Ashwini Vaishnaw, der IT-Minister Indiens, hat am Donnerstag im Unterhaus des indischen Parlaments erneut einen aktualisierten Gesetzentwurf zum Datenschutz vorgelegt, Monate nachdem er seinen letzten Entwurf vorgestellt und einen früheren Vorschlag im vergangenen Jahr abrupt zurückgezogen hatte, nachdem er von Technologiegiganten, sogar ebenso vielen, abgelehnt worden war Mitglieder protestierten gegen den neuen Gesetzentwurf und behaupteten, er verletze das Recht auf Privatsphäre.
Der Gesetzgebungsakt mit dem Titel „Gesetz zum Schutz digitaler personenbezogener Daten“ zielt darauf ab, der von Premierminister Narendra Modi geführten Regierung umfassende Entscheidungsbefugnisse zu übertragen. Zu diesen Befugnissen gehört die Möglichkeit, bestimmte Datentreuhänder, einschließlich Start-ups, bei Bedarf von der Einhaltung der Vorschriften zu befreien. Sie können auch den Umgang mit Daten von Kindern gestatten, sofern der Treuhänder angemessene Schutzmaßnahmen nachweisen kann.
Darüber hinaus ist die Regierung befugt, Länder zu benennen, in die die Übermittlung personenbezogener Daten der Nutzer verboten ist. Diese Bestimmung ändert den früheren Entwurf des Gesetzentwurfs, der vorschlug, Datenübermittlungen in „mitgeteilte Länder und Gebiete“ zuzulassen.
Darüber hinaus bietet die Gesetzgebung Rechtsschutz für die Zentralregierung, den Datenschutzausschuss und seine Mitglieder, einschließlich des Vorsitzenden, und schützt sie vor rechtlichen Schritten.
Die Gesetzgebung schreibt vor, dass die Zentralregierung für die Einrichtung des Datenschutzausschusses verantwortlich ist. Die Regierung ernennt außerdem die Mitglieder und den Vorsitzenden des Gremiums, jeweils für eine Amtszeit von zunächst zwei Jahren. Der Gesetzentwurf sieht vor, dass ein Mitglied des Datenschutzausschusses nur durch eine schriftliche Mitteilung an die Regierung zurücktreten kann. Dieser Rücktritt wird entweder drei Monate nach Einreichung, mit Zustimmung der Regierung oder mit der Ernennung eines neuen Nachfolgers bzw. Ablauf der bestehenden Amtszeit wirksam.
Die Gesetzgebung ermöglicht es Einzelpersonen, ihre Datenschutzangelegenheiten an den Vorstand zu richten, wenn sie innerhalb der vorgeschriebenen Frist von sieben Tagen keine angemessene Antwort vom Datentreuhänder erhalten. Der Gesetzentwurf sieht außerdem vor, dass die Öffentlichkeit nur echte persönliche Informationen preisgeben und sich nicht als andere ausgeben darf. Die Nichteinhaltung der im Gesetzentwurf festgelegten Pflichten kann zu Strafen für Einzelpersonen führen, wobei die Geldstrafen bis zu 121 US-Dollar (10.000 indische Rupien) betragen können. Für einen Datentreuhänder, der gegen das Gesetz verstößt, können die Strafen bis zu 30 Millionen US-Dollar (250 Crores indische Rupien) betragen.
Gegen Entscheidungen des Datenschutzausschusses kann innerhalb von 60 Tagen beim Telecom Disputes Settlement and Appellate Tribunal Berufung zur Überprüfung eingelegt werden, heißt es im Gesetzentwurf.
Unternehmen, die Benutzerdaten sammeln, um laut Gesetzentwurf die ausdrückliche Zustimmung der Benutzer einzuholen. Die Einwilligungsanfragen sollten in einfacher Sprache kommuniziert werden. Verbraucher können ihre Einwilligung auch später widerrufen. Darüber hinaus enthält der Gesetzentwurf eine Bestimmung zur Einrichtung eines Beschwerdebehebungsmechanismus durch Einwilligungsmanager, der Benutzern dabei helfen kann, ihre Einwilligung zu erteilen, zu verwalten, zu überprüfen und zu widerrufen.
Der Gesetzentwurf sieht jedoch „bestimmte legitime Verwendungen“ als Ausnahme von der Anforderung der Einholung der Einwilligung des Nutzers vor. Hierbei handelt es sich um eine Aktualisierung der Bestimmung zur „erachteten Zustimmung“, die in der letzten Version des Gesetzentwurfs enthalten ist. Es ermöglicht Plattformen, personenbezogene Nutzerdaten zu sammeln, wenn diese freiwillig bereitgestellt werden, beispielsweise beim Zugriff auf öffentliche Dienste. Die Regierung kann in dieser Bestimmung auch auf personenbezogene Daten von Plattformen zugreifen, um Subventionen bereitzustellen oder gesetzlich vorgeschriebene Aufgaben wahrzunehmen.
Kamlesh Shekhar, Programmmanager bei The Dialogue, einer Denkfabrik für öffentliche Politik in Neu-Delhi, sagte gegenüber Tech, dass die Abkehr von der angenommenen Einwilligung zwar positiv sei, es aber wichtig sei, Gründe für die Notwendigkeit festzulegen und das Bestehen eines berechtigten Interesses sicherzustellen. In den von der Zentralregierung vorgeschriebenen Regeln müsse eine Prüfung des Gleichgewichts zwischen den Interessen des Datenverantwortlichen und den Grundrechten des Datenauftraggebers enthalten sein, fügte er hinzu. Darüber hinaus sollten die Regeln für die Bereitstellung von Einwilligungsmanagern an die Vorschriften für Einwilligungsmanager in anderen Branchen angepasst werden, um die Ausnutzung von Lücken im System zu verhindern, sagte er.
Indiens Ansatz zum Datenschutz unterscheidet sich von der europäischen DSGVO und dem US-amerikanischen CCPA (California Consumer Privacy Act), da seine Gesetzgebung keine hohen Bußgelder vorsieht und der Bundesregierung die Befugnis einräumt, Regeln in bestimmten Fällen zu ändern.
In einer öffentlichen Videoansprache freigegeben Nachdem der Gesetzentwurf im Parlament vorgelegt worden war, bezeichnete Rajeev Chandrasekhar, ein IT-Minister der Regierung, den Schritt als „einen sehr bedeutenden Meilenstein in der Entwicklung des globalen Standardrahmens für Cybergesetze“. Der Minister sagte, der Gesetzentwurf mache es für Unternehmen zur Pflicht, personenbezogene Daten zu sammeln und zu verwenden, um das Gesetz einzuhalten, und dürfe keine „fremden Informationen“ anfordern, die für die Dienstleistung oder das Produkt, die der Benutzer erhält, irrelevant sind. Der Gesetzentwurf enthält außerdem die Grundsätze der Datenminimierung, des Datenschutzes und der Rechenschaftspflicht, der genauen Datenspeicherung und der verpflichtenden Meldung von Verstößen.
Das südasiatische Land begann bereits 2017, sich mit dem Datenschutz zu befassen. Zwei Jahre später erhielt das indische Parlament 2019 den ersten Gesetzentwurf zum Schutz personenbezogener Daten. Dieser wurde jedoch letztes Jahr zurückgezogen, nachdem er von Datenschutzbefürwortern und Technologieunternehmen wie Amazon geprüft und kritisiert wurde , Google und Meta über die Gewährung von Ausnahmen für Regierungsbehörden und die Einschränkung des Umfangs des Schutzes von Nutzerdaten.
„Seit vielen, vielen Jahren ist bekannt und es ist kein Geheimnis, dass viele Plattformen und viele Unternehmen oder viele Datentreuhänder personenbezogene Daten einzelner Bürger sammeln. Nicht nur in Indien, sondern auf der ganzen Welt nutzen sie diese persönlichen Daten für ihre eigenen Geschäftsmodelle, Algorithmen und viele andere Arten“, sagte Chandrasekhar. „Narendra Modiji Die Regierung hat Maßnahmen ergriffen, um einen Gesetzesrahmen zu schaffen, der die Rechte der Bürger schützt und ein Umfeld schafft, in dem das Innovationsökosystem und Startups weiterhin mit Leitplanken operieren können, die sich in einem solchen Rahmen bewegen.“
Obwohl das Datenschutzgesetz vom Oberhaus des Parlaments und dem indischen Präsidenten genehmigt werden muss, um in Kraft zu treten, wurde es von den oppositionellen politischen Parteien kritisiert. Eines ihrer Anliegen ist Gewährung „übermäßiger“ Befugnisse an die Zentralregierung. Experten für öffentliche Politik haben dies auch getan kritisiert die Regierung dafür, dass sie die Antworten aus der öffentlichen Konsultation zum Entwurf des Datenschutzgesetzes nicht offengelegt hat.
Shashi Tharoor, ein Vorsitzender der größten Oppositionspartei im Kongress, argumentierte, dass der Gesetzentwurf mehrfach geändert worden sei und zur umfassenden Prüfung an den ständigen Parlamentsausschuss weitergeleitet werden sollte.
Internet Freedom Foundation, Interessenvertretung für digitale Rechte genannt Das Datenschutzgesetz entspricht nicht wichtigen Grundsätzen wie dem Urteil des Richters KS Puttaswamy, in dem festgestellt wurde, dass der Datenschutz ein entscheidender Aspekt des Rechts auf Privatsphäre ist. Die Gruppe sagte, dass der Gesetzentwurf die Ausnahmen für Regierungsinstrumente weiter ausweitet, was zu einer verstärkten staatlichen Überwachung führen könnte, und dass klare Bestimmungen zu wesentlichen Fragen fehlen, „die der künftigen Festlegung von Exekutivregeln überlassen wurden“. Der gesetzgeberische Schritt werde auch den Right to Information Act von 2005 deutlich schwächen, hieß es weiter.
„Das DPDPB (Digital Personal Data Protection Bill) von 2023 bekräftigt die Mängel des DPDPB von 2022 und versäumt es, mehrere der sinnvollen Empfehlungen zu vermitteln, die während des Konsultationsprozesses gemacht wurden und anschließend von den relevanten Interessengruppen veröffentlicht wurden. Wir fordern die Regierung der Union nachdrücklich auf, die zahlreichen wiederkehrenden Probleme, die von Interessengruppen der Zivilgesellschaft angesprochen wurden, in aufeinanderfolgenden Schritten anzugehen. In seiner jetzigen Form schützt das DPDPB 2023 das Recht auf Privatsphäre nicht ausreichend und darf nicht in Kraft gesetzt werden“, sagte die Gruppe.