Outsourcingprojekte in Indien nicht durch neues indisches Datenschutzrecht bedroht

Das indische Ministerium für Kommunikations- und Informationstechnologie hat in einer kürzlich veröffentlichten Pressemitteilung die Debatte um die praktischen Auswirkungen des neuen indischen Datenschutzrechts für die weltweite Outsourcingindustrie beendet. Das Ministerium stellte klar, dass nationale Outsourcingdienstleister von der Pflicht zur Einholung einer ausdrücklichen Einwilligung Betroffener in die Verarbeitung "sensibler" personenbezogener Daten ausgenommen sind.

Anlass der Debatte war eine im April diesen Jahres in Kraft getretene Gesetzesänderung ("Information Technology Rules 2011 on reasonable security practices and procedures and sensitive personal data and information" zur Änderung des "Information Technology Acts 2000"), die unter anderem indischen Datenverarbeitern Pflichten zur Datensicherheit auferlegt und die Erhebung, Verarbeitung und Weitergabe personenbezogener Daten nach europäischem Vorbild einschränkt.

Im Zentrum der Diskussionen über die praktischen Auswirkungen des neuen Rechts für die Outsourcingindustrie stand jedoch das Einwilligungserfordernis nach Ziffer 43A des Information Technology Acts 2000. Danach sollte die rechtmäßige Verarbeitung besonderer ("sensibler") Arten personenbezogener Daten (hierbei handelt es sich nach indischem Datenschutzrecht um Gesundheitsdaten, Informationen über die sexuelle Orientierung einer Person sowie biometrische Daten, Passwörter, Kreditkarten- und sonstige Bankdaten) von der Erteilung einer Einwilligung durch die Betroffenen abhängen. Dies hätte indische Outsourcingdienstleister vor erhebliche Schwierigkeiten gestellt. Diensteanbieter haben in der Regel keinen direkten Kontakt zu den Personen, deren Daten sie im Auftrag Dritter verarbeiten. Die rechtmäßige Verarbeit…