Wie wird sich das vorgeschlagene Datenschutzgesetz auf Ihr Startup auswirken?

Der kürzlich vorgelegte Bericht des Gemeinsamen Parlamentarischen Ausschusses (JPC) über das Gesetz zum Schutz personenbezogener Daten, 2019 (2019 Bill), empfahl, den Anwendungsbereich des Gesetzes zu erweitern, um nicht personenbezogene Daten (NPD) in seinen Geltungsbereich zu bringen, die Fairness von Algorithmen offenzulegen und vieles mehr. Nach der Einführung des Gesetzes müssten Startups ihre Datenverarbeitungspraktiken überdenken und erhebliche Compliance-Kosten einkalkulieren.

Um Spielern aus dem Startup-Ökosystem dabei zu helfen, die Auswirkungen des vorgeschlagenen Datenschutzgesetzes zu entschlüsseln, organisierte Ikigai Law am 24. Februar eine interaktive virtuelle Diskussion mit dem Titel „ Unscramble: Impact of India’s Data Protection Law on Startups “.

Die Diskussion fand unter breiter Beteiligung der Startup-Community mit Vertretern führender Fintech-, Edtech-, Healthtech-, E-Commerce- und KI-Dienstleistungsunternehmen statt.

Unter der Leitung von Sreenidhi Srinivasan, Principal Associate bei Ikigai Law, enthüllte die Diskussion die Auswirkungen des Gesetzentwurfs von 2019 auf Startups. Es ging unter anderem auf die Herausforderungen der Kategorisierung von Datensätzen in personenbezogene Daten und NPD ein, wie die Einhaltung des Gesetzes Startups daran hindern könnte, die Auswirkungen bestimmter Offenlegungen auf geistiges Eigentum auszudehnen.

Die Regulierung von NPD und anderen proprietären Daten ist wie die Aufforderung an Coke, seine „geheime“ Formel zu enthüllen

Das Gesetz zum Schutz personenbezogener Daten ist nun seit fast fünf Jahren in Arbeit. Im Laufe der Zeit kam die Regierung auf die Idee, anonymisierte Daten/Geschäftsinformationen (NPD) zu nutzen, um daraus einen wirtschaftlichen Wert abzuleiten. Derzeit schlägt das Gesetz vor, sowohl personenbezogene Daten als auch NPD zu regulieren. Es erlaubt der Zentralregierung, Unternehmen anzuweisen, NPD für politische Entscheidungszwecke zu teilen. Sreenidhi bat um Meinungen zum erweiterten Geltungsbereich des Gesetzes, zur Notwendigkeit der NPD-Regulierung und zu seinen Auswirkungen auf Startups, die sich für ihren Wettbewerbsvorteil auf Datengräben verlassen.

Ashutosh Senger, Lead Counsel von Florence Capital (einer Kreditplattform), sprach darüber, dass die Einbeziehung von NPD ein Schritt in Richtung eines ausgewogenen Zugangs zu Daten sei, aber der Wettbewerbsvorteil, den proprietäre Datenbestände bieten, nicht ignoriert werden könne. Er wies auf die Notwendigkeit hin, die Interessen der Regierung bei der Verwendung von NPD für sozioökonomische Zwecke mit den Rechten des geistigen Eigentums (IP) von Unternehmen in Einklang zu bringen, und sagte: „Wie fördern wir die Interessen des Staates sowie des gesamten Ökosystems oder das Umfeld von Unternehmertum und Innovation.“

Manuj Garg, Mitbegründer von MyUpchar (einer Gesundheitsplattform), fügte hinzu, dass Daten eine „Schlüsselwährung“ für alle Startups seien. „Alles, was Sie aus Ihrer Arbeit generieren, ist Ihr geistiges Eigentum. Es ist das, was Ihnen einen Vorteil auf dem Markt verschafft und es Ihnen ermöglicht, das zu tun, was Sie tun. Zu sagen, dass diese Daten dann öffentlich gemacht werden müssen, bringt das Geschäft im Wesentlichen um.“

Es gibt andere Bestimmungen unter dem vorgeschlagenen Gesetz, die die IP-Rechte von Unternehmen verletzen könnten, wie die Aufforderung, die „Fairness“ von Algorithmen offenzulegen. Es gibt noch keine Schwelle, um „Fairness“ zu definieren, und selbst wenn eine solche Klärung in Zukunft erfolgen sollte, ist technisches Know-how über Algorithmen nicht öffentlich bekannt.

„Es ist, als würde man Coke bitten, seine geheime Formel zu enthüllen – und ihm den Anreiz nehmen, zu operieren“, fügte Garg hinzu.

Megha Nambiar, Senior Legal Counsel von HyperVerge (einer Plattform zur Identitätsprüfung und Betrugserkennung), stimmte zu, dass die Einbeziehung von NPD „eine Menge Unsicherheit in die Mischung bringt, da es sich im Wesentlichen um private Daten handelt, in die eingegriffen wird. Und es gibt ein obligatorisches Element bei der gemeinsamen Nutzung von Daten, was wiederum zu einem Problem wird.“ Sie spielte auf den Mangel an Anreizen zur Förderung des Datenaustauschs an.

Nambiar stellte dem Raum einige Fragen und fragte sich, ob ein solcher Datenaustausch freiwillig sein könnte und wie dies bepreist, bewertet und geteilt werden würde.

Sruthi Srinivasan, Rechtsberater von Uni Cards, stimmte den Vorrednern zu und stellte die Notwendigkeit in Frage, abgeleitete/anonymisierte Datensätze zu regulieren.

Startups werden vor enormen Herausforderungen in der Art und Weise stehen, wie das vorgeschlagene Gesetz strukturiert ist

Im Vorfeld des Gesetzes müssten Unternehmen ihre datenbezogenen Richtlinien überdenken und ihre Budgets optimieren, um das Gesetz einzuhalten. Sreenidhi bat um Meinungen zu den Compliance-Herausforderungen, die Unternehmen erwarten.

Aditya Shamlal, juristischer Leiter von Zeta (einem Fintech-Startup), sagte, das Gesetz in seiner derzeitigen Form sei „Compliance-lastig“. Und dass „die wahren Zähne dieses Gesetzes in den Vorschriften und Verhaltenskodizes gezeigt werden, die zu Dingen wie eingebautem Datenschutz, dem Recht auf Vergessenwerden und mehr herausgegeben werden. Bis diese Vorschriften auftauchen, bewegen Sie sich in einem nebulösen Raum, in dem Sie fundierte Vermutungen auf der Grundlage europäischer Erfahrungen wie der DSGVO anstellen.“ Er glaubte, dass es für neuere datenzentrierte Startups schwierig sein würde, in den Markt einzutreten und zu expandieren, wenn das Gesetz in Kraft tritt.

Für dich empfohlen:

Ressourcen

Wie das Account Aggregator Framework der RBI Fintech in Indien transformieren wird

Amit Das

31. Juli 2022

Nachrichten

Unternehmer können mit „Jugaad“ keine nachhaltigen, skalierbaren Startups gründen: Zit...

Jaspreet K.

31. Juli 2022

Ressourcen

Wie Metaverse die indische Automobilindustrie verändern wird

Vaibhav S.

31. Juli 2022

Ressourcen

Was bedeutet die Anti-Profiteering-Bestimmung für indische Startups?

Charanya L.

31. Juli 2022

Ressourcen

Wie Edtech-Startups Indiens Arbeitskräften helfen, sich weiterzubilden und zukunftsfähig zu werden ...

Ankush S.

31. Juli 2022

Nachrichten

New-Age-Tech-Aktien in dieser Woche: Zomatos Probleme gehen weiter, EaseMyTrip-Posts steigen...

Tapanjana R.

31. Juli 2022

Die Teilnehmer diskutierten auch das Zusammenspiel zwischen sektoralen Regulierungsbehörden und der kommenden Datenregulierungsbehörde. Sruthi von Uni Cards stellte fest, dass viele regulierte Unternehmen im Fintech-Bereich bereits das Recht auf Widerruf der Einwilligung (im vorgeschlagenen Datenschutzgesetz vorgesehen) in ihre Standarddatenpraktiken aufnehmen. Sie fragte sich, wie sich der Widerruf der Zustimmung in einem regulierten Bereich auswirken würde, in dem Spieler Datensätze als Datenprotokolle in ihrem System aufbewahren müssen, um sie zu Prüfungszwecken anzuzeigen.

Sruthi sagte, dass sich die Regulierungsbehörden mit Fragen zur Menge an Informationen befassen müssen, die zurückgezogen und aufbewahrt werden können. „In Zukunft können sich Kunden an regulierte Stellen wenden und um eine vollständige Löschung ihrer Informationen aus dem System bitten. Als Kreditplattform verlangt die RBI jedoch, dass Sie diese Informationen aufbewahren, um die Tatsache zu bestätigen, dass Sie diesen Kunden an Bord genommen haben“, bemerkte sie.

Vinita Varghese, Leiterin der Rechtsabteilung von Urban Company (einer hyperlokalen Plattform für Expertendienste), stimmte Sruthi zu und fügte hinzu: „Wenn Sie über die Umsetzung des Gesetzes in der Art und Weise sprechen, wie es derzeit entworfen wird, ist dies eine Investition von Kosten und Zeit für Startups und kleinere Organisationen, während es für große Organisationen – die diesen Prozess noch nicht begonnen haben – ein absolut monströses Unterfangen ist.“

Sie sagte, das vorgeschlagene Gesetz verpflichte Unternehmen, unabhängig von ihrer Größe, Dateninventare zu erstellen, um Daten in verschiedene Kategorien einteilen zu können. Dies ist keine streng rechtliche Übung, da jede Branche in der Organisation betroffen wäre. Varghese sagte auch, um Startups die Einhaltung des Gesetzes zu ermöglichen, seien Sensibilisierung und Aufklärung auf funktionsübergreifender Ebene erforderlich.

Aufbauend auf diesem Thema erörterte Garg, wie ein durchschnittlicher Mitgründer ohne juristische Fachkenntnisse damit kämpfen würde, auszupacken, was personenbezogene Daten, sensible und kritische personenbezogene Daten bedeuten und umfassen. Bei unterschiedlichen Datenkategorien ergeben sich unterschiedliche Schwellenwerte für die Zustimmung (erhöhte Verpflichtungen zur Einholung einer ausdrücklichen Zustimmung bei sensiblen Daten). Er erwähnte, dass die App gemäß den telemedizinischen Richtlinien keine ausdrückliche Zustimmung des Patienten einholen muss, wenn ein Patient eine Konsultation einleitet. Aber unter dem vorgeschlagenen Datengesetz ist es „unklar, wie die ausdrückliche Zustimmung gehandhabt wird“. Garg wies auch auf die Mehrdeutigkeit beim Erhalt der Hardware-Software-Zertifizierung (die eingeführt wird, um die Datenintegrität aufrechtzuerhalten) und auf die Notwendigkeit hin, eine solche Zertifizierung zu überprüfen, wenn die Software aktualisiert wird.

Panduranga Acharya, General Counsel von Girnarsoft.com (einem Anbieter von IT-Lösungen), sagte: „Compliance kann nicht schwer sein, sie kann teuer werden.“

Er forderte die Aufnahme von Schwellenwerten, um kleine Unternehmen von den teureren Compliance-Anforderungen auszuschließen. Acharya identifizierte auch die Schwierigkeiten mit unterschiedlichen Zustimmungsstandards für verschiedene Datenkategorien. Er sagte, dass „Kategorisierungen wie sensible, kritische, nicht sensible Daten zu einer Vielzahl von Zustimmungen führen würden oder dass es einen zweipoligen Zustimmungsmechanismus erfordern würde. Der Einsatz solcher Einwilligungsmechanismen könnte für jedes Unternehmen sehr schwierig sein.“

Verbesserte Sicherheitsvorkehrungen für die Daten von Kindern sind für Edtech-Unternehmen mit hohen Kosten verbunden

Sachin Ravi, Mitbegründer von Qshala (einer Edtech-Plattform), sprach darüber, wie sowohl China als auch Indien an Richtlinien zur Regulierung des Edtech-Sektors arbeiten. Er merkte an, dass die Definition von Kindern als Personen unter 18 Jahren für mehrere Akteure in der Branche besorgniserregend sei. Er sagte, dass „eine Anleitung, die von der Regierung für Edtech kommt, wie mit den Daten gespielt werden kann“, von Vorteil sein könnte.

Shatakrutu Saha, Rechtsberater bei KidsChaupal (einer Edtech-Plattform), bemerkte, dass die Begründung für die Festlegung des Alters auf 18 aus Bestimmungen des indischen Vertragsgesetzes und des Mehrheitsgesetzes stammt und wahrscheinlich nicht geändert wird. Er stellte jedoch fest, dass das Jugendgerichtsgesetz das Alter der Volljährigkeit anders versteht.

Saha teilte einen interessanten Einblick darüber, wie ein 16-jähriger Inder den Schachweltmeister Magnus Carlsen besiegte: „Stellen Sie sich vor, wenn dieses Kind durch die Zustimmung seines Vormunds eingeschränkt wird, der sich der Entscheidung dieses talentierten Jungen widersetzt, welche Kurse er online belegen soll – das ist a problematisches Fallbeispiel.“ Er sprach auch über den unterschiedlichen Ansatz zwischen Indien und anderen globalen Rahmen wie der EU, die ein Kind als jeden im Alter zwischen 13 und 16 Jahren definieren.

Auch der Mangel an Klarheit in Bezug auf Alter-Gating-Mechanismen und elterliche Zustimmungsbestimmungen wurde diskutiert. Ravi von Qshala sagte, dass Eltern versuchen könnten, pseudonyme Konten für Kinder zu erstellen, anstatt persönliche Informationen preiszugeben. Es bleiben jedoch Fragen zu den Modalitäten der Verwendung anonymisierter Daten zur Erstellung von Inhalten und zur Bereitstellung von Diensten sowohl für erwachsene Benutzer als auch für Kinder. Saha von KidsChaupal bemerkte, dass Altersbeschränkungen risikobasiert sein könnten, und erklärte, dass solche Maßnahmen für Produkte und Dienstleistungen gelten, die auf bestimmte Altersgruppen und Demografien abzielen, wie z. B. Dating- und Online-Gaming-Apps. In diesen Apps und Diensten erfolgt die Altersbeschränkung, um Minderjährige vor Risiken zu schützen, die mit solchen Diensten verbunden sind.

Saha fügte hinzu, dass die Implementierung neuer Funktionen die Definition von Schaden oder Verfolgung im vorgeschlagenen Gesetz auslösen könnte. Das pauschale Verbot der Verfolgung/Profilerstellung von Daten von Kindern und die breite Definition von Schaden könnten zu Spannungen zwischen Produktdesign und Rechtsteams in Edtech-Startups führen

Das vorgeschlagene Gesetz muss mit globalen Rahmenbedingungen interoperabel sein, um Indiens Datenwirtschaft voranzutreiben

Sreenidhi fragte den Raum, ob sie der Meinung seien, dass das vorgeschlagene Gesetz die Interoperabilität mit globalen Datenrahmen fördere, und wie sich die Einhaltung des Gesetzes auf den Zugang zu globalen Märkten auswirken könne.

Neelakshi Gupta, Legal Associate bei Qure.ai (einer Healthtech-Plattform), stellte mehrere Fragen in Bezug auf globale Compliance – sie fragte: „Was gilt als grenzüberschreitende Datenübertragung? Wann gelten die neuen Standardvertragsklauseln (SCCs)? Wenn wir die SCCs mit unseren Kunden unterzeichnen, können wir sagen, dass wir das Schrems-II - Urteil einhalten?“

In Bezug auf globale Compliance-Strategien sagte Nambiar von HyperVerge, dass der Schritt zur Datenlokalisierung in mehreren Datenschutz-Frameworks weltweit besorgniserregend sei, da das Geschäft Anbieter in verschiedenen Regionen einbeziehe. Sie sagte, dass „wenn wir sehen, dass die Datenlokalisierung immer mehr zu einem globalen Trend wird, dann wird es für uns sehr teuer, lokale Rechenzentren in jeder dieser Regionen zu haben.“

Varghese von Urban Company stimmte zu, dass die Bestimmungen zur Datenlokalisierung zu Compliance-Herausforderungen führen werden, da verschiedene Länder unterschiedliche Schwellenwerte für die Lokalisierung zu haben scheinen. Sie sagte, dass ein Goldstandard für die Datenlokalisierung entwickelt werden könnte, der unternehmensfreundlich und kompatibel mit allen Gerichtsbarkeiten ist.

Nächste Schritte zur Auseinandersetzung mit den Bedenken von Startups

Die Kosten für die Einhaltung und die Unklarheit bei bestimmten Bestimmungen sind Hauptanliegen von Startups. Das Ziel der Regierung, Indien als wichtigen Akteur in der digitalen Wirtschaft zu positionieren, sollte von einem förderlichen Datenschutzregime begleitet werden. Es sollte Start-ups ermöglichen, sich zu vergrößern und globale Märkte zu erschließen.

Derzeit diskutiert das IT-Ministerium die Empfehlungen des GPA und hat die Compliance-Herausforderungen anerkannt, die das Gesetz mit sich bringt. Dies ist eine großartige Gelegenheit für Startups und kleine Unternehmen, mit politischen Entscheidungsträgern in Kontakt zu treten und breitere öffentliche Konsultationen zum Gesetz zu fordern und auf für beide Seiten vorteilhafte Lösungen hinzuarbeiten.

*Die Zitate wurden bearbeitet und verfeinert, um zu Artikel und Kontext zu passen.

*Dieser Artikel wurde von Shrinidhi Rao und Kanupriya Grover, Associates bei Ikigai Law, gemeinsam verfasst