UK und Indien verschärfen Datenschutz und Cybersicherheit radikal

Zeitenwende im digitalen Raum: Großbritannien und Indien setzen diese Woche neue Maßstäbe beim Schutz kritischer Infrastrukturen und persönlicher Daten. Während London mit einem neuen Gesetz gegen Cyberangriffe auf Krankenhäuser und Energienetze vorgeht, aktiviert Neu-Delhi erstmals ein umfassendes Datenschutzgesetz für 1,4 Milliarden Menschen. Die Botschaft ist klar: Das Zeitalter lockerer digitaler Regulierung ist vorbei.

Was auf den ersten Blick wie parallele nationale Initiativen wirkt, offenbart bei genauerer Betrachtung einen globalen Strategiewechsel. Beide Länder reagieren auf unterschiedliche, aber miteinander verknüpfte Bedrohungen: sophistizierte Hackerangriffe auf lebenswichtige Systeme und den unkontrollierten Handel mit Nutzerdaten. Die nahezu zeitgleichen Gesetzesinitiativen – das britische Gesetz wurde am 12. November vorgestellt, die indischen Regelungen traten zwei Tage später in Kraft – dürften kein Zufall sein.

Das britische Parlament berät seit dieser Woche über den “Cyber Security and Resilience Bill”, der die bestehenden Vorschriften aus 2018 ablösen soll. Der Anlass ist dramatisch: Ein Hackerangriff auf den National Health Service führte kürzlich zur Absage von über 11.000 Arztterminen und legte die Schwachstellen des Systems schonungslos offen. Gesundheitswesen, Transport, Energie und Wasserversorgung sollen künftig besser geschützt werden.

Die wahre Sprengkraft des Gesetzes liegt in seiner Reichweite. Erstmals werden IT-Dienstleister, Rechenzentren und externe Support-Teams in die Pflicht genommen – jene Akteure also, die im Hintergrund die digitale Infrastruktur am Laufen halten. Wer als “kritischer Zulieferer” eingestuft wird, muss dieselben strengen Sicherheitsstandards erfüllen wie Krankenhäuser oder Kraftwerksbetreiber selbst.

Passend zum Thema Datenschutz und Compliance: Die neuen Regelungen in Großbritannien und Indien erhöhen Meldepflichten und Bußgelder deutlich – viele Unternehmen sind nicht vorbereitet. Der kostenlose DSGVO-Leitfaden erklärt in fünf praktischen Schritten, welche organisatorischen und technischen Maßnahmen Sie jetzt umsetzen müssen, wie Sie Consent-Management und Meldeprozesse rechtssicher gestalten und wie Sie Bußgelder vermeiden. Inklusive Checkliste für die interne Umsetzung. DSGVO-Leitfaden jetzt herunterladen

Drastische Strafen sollen Nachlässigkeit verhindern: Bei schweren Verstößen drohen Bußgelder von bis zu 19,3 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes – eine Orientierung an der europäischen DSGVO-Logik. Unternehmen müssen erhebliche Sicherheitsvorfälle binnen 24 Stunden melden, eine detaillierte Nachreichung folgt nach 72 Stunden. Das dürfte IT-Verantwortliche nervös machen.

Indien schafft Datenschutzrecht für Milliarden

Während London seine kritische Infrastruktur absichert, zieht Neu-Delhi einen anderen Hebel: den Schutz persönlicher Daten. Am 14. November traten die Ausführungsbestimmungen zum “Digital Personal Data Protection Act” in Kraft – das erste umfassende Datenschutzgesetz des bevölkerungsreichsten Landes der Erde. Was jahrelang diskutiert wurde, ist nun Realität.

Das Gesetz definiert klare Regeln für “Data Fiduciaries”, also alle Organisationen, die personenbezogene Informationen verarbeiten. Die Anforderungen klingen simpel, haben aber weitreichende Konsequenzen: Unternehmen müssen Nutzern in einfacher Sprache erklären, welche Daten sie sammeln und wozu. Einwilligungen dürfen nicht mehr in seitenlangen Kleingedruckten versteckt werden.

Besonders heikel wird die Sache bei Datenpannen. Jeder Verstoß muss sowohl den betroffenen Personen als auch der neu geschaffenen Datenschutzbehörde “Data Protection Board of India” gemeldet werden – und zwar verständlich formuliert, ohne Fachkauderwelsch. Für Kinder und Menschen mit Behinderungen gelten verschärfte Regeln mit verpflichtender Zustimmung der Erziehungsberechtigten.

Die Regierung gewährt Unternehmen 18 Monate Übergangsfrist für die meisten Anforderungen. Einige Basisregeln gelten jedoch sofort. Das dürfte besonders internationale Tech-Konzerne treffen, die den indischen Markt mit seinen hunderten Millionen Smartphone-Nutzern nicht ignorieren können.

Globaler Trend oder koordinierte Strategie?

Die zeitliche Nähe der britischen und indischen Initiativen wirft Fragen auf. Koordinieren sich Regierungen weltweit stärker bei der digitalen Regulierung? Fakt ist: Londons Ansatz orientiert sich eng an der EU-Richtlinie NIS2, die ebenfalls digitale Lieferketten in den Fokus rückt. Die Strafandrohungen kopieren das DSGVO-Modell fast eins zu eins.

Indien wiederum schließt mit seinem Gesetz eine jahrelange Lücke. Während Europa und zunehmend auch die USA Datenschutz längst regulieren, fehlte in Asiens drittgrößter Volkswirtschaft bisher ein einheitlicher Rahmen. Das neue Gesetz ändert das fundamental – und zwingt Unternehmen wie Google, Meta oder Amazon zu kostspieligen Anpassungen ihrer Geschäftsmodelle.

Die wirtschaftlichen Folgen sind beträchtlich. Compliance-Kosten steigen, neue Stellen für Datenschutzbeauftragte müssen geschaffen werden, IT-Systeme erfordern teure Updates. Branchenexperten erwarten jedoch langfristig einen positiven Effekt: Mehr Vertrauen der Nutzer könnte digitale Dienste attraktiver machen als bisher.

Was kommt auf Unternehmen zu?

In Großbritannien durchläuft das Cybersicherheitsgesetz nun das parlamentarische Verfahren. Änderungen sind möglich, die Grundrichtung aber gesetzt. Sobald das Gesetz in Kraft tritt, beginnen die Behörden mit der Einstufung kritischer Zulieferer. IT-Dienstleister und Rechenzentrumsbetreiber sollten ihre Sicherheitsarchitekturen bereits jetzt überprüfen.

In Indien tickt die 18-Monats-Uhr. Unternehmen müssen ihre Consent-Management-Systeme komplett überarbeiten, Datensicherheitsprotokolle verschärfen und Notfallpläne für Datenpannen entwickeln. In einem Jahr beginnt zudem die Registrierung von “Consent Managern” – spezialisierte Dienstleister, die Nutzern helfen sollen, ihre Datenfreigaben zu verwalten. Ein völlig neuer Geschäftszweig entsteht.

Die nächsten zwei Jahre werden zeigen, ob die ambitionierten Pläne funktionieren. Sicher ist: Digitale Sorglosigkeit können sich Unternehmen in beiden Ländern künftig nicht mehr leisten. Das Signal dürfte auch in Berlin, Brüssel und Washington angekommen sein.

PS: Unternehmen sollten die Übergangsfristen und Meldepflichten jetzt in Checklisten übersetzen und Verantwortlichkeiten festlegen. Dieser kompakte Gratis-Download fasst praxisnah zusammen, welche technischen und organisatorischen Maßnahmen wirklich nötig sind, wer ein Verarbeitungsverzeichnis führen muss und wie Consent-Prozesse sofort rechtskonform gestaltet werden können. Inklusive praktischer Checkliste für Datenschutzbeauftragte und Geschäftsführung. Jetzt kostenlosen DSGVO-Check sichern