Loading…
Das DPDPA übernimmt vieles aus der GDPR — Zweckbindung, Rechte der betroffenen Personen, Meldung von Datenschutzverletzungen, ja sogar das Konzept eines Datenschutzbeauftragten. Indiens Rahmen ist jedoch schlanker, stärker einwilligungsbasiert, verzichtet auf die Rechtsgrundlage „berechtigte Interessen“ und verwendet Obergrenzen in Crores pro Verstoß statt umsatzbezogener Bußgelder. Wenn Sie indische betroffene Personen von irgendwo auf der Welt aus betreuen, benötigen Sie beide Perspektiven.
| Dimension | 🇮🇳 DPDPA | 🇪🇺 GDPR |
|---|---|---|
| Rechtsinstrument | Digital Personal Data Protection Act, 2023 + DPDP Rules 2025 (G.S.R. 846(E)) | Verordnung (EU) 2016/679 |
| Datum des Inkrafttretens | Gesetz: 11. Aug. 2023; Verordnungen: schrittweise über 2025–2026 | 25. Mai 2018 |
| Räumlicher Anwendungsbereich | Verarbeitung der digitalen personenbezogenen Daten indischer betroffener Personen — weltweit (Abschnitt 3) | EU/EWR + extraterritorial nach Art. 3 |
| Rechtsgrundlagen | Einwilligung ODER „bestimmte berechtigte Nutzungen“ (Abschnitt 7) — eng definiert | Sechs Grundlagen (Art. 6); berechtigte Interessen breit verfügbar |
| Einwilligungsanforderungen | Freiwillig, spezifisch, informiert, bedingungslos, unmissverständlich — mit klarem Hinweis (Abschnitt 6) | Freiwillig erteilt, spezifisch, informiert, unmissverständlich — widerrufbar (Art. 7) |
| Datenschutzbeauftragter | Significant Data Fiduciaries (SDFs) — müssen einen DPO in Indien benennen (Abschnitt 10) | Verpflichtend in definierten Fällen (Art. 37) |
| Lokaler Vertreter | Gesetzlich nicht erforderlich (jedoch operativ entscheidend für die Interaktion mit dem Board) | EU-Vertreter nach Artikel 27 für Nicht-EU-Verantwortliche verpflichtend |
| Höchstbußgeld (pro Vorfall) | ₹250 Crore (~30 Mio. USD) — Sicherheitsvorkehrungen (Regel 6) | 20 Mio. € oder 4 % des weltweiten Umsatzes (Art. 83(5)) |
| Gestufte Sanktionsstruktur | ₹250 Cr Sicherheit · ₹200 Cr Meldung von Datenschutzverletzungen · ₹150 Cr Daten von Kindern · ₹50 Cr Sonstiges | Zwei Stufen: 10 Mio. €/2 % (untere) und 20 Mio. €/4 % (obere) |
| Meldung von Datenschutzverletzungen | Innerhalb von 72 Stunden an das Data Protection Board of India + betroffene Personen (Regel 7) | 72 Stunden an die Aufsichtsbehörde (Art. 33) + betroffene Personen bei hohem Risiko (Art. 34) |
| Aufsichtsbehörde | Data Protection Board of India (DPBI) | 27 DPAs der EU-Mitgliedstaaten + EDPB |
| Daten von Kindern | Nachprüfbare elterliche Einwilligung bei unter 18-Jährigen (Abschnitt 9). Kein Verhaltenstracking, keine zielgerichtete Werbung. | Standardeinwilligungsalter 16 (Mitgliedstaaten können auf 13 absenken) |
| Rechte der betroffenen Personen | Auskunft, Berichtigung, Löschung, Beschwerdebearbeitung, Nominierung, Widerruf der Einwilligung (Abschnitte 11–14) | 8 Rechte (Art. 15–22), einschließlich Übertragbarkeit, Widerspruch gegen automatisierte Entscheidungen |
| Recht auf Übertragbarkeit | Nach dem DPDPA nicht gewährt | Ja — Art. 20 |
| Recht auf Widerspruch gegen automatisierte Entscheidungen | Nach dem DPDPA nicht gewährt | Ja — Art. 22 |
| Grenzüberschreitende Übermittlung | Zulässig, sofern die Zentralregierung das jeweilige Zielland nicht einschränkt (Abschnitt 16) | Beschränkt — SCCs/BCRs/Angemessenheit erforderlich (Kapitel V) |
| Datenlokalisierung | Keine pauschale Lokalisierung im Gesetz; RBI-Vorschriften verlangen die Lokalisierung von Zahlungsdaten | Keine Lokalisierung durch die GDPR; einige Mitgliedstaaten erlassen sektorspezifische Regeln |
| Kategorie sensibler Daten | Nicht ausdrücklich kategorisiert (einheitliche Stufe personenbezogener Daten) | Daten besonderer Kategorien (Art. 9) mit dem Erfordernis ausdrücklicher Einwilligung |
| DPIA-Äquivalent | Verpflichtend für SDFs (Abschnitt 10(2)) | Verpflichtend für Verarbeitungen mit hohem Risiko (Art. 35) |
| Beschwerde bei unabhängiger Stelle | Telecom Disputes Settlement and Appellate Tribunal (TDSAT) | Direkter Rechtsweg + Beschwerderecht bei der DPA (Art. 77–79) |
Nein — auch wenn es sich des Vokabulars der GDPR bedient. Das DPDPA ist einwilligungsorientiert mit einem engeren Satz an „berechtigten Nutzungen“, lässt das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch gegen automatisierte Entscheidungen aus und verwendet Obergrenzen in Crores pro Verstoß statt umsatzbezogener Bußgelder. Das Sanktionsrisiko kann bei systematischen Verstößen dennoch ₹500 Crore erreichen.
Nein — betreiben Sie ein einziges abgebildetes Programm. Verwenden Sie die strengeren Anforderungen der GDPR (DPIA, Widerruf der Einwilligung, 72-Stunden-Meldung) als Basis und ergänzen Sie die DPDPA-spezifischen Überlagerungen (Meldung an das Board, indischer DPO für SDFs, Beschränkungen für Daten von Kindern).
Ja, wenn Sie betroffenen Personen in Indien Waren oder Dienstleistungen anbieten (Abschnitt 3(b)). Das Gesetz gilt extraterritorial, unabhängig davon, wo sich Ihre Server oder Ihre Niederlassung befinden.
Das Gesetz ist in Kraft, die Verordnungen werden jedoch schrittweise über 2025–2026 umgesetzt. Das Data Protection Board ist betriebsbereit. Mit einer Verschärfung der Durchsetzung ist im Laufe von 2026 zu rechnen — bereiten Sie sich jetzt vor.
Indien ist strenger: Bei unter 18-Jährigen ist eine nachprüfbare elterliche Einwilligung erforderlich, und Verhaltenstracking oder zielgerichtete Werbung sind untersagt. Das Standardeinwilligungsalter der GDPR liegt bei 16 mit zulässiger Absenkung auf 13, und Verhaltenstracking ist mit Einwilligung und DPIA zulässig.
Nicht im Gesetz, aber praktisch erwartet das Data Protection Board of India eine benannte, in Indien ansässige Kontaktstelle für Significant Data Fiduciaries. Genau diese Rolle übernimmt unser India-Repräsentationsservice.
Einmal Kontrollen zuordnen, doppelt konform sein. RegulatoryBridge bietet Ihnen eine einzige DSAR-Pipeline, einen einzigen DPO, ein einziges Breach-Runbook – beide Rahmenwerke abgedeckt.