Die Datenschutz-Grundverordnung ist seit 25 May 2018 im gesamten Europäischen Wirtschaftsraum unmittelbar anwendbar. Indiens Digital Personal Data Protection Act 2023 erhielt im August 2023 die Zustimmung des Präsidenten, blieb aber bis zum Erlass nachgeordneter Vorschriften ruhend. Diese Vorschriften, die Digital Personal Data Protection Rules 2025, wurden am 13 November 2025 bekanntgemacht und lösten ein gestaffeltes Inkrafttreten aus: Die Bestimmungen zum Data Protection Board traten sofort in Kraft, Registrierungspflichten für Consent Manager folgen zum Ein-Jahres-Zeitpunkt, und die materiellen Pflichten sowie die Rechte der betroffenen Personen werden ab 13 May 2027 durchsetzbar (Ministry of Electronics and Information Technology 2025; Shardul Amarchand Mangaldas 2025). Was folgt, stellt daher ein ausgereiftes, vollständig durchgesetztes Regime einem jungen gegenüber, das rechtlich vollständig, operativ aber noch innerhalb seines Umsetzungsfensters ist. Der Stand des Rechts wird mit 6 June 2026 angegeben, womit etwa elf Monate verbleiben, bevor die materiellen Pflichten und die Rechte der betroffenen Personen der DPDP am 13 May 2027 durchsetzbar werden. Für ein Programm, das die rechtmäßige Verarbeitung neu auf Einwilligung gründen, einen Consent Manager einbinden und ein Regime für unter Achtzehnjährige aufbauen muss, sind elf Monate ein einziger Planungshorizont, keine bequeme Marge.
Die gemeinsame Abstammung und die drei Abweichungen, die zählen
Die beiden Gesetze teilen eine gemeinsame Abstammung. Indiens Verfasser entliehen das Vokabular der DSGVO zu Rechenschaftspflicht, Zweckbindung, Datenminimierung und Einwilligung, und die Ähnlichkeit ist eng genug, dass ein multinationales Unternehmen mit einem funktionierenden DSGVO-Programm bereits rund siebzig Prozent dessen hält, was die DPDP verlangt. Die verbleibenden dreißig Prozent sind der Ort, an dem das Geld und das Risiko sitzen, denn die Abweichungen sind struktureller, nicht kosmetischer Natur.
Drei Unterschiede dominieren alles andere. Erstens die rechtmäßige Verarbeitung: Die DSGVO bietet sechs Rechtsgrundlagen einschließlich des dehnbaren Abwägungstests der berechtigten Interessen, während die DPDP nur die Einwilligung und eine abschließende Liste aufgezählter rechtmäßiger Nutzungen anerkennt und keinen allgemeinen Auffangtatbestand belässt, wenn die Einwilligung undurchführbar ist. Zweitens der Rechtekatalog: Die DSGVO gewährt acht Rechte der betroffenen Personen einschließlich Datenübertragbarkeit, Widerspruch und Schutz gegen ausschließlich automatisierte Entscheidungen, während die DPDP einen engeren Satz gewährt und ein eigentümliches Nominierungsrecht hinzufügt. Drittens die Durchsetzungsökonomie: Die DSGVO deckelt Bußgelder beim höheren Betrag von twenty million euro or four per cent des weltweiten Jahresumsatzes und gibt Einzelpersonen ein privates Recht auf Schadensersatz, während die DPDP feste Geldsanktionen bis zu two hundred and fifty crore rupees ohne Umsatzbindung, ohne strafrechtliche Haftung und ohne privates Klagerecht verhängt.
Für die doppelt verpflichtete Organisation lautet die praktische Lehre, dass die Einhaltung der DSGVO notwendig, aber nicht hinreichend ist. Ein Programm auf DSGVO-Niveau muss erweitert, nicht bloß kopiert werden, um die einwilligungszentrierte Architektur der DPDP, ihr Regime für Kinder unter Achtzehn, ihren Negativlisten-Ansatz bei grenzüberschreitenden Übermittlungen und ihre Regel zur Meldung von Verletzungen, die keine Risikoschwelle duldet, aufzunehmen.
Zwei Zahlen rahmen den Einsatz. Die DSGVO regelt die personenbezogenen Daten von rund four hundred and fifty million Menschen im gesamten Europäischen Wirtschaftsraum; die DPDP regelt die von nahezu one and a half billion betroffenen Personen in Indien, etwa dreimal so vielen. Obwohl also die Obergrenze der Sanktion pro Fall bei der DPDP niedriger und fest ist, läuft die operative Last, die sie auferlegt, Einholung und Widerruf von Einwilligungen, Bearbeitung von Rechten und schwellenlose Meldung von Verletzungen, auf einer weit größeren Bevölkerungsskala. Eine Kapazität, die für eine europäische Nutzerbasis bequem ist, kann von einer indischen überfordert werden, und diese Kapazität muss aufgebaut werden, bevor die Uhr abläuft: Da die materiellen Pflichten ab 13 May 2027 durchsetzbar sind, rund elf Monate ab dem Zeitpunkt der Abfassung, ist das Fenster, um Pipelines für Einwilligung, Rechte und Verletzungen für mehr als eine Milliarde Personen zu konstruieren, schmal.
Instrumente, Status und regulatorische Architektur
Die DSGVO ist eine Verordnung, das heißt, sie gilt in jedem Mitgliedstaat unmittelbar ohne nationale Umsetzung, auch wenn die Mitgliedstaaten begrenzten Spielraum behalten, zu bestimmten Punkten wie dem Alter der digitalen Einwilligung und Beschäftigtendaten zu legiferieren. Sie wird durch ein Netzwerk unabhängiger nationaler Aufsichtsbehörden durchgesetzt, das über den Europäischen Datenschutzausschuss koordiniert wird, wobei das Kohärenzverfahren und das One-Stop-Shop-Prinzip grenzüberschreitende Fälle lösen. Rechtsetzung, Leitlinien und Durchsetzung liegen somit bei unabhängigen Regulierungsbehörden und letztlich bei den Gerichten und dem Gerichtshof der Europäischen Union (unsere DSGVO-Rahmenwerk-Seite fasst ihre Pflichten, wen sie bindet und die offizielle Quelle in Kürze zusammen).
Die DPDP-Architektur ist stärker zentralisiert und stärker exekutiv geprägt. Der DPDP Act ist Primärrecht; das operative Detail lebt in den DPDP Rules, die die Zentralregierung erlässt und ändern kann (unsere DPDP-Rahmenwerk-Seite legt die zentralen Pflichten des Gesetzes, wen es bindet und die offizielle Quelle in Kürze dar). Das Data Protection Board of India ist das entscheidende Organ, aber es ist enger gefasst als eine europäische Aufsichtsbehörde: Es untersucht Verletzungen und verhängt Sanktionen, gibt aber keine verbindlichen Kodizes oder Leitlinien heraus, und die materielle Rechtsetzungsbefugnis ruht bei der Zentralregierung statt beim Board. Berufungen gegen das Board laufen zum Telecom Disputes Settlement and Appellate Tribunal. Die gestalterische Folge ist, dass in Indien die politische Exekutive Hebel (Ausnahmen, Übermittlungsbeschränkungen, Regeländerungen) behält, die in Europa bei unabhängigen Behörden oder Gerichten liegen.
Anwendungsbereich und Reichweite
Die DSGVO regelt personenbezogene Daten, die ganz oder teilweise mit automatisierten Mitteln verarbeitet werden, sowie die nichtautomatisierte Verarbeitung, bei der die Daten Teil eines Dateisystems sind oder sein sollen. Sie schnitzt unter Article 9 eine besondere Kategorie sensibler Daten heraus: rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten, Gesundheit sowie Sexualleben oder Orientierung, jeweils erhöhten Bedingungen unterworfen. Die DPDP ist in einer Hinsicht enger und in einer anderen flacher. Sie regelt nur digitale personenbezogene Daten, das heißt Daten in digitalisierter Form oder auf Papier erhobene und anschließend digitalisierte Daten, und sie reguliert keine rein nichtdigitalen Aufzeichnungen. Entscheidend ist, dass sie keine gesetzliche Unterscheidung zwischen gewöhnlichen und sensiblen personenbezogenen Daten zieht. Es gibt keine Sonderkategorienstufe; Gesundheitsdaten und Einkaufsverläufe liegen unter denselben Basisregeln, wobei zusätzlicher Schutz nur indirekt über den Mechanismus des Significant Data Fiduciary und die Kinderschutzbestimmungen eintritt. Für eine doppelt verpflichtete Organisation schneidet diese Asymmetrie nach beiden Seiten: Das indische Recht legt keine Bedingungen nach Article 9 auf, aber ein ausgereifter Verantwortlicher wird seine DSGVO-Kontrollen für sensible Daten in der Regel weltweit beibehalten, statt zwei Datenklassifizierungsschemata zu pflegen.
Beide Gesetze reichen über ihr Heimatterritorium hinaus. Die DSGVO gilt nach Article 3 für die Verarbeitung im Rahmen einer EU-Niederlassung unabhängig davon, wo die Verarbeitung erfolgt, und für Verantwortliche außerhalb der Union, die Personen in der Union Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Die DPDP gilt nach section 3 für die Verarbeitung digitaler personenbezogener Daten innerhalb Indiens und für die Verarbeitung außerhalb Indiens, sofern sie im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen an betroffene Personen in Indien steht. Die DPDP lässt das ausdrückliche Standbein der Verhaltensbeobachtung der DSGVO aus, sodass reines Profiling indischer Einwohner ohne ein Angebot von Waren oder Dienstleistungen in einer graueren Zone liegt als sein europäisches Gegenstück.
| Dimension | GDPR | DPDP |
|---|---|---|
| Erfasste Datenform | Automatisiert, plus strukturierte manuelle Dateisysteme | Nur digital (originär digital oder nachträglich digitalisiert) |
| Stufe sensibler Daten | Ja (Article 9 Sonderkategorien) | Keine gesetzliche Stufe |
| Extraterritorialer Auslöser | Niederlassung; Angebot; Verhaltensbeobachtung | Angebot von Waren oder Dienstleistungen an Personen in Indien |
| Ausgeschlossene Verarbeitung | Rein persönlich oder häuslich; Strafverfolgung unter einer eigenen Richtlinie | Persönlich oder häuslich; bestimmte veröffentlichte Daten; breite staatliche Ausnahmen |
Akteure und Vokabular
Die Rollenarchitektur bildet sich sauber genug ab, dass die Übersetzung meist eins zu eins ist, was beim Verfassen zweisprachiger Richtlinien hilft. Aus dem DSGVO-Verantwortlichen wird der DPDP Data Fiduciary, eine treuhandbasierte Rahmung, deren operative Pflichten dennoch denen eines Verantwortlichen ähneln. Aus dem DSGVO-Auftragsverarbeiter wird der Data Processor, wobei die DPDP die meisten Verarbeiterpflichten über den Vertrag des Fiduciary statt durch viele unmittelbare gesetzliche Pflichten leitet. Aus der betroffenen Person wird der Data Principal, und bei einem Kind ist die Person das Kind, während die Einwilligung durch einen Elternteil oder rechtmäßigen Vormund ausgeübt wird. Die Aufsichtsbehörde findet ihr Analogon im Data Protection Board of India, das entscheidet und sanktioniert, aber keine verbindlichen Leitlinien herausgibt und daher keine Regulierungsbehörde im vollen Spektrum ist. Zwei DPDP-Rollen haben kein DSGVO-Gegenstück: der Significant Data Fiduciary, eine von der Regierung benannte Klasse mit erhöhten Pflichten, und der Consent Manager, ein Indien-spezifischer registrierter Vermittler, über den Personen Einwilligungen erteilen, überprüfen und widerrufen.
Rechtmäßige Verarbeitung: die zentrale Abweichung
Hier trennen sich die beiden Regime am folgenreichsten. Die DSGVO sieht nach Article 6 sechs Rechtsgrundlagen vor: Einwilligung, Erfüllung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung, Schutz lebenswichtiger Interessen, Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe sowie die berechtigten Interessen des Verantwortlichen oder eines Dritten vorbehaltlich einer Abwägung gegen die Rechte der betroffenen Person. Die Grundlage der berechtigten Interessen ist bewusst offen gehalten; sie ist das Arbeitstier, das es Organisationen erlaubt, Daten für Betrugsprävention, Netzwerksicherheit, Direktmarketing und konzerninterne Verwaltung zu verarbeiten, ohne für jeden Vorgang eine Einwilligung einzuholen.
Die DPDP anerkennt nur zwei Wege zur Rechtmäßigkeit: die Einwilligung nach section 6 und eine abschließende Liste bestimmter rechtmäßiger Nutzungen nach section 7. Die Liste der rechtmäßigen Nutzungen ist aufgezählt und endlich: die freiwillige Bereitstellung von Daten durch die Person zu einem bestimmten Zweck, staatliche Funktionen und die Gewährung von Subventionen oder Dienstleistungen, die Befolgung von Gesetzen oder Gerichtsanordnungen, medizinische Notfälle, beschäftigungsbezogene Zwecke sowie Katastrophen- oder Situationen der öffentlichen Ordnung, neben einer Handvoll weiterer. Es gibt keinen verbleibenden Abwägungstest. Wenn eine Verarbeitungstätigkeit keinem Eintrag auf der Liste zugeordnet werden kann, ist der einzige rechtmäßige Weg die Einwilligung. Dies ist der einzelne wichtigste operative Unterschied für ein multinationales Unternehmen, denn Datenflüsse, die Europa bequem unter berechtigten Interessen handhabt, etwa breite Analytik, Marketing-Anreicherung oder grenzüberschreitende Konzernberichterstattung, können in Indien eine ausdrückliche Einwilligungsarchitektur erfordern.
Der Einwilligungsstandard selbst ist auf dem Papier ähnlich. Beide verlangen, dass die Einwilligung frei, spezifisch, informiert, unmissverständlich und durch eine klare bejahende Handlung signalisiert wird, und beide verlangen, dass der Widerruf so einfach ist wie die Erteilung. Die DPDP legt zwei Indien-spezifische Merkmale obenauf. Erstens muss die Mitteilung, die einen Einwilligungsantrag begleitet, aufgegliedert und auf Anfrage in Englisch oder einer der Sprachen des Eighth Schedule zur Verfassung verfügbar sein. Zweitens kann die Einwilligung über einen Consent Manager vermittelt werden, eine registrierte Plattform, die Personen ein einziges Dashboard gibt, um Berechtigungen über Fiduciaries hinweg zu erteilen und zu widerrufen, ein institutionelles Konstrukt ohne DSGVO-Äquivalent.
Die Einhaltung der DSGVO ist notwendig, aber nicht hinreichend. Ein Programm auf DSGVO-Niveau muss erweitert, nicht bloß kopiert werden, um die einwilligungszentrierte Architektur der DPDP aufzunehmen.
Rechte, Pflichten und Kinder
Die DSGVO verleiht eine breite Reihe von Rechten: Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruch einschließlich gegen Direktmarketing sowie das Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche oder ähnlich erhebliche Wirkungen entfaltet, nach Article 22. Die DPDP verleiht einen engeren Satz: Zugang zu einer Zusammenfassung der personenbezogenen Daten und der Verarbeitung, Berichtigung und Löschung, Beschwerdeabhilfe sowie ein eigentümliches Nominierungsrecht, das es einer Person erlaubt, eine andere Einzelperson zu bestimmen, die ihre Rechte im Fall von Tod oder Handlungsunfähigkeit ausübt. Die Lücken zählen. Die DPDP enthält kein eigenständiges Recht auf Datenübertragbarkeit, kein allgemeines Widerspruchsrecht, kein Recht auf Einschränkung und keinen Schutz nach Art von Article 22 gegen automatisierte Entscheidungsfindung. Umgekehrt hat das Nominierungsrecht kein europäisches Gegenstück.
| Recht | GDPR | DPDP |
|---|---|---|
| Auskunft | Ja (Art 15) | Ja (Zusammenfassung von Daten und Verarbeitung) |
| Berichtigung oder Korrektur | Ja (Art 16) | Ja |
| Löschung | Ja (Art 17) | Ja (bei Widerruf oder Zweckerfüllung) |
| Einschränkung der Verarbeitung | Ja (Art 18) | Nein |
| Datenübertragbarkeit | Ja (Art 20) | Nein |
| Widerspruch | Ja (Art 21) | Nein |
| Schutzvorkehrungen bei automatisierten Entscheidungen | Ja (Art 22) | Nein |
| Beschwerdeabhilfe | Über Beschwerde bei der Aufsichtsbehörde | Ja (gesetzliches Recht gegen den Fiduciary) |
| Nominierung | Nein | Ja |
Beide Regime bauen auf Rechenschaftspflicht, aber sie verteilen die schwereren Pflichten unterschiedlich. Unter der DSGVO trägt jeder Verantwortliche eine Grundlinie an Rechenschaftsdokumentation: Verzeichnisse von Verarbeitungstätigkeiten nach Article 30 mit einer Ausnahme für kleine Organisationen, Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Article 25, eine Datenschutz-Folgenabschätzung für risikoreiche Verarbeitung nach Article 35 und verbindliche Verarbeiterverträge nach Article 28. Ein Datenschutzbeauftragter ist nach Article 37 verpflichtend, wenn die Kerntätigkeiten eine umfangreiche systematische Überwachung oder eine umfangreiche Verarbeitung von Sonderkategorien umfassen, und Verantwortliche außerhalb der Union müssen nach Article 27 einen EU-Vertreter benennen. Die DPDP wendet eine leichtere universelle Grundlinie an und konzentriert die schweren Pflichten auf den Significant Data Fiduciary. Jeder Fiduciary muss angemessene Sicherheitsvorkehrungen umsetzen, Mitteilung und Einwilligung ehren, Daten bei Widerruf oder nach Zweckerfüllung löschen und die Verarbeiter-Compliance vertraglich sicherstellen. Nur Einheiten, die die Zentralregierung als Significant Data Fiduciaries benennt, müssen zusätzlich einen in Indien ansässigen Data Protection Officer benennen, einen unabhängigen Datenauditor beauftragen sowie regelmäßige Folgenabschätzungen und Audits durchführen. Der Auslöser ist daher die staatliche Benennung statt des selbstbewerteten Risikotests der DSGVO.
Beide Regime heben Kinder hervor, und hier ist die DPDP die strengere. Die DSGVO setzt nach Article 8 das Alter der gültigen Einwilligung für Dienste der Informationsgesellschaft auf sechzehn und erlaubt es den Mitgliedstaaten, es auf nicht weniger als dreizehn zu senken. Die DPDP behandelt jeden unter achtzehn als Kind und verlangt eine überprüfbare Einwilligung der Eltern oder des rechtmäßigen Vormunds, bevor die Daten eines Kindes verarbeitet werden. Sie geht weiter, indem sie eine Verarbeitung untersagt, die wahrscheinlich nachteilige Wirkungen auf das Wohlergehen eines Kindes hat, und indem sie verhaltensbasiertes Tracking, verhaltensbasierte Überwachung und gezielte Werbung gegenüber Kindern grundsätzlich verbietet, vorbehaltlich begrenzter Ausnahmen, die die Regierung bekanntmachen kann. Für einen globalen digitalen Dienst ist dies eine bedeutsame gestalterische Einschränkung: Eine auf eine europäische Schwelle von dreizehn bis sechzehn kalibrierte Schicht zur Altersgewährleistung und elterlichen Einwilligung wird Indiens Regel für unter Achtzehn nicht erfüllen, und Werbetechnologie-Stacks müssen verhaltensbasiertes Targeting für indische Minderjährige auf Bevölkerungsskala abschalten können.
Grenzüberschreitende Übermittlungen: spiegelverkehrte Standards
Die Übermittlungsmodelle sind in ihrer Standardhaltung nahezu Spiegelbilder. Die DSGVO geht in Chapter V vom Verbot aus: Personenbezogene Daten dürfen den EWR nur unter einem Angemessenheitsbeschluss, geeigneten Garantien wie Standardvertragsklauseln oder verbindlichen internen Datenschutzvorschriften oder einem engen Satz von Ausnahmen verlassen. Die Last liegt beim Exporteur, einen rechtmäßigen Übermittlungsmechanismus zu begründen, und die Schrems-II-Rechtsprechung verlangt eine Übermittlungsfolgenabschätzung der Überwachungsumgebung des Bestimmungslandes. Dies ist ein Whitelist-Modell: Verbot als Standard, erlaubt nur dort, wo ein Mechanismus vorhanden ist.
Die DPDP geht von der Erlaubnis aus. Übermittlungen sind standardmäßig in jedes Land erlaubt, und die Zentralregierung kann eine Negativliste herausgeben, die Übermittlungen in bestimmte Jurisdiktionen beschränkt. Dies ist ein Blacklist-Modell: Erlaubnis als Standard, blockiert nur dort, wo ein Bestimmungsort benannt ist. Im Prinzip ist es weit freizügiger, aber zwei Vorbehalte dämpfen das. Erstens wurde noch keine Negativliste befüllt, sodass die praktischen Konturen unsicher bleiben. Zweitens gelten sektorale Datenlokalisierungsregeln, namentlich von der Reserve Bank of India für Zahlungsdaten, weiterhin zusätzlich zur DPDP und können strenger sein als das allgemeine Regime. Für ein multinationales Unternehmen ist die Asymmetrie krass: Das Verschieben von EU-Daten nach Indien erfordert einen dokumentierten Mechanismus nach Article 46, während das Verschieben indischer Daten in die EU derzeit unter der DPDP selbst nichts erfordert, auch wenn eine umsichtige Governance vertragliche Garantien ohnehin in jedem Fall aufrechterhält.
Meldung von Verletzungen: der fehlende Wesentlichkeitsfilter
Beide Regime konvergieren auf einer Frist von zweiundsiebzig Stunden, weichen aber bei Schwelle und Adressatenkreis scharf voneinander ab. Die DSGVO verlangt eine Meldung an die Aufsichtsbehörde unverzüglich und, soweit machbar, binnen zweiundsiebzig Stunden nach Kenntniserlangung, aber nur dort, wo die Verletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten der Einzelnen führt; betroffene Einzelpersonen werden nur benachrichtigt, wo das Risiko hoch ist. Die Risikoschwelle filtert triviale Vorfälle heraus. Die DPDP Rules legen überhaupt keine Risikoschwelle auf. Bei Kenntniserlangung von jeder Verletzung personenbezogener Daten muss der Fiduciary die betroffenen Data Principals unverzüglich informieren und dem Data Protection Board eine erste Mitteilung übermitteln, gefolgt von einem detaillierten Bericht binnen zweiundsiebzig Stunden, der die Verletzung, ihre Umstände, die Eindämmung und die Identität einer etwaigen verantwortlichen Partei abdeckt (MediaNama 2025; Ministry of Electronics and Information Technology 2025). Das Fehlen eines Wesentlichkeitsfilters bedeutet, dass die indischen Meldevolumina für Verletzungen höher laufen werden als ihre europäischen Gegenstücke, und angesichts einer Bevölkerung von nahezu one and a half billion Personen muss die Meldemaschinerie entsprechend skalieren. Auf die Risikoschwelle der DSGVO abgestimmte Incident-Response-Runbooks müssen neu aufgesetzt werden, um jede qualifizierende Verletzung sowohl dem Board als auch den betroffenen Einzelpersonen zu melden.
| Aspekt | GDPR | DPDP |
|---|---|---|
| Behördenmeldung | Innerhalb von 72h, wenn Risiko für Rechte | Erste Mitteilung, dann detaillierter Bericht innerhalb von 72h, keine Schwelle |
| Benachrichtigung der Einzelpersonen | Nur bei hohem Risiko | Stets, unverzüglich |
| Wesentlichkeitsfilter | Ja (risikobasiert) | Keiner |
Durchsetzungsökonomie
Die Durchsetzungsökonomie unterscheidet sich der Art nach, nicht nur dem Grad nach. Die administrativen Bußgelder der DSGVO laufen für die niedrigere Stufe bis zu ten million euro or two per cent des weltweiten Jahresumsatzes und für die höhere Stufe bis zu twenty million euro or four per cent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Die Umsatzbindung skaliert die Abschreckung an der Größe des Unternehmens. Die DSGVO schafft außerdem ein privates Recht: Betroffene Personen können Schadensersatz für materielle und immaterielle Schäden nach Article 82 verlangen und können Beschwerden einlegen sowie gerichtliche Rechtsbehelfe verfolgen. Die DPDP verhängt feste Geldsanktionen ohne Anbindung an den Umsatz, festgesetzt unter Bezug auf Anhänge und pro Fall gedeckelt: bis zu two hundred and fifty crore rupees für das Versäumnis angemessener Sicherheitsvorkehrungen, bis zu two hundred crore rupees für Versäumnisse bei der Meldung von Verletzungen oder bei den Pflichten zu Kinderdaten und niedrigere Obergrenzen für andere Verstöße. Es gibt unter der DPDP keine strafrechtliche Haftung und, wichtig, kein privates Klagerecht und keinen gesetzlichen Schadensersatz an Einzelpersonen; die Durchsetzung läuft über das Data Protection Board, wobei Sanktionen an den Staat gezahlt werden. Die DPDP führt außerdem Sanktionen gegen Data Principals für das Einreichen falscher oder mutwilliger Beschwerden ein, was kein DSGVO-Analogon hat. Der Nettoeffekt ist, dass für ein sehr großes Unternehmen die umsatzbasierte Obergrenze der DSGVO die feste Deckelung der DPDP in den Schatten stellen kann, während für dasselbe Unternehmen die DPDP die Exposition gegenüber Sammelklagen und Individualprozessen beseitigt, die die DSGVO-Compliance in Europa überschattet.
Ausnahmen
Die DSGVO hält Ausnahmen eng und regelgebunden. Article 23 erlaubt es dem Recht der Mitgliedstaaten, Rechte nur dort zu beschränken, wo dies für aufgezählte Ziele des öffentlichen Interesses notwendig und verhältnismäßig ist, und es gibt spezifische Herausnahmen für Journalismus, akademische, künstlerische und literarische Äußerung sowie für Forschung und Archivierung vorbehaltlich von Garantien. Die DPDP gewährt breitere und stärker exekutiv kontrollierte Ausnahmen. Section 17 erlaubt es der Zentralregierung, staatliche Stellen im Interesse von Souveränität, Sicherheit, öffentlicher Ordnung und freundschaftlichen Beziehungen von den meisten Teilen des Gesetzes auszunehmen, und sieht Ausnahmen für die für Forschung, Archivierung oder statistische Zwecke notwendige Verarbeitung, für bestimmte Start-ups durch Bekanntmachung und für die Durchsetzung gesetzlicher Rechte vor. Die Breite der staatsgerichteten Ausnahmen und die Tatsache, dass sie von der Exekutive statt von einer unabhängigen Behörde oder einem Gericht verliehen und begrenzt werden, ist eines der meistdebattierten Merkmale des indischen Regimes und ein wiederkehrendes Thema in der Kommentierung der Zivilgesellschaft (Internet Freedom Foundation 2025).
Welche Kontrollen ein doppelt verpflichtetes Programm hinzufügen muss
Für eine Organisation innerhalb beider Regime ist das Betriebsmodell Konvergenz mit gezielter Divergenz. Die pragmatische Architektur besteht darin, eine einzige globale Grundlinie auf DSGVO-Niveau zu betreiben und Indien-spezifische Module aufzusatteln, statt zwei unabhängige Programme zu pflegen. Die wiederverwendbaren DSGVO-Bestände sind beträchtlich: die Verarbeitungsverzeichnisse, die Sicherheits- und Reaktionskontrollen für Verletzungen, das Werkzeug für die Rechte der betroffenen Personen auf Auskunft, Korrektur und Löschung, die Vorlagen für Verarbeiterverträge und die Disziplin des Datenschutzes durch Technikgestaltung übertragen sich mit geringfügiger Anpassung auf die DPDP. Die Indien-spezifischen Ergänzungen sind der Ort, an dem sich der Aufwand konzentriert, und sie sind genau die Kontrollen, die einem reinen DSGVO-Programm am Durchsetzungstermin des 13 May 2027 fehlen werden: ein einwilligungszentriertes Design der Rechtsgrundlage, das sich nicht auf berechtigte Interessen stützt; die Einbindung in einen Consent Manager oder die Bereitschaft dazu; ein Kinderregime für unter Achtzehn mit überprüfbarer elterlicher Einwilligung und Unterdrückung verhaltensbasierter Werbung; ein Nominierungsablauf; ein Verletzungsprozess, der jeden qualifizierenden Vorfall ohne Risikoschwelle meldet; und eine Beobachtung der grenzüberschreitenden Negativliste der Regierung sowie der sektoralen Lokalisierungsregeln. Umgekehrt kann die Organisation keine DSGVO-Maschinerie ausmustern, denn der engere Rechtesatz und das freizügige Übermittlungsmodell der DPDP lockern die europäischen Pflichten nicht.
Was die Werkzeuge von CCI verändern
Ein Doppelregime-Programm scheitert am häufigsten nicht an der Richtlinie, sondern daran, in Beweisbegriffen nicht zu wissen, wo personenbezogene Daten liegen, auf welche Rechtsgrundlage sich jeder Fluss stützt und was ein Durchsetzungsereignis kosten würde. Die Primitive von CCI greifen genau diese Lücken an, und jede Behauptung unten ist eine Wahrscheinlichkeitsreduktion, gestützt durch ein bestehendes Produkt, statt einer Garantie.
NetDiagramer kartiert den tatsächlichen Datenbestand, die Flüsse zwischen Systemen und die Jurisdiktionen, die jeder Fluss kreuzt. Für das Übermittlungsproblem ist dies grundlegend: Sie können weder die Whitelist der Mechanismen nach Article 46 der DSGVO anwenden noch die Blacklist der DPDP beobachten, wenn Sie nicht sehen, welche Flüsse den EWR verlassen oder in Indien landen. Dieselbe Topologie legt jeden Fluss offen, der sich derzeit auf berechtigte Interessen stützt, was genau die Population ist, die neu auf Einwilligung gegründet werden muss, bevor die DPDP greift.
EviGen verwandelt Rechenschaftspflicht von einer Dokumentationsübung in automatisierte Beweise. Verarbeitungsverzeichnisse nach Article 30, Einwilligungsregister sowie die Folgenabschätzungs- und Auditartefakte, die ein Significant Data Fiduciary erstellen muss, werden aus dem lebenden Bestand erzeugt und aktuell gehalten, statt zur Auditzeit aus Tabellenkalkulationen rekonstruiert. Eine Beweispipeline bedient sowohl die europäische Verzeichnispflicht als auch die indischen Rechenschafts- und Auditpflichten.
Evidence Vault gibt dem Verletzungsprozess die manipulationssichere Zeitleiste, die er braucht, um die schwellenlose Regel der DPDP zu überstehen. Wenn jeder qualifizierende Vorfall das Board binnen zweiundsiebzig Stunden und jede betroffene Person unverzüglich erreichen muss, ist die Einschränkung nicht der Wille, sondern die Fähigkeit, schnell eine verteidigungsfähige Darstellung dessen zusammenzustellen, was geschah, wann und gegenüber wem. Dasselbe Vault erfüllt die Aufzeichnungspflicht nach Article 33 und 34 der DSGVO.
cVaR bepreist die divergente Durchsetzungsökonomie in Geld. Es quantifiziert die Exposition unter beiden Obergrenzen, den umsatzgebundenen four per cent der DSGVO und den festen two hundred and fifty crore pro Fall der DPDP, sodass ein Vorstand seine Doppelregime-Sanktionsfläche als eine einzige Zahl statt als zwei rechtliche Abstraktionen sieht und die Abhilfe nach erwarteter Verlustminderung ordnen kann.
Domain Separation hält die europäischen und indischen Datenbestände logisch trennbar, sodass Lokalisierungsanforderungen, eine künftige Negativliste und die unterschiedlichen Rechtsgrundlagenregime je Jurisdiktion durchgesetzt werden können, ohne das ganze Programm in zwei aufzuspalten. Es ist die Kontrolle, die Konvergenz mit gezielter Divergenz betreibbar statt nur erwünscht macht.
Das Doppelmandat rechtzeitig aufstellen
Die materiellen Pflichten der DPDP landen am 13 May 2027. Vom Zeitpunkt der Abfassung sind das etwa elf Monate, was sich fern liest und es nicht ist: eine einwilligungszentrierte Neuarchitektur, eine Consent-Manager-Integration und ein Regime für unter Achtzehn sind Programme über mehrere Quartale, und sie laufen häufiger seriell als parallel, weil jedes von einer sauberen Sicht auf den Datenbestand abhängt, die die meisten Organisationen noch nicht haben. Rechnet man vom Mai 2027 rückwärts, muss die Entdeckungs- und Datenkartierungsarbeit in diesem Quartal beginnen, damit die Bau-, Test- und Auditphasen vor der Durchsetzung passen. Wo eine Organisation eine erfahrene Datenschutzführung braucht, um diesen Aufbau ohne dauerhaften Personalzuwachs voranzutreiben, bietet CCIs CISO-as-a-Service einen Pool von acht oder mehr CISSP-zertifizierten Praktikern für interimistische, fraktionale, abrufbare oder Nach-Vorfall-Abdeckung, wobei die Unabhängigkeit gewahrt bleibt, weil CCI nicht dort prüft, wo es führt. Dieser Pool ist nicht nur europäisch: CCI verfügt über in Indien ansässige CISSP-zertifizierte Praktiker, erfahrene Datenschutzspezialisten, die die DPDP, das Consent-Manager-Modell und die Sprachpflichten des Eighth Schedule von innen kennen. Das zählt in der Praxis, denn ein Significant Data Fiduciary muss einen in Indien ansässigen Data Protection Officer benennen, und eine lokale Datenschutzleitung verkürzt zudem die Distanz zu indischem Rechtsbeistand, dem Data Protection Board und den Realitäten der Einwilligung auf nationaler Skala.
Die andere wiederkehrende Lücke ist grundlegend statt rechtlich: Die meisten Organisationen können nicht in Beweisbegriffen sagen, wo ihre personenbezogenen Daten tatsächlich liegen. Die Dateninventar-Spezialisten von CCI kartieren genau das über Altbestände hinweg, heiße Daten in lebenden Systemen und kalte Daten in Archiven und Backups, strukturierte Aufzeichnungen in Datenbanken und die weit schwierigere unstrukturierte Streuung in Dokumenten, Postfächern, Dateifreigaben und Objektspeichern. Dieses Inventar ist die Vorbedingung für alles Nachgelagerte, die Neugründung der Einwilligung, die Abläufe für Rechte und Löschung, die Sicht auf grenzüberschreitende Übermittlungen und die Bewertung des Verletzungsumfangs, von denen keinem getraut werden kann, wenn die Landkarte des Bestands unvollständig ist. Wo die Lücke maßgeschneidertes Werkzeug ist, kann das hauseigene F-und-E-Team, die Akademiker, Doktoranden und Ingenieure, die NetDiagramer, EviGen, cVaR und DORA-MAST gebaut haben, diese Primitive, Inventaraufnahme, Konfigurationsbelege, Topologiekartierung und Quantifizierung, zu einem raschen Doppelregime-Bereitschaftswerkzeug zusammensetzen. Das wird als Fähigkeit ausgesagt, mit den ausgelieferten Produkten als Beweis, nicht als Stoppuhr-Versprechen. Um eine Doppelregime-Bereitschaftsbewertung abzustecken, sprechen Sie mit einem Fachmann.
Vergleichsmatrix nebeneinander
| Dimension | GDPR | DPDP |
|---|---|---|
| Instrument | Regulation (EU) 2016/679 | DPDP Act 2023 + DPDP Rules 2025 |
| In Kraft | 25 May 2018 | Gestaffelt; materielle Pflichten ab 13 May 2027 |
| Erfasste Daten | Automatisiert und strukturiert manuell; sensible Stufe | Nur digital; keine sensible Stufe |
| Extraterritorialer Auslöser | Niederlassung; Angebot; Beobachtung | Angebot von Waren oder Dienstleistungen an Personen in Indien |
| Rechtsgrundlagen | Sechs, einschließlich berechtigter Interessen | Einwilligung plus abschließende Liste rechtmäßiger Nutzungen |
| Regime für sensible Daten | Article 9 Sonderkategorien | Keines (indirekt über SDF und Kinder) |
| Alter der Kinder | 16 (Mitgliedstaaten dürfen auf 13 senken) | Unter 18; Verbot verhaltensbasierter Werbung |
| Rechte | Acht, einschließlich Übertragbarkeit, Widerspruch, Art 22 | Auskunft, Korrektur, Löschung, Beschwerde, Nominierung |
| Datenschutzbeauftragter | Risikobasiert verpflichtend | Nur Significant Data Fiduciaries; in Indien ansässig |
| Grenzüberschreitendes Modell | Whitelist (Verbot als Standard) | Blacklist (Erlaubnis als Standard) |
| Meldung von Verletzungen | 72h an SA bei Risiko; Einzelpersonen bei hohem Risiko | 72h an Board plus alle betroffenen Personen, keine Schwelle |
| Höchstsanktion | EUR 20m or 4% of global turnover | INR 250 crore per instance, no turnover link |
| Privates Klagerecht | Ja (Art 82) | Keines |
| Regulierungsbehörde | Unabhängige Aufsichtsbehörden | Data Protection Board (nur entscheidend) |
| Rechtsetzung | EDPB, Kommission, Aufsichtsbehörden | Zentralregierung |
Acronyms
| Akronym | Bedeutung (Englisch) | Deutsche Übersetzung |
|---|---|---|
| BCR | Binding Corporate Rules | Verbindliche interne Datenschutzvorschriften |
| CJEU | Court of Justice of the European Union | Gerichtshof der Europäischen Union |
| DPDP | Digital Personal Data Protection | Schutz digitaler personenbezogener Daten |
| DPIA | Data Protection Impact Assessment | Datenschutz-Folgenabschätzung |
| DPO | Data Protection Officer | Datenschutzbeauftragter |
| EDPB | European Data Protection Board | Europäischer Datenschutzausschuss |
| EEA | European Economic Area | Europäischer Wirtschaftsraum |
| GDPR | General Data Protection Regulation | Datenschutz-Grundverordnung |
| MeitY | Ministry of Electronics and Information Technology (India) | Ministerium für Elektronik und Informationstechnologie (Indien) |
| RBI | Reserve Bank of India | Indische Zentralbank |
| SA | Supervisory Authority | Aufsichtsbehörde |
| SCC | Standard Contractual Clauses | Standardvertragsklauseln |
| SDF | Significant Data Fiduciary | Bedeutender Datentreuhänder |
| TDSAT | Telecom Disputes Settlement and Appellate Tribunal | Schieds- und Berufungsgericht für Telekommunikationsstreitigkeiten |
Referenzen
- European Parliament and Council (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). https://eur-lex.europa.eu/eli/reg/2016/679/oj
- Government of India (2023). The Digital Personal Data Protection Act, 2023. https://www.meity.gov.in/static/uploads/2024/06/2bf1f0e9f04e6fb4f8fef35e82c42aa5.pdf
- Ministry of Electronics and Information Technology (2025). Government notifies DPDP Rules to empower citizens and protect privacy. Press Information Bureau. https://www.pib.gov.in/PressReleasePage.aspx?PRID=2190014
- Ministry of Electronics and Information Technology (2025). Digital Personal Data Protection Rules, 2025 (notification). https://static.pib.gov.in/WriteReadData/specificdocs/documents/2025/nov/doc20251117695301.pdf
- Shardul Amarchand Mangaldas & Co (2025). Enforcement of the DPDP Act and notification of the DPDP Rules. https://www.amsshardul.com/insight/enforcement-of-the-dpdp-act-and-notification-of-the-dpdp-rules/
- MediaNama (2025). Data breach reporting timeline of DPDP Rules 2025 explained. https://www.medianama.com/2025/11/223-data-breach-reporting-timeline-of-dpdp-rules-2025-explained/
- Internet Freedom Foundation (2025). Statement on DPDP Rules 2025. https://internetfreedom.in/
- India Briefing (2025). Digital Personal Data Protection (DPDP) Rules 2025 notified. https://www.india-briefing.com/news/dpdp-rules-2025-india-data-protection-law-compliance-40769.html