Indien DPDPA 2023: Technische Compliance für globale Teams
Das Indische Digitale Datenschutzgesetz (Digital Personal Data Protection Act) erfasst 1,4 Milliarden Menschen. Es ist weltweit das größte Datenschutzgesetz nach Bevölkerungszahl. Das Data Protection Board wurde 2025 aktiv. Die Durchsetzung hat begonnen. Wenn Ihr Unternehmen indische Nutzer betreut, indische Mitarbeiterdaten verwaltet oder mit indischen IT-Dienstleistern zusammenarbeitet, ist dieses Gesetz jetzt eine aktive Pflicht.
Was das DPDPA regelt
Anwendungsbereich: Das Gesetz gilt für die Verarbeitung in Indien. Es gilt auch für die Verarbeitung außerhalb Indiens, wenn das Ziel der Verkauf von Waren oder Dienstleistungen an indische Nutzer ist. Wie die DSGVO folgt es der Person — nicht dem Server.
Höchststrafen: Bis zu ₹250 Crore pro Verstoß. Das entspricht etwa €27 Millionen zum aktuellen Kurs. Die Höhe der Strafe richtet sich nach Schwere und Dauer des Verstoßes.
Rechtsgrundlagen: Die Einwilligung muss freiwillig, informiert und klar sein. Andere gültige Grundlagen sind Beschäftigung, rechtliche Pflichten, lebenswichtige Interessen, öffentliches Interesse und Forschung.
Individualrechte: Personen können fragen, wie ihre Daten verwendet werden. Sie können Berichtigung oder Löschung verlangen. Sie können eine Beschwerde einreichen. Sie können eine Vertretung benennen, wenn sie die Handlungsfähigkeit verlieren.
Data Fiduciaries: Dies ist der DPDPA-Begriff für Verantwortliche. Sie müssen personenbezogene Daten schützen. Sie müssen Datenpannen innerhalb von 72 Stunden an das Board melden. Sie müssen einen Datenschutzbeauftragten benennen, wenn sie ein Significant Data Fiduciary sind.
Aadhaar: Ein besonderes Erkennungsproblem
Aadhaar ist Indiens nationales biometrisches ID-System. Jeder Inhaber erhält eine 12-stellige Nummer, die mit Fingerabdrücken und Iris-Scans verknüpft ist. Etwa 1,36 Milliarden Einwohner haben eine solche Nummer. Banken, Behörden, Mobilfunkanbieter und Krankenhäuser nutzen sie.
Aadhaar-Nummern tauchen in Finanz-, Gesundheits- und Verwaltungsdokumenten auf. Das Aadhaar-Gesetz von 2016 schränkt die Nutzung ein. Private Dienste dürfen Aadhaar nicht als Pflichtausweis verlangen. Die Speicherung ist auf spezifisch genehmigte Fälle beschränkt.
Warum die Erkennung schwierig ist: Aadhaar verwendet die Verhoeff-Methode für seine Prüfziffer. Ein Tool, das nur nach 12-stelligen Zeichenketten sucht, markiert jede 12-stellige Zahl als Treffer. Das führt zu falschen Positiven. Eine gute Erkennung erfordert Verhoeff-Prüflogik. Einfaches Pattern-Matching reicht nicht aus.
Weitere indische PII-Formate
PAN (Permanent Account Number): Eine 10-stellige Steuer-ID. Format: fünf Buchstaben, vier Ziffern, ein Buchstabe. Der vierte Buchstabe zeigt den Steuerzahlertyp. Der fünfte ist der erste Buchstabe des Namens des Steuerzahlers. PAN ist für Transaktionen über ₹50.000 erforderlich. Es ist in indischen Finanzdokumenten verbreitet.
Indischer Reisepass: Der Buchstabe X gefolgt von sieben Ziffern. Dieses Format ist einzigartig für Indien.
Führerscheine: Jedes Bundesland hat ein eigenes Format. Ein Führerschein aus Delhi kann wie DL-0420110149646 aussehen.
Bankkonten: Es gibt keinen nationalen Standard. Kontonummern haben 9 bis 18 Stellen. IFSC-Codes — 11-stellige Bankfilial-Codes — erscheinen neben Kontonummern in Zahlungsdokumenten.
Mobilnummern: Zehn Ziffern mit Ländervorwahl +91. Indien hat 1,2 Milliarden Mobilfunknutzer. Telefonnummern sind in Geschäftsdokumenten häufig.
Erfahren Sie, wie anonym.legal alle indischen PII-Formate verarbeitet: /blog/apac-pii-detection-thai-indonesian-vietnamese-2025.
Technische DPDPA-Anforderungen
Sicherheitsmaßnahmen: Das DPDPA fordert „angemessene Sicherheitsmaßnahmen" entsprechend dem Risiko. Das Gesetz definiert dies nach Ergebnis. Es gibt keine feste Liste von Schritten. Technische Mindeststandards werden in den DPDPA-Regeln folgen. Diese werden ab 2025 erwartet.
Datenpannenmeldung: Melden Sie jede Datenpanne innerhalb von 72 Stunden an das Board. Unter der DSGVO deckt dieses Fenster nur die Aufsichtsbehörde ab. Unter dem DPDPA müssen schwerwiegende Pannen dem Board und den Betroffenen gemeldet werden. Beide Meldungen müssen innerhalb von 72 Stunden erfolgen.
Lokalisierung: Die Regierung kann Unternehmen als Significant Data Fiduciaries einstufen. Diese Unternehmen müssen möglicherweise eine Kopie der Daten in Indien aufbewahren. Abschließende Regeln sind noch nicht festgelegt.
Grenzüberschreitende Übermittlungen: Das Gesetz blockiert Übermittlungen in Länder, die nicht auf einer genehmigten Liste stehen. Diese Liste war Stand 2025 noch nicht festgelegt. Es gibt keinen EU-Indien-Angemessenheitsbeschluss. Unternehmen mit EU-Indien-Datenflüssen sollten jetzt Verträge abschließen.
Wie grenzüberschreitende Regeln über Gesetze hinweg zusammenpassen, erfahren Sie hier: /blog/global-pii-compliance-2025-gdpr-lgpd-dpdp-ssn.
Ihre technische Grundcheckliste
Wenn Sie indische personenbezogene Daten verarbeiten, beginnen Sie hier:
- Aadhaar-Erkennung mit Verhoeff-Prüfzifferlogik.
- PAN-Erkennung mit Prüfung des Steuerzahlertyp-Zeichens.
- Unterstützung für indischen Reisepass und Führerschein nach Bundesland.
- Bankkontoerkennung für Längen von 9–18 Ziffern mit IFSC-Codes.
- Verarbeitungszweckprotokolle, die den DPDPA-Rechtsgrundlagen entsprechen.
- Ein Notfallplan, der das 72-Stunden-Fenster einhält.
Lesen Sie, wie ein einziges Preset alle indischen PII-Typen abdeckt: /blog/global-privacy-compliance-gdpr-ccpa-pdpa-one-tool-2025.