Indien hat ein neues umfassendes Datenschutzgesetz vorgeschlagen, das vorschreibt, wie Unternehmen mit den Daten seiner Bürger umgehen, einschließlich der Genehmigung des grenzüberschreitenden Informationstransfers mit bestimmten Nationen, drei Monate nachdem es den vorherigen Vorschlag nach Prüfung und Bedenken von Datenschützern und Technikern abrupt zurückgezogen hat Riesen.
Das IT-Ministerium der Nation veröffentlichte a Entwurf der vorgeschlagenen Regeln (PDF), genannt Digital Personal Data Protection Bill 2022, am Freitag zur öffentlichen Konsultation. Es wird bis zum 17. Dezember Ansichten aus der Öffentlichkeit hören.
„Der Zweck dieses Gesetzes besteht darin, die Verarbeitung digitaler personenbezogener Daten in einer Weise vorzusehen, die sowohl das Recht des Einzelnen auf Schutz seiner personenbezogenen Daten als auch die Notwendigkeit anerkennt, personenbezogene Daten für rechtmäßige Zwecke und für damit verbundene oder damit zusammenhängende Angelegenheiten zu verarbeiten “, heißt es im Entwurf.
Der Entwurf erlaubt grenzüberschreitende Interaktionen von Daten mit „bestimmten notifizierten Ländern und Gebieten“, ein Schritt, der als Gewinn für Technologieunternehmen angesehen wird.
„Die Zentralregierung kann nach einer Bewertung solcher Faktoren, die sie für notwendig erachtet, solche Länder oder Gebiete außerhalb Indiens benachrichtigen, an die ein Datentreuhänder personenbezogene Daten gemäß den möglicherweise festgelegten Bedingungen übermitteln kann“, so der Entwurf sagt, ohne die Länder zu nennen.
Die Asia Internet Coalition, eine Lobbygruppe, die Meta, Google, Amazon und viele andere Technologieunternehmen vertritt, hatte Neu-Delhi aufgefordert, den grenzüberschreitenden Datentransfer zuzulassen. „Entscheidungen über grenzüberschreitende Transfers sollten frei von exekutiven oder politischen Eingriffen sein und idealerweise minimal reguliert werden“, schrieben sie Anfang dieses Jahres in einem Brief an das IT-Ministerium.
„Einschränkungen des grenzüberschreitenden Datenflusses werden wahrscheinlich zu höheren Geschäftsausfallraten führen, Hindernisse für Start-ups einführen und zu teureren Produktangeboten von bestehenden Marktteilnehmern führen. Letztendlich werden sich die oben genannten Mandate auf die digitale Inklusion und die Fähigkeit indischer Verbraucher auswirken, auf ein wirklich globales Internet und die Qualität der Dienste zuzugreifen“, hatte die Gruppe gesagt.
Der Entwurf sieht außerdem vor, dass Unternehmen die von ihnen über Nutzer erhobenen Daten nur für den Zweck verwenden, für den sie sie ursprünglich erhalten haben. Es fordert auch von den Unternehmen die Rechenschaftspflicht, dass sie sicherstellen, dass sie die personenbezogenen Daten für die Benutzer genau zu dem Zweck verarbeiten, zu dem sie sie erhoben haben.
Es fordert auch, dass Unternehmen die Daten nicht standardmäßig dauerhaft speichern. „Die Speicherung sollte auf die Dauer beschränkt werden, die für den angegebenen Zweck, für den personenbezogene Daten erhoben wurden, erforderlich ist“, heißt es in einer Mitteilung des Ministeriums.
Der Entwurf schlägt eine Strafe von bis zu 30,6 Millionen US-Dollar vor, falls ein Unternehmen keine „angemessenen Sicherheitsvorkehrungen zur Verhinderung der Verletzung personenbezogener Daten“ trifft. Eine weitere Geldstrafe von 24,5 Millionen US-Dollar, wenn das Unternehmen die örtlichen Behörden und Benutzer nicht benachrichtigt, weil sie die Verletzung personenbezogener Daten nicht offengelegt haben.
Die früher vorgeschlagenen Regeln wurden angepriesen, um zum Schutz der personenbezogenen Daten der Bürger beizutragen, indem sie sie je nach Art in verschiedene Segmente einteilten, z. B. sensibel oder kritisch. Allerdings trennt die neue Version Daten als solche nicht, so der Entwurf.
Ähnlich wie die europäische DSGVO und der CCPA (California Consumer Privacy Act) in den USA wird Indiens vorgeschlagenes Gesetz zum Schutz digitaler personenbezogener Daten 2022 für Unternehmen gelten, die im Land tätig sind, und für alle Einrichtungen, die die Daten indischer Bürger verarbeiten.
Die vorgeschlagenen Regeln, die voraussichtlich nach öffentlicher Konsultation im Parlament diskutiert werden, würden keine Änderungen an ausgewählten umstrittenen Gesetzen im Land bringen, die vor mehr als einem Jahrzehnt entworfen wurden. Neu-Delhi arbeitet jedoch an der Aktualisierung seines zwei Jahrzehnte alten IT-Gesetzes, das als Digital India Act debütieren würde. Es wird Vermittler trennen und als Endspiel kommen, sagte Indiens Staatsminister für IT Rajeev Chandrasekhar kürzlich in einem Interview mit Tech.
Im August zog die indische Regierung ihr früheres Gesetz zum Schutz personenbezogener Daten zurück, das 2019 nach langer Erwartung und gerichtlichem Druck vorgestellt wurde. Indiens IT-Minister Ashwini Vaishnaw sagte damals, der Rückzug sei als „Vorstellung eines neuen Gesetzentwurfs gedacht, der in den umfassenden Rechtsrahmen passt“.
Meta, Google und Amazon waren einige der Unternehmen, die dies getan hatten Bedenken geäußert über einige der Empfehlungen des gemischten parlamentarischen Ausschusses zu dem Gesetzesentwurf.
Der Schritt zur Einführung eines Datenschutzgesetzes wurde 2017 vom Obersten Gerichtshof Indiens zum Grundrecht erklärt. Das Land wurde jedoch wegen seiner früheren Datenschutzgesetze heftig kritisiert, da sie Regierungsbehörden die Befugnis dazu einräumen auf die Daten der Bürger zugreifen.
Bei einer der Sitzungen während des G-20-Gipfels in Bali Anfang dieser Woche, Premierminister Narendra Modi sprach über das Prinzip „Daten für Entwicklung“ und sagte, dass das Land mit G-20-Partnern zusammenarbeiten werde, um während seiner Präsidentschaft im nächsten Jahr für das aus 19 Ländern bestehende zwischenstaatliche Forum „digitale Transformation in das Leben aller Menschen“ zu bringen.