Fast vier Jahre, nachdem die Regierung das Justiz-Skrikrishna-Komitee zum ersten Mal mit der Einführung eines Datenschutzgesetzes beauftragt hat, kommt Indien der Umsetzung endlich näher. Der Gemeinsame Parlamentarische Ausschuss ( GPA) hat kürzlich seinen lang erwarteten Bericht über das Gesetz zum Schutz personenbezogener Daten, 2019 (Gesetzentwurf 2019) vorgelegt. Sie hat auch eine eigene Version des vorgeschlagenen Gesetzes formuliert – sie nennt sie Data Protection Bill (DP Bill). Die Namensänderung spiegelt die Entscheidung des GPA wider, den Anwendungsbereich des Gesetzes zu erweitern, um nicht personenbezogene Daten in seinen Geltungsbereich aufzunehmen.

Das vorgeschlagene Gesetz legt Gebote und Verbote für alle Unternehmen fest, die mit Daten umgehen. Um sich an das Gesetz zu halten, müssen Startups also überdenken, wie sie Daten sammeln, speichern, verwenden und weitergeben. Sie müssen einen „Privacy by Design“-Ansatz verfolgen, dh den Datenschutz in das eigentliche Design ihres Systems/ihrer Systeme einbetten und dessen Sicherheit gewährleisten. Sie müssen auch Prozesse erstellen, um Anfragen von Benutzern zu bearbeiten, die bestimmte Rechte in Bezug auf ihre Daten ausüben möchten. Darüber hinaus müssen unter anderem technische Kapazitäten aufgebaut werden, um die Daten mit der Regierung für politische Zwecke zu teilen, Zertifizierungen für ihre Hard- und Software zu erhalten und sensible Daten lokal zu speichern. Diese Änderungen bringen erhebliche Compliance-Kosten mit sich, die Unternehmen einplanen müssen, und es ist wichtig, dass Startups genügend Zeit haben, um das vorgeschlagene Gesetz einzuhalten.

Neben Änderungen am Text des Gesetzesentwurfs von 2019 gibt der GPA auch allgemeine Empfehlungen ab, wie unter anderem die Behandlung von Social-Media-Plattformen als Herausgeber von Inhalten, die Durchsetzung der obligatorischen Überprüfung von Social-Media-Nutzern und die Formulierung einer strengen Datenlokalisierungsrichtlinie. Auch wenn die allgemeinen Empfehlungen möglicherweise nicht sofort in regulatorische Maßnahmen umgesetzt werden, können sie das Denken der Regierung auf längere Sicht vorantreiben. Für Startups ist es wichtig, sich mit diesen Empfehlungen auseinanderzusetzen, damit sie ein Gefühl dafür bekommen, was die Zukunft der Regulierung bringen könnte.

Um Startups dabei zu helfen, die Auswirkungen des vorgeschlagenen Gesetzes zu verstehen, veranstaltet Ikigai Law am 24. Februar 2022 um 15:00 Uhr IST eine virtuelle Diskussionsrunde – „ Unscramble: Impact Of India’s Data Protection Law on Startups “. Einige der Themen, die während der Sitzung behandelt werden, umfassen die obligatorische Weitergabe nicht personenbezogener Daten an die Regierung, Beschränkungen des grenzüberschreitenden Datenflusses, die Offenlegung der Fairness von Algorithmen und die allgemeine Compliance-Herausforderung für Startups.

Bewerben Sie sich hier für die Teilnahme

Auswirkungen der Einbeziehung nicht personenbezogener Daten in ein Datenschutzgesetz

Der DP-Gesetzesentwurf versucht, nicht personenbezogene Daten (NPD) im Rahmen eines Rahmenwerks zum Schutz personenbezogener Daten zu regulieren . Es gibt der Zentralregierung weitreichende Befugnisse, auf die NPD zuzugreifen, um Richtlinien für die digitale Wirtschaft zu formulieren, und ermächtigt die Datenschutzbehörde (DPA), Verstöße gegen die NPD zu untersuchen.

Aber warum sollte das für Startups wichtig sein?

NPD soll eine Vielzahl von Daten umfassen, einschließlich Daten, die von personenbezogenen Daten befreit sind, Daten, die anonymisiert sind, und Daten, die niemals in Verbindung mit personenbezogenen Daten standen, wie z. B. Wetterdaten, Geodaten, Telemetriedaten, Reisedaten usw. Unternehmen investieren technische und finanzielle Ressourcen, um NPD zu nutzen, indem sie sie Verarbeitungs- und Datenanalysetools unterziehen. Zu diesen Daten gehören Rohdaten (an der Quelle gesammelte Daten), abgeleitete Daten, wichtige Geschäftserkenntnisse (die urheberrechtlich geschützt sind).

Der Regierung den Zugriff auf proprietäre Daten zu gestatten, könnte die Rechte an geistigem Eigentum ( IP ) von Unternehmen an ihren Datensätzen beeinträchtigen . Dies könnte sich auch auf Startups auswirken, die sich auf Erkenntnisse aus Daten verlassen, um einen Wettbewerbsvorteil auf dem Markt zu erzielen. Von Unternehmen zu verlangen, NPD aufzugeben, könnte sie davon abhalten, in Datenerfassung, -aggregation, -speicherung und -analyse zu investieren. Es kann Innovationen behindern, die Entwicklung des Datenmarktes behindern und Unternehmen daran hindern, mit Daten und anderen datenbezogenen Vermögenswerten zu experimentieren.

Das Ziel der Regulierung personenbezogener Daten ist der Schutz der Privatsphäre des Einzelnen, und das der Regulierung von NPD ist die Gewinnung von wirtschaftlichem Wert. Die Regulierung personenbezogener Daten und NPD unter einem Dach dürfte beide Ziele verwässern.

Unsicherheit und Compliance-Herausforderungen

Das DP Bill, wie das 2019 Bill, kategorisiert Daten als sensible personenbezogene Daten und kritische personenbezogene Daten. Sensible Daten umfassen eine nicht erschöpfende Liste routinemäßig verarbeiteter Informationen wie Finanzdaten, Gesundheitsdaten, genetische Daten und mehr. Kritische personenbezogene Daten müssen noch von der Regierung definiert werden. Die Verarbeitung sensibler Daten ist mit strengeren Compliance-Verpflichtungen verbunden, einschließlich der Anforderung, die ausdrückliche Zustimmung der Benutzer einzuholen.

Der übermäßige Umfang sowohl sensibler als auch kritischer Daten und die Fähigkeit der Regierung, zusätzliche Kategorien zu melden, könnte zu Unsicherheit führen. Es könnte Start-ups erschweren, einzuschätzen, wie Daten zu klassifizieren sind und wie Konformitäten für verschiedene Kategorien festgelegt werden können.

Im Gegensatz zu Datenschutzgesetzen in anderen Gerichtsbarkeiten konzentriert sich das vorgeschlagene indische Gesetz stark auf die Zustimmung der Benutzer als Rechtsgrundlage für die Verarbeitung von Daten. Das vorgeschlagene Gesetz würde Unternehmen dazu verpflichten, die Zustimmung selbst für Routinevorgänge wie Produktverbesserungen, Fehlerbehebungen usw. einzuholen, was zu einer Überbenachrichtigung und Zustimmungsermüdung für die Benutzer führen würde. Es schafft auch zwei Standards – Zustimmung und ausdrückliche Zustimmung – ohne eine klare Erklärung des Unterschieds zwischen den beiden, was die Unsicherheit erhöht.

Die vorgeschlagene Datenregulierungsbehörde wird die Befugnis haben, jeden Datentreuhänder (unser Äquivalent zu dem, was die DSGVO „Datenverantwortliche“ nennt, Einheiten, die über den Zweck und die Mittel der Datenerhebung entscheiden) auf der Grundlage bestimmter Kriterien als bedeutenden Datentreuhänder (SDF) zu benennen . Dazu gehören unter anderem Umfang und Sensibilität der verarbeiteten Daten, Einsatz neuer Technologien, Verarbeitung von Daten von Kindern, Social-Media-Unternehmen ab einer bestimmten Benutzerschwelle.

SDFs haben erhöhte Compliance-Anforderungen wie die Durchführung von Datenschutz-Folgenabschätzungen und die Ernennung von Datenschutzbeauftragten. Fintechs, die Finanzdaten verarbeiten, und jedes Startup, das neue Technologien einsetzt, werden hinsichtlich ihrer Einstufung als SDFs nervös bleiben

Um zusätzliche Sicherheitsvorkehrungen zum Schutz der Daten von Kindern zu schaffen, schreibt das Gesetz außerdem vor, dass alle Online-Unternehmen ihre Dienste in irgendeiner Weise mit Altersbeschränkungen versehen. Leitlinien zu den Standards für Age-Gating-Techniken werden jedoch erst zu einem späteren Zeitpunkt von der Aufsichtsbehörde kommen, was es schwierig macht, die Einhaltung zu planen.

Lokale Speicheranforderungen könnten die Wettbewerbsfähigkeit von Startups beeinträchtigen

Eine große Anzahl indischer Startups ist auf grenzüberschreitende Datenübertragungen angewiesen, um beispielsweise Dienste von außerhalb Indiens ansässigen Cloud-Dienstleistern zu nutzen. Bestimmungen, die den freien Datenfluss behindern, werden Start-ups in Schwierigkeiten bringen – die keinen Zugang zu kostengünstigen und erstklassigen Technologien und Infrastrukturen haben werden. Darüber hinaus könnten lokale Speicheranforderungen Hindernisse für Deep-Tech-Startups (KI/ML, Datenanalyse) darstellen , die Ambitionen haben, Verbraucher auf der ganzen Welt zu bedienen.

Das Gesetz von 2019 hat bereits mehrere Beschränkungen für grenzüberschreitende Datenübertragungen auferlegt. Der JPC hat im DP-Gesetz zusätzliche bürokratische Hürden für Datenübertragungen vorgeschlagen, wie z. B. das Erfordernis der Genehmigung der Zentralregierung für Übertragungen gemäß einem Vertrag oder gruppeninternen Systemen.

Der freie Datenfluss wirkt als Gleichmacher, der es Startups ermöglicht, unabhängig von ihrer Größe global um Preis und Qualität zu konkurrieren. Andererseits könnten unverhältnismäßige Beschränkungen der Datenübertragung den Zugang zu billigeren Diensten und Spitzentechnologien verhindern, die von globalen Cloud-Plattformen und internationalen Märkten für Startups angeboten werden.

Die Offenlegung der „Fairness“ von Algorithmen und Geschäftsgeheimnissen könnte sich auf die IP-Rechte von Startups auswirken

Das vorgeschlagene Gesetz verpflichtet Unternehmen dazu, Informationen über die „Fairness von Algorithmen“ mit der Datenregulierungsbehörde zu teilen. Damit soll Transparenz bei der Verarbeitung gewährleistet und der Missbrauch von Algorithmen verhindert werden. Es ist unklar, was „Fairness“ bedeutet oder wie viele Informationen offengelegt werden müssten. Dies könnte auch Auswirkungen auf die IP-Rechte eines Unternehmens haben, insbesondere wenn der Algorithmus von der Regulierungsbehörde als algorithmischer Quellcode interpretiert wird.

Das DP-Gesetz ermöglicht es einer Person auch, Unternehmen aufzufordern, ihre personenbezogenen Daten an sich selbst oder an ein anderes Unternehmen zu übermitteln. Der Umfang der zu übertragenden personenbezogenen Daten ist breit, da er Daten umfasst, die im Zuge der Bereitstellung von Diensten für Benutzer generiert werden, sowie alle Daten, die Teil eines Benutzerprofils sind. Dies könnte vertrauliche Geschäftseinblicke beinhalten.

Während der Gesetzentwurf von 2019 es Unternehmen erlaubte, diese Anfragen abzulehnen – wenn dies zum Schutz von Geschäftsgeheimnissen erforderlich war – schlägt der JPC vor, die Ausnahme von Geschäftsgeheimnissen aufzuheben und die vertraulichen Geschäftsinformationen des Unternehmens gegenüber Wettbewerbern offenzulegen. Da Startups in hohem Maße auf ihre Datengräben angewiesen sind, um ihre Wettbewerbsfähigkeit zu erhalten, könnte dies ihre Wachstumsaussichten beeinträchtigen.

Weitere Zertifizierungen

Das DP Bill schlägt auch vor, ein Zertifizierungs- und Testregime für Software und Hardware von Computergeräten einzurichten, um Datenlecks oder eine Bedrohung der nationalen Sicherheit auf digitalen Geräten zu verhindern. Dies könnte zur Schaffung neuer Hardware-/Softwarestandards führen – zusätzlich zu bestehenden lokalen und globalen Standards. Dies kann den Produktionsbetrieb stören und belastet nur Startups, die möglicherweise ihre Hard- und Softwaresysteme ändern müssen, was zu erhöhten Kosten führt.

Was kommt als nächstes?

Obwohl der Bericht des JPC empfiehlt, dass die Datenregulierungsbehörde die Interessen von Startups und kleinen Unternehmen im Auge behalten sollte, um Innovationen zu fördern, könnten unter anderem unsichere Compliances, strenge lokale Speicheranforderungen diese Absicht zunichte machen. Daher ist es von entscheidender Bedeutung, die Bedenken von Startups an die Regierung zu kommunizieren, während sie über das DP-Gesetz berät.

Zu diesem Zweck lädt Ikigai Law alle Interessengruppen aus dem Ökosystem ein, die Auswirkungen des vorgeschlagenen Rahmenwerks zum Schutz personenbezogener Daten in einem virtuellen runden Tisch zu erörtern – Unscramble: Impact Of India’s Data Protection Framework For Startups am 24. Februar 2022 um 15:00 Uhr IST.

Buchen Sie jetzt Ihre Slots