Loading…
Der Digital Personal Data Protection Act, 2023 ist Indiens erstes umfassendes Datenschutzgesetz. Gemeinsam mit den DPDP Rules, 2025 (G.S.R. 846(E)) regelt er, wie personenbezogene Daten indischer Data Principals erhoben, verarbeitet, gespeichert und weitergegeben werden — ueberall auf der Welt.
Die Durchsetzung obliegt dem Data Protection Board of India (DPBI), mit finanziellen Sanktionen von bis zu ₹250 crore pro Vorfall und strengeren Pflichten fuer Significant Data Fiduciaries.
Von der Erfassung der Einwilligung bis zur Meldung an das Board ist jede Pflicht einer Kontrolle, einem Verantwortlichen und einem SLA zugeordnet.
Verarbeiten Sie personenbezogene Daten nur auf Grundlage einer gueltigen Einwilligung oder einer der bestimmten rechtmaessigen Nutzungen gemaess Section 7 des DPDP Act.
Erheben Sie Daten nur fuer festgelegte, ausdrueckliche und rechtmaessige Zwecke; nutzen Sie sie ohne erneute Einwilligung niemals fuer andere Zwecke.
Beschraenken Sie die Erhebung auf das fuer den angegebenen Zweck Erforderliche — kein opportunistisches Sammeln von Daten.
Halten Sie Daten richtig; loeschen Sie sie, wenn der Zweck erfuellt ist oder die Einwilligung widerrufen wird.
Setzen Sie Verschluesselung, Zugriffskontrollen, Protokollierung und Resilienz gemaess Rule 6 um — Sanktion von bis zu ₹250 crore pro Versagen.
Benachrichtigen Sie das Data Protection Board of India innerhalb von 72 Stunden und betroffene Data Principals ohne unangemessene Verzoegerung (Rule 7).
Anbieter von Diensten fuer Nutzer in Indien — der DPDPA gilt extraterritorial.
DPDPA zusaetzlich zu den Frameworks von RBI / SEBI / IRDAI und Digital Health.
Hohes Volumen an personenbezogenen Verbraucherdaten — typische Kandidaten fuer Significant Data Fiduciaries.
Verschaerfte Pflichten und eine Sanktionsobergrenze von ₹150 crore fuer Verstoesse, die Daten von Kindern betreffen.
Gap-Analyse gegenueber dem Act und den Rules 2025 mit priorisiertem Maßnahmenplan und Budget.
Bestellter Data Protection Officer in Indien, der in Ihrem Namen mit dem Data Protection Board (DPBI) in Verbindung steht.
DPDPA-konforme Hinweise auf Englisch sowie in 22 gelisteten Sprachen mit granularem, widerrufbarem Einwilligungsmanagement.
Self-Service-Portal zur Bearbeitung von Auskunfts-, Berichtigungs-, Loeschungs- und Beschwerdeanfragen innerhalb der gesetzlichen Fristen.
Runbook, Klassifizierung, Meldung an das Board und Kommunikation mit den Data Principals — waehrend eines Vorfalls durchgaengig betreut.
DPIA-Rhythmus, unabhaengige Pruefung und zusaetzliche Governance-Pflichten fuer als SDF eingestufte Organisationen.
Eine typische DPDPA-Implementierung kostet ₹1,48–2,22 crore (~178–267 Tsd. USD). Verglichen mit einer Sanktionshaftung von ₹500+ crore entspricht das einem Praeventionsverhaeltnis von 23:1–34:1.