Das Digitale Persönliche Daten Schutzgesetz Indiens (DPDPA 2023) legt Datenschutzanforderungen für 1,4 Milliarden Menschen fest — das größte Datenschutzrahmenwerk der Welt nach Bevölkerung. Die Datenschutzbehörde Indiens nahm 2025 ihren Betrieb auf, was den Beginn der aktiven Durchsetzung markiert. Für globale Organisationen, die indische Verbraucher bedienen, indische Mitarbeiterdaten verarbeiten oder mit indischen IT-Dienstleistern arbeiten, ist die Einhaltung des DPDPA nun eine aktive Compliance-Anforderung.
DPDPA: Übersicht über den Schlüsselrahmen
Territorialer Geltungsbereich: DPDPA gilt für die Verarbeitung digitaler persönlicher Daten innerhalb Indiens und für die Verarbeitung außerhalb Indiens zum Zwecke des Angebots von Waren oder Dienstleistungen an Personen in Indien. Ähnlich wie der extraterritoriale Geltungsbereich der GDPR gilt das DPDPA für jede Organisation, die indische Verbraucher bedient, unabhängig davon, wo die Verarbeitung erfolgt.
Maximale Geldstrafen: Bis zu ₹250 Crore (ungefähr 27 Millionen Euro zum aktuellen Wechselkurs) pro Verstoß. Die Datenschutzbehörde kann Strafen basierend auf Schwere, Dauer und Umfang verhängen.
Rechtsgrundlagen für die Verarbeitung: Einwilligung (freiwillig, informiert, spezifisch, eindeutig) oder legitime Verwendungen, die im Gesetz definiert sind (Beschäftigung, rechtliche Verpflichtungen, lebenswichtige Interessen, öffentliche Interessen, Forschung/Archivierung, nationale Sicherheit).
Rechte der Dateninhaber: Recht auf Informationen über die Verarbeitung, Recht auf Berichtigung und Löschung, Recht auf Beschwerde und Recht auf Benennung eines Vertreters für Situationen der Handlungsunfähigkeit.
Datenverantwortliche (entspricht den GDPR-Verantwortlichen): Organisationen, die persönliche Daten verarbeiten, sind "Datenverantwortliche" mit Verpflichtungen zu Sicherheitsvorkehrungen, Mitteilung von Datenschutzverletzungen an die Datenschutzbehörde innerhalb von 72 Stunden und Ernennung eines Datenschutzbeauftragten für bedeutende Datenverantwortliche.
Aadhaar: Das größte biometrische ID-System der Welt
Aadhaar ist Indiens nationales biometrisches Identitätssystem — eine 12-stellige eindeutige Identifikationsnummer, die mit den Fingerabdrücken und Iris-Scans jedes Inhabers verknüpft ist. Aadhaar wurde 1,36 Milliarden indischen Einwohnern ausgestellt und wird verwendet für:
- Auszahlung von staatlichen Leistungen (PAN-Wohlfahrtsprogramme)
- Authentifizierung von Bank- und Finanzdienstleistungen (eKYC)
- Registrierung von Mobiltelefonnummern (obligatorische SIM-Verifizierung)
- Zugang zu Gesundheitsdiensten
- Beschäftigungsüberprüfung
Aadhaar-Nummern erscheinen in nahezu allen indischen finanziellen, gesundheitlichen und administrativen Dokumenten. Das Aadhaar-Gesetz 2016 legt spezifische Einschränkungen für die Verwendung von Aadhaar fest — es kann nicht als obligatorische Identifikation für private Dienstleistungen verwendet werden und darf nicht über spezifische autorisierte Anwendungsfälle hinaus in Datenbanken gespeichert werden.
Erkennungsanforderungen: Aadhaar folgt einem spezifischen 12-stelligen Format mit Verhoeff-Prüfziffernvalidierung. Im Gegensatz zu einfacheren nationalen Identifikatoren verwendet Aadhaar den Verhoeff-Algorithmus (ein komplexes gruppentheoretisches Fehlererkennungsschema) zur Berechnung der Prüfziffer. Allgemeine Mustererkennungstools erfassen Aadhaar in indischen Dokumenten nicht, und Tools, die Mustererkennung ohne Verhoeff-Validierung implementieren, erzeugen falsche Positivmeldungen aus jeder 12-stelligen Zahl.
Weitere indische PII-Identifikatoren
PAN (Permanent Account Number): 10-stelliger alphanumerischer Steueridentifikator im Format AAAAA9999A (5 Buchstaben + 4 Ziffern + 1 Buchstabe). Das 4. Zeichen kodiert die Art des Steuerpflichtigen, das 5. Zeichen ist der erste Buchstabe des Namens des Steuerpflichtigen. PAN ist für Finanztransaktionen über ₹50.000 obligatorisch und erscheint in nahezu allen indischen Finanzdokumenten.
Indischer Reisepass: Format X gefolgt von 7 Ziffern. Format spezifisch für das indische Reisepassausstellungssystem.
Indischer Führerschein: Format basierend auf dem Bundesland-Code (DL-0420110149646 für Delhi, zum Beispiel) — das Format variiert je nach Ausstellungsstaat ähnlich wie Brasiliens RG.
Bankkontonummern: Kein Standardformat in Indien — Bankkontonummern reichen von 9 bis 18 Ziffern, abhängig von der Bank, ohne nationale Standardisierung. IFSC-Codes (11-stellige Bankfilialcodes) erscheinen neben Kontonummern in Zahlungsdokumenten.
Mobilnummern: 10-stelliges Format mit Ländervorwahl +91. Die Mobilfunkdurchdringung Indiens (1,2 Milliarden Mobilfunkabonnenten) bedeutet, dass Telefonnummern in indischen Geschäftsdokumenten allgegenwärtig sind.
Technische Anforderungen des DPDPA
Die Anforderung an Sicherheitsvorkehrungen des DPDPA wird in Bezug auf Ergebnisse und nicht auf spezifische technische Maßnahmen ausgedrückt (im Gegensatz zu den enumerierten Anforderungen von HIPAA):
Sicherheitsvorkehrungen: Datenverantwortliche müssen "angemessene Sicherheitsvorkehrungen" implementieren, die dem Risiko angemessen sind. Die DPDPA-Regeln (erwartet 2025) werden Mindesttechnische Standards festlegen.
Mitteilung bei Verletzungen: Innerhalb von 72 Stunden an die Datenschutzbehörde für jede Verletzung persönlicher Daten. Dieser Zeitrahmen ist anspruchsvoller als die 72 Stunden der GDPR zur Mitteilung an die DPA — die GDPR erlaubt 72 Stunden für die Mitteilung an die DPA und separate Zeitrahmen für die Mitteilung an die betroffene Person. Das DPDPA erfordert beides im gleichen 72-Stunden-Zeitraum für bedeutende Verletzungen.
Datenlokalisierung (bedeutende Datenverantwortliche): Bedeutende Datenverantwortliche — die von der indischen Regierung basierend auf Volumen und Sensibilität der Verarbeitung benannt werden — müssen möglicherweise eine Kopie persönlicher Daten innerhalb Indiens aufbewahren. Die spezifischen Lokalisierungsanforderungen werden in den Regeln definiert, aber multinationale Unternehmen, die große Mengen indischer persönlicher Daten verarbeiten, sollten sich auf potenzielle Lokalisierungsverpflichtungen vorbereiten.
Grenzüberschreitende Übertragungen: Das DPDPA schränkt Übertragungen persönlicher Daten in Länder ein, die nicht auf einer von der Regierung genehmigten Liste stehen. Die genehmigte Länderliste wurde bis 2025 nicht finalisiert, was zu Compliance-Ungewissheit für Datenflüsse zwischen der EU und Indien führt. Die Übertragungsposition zwischen der EU und Indien unterscheidet sich von der GDPRs EU-US DPF — es gibt keine bestehende bilaterale Angemessenheitsvereinbarung, und Organisationen wird geraten, vertragliche Sicherheitsvorkehrungen zu implementieren, während sich der regulatorische Rahmen entwickelt.
Für globale Organisationen mit Aktivitäten in Indien: Aadhaar- und PAN-Erkennung mit validierten Prüfziffern, Unterstützung des Formats für indische Pässe und Führerscheine sowie Dokumentation der Verarbeitungszwecke, die mit den rechtlichen Grundlagen des DPDPA übereinstimmen, sind die grundlegenden technischen Anforderungen für die Einhaltung des DPDPA.
Quellen: