Indien könnte bald sein erstes umfassendes Datenschutzgesetz haben. Der gemischte Parlamentarische Ausschuss, welcher 2019 mit der Ausarbeitung des Gesetzes beauftragt wurde, veröffentlichte am 17. Dezember 2021 seinen Abschlussbericht.

Der Geltungsbereich des Gesetzes wurde erweitert und soll nun das gesamte System der Datenverarbeitung regeln. So wurde neben dem Hauptregelungsgebiet der personenbezogenen Daten, Regelungen rund um den Bereich der nicht-personenbezogenen Daten eingebracht. Mit der vorgeschlagenen Erweiterung, könnte beispielsweise auch der Gebrauch und die Übertragung anonymisierter Daten reguliert werden.

Ferner möchte der gemischte parlamentarische Ausschuss auch das Interesse und die Sicherheit des Staates gewährleisten.

Der gemischte Parlamentarische Ausschuss begründet die Erweiterung des Geltungsbereiches mit der Möglichkeit ein Individuum auch über anonymisierte Daten zu identifizieren und der generellen Schwierigkeit zwischen personenbezogenen und nicht-personenbezogenen Daten zu differenzieren.

Konkret vorgesehen im Entwurf sind unter anderem folgende Massnahmen:

Die Privatsphäre und die Rechte von Betroffenen sollen geschützt werden. Der Gebrauch und die Übertragung von personenbezogenen Daten, auch ins Ausland, soll reguliert werden.

Es soll verbindliche Vorgaben für Social-Media-Plattformen geben. Diese sollen als Besondere Daten-Treuhänder («Significant Data Fiduciaries») klassifiziert werden, sobald ein festgelegter benutzerbasierter Schwellenwert erreicht wird und ihre Handlungen erhebliche Auswirkungen auf die Wahldemokratie, die Sicherheit des Staates, die öffentliche Ordnung oder die Souveränität und Integrität Indiens haben oder wahrscheinlich haben werden.

Ferner wurde die Ausnahmeregelung für Social-Media-Plattformen, die kommerzielle Transaktionen, Internetdienstleister, Suchmaschinen, Enzyklopädien und andere ähnliche Plattformen unterstützen gestrichen, sodass jede Social-Media-Plattform als Besonderer Daten-Treuhänder klassifiziert werden kann.

Eine weitere empfohlene Änderung des gemeinsamen parlamentarischen Ausschusses ist es, dass Daten-Treuhänder Waren oder Dienstleistungen nicht aufgrund der Ablehnung der Zustimmung des Datensubjekts zur Verarbeitung personenbezogener Daten, die für diesen Zweck nicht erforderlich sind, verweigern können.

Die Ausnahmeregelungen, die der Zentralregierung in Paragraph 35 gewährt werden, hat der gemeinsame parlamentarische Ausschuss beibehalten. Diese Ausnahmeregelung erlaubt es der Regierung, jede ihrer Behörden von den Vorgaben der Datenschutzbestimmungen zu befreien. Durch eine Verhältnismässigkeitsklausel versucht, der gemeinsame parlamentarische Ausschuss die Bestimmung abzuschwächen. Von der Zivilregierung oder ihren Agenturen würde demnach verlangt werden ein «gerechtes, faires, angemessenes und verhältnismässiges Verfahren» zu befolgen. Als Orientierungshilfe diente dabei der Fall Puttaswamy v Union of India von 2017, in den Ausnahmen für das Recht auf Privatsphäre festgelegt wurden.

Indien will mit dem neuen Datenschutzgesetz auch eine neue Datenschutzbehörde aufbauen. Die ursprünglich geplante Zusammensetzung der Datenschutzbehörde aus sechs dauerhaften Mitgliedern, möchte der gemeinsame parlamentarische Ausschuss nur in der Hinsicht abändern, als das eines der sechs dauerhaften Mitglieder ein Experte im Datenschutzrecht, mit ausreichend Erfahrung und allen erforderlichen Qualifikationen, sein muss.

Die Vorschläge des gemeinsamen parlamentarischen Ausschusses sind nicht final. Die Regierung könnte den Entwurf selbst noch einmal überarbeiten bevor der Entwurf dem Parlament zur Abstimmung vorgelegt wird.

Quellen: