Für wen der DPDP Act gilt

Der DPDP Act regelt die Verarbeitung digitaler personenbezogener Daten innerhalb Indiens sowie die Verarbeitung außerhalb Indiens, soweit sie mit dem Angebot von Waren oder Dienstleistungen an Personen in Indien zusammenhängt. In der Praxis gilt: Wenn Ihre Website für Nutzer in Indien zugänglich ist und Sie darüber personenbezogene Daten erheben – einschließlich über Cookies, SDKs, Pixel oder Fingerprinting – findet das Gesetz mit hoher Wahrscheinlichkeit auf Sie Anwendung.

Das Gesetz verwendet zwei zentrale Rollen: den Data Fiduciary (vergleichbar mit einem Controller nach GDPR) und den Data Processor. Eine kleine Zahl der größten Betreiber kann als Significant Data Fiduciaries eingestuft werden, was zusätzliche Pflichten auslöst, etwa Datenschutz-Folgenabschätzungen und die Benennung eines in Indien ansässigen Data Protection Officer.

Wie der DPDP Act Cookies und Tracker behandelt

Anders als die ePrivacy-Richtlinie hebt der DPDP Act Cookies nicht als eigene Kategorie hervor. Stattdessen reguliert er jede Verarbeitung digitaler personenbezogener Daten. Das bedeutet, dass Cookies, Gerätekennungen, IP-Adressen, Werbe-IDs und gehashte E-Mails in den Anwendungsbereich fallen, sobald sie – direkt oder indirekt – einer identifizierbaren Person zugeordnet werden können.

Die Konsequenz für Publisher ist klar: Wenn ein Cookie oder Tag auf Ihrer Website dazu führt, dass personenbezogene Daten erhoben oder weitergegeben werden, benötigen Sie eine gültige Rechtsgrundlage. Nach dem DPDP Act ist diese Grundlage fast immer die Einwilligung, mit einem engen Katalog von Ausnahmen für „legitimate uses“, die im Gesetz definiert sind.

Wie eine gültige Einwilligung aussieht

Der DPDP Act setzt hohe Anforderungen an die Einwilligung. Sie muss frei, spezifisch, informiert, bedingungslos und unmissverständlich sein und durch eine eindeutige bestätigende Handlung erklärt werden. Vorgekreuzte Kästchen, stillschweigende Einwilligung durch fortgesetztes Surfen und „Cookie-Wall“-Designs, die den Zugang von einer Zustimmung abhängig machen, sind mit diesen Anforderungen nicht vereinbar.

Zwei zusätzliche, DPDP-spezifische Regeln sind für das Consent-UX-Design wichtig:

• Aufgeschlüsselte Information: Vor oder zum Zeitpunkt der Einwilligung müssen Sie dem Nutzer einen klaren Hinweis geben, der die erhobenen Daten, die Zwecke der Verarbeitung sowie die Möglichkeiten zum Widerruf der Einwilligung oder zur Einreichung einer Beschwerde beim Data Protection Board of India benennt.
• Einfache Sprache und mehrsprachige Unterstützung: Hinweise müssen in Englisch und in jeder der 22 anerkannten Sprachen Indiens verfügbar sein, die der Nutzer auswählt. Eine CMP, die Einwilligungstexte nicht in Hindi, Tamil, Bengali, Marathi und anderen großen Sprachen darstellen kann, wird Schwierigkeiten haben, die Vorgaben zu erfüllen.

Daten von Kindern und elterliche Einwilligung

Der DPDP Act betrachtet jede Person unter 18 Jahren als Kind und verlangt eine nachprüfbare elterliche Einwilligung, bevor personenbezogene Daten von Kindern verarbeitet werden. Außerdem verbietet er verhaltensbezogenes Monitoring und zielgerichtete Werbung, die sich an Kinder richtet. Jede Website, die für Minderjährige in Indien zugänglich ist – was in der Praxis nahezu jede Seite bedeutet – benötigt eine Altersabfrage oder eine risikobasierte Strategie und muss in der Lage sein, Tracking-Skripte zu blockieren, wenn keine elterliche Einwilligung vorliegt.

Nutzerrechte, die Ihre CMP unterstützen muss

Data Principals (Nutzer) in Indien haben eine Reihe von Rechten, die über Ihre Einwilligungs- und Präferenzoberfläche ausübbar sein müssen:

• Recht auf Auskunft über eine Zusammenfassung der personenbezogenen Daten, die verarbeitet werden.
• Recht auf Berichtigung und Löschung ihrer Daten.
• Recht auf Widerruf der Einwilligung jederzeit, mit derselben Leichtigkeit, mit der sie erteilt wurde.
• Recht, eine andere Person zu benennen, die im Falle von Tod oder Handlungsunfähigkeit die Rechte ausüben kann.
• Recht auf Beschwerde, zunächst beim Data Fiduciary und anschließend beim Data Protection Board of India.

Eine rechtskonforme CMP sollte einen dauerhaft sichtbaren Präferenz-Link bereitstellen, den Ein-Klick-Widerruf der Einwilligung unterstützen und Einwilligungsereignisse so protokollieren, dass sie im Rahmen einer Untersuchung auf Anfrage vorgelegt werden können.

Grenzüberschreitende Datenübermittlungen

Der DPDP Act verfolgt bei internationalen Datenübermittlungen einen „Negativlisten“-Ansatz: Personenbezogene Daten dürfen aus Indien heraus übermittelt werden, sofern das Empfängerland nicht ausdrücklich von der Zentralregierung beschränkt wurde. Das ist großzügiger als das Angemessenheitsregime der GDPR, dennoch sollten Sie dokumentieren, in welche Drittländer Daten von Nutzern aus Indien fließen, und die veröffentlichte Beschränkungsliste laufend beobachten.

Sanktionen und Durchsetzung

Die finanziellen Sanktionen nach dem DPDP Act sind erheblich. Das Data Protection Board kann Bußgelder von bis zu ₹250 crore (rund 30 Millionen USD) für das Unterlassen angemessener Sicherheitsvorkehrungen verhängen und bis zu ₹200 crore für die Nichterfüllung von Pflichten im Zusammenhang mit Kindern. Verstöße im Zusammenhang mit Einwilligungen – einschließlich der Einholung von Einwilligungen über nicht konforme Banner – können mit Bußgeldern von bis zu ₹50 crore pro Verstoß geahndet werden.

DPDP-konforme Einwilligung in Ihrer CMP umsetzen

1. Indische Nutzer per Geolokalisierung erkennen und eine DPDP-spezifische Einwilligungsvorlage anwenden, statt ein GDPR-Banner wiederzuverwenden. Die erforderlichen Hinweis-Inhalte und Sprachoptionen unterscheiden sich.
2. Hinweise in mehreren indischen Sprachen ausspielen. Unterstützen Sie mindestens Hindi und Englisch und ergänzen Sie regionale Sprachen entsprechend Ihrer Traffic-Verteilung.
3. Alle nicht essenziellen Tracker standardmäßig blockieren. Laden Sie Werbe-, Analyse- und Drittanbieter-SDKs erst nach ausdrücklicher Einwilligung.
4. Zwecke klar trennen. Bündeln Sie Werbung, Analytik und Personalisierung nicht in einer einzigen „Akzeptieren“-Aktion, wenn ein Nutzer vernünftigerweise nur einzelnen Zwecken zustimmen möchte.
5. Einwilligungs- und Widerrufsereignisse protokollieren – mit Zeitstempel, der konkret angezeigten Hinweisversion und der vom Nutzer gewählten Sprache, damit Sie Ihre Compliance bei behördlichen Anfragen nachweisen können.
6. Einen gut sichtbaren Präferenz-Link bereitstellen auf jeder Seite, über den Nutzer ihre Einwilligung jederzeit einsehen, aktualisieren oder widerrufen können.

DPDP vs. GDPR: praktische Unterschiede

• Keine Rechtsgrundlage „berechtigte Interessen“. Der DPDP Act kennt kein allgemeines „legitimate interests“-Konzept als Rechtsgrundlage wie die GDPR. Die Einwilligung hat ein größeres Gewicht, weshalb das UX-Design noch wichtiger ist.
• Strengere Regeln für Kinder. Das digitale Einwilligungsalter liegt bei 18 Jahren, nicht bei 13 oder 16, und zielgerichtete Werbung an Minderjährige ist ausdrücklich verboten.
• Die Pflicht zu mehrsprachigen Hinweisen ist eine Besonderheit des DPDP Act und kann nicht mit einem rein englischsprachigen Banner erfüllt werden.
• Pflichten für Significant Data Fiduciaries schaffen eine zweite Compliance-Stufe für besonders risikoreiche Betreiber, für die es in der GDPR kein direktes Pendant gibt.

Fazit

Der DPDP Act führt Indien mit einer eigenen Ausprägung in die moderne globale Datenschutzlandschaft ein – einwilligungszentriert, von Haus aus mehrsprachig und in ungewöhnlich hohem Maß schützend gegenüber Minderjährigen. Publisher und Plattformen, die bereits eine GDPR-konforme CMP betreiben, haben einen Vorsprung, müssen aber dennoch Bannerinhalte, Sprachunterstützung, Alterslogik und Protokollierung anpassen, um die DPDP-Anforderungen zu erfüllen. Indien als „nur eine weitere GDPR-Jurisdiktion“ zu behandeln, ist der schnellste Weg, vor dem Data Protection Board zu landen.