Recht kompakt | Indien | Datenschutzrecht
Indien: E-Commerce und Datenschutz
Im August 2023 hat Indien sein erstes eigenes Datenschutzgesetz verabschiedet. E-Commerce durch ausländische Anbieter unterliegt Beschränkungen.
31.03.2025
Von Julia Merle, Robert Herzner, Frauke Schmitz-Bauerdick
Datenschutz
Seit einer Entscheidung des Supreme Court im August 2017 (Writ Petition (Civil) No. 494 of 2012) ist ein Schutz privater Daten durch die Verfassung anerkannt (Art. 14, 19, 21 der Verfassung).
Maßgeblich im Bereich Datenschutz waren bislang der Information Technology Act, 2000 (IT Act), überarbeitet durch den Information Technology (Amendment) Act, 2008, und die Information Technology (Reasonable Security Practices and Procedures and Sensitive Personal Data or Information) Rules, 2011. In den mit der Überarbeitung eingefügten Sec. 43A und 72A des IT Act sind Schadensersatzansprüche und Sanktionen im Falle eines Datenschutzverstoßes vorgesehen.
Seit Dezember 2019 befand sich ein erster Entwurf eines Datenschutzgesetzes im Gesetzgebungsverfahren, der im Jahr 2022 zurückgenommen und neu erarbeitet wurde. Am 11. August 2023 wurde schließlich das neue Datenschutzgesetz, der Digital Personal Data Protection Act, 2023, in der Gazette of India veröffentlicht. Dabei handelt es sich um ein Rahmengesetz zum Schutz digitaler persönlicher Daten. Das Gesetz betrifft die Verarbeitung digitaler personenbezogener Daten in Indien, wenn diese in digitaler Form gesammelt oder nachträglich digitalisiert werden. Es werden insbesondere bestimmte Grundprinzipien, Rechte und auch Pflichten von betroffenen Personen (Data Principals) sowie Pflichten von Verantwortlichen (Data Fiduciaries) festgelegt. Das Gesetz sieht außerdem die Einrichtung eines Data Protection Board of India als Aufsichtsbehörde vor.
Umsetzungsbestimmungen zu dem Datenschutzgesetz befinden sich im Entstehen: Das zuständige Ministerium für Elektronik und Informationstechnologie hat im Januar 2025 den Regelungsentwurf Draft Digital Personal Data Protection Rules, 2025 herausgegeben mit Kommentierungsfrist zunächst bis zum 18. Februar 2025 und verlängert bis zum 5. März 2025.
E-Commerce
"Press Note No. 3" vom 29. März 2016 und später "Press Note No. 2 of 2018" vom 26. Dezember 2018 legen die Grenzen ausländischen Engagements im E-Commerce fest: Danach ist der B2B-E-Commerce (Business-to-Business) ausländischen Anbietern vollständig geöffnet (über Automatic Route), der B2C-E-Commerce (Business-to-Consumer) ist allerdings nur unter engen Voraussetzungen möglich. Der Onlinevertrieb an Endkonsumenten nur einer Marke ist mit Lagerhaltung gestattet, wenn das Unternehmen auch insbesondere über Ladengeschäfte verfügt (Single-Brand-Retail).
Hinsichtlich des Verbraucherschutzes bei E-Commerce-Transaktionen gibt es die "Consumer Protection (E-Commerce) Rules, 2020" sowie die "Consumer Protection (E-Commerce) (Amendment) Rules, 2021".
