Indiens Datenschutz: Regierung drückt aufs Tempo

Das könnte globale Konzerne unter Druck setzen.

Die indische Regierung prüft einen Vorstoß, die Fristen für die Umsetzung des neuen Digital Personal Data Protection Act (DPDPA) für die größten Datenverarbeiter des Landes zu verkürzen. Statt wie ursprünglich vorgesehen bis Mai 2027, sollen sogenannte Significant Data Fiduciaries (SDFs) – darunter Social-Media-Konzerne, große E-Commerce-Plattformen und Finanzinstitute – ihre zentralen Pflichten möglicherweise schon bis November 2026 erfüllen. Das berichten Teilnehmer hochrangiger Stakeholder-Treffen aus dem Januar.

Während Indien die Fristen für Datenschutz-Audits und Folgenabschätzungen verschärft, rückt auch in Europa die lückenlose Dokumentation der Verarbeitungstätigkeiten immer stärker in den Fokus der Behörden. Diese kostenlose Excel-Vorlage unterstützt Sie dabei, Ihr Verarbeitungsverzeichnis nach Art. 30 DSGVO rechtssicher und zeitsparend zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen

SDFs im Fokus: Deadline rückt näher

Der Beschluss der finalen Ausführungsbestimmungen im November 2025 startete eigentlich eine 18-monatige Übergangsfrist für die Wirtschaft. Doch das Ministerium für Elektronik und Informationstechnologie (MeitY) will diesen Zeitplan für die systemrelevanten Unternehmen nun straffen. Für sie könnten damit Schlüsselverpflichtungen wie die Bestellung eines in Indien ansässigen Datenschutzbeauftragten (DPO), umfassende Folgenabschätzungen und verpflichtende externe Audits ein halbes Jahr früher fällig werden.

Hinter der Beschleunigung steht der politische Wille, das digitale Ökosystem schneller abzusichern – besonders bei Diensten, die nationale Sicherheit oder die Demokratie berühren. Für den breiten Markt bleibt die finale Deadline aller Pflichten, einschließlich des Managements von Betroffenenrechten, vorerst auf den 13. Mai 2027 festgelegt. Experten raten jedoch bereits jetzt zur zügigen Umsetzung.

Daten-Transfer: Flexibilität mit Vorbehalt

Ein komplexer Punkt des neuen Regimes ist der Umgang mit Datenübermittlungen ins Ausland. Anders als in früheren Entwürfen sieht das Gesetz keine pauschale Lokalisierungspflicht vor. Stattdessen erlaubt es Datenflüsse in alle Jurisdiktionen – es sei denn, die Regierung setzt ein bestimmtes Land explizit auf eine „Blacklist“.

Diese negative Liste bietet multinationalen Konzernen mehr Flexibilität. Doch das Prinzip der Datensouveränität bleibt ein Eckpfeiler. Die Behörden behalten sich das Recht vor, in Datenströme einzugreifen, um die „Souveränität und Integrität Indiens“ zu schützen. Diese Spannung zeigte sich bereits im April 2025, als der europäische Datenschutzaufsicht (EDPS) Bedenken zur Angemessenheit des indischen Rahmens für bestimmte institutionelle Datenübermittlungen äußerte.

Die steigenden Anforderungen an globale Datenflüsse und die Pflicht zu umfassenden Risikoanalysen machen eine rechtssichere Datenschutz-Folgenabschätzung heute für viele Unternehmen unverzichtbar. Ein praxisorientiertes E-Book liefert Ihnen die passenden Checklisten und Muster-Vorlagen, um Bußgelder von bis zu 2 % des Jahresumsatzes effektiv zu vermeiden. Rechtssichere Muster-DSFA und Checklisten sofort herunterladen

Technische Hürden: Aufbewahrung und Einwilligung

Die finalen Regeln von 2025 bringen konkrete technische Vorgaben mit sich, die eine Überholung alter IT-Systeme erfordern. So müssen personenbezogene Daten, Verkehrsdaten und Verarbeitungsprotokolle mindestens ein Jahr lang gespeichert werden. Für große Plattformen aus E-Commerce und Social Media verlängert sich diese Frist auf drei Jahre nach der letzten Nutzerinteraktion.

Die Einwilligung (Consent) muss unter dem DPDPA in einer klaren Sprache und nicht nur auf Englisch, sondern in allen 22 in der indischen Verfassung gelisteten Sprachen erteilt werden können. Zur Verwaltung dieser Anforderungen führt das Gesetz zudem Consent Manager ein – eine neue Kategorie regulierter Dienstleister, die als Vermittler zwischen Nutzern und Datenverarbeitern agieren sollen.

Hohe Strafen und die neue Aufsichtsbehörde

Mit der offiziellen Einrichtung der Data Protection Board of India (DPBI) in Neu-Delhi ist die Phase der theoretischen Compliance beendet. Die digitale Aufsichtsbehörde kann Untersuchungen einleiten und hohe Geldstrafen verhängen. Ein Verstoß gegen die Sicherheitsvorkehrungen zum Schutz vor Datenlecks kann bis zu 250 Crore Rupien (rund 27 Millionen Euro) kosten.

Die Meldepflicht bei Verstößen ist streng: Betroffene Personen und die DPBI müssen innerhalb von 72 Stunden nach Bekanntwerden des Vorfalls informiert werden. Für Unternehmen ohne etablierte Incident-Response-Prozesse ist diese Frist eine große Herausforderung. Marktführer betrachten Datenschutz daher zunehmend nicht als einmaliges Projekt, sondern als fortlaufenden Kompetenzaufbau.

Der Blick richtet sich nun auf den Herbst 2026. Sollte die beschleunigte Deadline für die SDFs kommen, beginnt für die Tech-Giganten der Subkontinents der Endspurt. Für Millionen indischer Nutzer könnte sich dann bald zeigen, ob die neuen Consent Manager tatsächlich mehr Transparenz und Kontrolle über die digitale Identität bringen.

de | boerse | 69149959 |