Indiens DPDP-Gesetz 2026: Der Leitfaden für Publisher und Werbetreibende zu Consent Managern, grenzüberschreitenden Transfers und dem Datenschutzrat
Indiens Gesetz zum Schutz digitaler personenbezogener Daten (DPDPA, 2023) wurde im August 2023 verabschiedet und verbrachte dann einen Großteil des Jahres 2024 und 2025 in einem langsamen, schrittweisen Rollout, der viele ausländische Publisher in einer Warteschleife hielt. Diese Phase ist beendet. Die DPDP-Regeln wurden im Laufe des Jahres 2025 vollständig notifiziert, der Datenschutzrat Indiens (DPBI) ist nun operativ und bearbeitet Beschwerden, und das Consent-Manager-Framework — Indiens unverwechselbarer architektonischer Beitrag zum globalen Datenschutzrecht — ist im Produktivbetrieb. Für jeden Publisher, Werbetreibenden oder jede Plattform, die 2026 personenbezogene Daten indischer Nutzer verarbeitet, ist die DPDPA keine Zukunftsfrage mehr. Sie ist die aktuelle Compliance-Baseline und unterscheidet sich von der DSGVO auf Weisen, die für die technische Ausgestaltung von CMPs, grenzüberschreitenden Datenflüssen und Betroffenenrechten relevant sind. Dieser Leitfaden beleuchtet die DPDPA in ihrer ausgerollten Form, was indisches Einwilligungsrecht tatsächlich erfordert, wie das Consent-Manager-Ökosystem die CMP-Landschaft verändert und wie die Durchsetzungspraxis des DPBI im Jahr 2026 konkret aussieht.
Die Struktur der DPDPA im Jahr 2026
Die DPDPA ist ein eigenständiges Datenschutzgesetz, das sich von Indiens sektorspezifischen Gesetzen zu Banking, Telekommunikation und Gesundheit unterscheidet. Ihre Einführung erfolgte bewusst schrittweise, damit das Consent-Manager-Ökosystem, der DPBI und das grenzüberschreitende Transferregime nacheinander in Betrieb gehen konnten.
Verabschiedung 2023 und Rollout 2024-2025
Die DPDPA passierte das Parlament im August 2023 und erhielt kurz darauf die Zustimmung des Präsidenten. Das Ministerium für Elektronik und Informationstechnologie (MeitY) verbrachte 2024 mit der Beratung über die Durchführungsvorschriften, und die endgültigen Vorschriften wurden im Laufe des Jahres 2025 in mehreren Tranchen notifiziert: zunächst der Rahmen zur Registrierung von Consent Managern, dann die Verfahren für Betroffenenrechte, dann Meldungen zu grenzüberschreitenden Transfers, schließlich Schwellenwerte für bedeutende Datentreuhänder. Zu Beginn des Jahres 2026 war der vollständige Rahmen in Kraft.
Wer reguliert wird
Die DPDPA gilt für die Verarbeitung digitaler personenbezogener Daten von Personen in Indien. Sie gilt auch extraterritorial, wenn die Verarbeitung im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an Datenprinzipale in Indien steht. Ein in den USA ansässiger Publisher, der indische Nutzer über eine lokalisierte Website, eine indischsprachige Version oder programmatisches Inventar, das gegen indische IP-Adressen eingekauft wird, bedient, fällt in den Anwendungsbereich. Diese extraterritoriale Reichweite ist im Gesetz eindeutig verankert und wurde in frühen DPBI-Leitlinien bekräftigt.
Die Terminologielücke
Die DPDPA verwendet ein eigenes Vokabular, das sich von der DSGVO und von den meisten neueren asiatischen Rahmenwerken unterscheidet. Ein Datentreuhänder entspricht dem, was die DSGVO als Verantwortlichen bezeichnet. Ein Datenverarbeiter entspricht genau dem Auftragsverarbeiter der DSGVO. Ein Datenprinzipal ist die betroffene Person. Ein bedeutender Datentreuhänder ist ein Verantwortlicher, der die von der Zentralregierung notifizierten Größen- oder Empfindlichkeitsschwellenwerte überschreitet. Ausländische Publisher, die der DSDPA erstmals begegnen, ordnen diese Begriffe häufig falsch zu; eine frühzeitig korrekte Zuordnung erspart spätere Verwirrung.
Was als personenbezogene Daten gilt
Die Definition personenbezogener Daten in der DPDPA ist weit gefasst und orientiert sich eng an internationaler Praxis. Personenbezogene Daten sind alle Daten über eine Person, die durch oder in Verbindung mit solchen Daten identifizierbar ist. Der DPBI hat in frühen Leitlinien darauf hingewiesen, dass Online-Kennungen — Cookies, Werbe-IDs, IP-Adressen, Geräte-Fingerprints und Verhaltensprofile — personenbezogene Daten sind, wenn sie direkt oder über vertretbare Mittel einer identifizierbaren Person zugeordnet werden können.
Keine besondere Kategorie, aber Regeln für bedeutende Datentreuhänder
Im Unterschied zur DSGVO, LGPD und PIPA definiert die DPDPA formal keine Kategorie sensibler personenbezogener Daten. Stattdessen stützt sich das Gesetz auf die Bezeichnung bedeutender Datentreuhänder, die Verantwortlichen, die Daten in großem Umfang verarbeiten, Daten von Kindern verarbeiten, Daten verarbeiten, die die Integrität von Wahlen beeinflussen könnten, oder Daten verarbeiten, die die nationale Sicherheit beeinflussen könnten, zusätzliche Pflichten auferlegt. Das Ergebnis ähnelt den Regeln der DSGVO für besondere Kategorien bei den größten und sensibelsten Verarbeitern, aber die Architektur ist anders.
Warum das für Cookies relevant ist
Ein Cookie, der eine routinemäßige Werbekennung erfasst, ist ein personenbezogenes Datum, unterliegt aber nicht verschärften Pflichten allein deshalb, weil er ein empfindlich wirkendes Zielgruppensegment bedient. Ein Publisher, der die Schwelle zum bedeutenden Datentreuhänder erreicht — etwa eine große Plattform mit Dutzenden Millionen indischer Nutzer — erwirbt hingegen zusätzliche Pflichten, einschließlich eines verpflichtenden Datenschutzbeauftragten, regelmäßiger Audits und Datenschutz-Folgenabschätzungen. Die Größenschwellen wurden 2025 notifiziert; die meisten globalen Plattformen fallen nun in den Anwendungsbereich.
Einwilligung unter der DPDPA
Die DPDPA stellt die Einwilligung ins Zentrum ihres Rahmens, definiert sie aber mit einem eigenen Anforderungskatalog, der nicht eins zu eins mit der DSGVO-Einwilligung übereinstimmt.
Der Maßstab für wirksame Einwilligung
Einwilligung nach der DPDPA muss:
- Freiwillig sein — nicht an die Erbringung einer Leistung geknüpft, auf die der Nutzer ohnehin Anspruch hat, und nicht erzwungen
- Spezifisch sein — an einen klar bestimmten Zweck gebunden, keine allgemeine Pauschaleinwilligung
- Informiert sein — der Datenprinzipal versteht, welche Daten für welchen Zweck verarbeitet werden
- Bedingungslos sein — die Einwilligung ist nicht an irrelevante Bedingungen geknüpft
- Eindeutig sein — durch eine klare aktive Handlung erklärt, nicht aus Schweigen oder Untätigkeit geschlossen
Die Pflicht zur detaillierten Datenschutzinformation
Die DPDPA verlangt eine Datenschutzinformation zum Zeitpunkt der Einwilligung oder davor, die die zu verarbeitenden personenbezogenen Daten, den Verarbeitungszweck, die Art der Rechteausübung durch den Datenprinzipal und die Art der Beschwerdeeinreichung beim Rat beschreibt. Die Information muss auf Englisch und in jeder der 22 im Anhang aufgeführten Sprachen Indiens verfügbar sein, die der Datenprinzipal verlangt.
Die Consent-Manager-Architektur
Hier weicht die DPDPA am stärksten von anderen Rahmenwerken ab. Das Gesetz schafft eine lizenzierte Rolle namens Consent Manager — eine beim DPBI registrierte Drittpartei, die ein interoperables Einwilligungs-Dashboard bereitstellt, das Datenprinzipalen ermöglicht, Einwilligungen bei mehreren Datentreuhändern von einer einzigen Oberfläche aus zu erteilen, einzusehen, zu verwalten und zu widerrufen. Consent Manager müssen beim Rat registriert sein und technische Interoperabilitätsanforderungen erfüllen. In der Praxis können Datentreuhänder Einwilligungen entweder direkt über ihren eigenen CMP oder über einen registrierten Consent Manager einholen, und in vielen Fällen entscheiden sich Datenprinzipale dafür, ihre Einwilligung über einen Consent Manager zu zentralisieren, anstatt das Banner jeder Website separat zu verwalten.
Wie ein konformer CMP aussieht
Ein für indischen Traffic im Jahr 2026 konfigurierter CMP sollte präsentieren:
- Ein sichtbares Banner, bevor ein nicht notwendiger Cookie oder Tracker ausgelöst wird, mit den Aktionen Akzeptieren, Ablehnen und Anpassen in gleicher visueller Gewichtung
- Verfügbarkeit auf Englisch und in der bevorzugten Plansprache des Nutzers auf Anfrage
- Granulare Einwilligungs-Toggles je Zweck, einschließlich Analyse, Werbung, Personalisierung und grenzüberschreitender Transfer
- Einen klaren Link zur vollständigen detaillierten Datenschutzinformation einschließlich Rechten und dem DPBI-Beschwerdekanal
- Einen dauerhaften, leicht auffindbaren Mechanismus zum Einwilligungswiderruf, der so einfach ist wie die Erteilung der Einwilligung
- Technische Interoperabilität mit registrierten Consent Managern, sodass der Einwilligungsstatus mit dem vom Datenprinzipal gewählten Consent Manager synchronisiert werden kann
Einwilligungsnachweise
Datentreuhänder müssen Einwilligungsnachweise führen, einschließlich wer eingewilligt hat, wann, über welche Oberfläche, für welchen Zweck und etwaiger späterer Änderungen. Der DPBI hat in mehreren seiner frühen Verfahren unzureichende Einwilligungsprotokolle zitiert, und exportierbare, zeitgestempelte Einwilligungsnachweise sind die Mindesterwartung.
Grenzüberschreitende Datentransfers
Der Rahmen der DPDPA für grenzüberschreitende Transfers ist eines der charakteristischsten Elemente des indischen Regimes und unterscheidet sich wesentlich vom Angemessenheits-plus-Garantien-Muster, das DSGVO, PIPA und die geänderte KVKK verwenden.
Der Meldungsrahmen
Die DPDPA operiert mit einem Negativlisten-Ansatz: Grenzüberschreitende Transfers sind grundsätzlich zulässig, sofern das Zielland nicht auf einer von der Zentralregierung notifizierten Liste eingeschränkter Jurisdiktionen erscheint. Dies ist das Gegenteil des DSGVO-Angemessenheitsmodells, das Transfers ohne einen positiven Angemessenheitsbeschluss oder Garantien als unzulässig betrachtet. Der Ansatz der DPDPA ist auf den ersten Blick permissiver, aber die Negativliste kann nach Ermessen der Regierung erweitert werden, und mehrere Jurisdiktionen wurden im Laufe des Jahres 2025 für bestimmte Datenkategorien auf die Liste gesetzt.
Was das operativ bedeutet
Für die meisten programmatischen Werbeflüsse im Jahr 2026 lautet die Antwort: Grenzüberschreitende Transfers zu großen Ad-Tech-Zielen sind zulässig, sofern das Zielland nicht auf der eingeschränkten Liste steht. Publisher müssen die aktuelle notifizierte Liste prüfen, eine Dokumentation der Übermittlung und ihres Zwecks führen und darauf vorbereitet sein, Flüsse umzuleiten oder zu pausieren, wenn ein Zielland hinzukommt. Das ist für die meisten Flüsse deutlich einfacher als die DSGVO-Transfermechanik, aber die Wachsamkeitsanforderung ist real.
Sektorspezifische Lokalisierung
Getrennt von der DPDPA haben mehrere indische Sektoraufsichtsbehörden — darunter die Reserve Bank of India für Finanzdaten und das Gesundheitsministerium für Gesundheitsdaten — eigene Lokalisierungsanforderungen, die über der DPDPA stehen. Ein Publisher, der indische Nutzer in einem dieser regulierten Sektoren bedient, muss sowohl die DPDPA als auch die anwendbaren Sektorvorschriften einhalten.
Rechte der Datenprinzipale
Die DPDPA gewährt Datenprinzipalen ein vertrautes, aber etwas engeres Bündel von Rechten als die DSGVO:
- Recht auf Auskunft über verarbeitete personenbezogene Daten, einschließlich Kategorien und Auftragsverarbeiter
- Recht auf Berichtigung, Vervollständigung und Aktualisierung personenbezogener Daten
- Recht auf Löschung personenbezogener Daten, die für den angegebenen Zweck nicht mehr erforderlich sind
- Recht, eine andere Person zu bestimmen, die im Todesfall oder bei Handlungsunfähigkeit Rechte im Namen des Datenprinzipals ausübt
- Recht auf Beschwerdebearbeitung durch den Datentreuhänder
- Recht auf Beschwerde beim Datenschutzrat, wenn die Beschwerdebearbeitung unbefriedigend ist
Was nicht in der Rechtsliste steht
Bemerkenswert: Die DPDPA enthält kein eigenständiges Recht auf Datenportabilität, kein allgemeines Widerspruchsrecht gegen die Verarbeitung und kein ausdrückliches Recht gegen automatisierte Entscheidungsfindung — obwohl das Regime für bedeutende Datentreuhänder und der Einwilligungswiderrufsmechanismus indirekt einen Großteil desselben Terrains abdecken.
Antwortfristen
Datentreuhänder müssen auf Anfragen von Datenprinzipalen innerhalb der in den notifizierten Regeln festgelegten Fristen antworten — was in den meisten Fällen innerhalb einer angemessenen Frist ist, die das angegebene Fenster nicht überschreitet; der DPBI betrachtet eine bedeutsame Verzögerung als Compliance-Versagen. Das Beschwerdebearbeitungssystem ist der erste Schritt; nur ungelöste Beschwerden eskalieren an den Rat.
Bedeutende Datentreuhänder
Die Bezeichnung als bedeutender Datentreuhänder (SDF) löst zusätzliche Pflichten aus, die über die DPDPA-Grundanforderungen hinausgehen.
Die zusätzlichen Pflichten
- Bestellung eines in Indien ansässigen Datenschutzbeauftragten
- Regelmäßige Datenschutz-Folgenabschätzungen für bestimmte Verarbeitungstätigkeiten
- Regelmäßige unabhängige Audits
- Zusätzliche Transparenzpflichten zur algorithmischen Verarbeitung
- Strengere Meldepflichten bei Datenpannen und Aufzeichnungspflichten
Wer qualifiziert
Größe, Volumen der verarbeiteten personenbezogenen Daten, Sensibilität der Daten, Risiko für Datenprinzipale, mögliche Auswirkungen auf Wahldemokratie, Sicherheit und Souveränität sowie mögliche Auswirkungen auf die öffentliche Ordnung sind allesamt Faktoren. Die Zentralregierung notifiziert SDFs entweder einzeln oder nach Klasse. Die meisten großen globalen Plattformen, die Indien bedienen, fallen im Jahr 2026 in notifizierte Klassen.
Daten von Kindern
Die DPDPA definiert ein Kind als jede Person unter 18 Jahren — eine höhere Schwelle als die DSGVO-Standardschwelle von 16 Jahren und die verschiedenen niedrigeren nationalen Schwellen. Die Verarbeitung personenbezogener Daten von Kindern erfordert eine nachprüfbare elterliche Einwilligung, und Tracking, zielgerichtete Werbung und Verhaltensüberwachung von Kindern sind unabhängig vom Einwilligungsstatus eingeschränkt. Publisher, deren Zielgruppen erheblichen Unter-18-Verkehr umfassen, benötigen Altersverifikation, Elterneinwilligungsflüsse und eingeschränkte Verarbeitung für das Minderjährigensegment — was echte technische Arbeit erfordert, die nur wenige ausländische Publisher standardmäßig abgeschlossen haben.
Sanktionen und Durchsetzung
Die DPDPA führte ein Sanktionsregime ein, das höher als historische indische Verwaltungsbußen und sinnvoll nach Schwere des Verstoßes skaliert ist.
Verwaltungssanktionen
Die DPDPA erlaubt Sanktionen von bis zu 250 Crore INR (ca. 30 Millionen USD) pro Verstoß für die schwerwiegendsten Verstöße. Niedrigere Sanktionen gelten für Mängel bei Einwilligung, Datenschutzinformation, Sicherheit, Datenpannenmeldung und Beschwerdebearbeitung. Der DPBI hat die Mitte des Spektrums im Jahr 2025 und Anfang 2026 mehrfach angewendet, und die Sanktionsstruktur ist darauf ausgelegt, bei systematischem Versagen zu eskalieren.
Die Durchsetzungsthemen des DPBI
Frühe DPBI-Entscheidungen konzentrieren sich auf eine kleine Reihe wiederkehrender Probleme: Einwilligungsbanner ohne echte Ablehnungsoption, Datenschutzinformationen, die keine DPBI-Beschwerdekanäle beschreiben, grenzüberschreitende Flüsse zu Zielen auf der eingeschränkten Liste, Beschwerdebearbeitungssysteme, die tatsächlich nicht antworten, und Interoperabilitätsfehler von Consent Managern. Ausländische Publisher wurden in nahezu allen dieser Kategorien zitiert.
Die Reputationsdimension
Der DPBI veröffentlicht seine Entscheidungen öffentlich, einschließlich des Namens des Treuhänders und einer Zusammenfassung des Versagens. Auf einem indischen Markt, wo regulatorische Reibung sich schnell in Medienberichterstattung und politische Aufmerksamkeit übersetzt, sind die Reputationskosten einer veröffentlichten DPBI-Entscheidung über die finanzielle Sanktion hinaus erheblich.
Audit-Checkliste für indischen Traffic im Jahr 2026
- CMP-Banner wird mit Akzeptieren, Ablehnen und Anpassen in gleicher visueller Gewichtung ausgespielt
- Datenschutzinformation auf Englisch und in der angeforderten Plansprache des Datenprinzipals verfügbar, wo zutreffend
- Datenschutzinformation beschreibt ausdrücklich den DPBI-Beschwerdekanal und die Rechte des Datenprinzipals
- Einwilligungszwecke sind granular, mit grenzüberschreitendem Transfer als gesondertem Zweck
- Technische Interoperabilität mit mindestens einem registrierten Consent Manager ist vorhanden
- Einwilligungswiderruf ist so einfach wie Einwilligungserteilung und löst nachgelagerte Löschungs- und Aktivierungsfilterung aus
- Workflow für Datenprinzipal-Rechte — Auskunft, Berichtigung, Löschung, Vertretungsbenennung — ist personell besetzt und dokumentiert
- Beschwerdebearbeitungskanal ist personell besetzt mit erfassten Antwortfristen
- Grenzüberschreitende Transferziele werden gegen die aktuelle eingeschränkte Liste geprüft und dokumentiert
- Pflichten bedeutender Datentreuhänder — DSB, DSFA, Audit — sind vorhanden, wenn die Schwelle überschritten wurde
- Altersbewusster Ablauf für Unter-18-Nutzer mit nachprüfbarer elterlicher Einwilligung, wo zutreffend
- Sektorspezifische Lokalisierungs- und Verarbeitungsregeln sind dokumentiert und eingehalten, wenn der Publisher in einem regulierten Sektor tätig ist
Ausblick 2026
Indiens Datenschutzregime ist in etwas mehr als zwei Jahren von gesetzlicher Abstraktion zur operativen Realität geworden. Die Architektur der DPDPA ist unverwechselbar — das Consent-Manager-Ökosystem ist das sichtbarste globale Experiment mit portabler, interoperabler Einwilligung, und der Negativlisten-Transferansatz unterscheidet sich wesentlich vom Angemessenheits-plus-Garantien-Muster, das andere Rahmenwerke dominiert. Für Publisher, die bereits einen DSGVO-konformen Consent-Stack betreiben, ist die Lücke zur DPDPA-Compliance operativer, nicht architektonischer Natur: Consent-Manager-Interoperabilität, Plansprachenhinweise, DPBI-Beschwerdeoffenlegungen, die Unter-18-Schwelle und die Negativlisten-Transferprüfung. Die Lücke kann in Wochen geschlossen werden, wenn sie priorisiert wird. Publisher, die sie schließen, bevor der DPBI an ihre Tür klopft, werden den Übergang nicht bemerken. Wer wartet, wird feststellen, dass 2026 und 2027 erheblich kostspieliger sind als die Jahre davor.