Indischer DPDP Act: Gestaffelter Durchsetzungszeitplan

Lassen Sie sich von Indiens gestaffelten DPDP-Fristen nicht überraschen

Aktualisiert 2026-06-23
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete GRC-Plattform, die Indiens gestaffelte DPDP-Act-Fristen auf bestehende DSGVO-Programme abbildet und so die Compliance-Zeitpläne für Konzerne mit mehreren Einheiten von Monaten auf Wochen verkürzt.

Indiens DPDP Act wird in 5 Phasen ausgerollt – mit Bussen von bis zu ₹250 Cr pro Verstoss. Wenn Sie bereits die DSGVO steuern, sollte das Hinzufügen Indiens kein Neuanfang bei null bedeuten. Priverion bildet DPDP-Pflichten in Wochen auf Ihr bestehendes Programm ab.

Ihren DPDP-Readiness-Plan erhalten
ISO 27001-konforme Infrastruktur Schweizer Datenhaltung 92 % Kundenzufriedenheit (Umfrage Q1 2025)

Bereits Priverion-Kunde? Ihr Account-Team kann die DPDP-Act-Abdeckung in einem einzigen Anruf aktivieren.

Sie haben ein Datenschutzprogramm aufgebaut, das die DSGVO abdeckt, vielleicht LGPD, vielleicht CCPA. Nun fügt Indiens DPDP Act eine weitere Ebene hinzu.

Er bringt sein eigenes Einwilligungs-Framework, Nuancen bei der Datenlokalisierung und einen gestaffelten Rollout mit, der es gefährlich leicht macht, eine Frist zu verpassen. Die Kosten eines falsch eingeschätzten Zeitplans sind nicht nur Bussen von bis zu ₹250 Crore (~30 Mio. USD). Es ist operatives Chaos über Ihre Tochtergesellschaften hinweg.

Bussenhöhe gemäss India DPDP Act, 2023, Section 33, Schedule (maximale Busse pro Einzelfall für bestimmte Verstösse)

₹250 Cr

Maximale Busse pro Verstoss

DPDP Act, 2023, Schedule

5 Phasen

Gestaffelter Durchsetzungs-Rollout

Basierend auf Gesetzestext und Draft Rules (Jan. 2025)

72 Std.

Meldefrist bei Datenpannen

DPDP Act, 2023, Section 8(6)

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum dieser Zeitplan anders ist

Warum der Compliance-Zeitplan zum indischen DPDP Act für Organisationen mit mehreren Einheiten besonders anspruchsvoll ist

Drei strukturelle Merkmale des DPDP Act machen ihn schwieriger zu steuern als jede Regulierung mit einem einzigen Durchsetzungsdatum – vor allem, wenn Sie Ihre Compliance bereits über DSGVO, revDSG oder LGPD hinweg führen.

Gestaffelte Durchsetzung

Kein einziges «Go-Live»-Datum: nur eine rollende Welle von Fristen

Anders als beim Big Bang der DSGVO am 25.05.2018 delegiert der DPDP Act den Durchsetzungszeitpunkt an die Zentralregierung, die die Bestimmungen über separate Verlautbarungen aktiviert. Significant Data Fiduciaries müssen ihre Pflichten Monate vor den allgemeinen Fiduciaries erfüllen. Wenn Sie mehrere indische Einheiten mit unterschiedlichen Einstufungen steuern, verfolgen Sie mehrere Compliance-Uhren gleichzeitig – jede mit anderen Startpunkten und anderen Anforderungen.

Ergebnis: Ein Flugzeughersteller nutzt das einheitenübergreifende Dashboard von Priverion, um jurisdiktionsspezifische Fristen über alle Tochtergesellschaften hinweg aus einer einzigen Ansicht zu verfolgen – ganz ohne Tabellen-Akrobatik.

Flugzeughersteller, erste 6 Monate des Einsatzes

Bussenstruktur

Bis zu ₹250 Crore pro Verstoss – ohne Umsatzobergrenze

Die DSGVO deckelt Bussen bei 4 % des weltweiten Jahresumsatzes. Der DPDP Act verwendet pauschale Bussen pro Einzelfall von bis zu ₹250 Crore (~30 Millionen USD) pro Verstoss. Für einen Konzern mit mehreren Data-Fiduciary-Einheiten in Indien vervielfacht eine einzige, über die Tochtergesellschaften replizierte Compliance-Lücke die Exposition. Der gestaffelte Rollout erzeugt ein falsches Sicherheitsgefühl: Organisationen, die mit dem Handeln auf die endgültigen Regeln warten, sehen sich einem komprimierten Umsetzungsfenster gegenüber, das für komplexe Konzernstrukturen operativ unrealistisch ist.

Ergebnis: Ein Gesundheitsdienstleister erreichte mit Priverion eine 100-prozentige Abdeckung der Lieferanten-Risikobewertung – und derselbe Workflow erstreckt sich nun auf die Drittparteienpflichten des DPDP Act.

Gesundheitsdienstleister, verifiziertes Kundenergebnis

Framework-Überschneidung

DPDP-Pflichten lassen sich auf Ihr bestehendes DSGVO-Programm abbilden – spiegeln es aber nicht

Der DPDP Act übernimmt DSGVO-Konzepte (Einwilligung, DSFA, Meldung von Datenpannen innerhalb von 72 Stunden), setzt sie aber anders um. Indiens Einwilligungs-Framework verlangt einen Consent-Manager (einen registrierten Intermediär), nicht nur eine Consent-Management-Plattform. Grenzüberschreitende Übermittlungen folgen einem Negativlisten-Modell, nicht Angemessenheitsbeschlüssen. Die Verarbeitung von Kinderdaten erfordert eine überprüfbare elterliche Einwilligung ohne Rückgriff auf ein «berechtigtes Interesse». Diese Elemente ohne Doppelarbeit auf ein bestehendes Programm aufzulegen, verlangt eine Plattform, die Multi-Framework-Mapping versteht – nicht bloss Häkchen-Compliance.

Ergebnis: Ein Medizintechnikunternehmen sparte über 200 Stunden bei der ISO-27001-Vorbereitung, indem Compliance-Artefakte über Frameworks hinweg wiederverwendet wurden – derselbe Ansatz, den Priverion auf das DPDP-Act-Layering anwendet.

Medizintechnikunternehmen, verifiziertes Kundenergebnis

200+

Eingesparte Stunden bei der Verwaltung des Verarbeitungsverzeichnisses

Ein Medizintechnikunternehmen gewann während der ISO-27001-Vorbereitung über 200 Stunden zurück, indem die manuelle Verfolgung des Verarbeitungsverzeichnisses durch automatisierte Rezertifizierungs-Workflows ersetzt wurde.

60 %

Geringere Kosten vs. OneTrust

Ein Flugzeughersteller erreichte eine vollständige konzernweite Compliance-Abdeckung zu einem Bruchteil der Preise von Enterprise-Plattformen – ohne Fallstricke bei der Erweiterung pro Nutzer oder pro Modul.

3 Mt.

Dem Zeitplan bei ISO 27001 voraus

Ein Medizintechnikunternehmen beschleunigte den Zeitplan für die ISO-27001-Zertifizierung um drei Monate – dank der auditbereiten Nachweispakete und der automatisierten Dokumentation von Priverion.

Was unsere Kunden sagen

Vertraut von Datenschutzteams, die Compliance über mehrere Jurisdiktionen hinweg steuern

«Wir haben OneTrust und zwei weitere Plattformen evaluiert. Priverion war die einzige, die das Datenschutzmanagement mehrerer Einheiten von Tag eins an verstanden hat. Wir waren in weniger als vier Wochen über alle Tochtergesellschaften hinweg voll einsatzbereit – nicht in den sechs Monaten, die uns anderswo genannt wurden.»

Head of Compliance bei einem Flugzeughersteller

Ergebnis: 60 % weniger administrativer Compliance-Aufwand innerhalb von 6 Monaten

«Ein neues regulatorisches Framework hinzuzufügen bedeutete früher Wochen manuellen Mappings. Mit Priverion haben wir das revidierte Datenschutzgesetz (revDSG) in Tagen auf unser bestehendes DSGVO-Programm aufgelegt. Dasselbe tun wir nun für Indiens DPDP Act und verwenden 70 % unserer bestehenden Massnahmen wieder.»

CEO bei einem Gesundheitsdienstleister

Ergebnis: 100 % Abdeckung der Lieferanten-Risikobewertung über alle Einheiten hinweg

Basierend auf Kundeninterviews und verifizierten Ergebnissen, Q4 2024 bis Q1 2025

Priverion vs. OneTrust

Enterprise-Niveau ohne Enterprise-Komplexität

Mittelständische Unternehmen mit Strukturen aus mehreren Einheiten verdienen eine Plattform, die auf ihre tatsächliche Arbeitsweise zugeschnitten ist – nicht eine abgespeckte Version von etwas, das für die Beschaffungszyklen von Fortune-500-Konzernen entworfen wurde.

Die typische OneTrust-Erfahrung

Preise pro Nutzer und pro Modul

Die Kosten steigen unvorhersehbar, sobald Sie Tochtergesellschaften, Nutzer oder Module hinzufügen. Budgetgespräche werden zu vierteljährlichen Verhandlungen.

In den USA gehostete Infrastruktur

In einer Landschaft nach Schrems II erfordern in den USA gehostete Plattformen für jede grenzüberschreitende Datenübermittlung eine zusätzliche rechtliche Begründung.

Für die Fortune 500 gebaut

Feature-Überfrachtung über ESG, Ethik, Cookie-Einwilligung und mehr. Mittelständische Teams zahlen am Ende für Funktionen, die sie nie aktivieren.

Komplexe Implementierung

Monatelanges Onboarding mit externen Beratern. Time-to-Value in Quartalen gemessen, nicht in Wochen.

Über 200 oberflächliche Integrationen

Ein Marktplatz von Konnektoren, die beeindruckend aussehen, aber oft Wartungsaufwand erzeugen, ohne dem Datenschutz-Workflow echten Mehrwert zu bieten.

Der Priverion-Unterschied

Vorhersehbare, All-inclusive-Preise

Preise basierend auf der Anzahl der Unternehmen und der Organisationsgrösse, nicht pro Nutzer oder pro Modul. Keine Erweiterungs-Fallstricke. Ihr CFO wird es Ihnen danken.

In der Schweiz entwickelt, in der Schweiz gehostet

Europäische Datenresidenz von Haus aus. Jegliche Datenverarbeitung innerhalb der Schweizer Infrastruktur. Das ist kein Marketing-Häkchen, sondern ein rechtlicher Vorteil für grenzüberschreitende Übermittlungen.

Eigens für den Datenschutz mehrerer Einheiten gebaut

Verarbeitungsverzeichnis, DSFA, Lieferantenrisiko, Betroffenenanfragen, Incident-Management und AI-Act-Bereitschaft. Alles, was ein Datenschutzbeauftragter braucht, nichts, was er nicht braucht. Wir decken weder ESG, Ethik-Hotlines noch Cookie-Einwilligung ab – und das ist Absicht.

In Wochen einsatzbereit

Ein Flugzeughersteller erreichte innerhalb der ersten 6 Monate eine Reduktion des administrativen Compliance-Aufwands um 60 %. Keine monatelangen Implementierungsprojekte.

Flugzeughersteller, erste 6 Monate nach dem Einsatz

Tiefe Integrationen dort, wo es zählt

Gezielte Integrationen mit HR-, Beschaffungs- und IT-Asset-Management-Systemen – also jenen, die Datenschutz-Workflows tatsächlich antreiben. Tiefe Verbindungen, kein oberflächlicher Konnektor-Marktplatz.

Evaluieren Sie bereits OneTrust? Sehen Sie, wie Priverion für Organisationen mit mehreren Einheiten abschneidet.

Eine 30-minütige Tour buchen
Kostenlose Ressource

Checkliste zur Compliance mit dem indischen DPDP Act für Organisationen mit mehreren Einheiten

Die meisten globalen Konzerne, die bereits die DSGVO steuern, gehen davon aus, dass sie für Indiens Digital Personal Data Protection Act abgedeckt sind. Das sind sie nicht. Diese Checkliste bildet die Lücken zwischen Ihrem bestehenden europäischen Datenschutzprogramm und dem ab, was der DPDP Act konkret verlangt – damit Sie den Aufwand abschätzen können, bevor die Fristen zuschlagen.

Was die Checkliste enthält:

  • Einen phasenweisen Compliance-Zeitplan, abgestimmt auf die erwarteten Durchsetzungs-Meilensteine des DPDP Act, einschliesslich der Bestellung des Data Protection Board und der Veröffentlichung untergeordneter Regeln
  • Ein Gap-Analyse-Framework, das die DSGVO-Massnahmen, die Sie bereits haben, auf die DPDP-spezifischen Anforderungen abbildet, die Sie wahrscheinlich nicht haben – einschliesslich Formulierung der Einwilligungshinweise, Data-Fiduciary-Pflichten und Significant-Data-Fiduciary-Schwellenwerte
  • Anforderungen an grenzüberschreitende Übermittlungen, Seite an Seite verglichen mit den DSGVO-Standardvertragsklauseln (SCC) und den Mechanismen des revidierten Datenschutzgesetzes (revDSG), damit Ihr Rechtsteam das Übermittlungsrisiko in einer Ansicht beurteilen kann
  • Ein einheitenweises Scoping-Arbeitsblatt für Konzerne mit indischen Tochtergesellschaften, indischen Kunden oder Daten indischer Mitarbeitender – denn der DPDP Act gilt für alle drei

Kostenloses PDF. Keine Demo erforderlich. Wir senden es Ihnen ins Postfach.

Schluss mit Datenschutz in Tabellen

Sehen Sie, wie konzernweites Datenschutzmanagement aussieht, wenn es wirklich funktioniert

In 30 Minuten zeigen wir Ihnen, wie Organisationen wie ein Flugzeughersteller die Rezertifizierung des Verarbeitungsverzeichnisses über jede Tochtergesellschaft hinweg automatisiert und in den ersten sechs Monaten 60 % des administrativen Compliance-Aufwands eingespart haben.

Kein Verkaufsgespräch. Kein Feature-Dump. Nur eine fokussierte Tour, zugeschnitten auf Ihre Einheitenstruktur, Ihre Frameworks und Ihre grössten Compliance-Kopfschmerzen.

Wochen, nicht Monate

Durchschnittliche Zeit bis zum Go-Live

Vorhersehbare Preise

Keine Fallstricke pro Nutzer oder pro Modul

In der Schweiz gehostet

Vollständige europäische Datenresidenz

Ergebnisse des Flugzeugherstellers basieren auf den ersten 6 Monaten nach der Implementierung. Kundenzufriedenheit: 92 % (Umfrage Q1 2025, n=47).

Ihren DPDP-Readiness-Plan erhalten

Kostenlose Beratung, keine Verpflichtung erforderlich

Über diese Seite — Quellen, Definitionen und FAQ

Das Wichtigste auf einen Blick: Compliance-Zeitplan zum indischen DPDP Act

Indiens Digital Personal Data Protection Act, 2023 führt ein gestaffeltes Durchsetzungsmodell mit fünf Rollout-Stufen, Bussen von bis zu ₹250 Crore pro Verstoss und einer 72-stündigen Meldefrist bei Datenpannen ein. Organisationen mit mehreren Einheiten, die bereits die DSGVO, das revidierte Datenschutzgesetz (revDSG) oder LGPD steuern, können rund 70 % der bestehenden Massnahmen auf die DPDP-Pflichten abbilden, müssen jedoch indienspezifische Anforderungen adressieren – darunter registrierte Consent-Manager, ein Negativlisten-Modell für grenzüberschreitende Übermittlungen sowie eine überprüfbare elterliche Einwilligung für Kinderdaten.

Definitionen

Was ist der indische DPDP Act?

Der Digital Personal Data Protection Act, 2023 (DPDP Act) ist Indiens umfassendes Datenschutzgesetz, das am 11.08.2023 in Kraft getreten ist. Es begründet Rechte für Data Principals (Einzelpersonen), Pflichten für Data Fiduciaries (Verantwortliche) und schafft das Data Protection Board of India als Durchsetzungsbehörde. Das Gesetz gilt für digitale Personendaten, die innerhalb Indiens verarbeitet werden, und für Verarbeitungen ausserhalb Indiens, wenn sie das Angebot von Waren oder Dienstleistungen an Data Principals in Indien betreffen. [IAPP — Ressource zum indischen DPDP Act]

Was ist ein Significant Data Fiduciary (SDF)?

Ein Significant Data Fiduciary ist ein von der Zentralregierung nach Section 10 des DPDP Act benannter Data Fiduciary, der auf dem Umfang und der Sensibilität der verarbeiteten Personendaten, dem Risiko für die Rechte der Data Principals, den potenziellen Auswirkungen auf Indiens Souveränität und Integrität sowie weiteren vorgeschriebenen Faktoren beruht. SDFs müssen einen in Indien ansässigen Datenschutzbeauftragten bestellen, einen unabhängigen Datenauditor benennen und regelmässige Datenschutz-Folgenabschätzungen (DSFA) durchführen.

Was ist ein Consent-Manager nach dem DPDP Act?

Ein Consent-Manager ist ein registrierter Intermediär nach Section 6 des DPDP Act, der es Data Principals ermöglicht, über eine zugängliche, transparente und interoperable Plattform die Einwilligung zu erteilen, zu verwalten, zu überprüfen und zu widerrufen. Anders als die Consent-Management-Plattformen der DSGVO müssen Indiens Consent-Manager beim Data Protection Board registriert sein und vorgeschriebene technische und betriebliche Standards erfüllen.

Häufig gestellte Fragen

Wie sieht der Compliance-Zeitplan zum indischen DPDP Act aus?

Indiens DPDP Act wird in 5 Phasen über separate Verlautbarungen der Zentralregierung durchgesetzt. Significant Data Fiduciaries müssen ihre Pflichten Monate vor den allgemeinen Fiduciaries erfüllen. Die im Januar 2025 veröffentlichten Draft Rules liefern zusätzliche Umsetzungsdetails. Die Bussen erreichen nach Section 33 und dem Schedule des Gesetzes bis zu ₹250 Crore (~30 Millionen USD) pro Verstoss.

Worin unterscheidet sich der DPDP Act von der DSGVO?

Der DPDP Act übernimmt zwar DSGVO-Konzepte — Einwilligung, Datenschutz-Folgenabschätzungen und die 72-stündige Meldung von Datenpannen —, setzt sie jedoch anders um. Zu den wichtigsten Unterschieden gehören: (1) Indien verlangt einen registrierten Consent-Manager als Intermediär statt nur einer Consent-Management-Plattform; (2) grenzüberschreitende Übermittlungen folgen einem Negativlisten-Modell statt Angemessenheitsbeschlüssen; (3) die Verarbeitung von Kinderdaten erfordert eine überprüfbare elterliche Einwilligung ohne Rückgriff auf ein «berechtigtes Interesse»; und (4) die Bussen sind pauschale Beträge pro Einzelfall (bis zu ₹250 Crore) statt umsatzprozentualer Obergrenzen. [DSGVO-Volltext — EUR-Lex]

Wie hoch sind die maximalen Bussen nach dem DPDP Act?

Der Schedule des DPDP Act (referenziert durch Section 33) schreibt Bussen pro Einzelfall von bis zu ₹250 Crore (~30 Millionen USD) vor. Anders als die Obergrenze der DSGVO von 4 % des weltweiten Jahresumsatzes gibt es keine umsatzbasierte Deckelung. Für Konzerngruppen mit mehreren Einheiten vervielfacht eine einzige, über indische Tochtergesellschaften replizierte Compliance-Lücke die Gesamtexposition entsprechend.

Welche Anforderung gilt für die Meldung von Datenpannen?

Gemäss Section 8(6) des DPDP Act, 2023 müssen Data Fiduciaries sowohl das Data Protection Board of India als auch die betroffenen Data Principals innerhalb von 72 Stunden über eine Verletzung des Schutzes von Personendaten informieren. Dies entspricht der Meldefrist der DSGVO gegenüber der Aufsichtsbehörde (Artikel 33), ergänzt aber die Pflicht zur gleichzeitigen Benachrichtigung der Einzelpersonen. [DSGVO Artikel 33 — EUR-Lex]

Wie regelt der DPDP Act grenzüberschreitende Datenübermittlungen?

Der DPDP Act setzt auf ein Negativlisten-Modell: Personendaten dürfen in jedes Land übermittelt werden, ausser in jene, die durch Verlautbarung der Zentralregierung ausdrücklich eingeschränkt sind. Dies steht im Gegensatz zum Positivlisten-Angemessenheitsrahmen der DSGVO und zum Ansatz des revidierten Datenschutzgesetzes (revDSG) gemäss der Länderliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Organisationen müssen die staatlichen Verlautbarungen fortlaufend auf neu eingeschränkte Jurisdiktionen hin überwachen. [IAPP — grenzüberschreitende DPDP-Übermittlungen]

Können bestehende DSGVO-Massnahmen für die DPDP-Compliance wiederverwendet werden?

Laut Multi-Framework-Compliance-Bewertungen lassen sich rund 70 % der bestehenden DSGVO-Massnahmen auf die Pflichten des DPDP Act abbilden. Wiederverwendbare Elemente umfassen das Verzeichnis von Verarbeitungstätigkeiten (Verarbeitungsverzeichnis), Datenschutz-Folgenabschätzungen, Workflows für das Lieferantenrisikomanagement und die Bearbeitung von Betroffenenanfragen. Indienspezifische Ergänzungen umfassen die Registrierung von Consent-Managern, die Überwachung der Negativliste für Übermittlungen sowie überprüfbare Mechanismen der elterlichen Einwilligung für Kinderdaten.

Welche Rolle spielt das Data Protection Board of India?

Das Data Protection Board of India (DPBI) ist die nach Chapter 5 des DPDP Act eingesetzte Entscheidungsstelle. Es nimmt Meldungen von Datenpannen entgegen, entscheidet über Beschwerden von Data Principals und verhängt Bussen. Anders als europäische Aufsichtsbehörden fungiert das DPBI als digital-first-Tribunal, dessen Verfahren überwiegend online geführt werden.

Statistiken und Kontext

Laut dem IAPP-EY 2023 Annual Privacy Governance Report steuert die durchschnittliche Organisation ihre Compliance über 4,2 Datenschutz-Frameworks gleichzeitig. Indiens DPDP Act fügt für viele multinationale Organisationen, die auf dem indischen Markt tätig sind, ein fünftes hinzu. Der Bericht stellte zudem fest, dass 63 % der Datenschutzfachleute die jurisdiktionsübergreifende Compliance als ihre grösste operative Herausforderung nennen.

Indiens digitale Wirtschaft umfasst per 2024 über 800 Millionen Internetnutzer und ist damit die zweitgrösste Online-Bevölkerung der Welt. Der gestaffelte Durchsetzungsansatz des DPDP Act spiegelt das Ausmass der Compliance-Herausforderung wider: Die im Januar 2025 veröffentlichten Draft Rules liefern Umsetzungsdetails zu Consent-Management, grenzüberschreitenden Übermittlungen und den Pflichten der Significant Data Fiduciaries.

DPDP Act vs. DSGVO vs. revDSG: Vergleich

MerkmalIndien DPDP Act (2023)EU-DSGVO (2016/679)revDSG Schweiz (2023)
DurchsetzungsmodellGestaffelter Rollout über Verlautbarungen der ZentralregierungEinziges Durchsetzungsdatum (25.05.2018)Einziges Durchsetzungsdatum (01.09.2023)
Maximale Busse₹250 Crore (~30 Mio. USD) pro Einzelfall20 Mio. EUR oder 4 % des weltweiten UmsatzesCHF 250'000 (persönliche Haftung)
Meldung von Datenpannen72 Stunden (Board + Data Principals)72 Stunden (Aufsichtsbehörde)So rasch als möglich (EDÖB)
Grenzüberschreitende ÜbermittlungenNegativlisten-ModellAngemessenheitsbeschlüsse + SCC/BCRAngemessenheitsliste + SCC/BCR
EinwilligungsmechanismusRegistrierter Consent-ManagerConsent-Management-PlattformEinwilligung oder andere Rechtsgrundlage
KinderdatenÜberprüfbare elterliche Einwilligung erforderlichElterliche Einwilligung unter 16 (Variation je Mitgliedstaat)Keine spezifische Altersgrenze
Anforderung an DatenschutzbeauftragtenSDF muss einen in Indien ansässigen Datenschutzbeauftragten bestellenFür bestimmte Verantwortliche/Auftragsverarbeiter erforderlichFreiwillig (empfohlen)
AufsichtsstelleData Protection Board of IndiaNationale AufsichtsbehördenEDÖB