Fragen

Ist das DPDP-Gesetz 2023 vollständig in Kraft?

Das DPDP-Gesetz wurde im August 2023 erlassen und erhielt die Zustimmung des Präsidenten. Viele Bestimmungen hängen jedoch von Durchführungsbestimmungen (nach dem Gesetz „Regeln“ genannt) ab, die betriebliche Anforderungen festlegen. Bis Anfang 2026 wurden die Durchführungsbestimmungen noch nicht vollständig mitgeteilt. Das Gesetz selbst ist in Kraft – das heißt, seine Grundsätze und einige Verpflichtungen gelten –, aber die detaillierten Compliance-Anforderungen (Format der Einwilligungserklärung, SDF-Kriterien, DPBI-Verfahren) warten noch auf Regeln. Unternehmen sollten jetzt Compliance-Rahmenwerke vorbereiten und diese aktualisieren, sobald Regeln veröffentlicht werden.

Wie unterscheidet sich das DPDP-Gesetz von der DSGVO?

Mehrere wesentliche Unterschiede: (1) Das DPDP-Gesetz verwendet die Einwilligung als primäre Grundlage mit begrenzten „legitimen Verwendungszwecken“ – die DSGVO hat sechs gleichberechtigte Rechtsgrundlagen; (2) Das DPDP-Gesetz erlaubt standardmäßig grenzüberschreitende Übertragungen (mit Ausnahme von Ländern, die staatliche Beschränkungen unterliegen) – die DSGVO schränkt Übertragungen ein, sofern kein angemessener Schutz besteht; (3) Das DPDP-Gesetz sieht keine ausdrücklichen Rechte auf Datenübertragbarkeit oder Einschränkung der Verarbeitung vor; (4) Das DPDP-Gesetz führt Einwilligungsmanager ein – eine einzigartige Innovation; (5) Die Strafstruktur des DPDP-Gesetzes (maximal 250 crore ₹) ist niedriger als die potenziellen Höchstgrenzen der DSGVO für große multinationale Unternehmen; (6) Das DPDP-Gesetz gilt nur für digitale personenbezogene Daten – die DSGVO gilt für alle personenbezogenen Daten, unabhängig vom Format.

Wer wird voraussichtlich zum Treuhänder für bedeutende Daten ernannt?

Die Kriterien in Abschnitt 10 legen nahe, dass zu den SDFs gehören: große in Indien tätige Social-Media-Plattformen, große E-Commerce-Unternehmen mit einer beträchtlichen indischen Nutzerbasis, Unternehmen, die sensible Daten (Gesundheit, Finanzen) in großem Umfang verarbeiten, Technologieunternehmen mit erheblichem Verarbeitungsvolumen. Basierend auf dem analogen Schwellenwert der DSGVO für „groß angelegte systematische Überwachung“ und der Größe Indiens (1,4 Milliarden Einwohner) sollten Unternehmen mit Millionen indischen Nutzern, insbesondere in den Bereichen Verbraucher-Internet, Fintech und Gesundheitstechnologie, die SDF-Wahrscheinlichkeit abschätzen und sich auf erhöhte Verpflichtungen vorbereiten.

Welche Bestimmungen gelten für den Consent Manager?

Einwilligungsmanager sind beim DPBI registrierte Unternehmen, die interoperable Plattformen unterhalten, über die Datenverantwortliche Einwilligungen über mehrere Datentreuhänder hinweg erteilen, verwalten, überprüfen und widerrufen können. Datentreuhänder sind für die Verarbeitung auf der Grundlage der von einem Einwilligungsmanager eingeholten Einwilligung verantwortlich. Dies soll Einzelpersonen eine zentrale Ansicht und Kontrolle ihrer Einwilligung im gesamten digitalen Ökosystem ermöglichen. Die Registrierungsvoraussetzungen und technischen Standards für Consent Manager werden in Durchführungsbestimmungen festgelegt.

Wie gilt das DPDP-Gesetz für Mitarbeiterdaten?

Beschäftigungsdaten werden durch die Bestimmung zu „legitimen Verwendungen“ (Abschnitt 7(f)) geregelt – die Verarbeitung zum Zweck der Erfüllung von Verpflichtungen oder der Ausübung gesetzlicher Rechte im Zusammenhang mit der Beschäftigung (einschließlich Überprüfung vor der Einstellung, Hintergrundüberprüfungen, Gehaltsabrechnungen, Sozialleistungen) gilt als legitime Nutzung, ohne dass eine Einwilligung erforderlich ist. Für Mitarbeiterdaten, die über Beschäftigungszwecke hinausgehen, wäre jedoch eine Einwilligung erforderlich. Durch die Durchführungsbestimmungen soll der Umfang der beschäftigungsbezogenen rechtmäßigen Nutzung klargestellt werden.

Gibt es weiterhin branchenspezifische Datenlokalisierungsanforderungen?

Ja. Die grenzüberschreitenden Übermittlungsbestimmungen des DPDP-Gesetzes ersetzen nicht branchenspezifische Lokalisierungsanforderungen. Die Reserve Bank of India (RBI) verlangt die Speicherung von Finanzdaten innerhalb Indiens (Payment System Data Storage Direction, 2018). Die Nationale Medizinische Kommission und das Gesundheitsministerium haben Anforderungen an die Lokalisierung von Gesundheitsdaten. IRDAI (Versicherung) hat Datenlokalisierungsanforderungen für Versicherungsunternehmen. Unternehmen in regulierten Sektoren müssen sowohl das DPDP-Gesetz als auch branchenspezifische Anforderungen erfüllen.

---

Nächste Schritte

Das indische DPDP-Gesetz stellt eine bedeutende regulatorische Entwicklung für jedes Unternehmen mit indischen Niederlassungen, Kunden oder Mitarbeitern dar. Während die Implementierungsregeln noch fertiggestellt werden, können Sie durch den Aufbau Ihres Compliance-Programms jetzt – insbesondere im Hinblick auf Einwilligungsmechanismen, Datenprinzipalrechte und Sicherheitsvorkehrungen – effizient Compliance erreichen, wenn Regeln benachrichtigt werden.

Das Technologieimplementierungsteam von ECOSIRE unterstützt Unternehmen bei der Entwicklung DPDP-konformer Datenarchitekturen, Einwilligungsverwaltungssysteme und Arbeitsabläufe für den Datenschutz, die auf den indischen Markt zugeschnitten sind.

Erste Schritte: ECOSIRE Services

Haftungsausschluss: Dieser Leitfaden dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die Durchführungsbestimmungen zum DPDP-Gesetz stehen noch aus; Die Anforderungen werden sich mit der Bekanntgabe der Regeln weiterentwickeln. Wenden Sie sich an einen qualifizierten indischen Rechtsberater, um spezifische Ratschläge für Ihre Organisation zu erhalten.