India DPDP Act: Guest WiFi Compliance for Indian Venues

India DPDP Act: Guest WiFi Compliance für indische Standorte Ein Purple Technical Briefing — ca. 10 Minuten [EINFÜHRUNG & KONTEXT — 1 Minute] Willkommen zum Purple Technical Briefing. Ich bin Ihr Moderator, und heute befassen wir uns mit einem Thema, das jeder IT-Leiter und Compliance-Verantwortliche jetzt auf dem Schirm haben sollte: Indiens Digital Personal Data Protection Act — das DPDP-Gesetz — und was es speziell für Guest WiFi-Bereitstellungen an indischen Standorten bedeutet. Egal, ob Sie eine Hotelkette in Mumbai, ein Einzelhandelsnetz in Bengaluru, ein Stadion in Hyderabad oder die indische Niederlassung eines multinationalen Konzerns betreiben — wenn Sie Guest WiFi anbieten und Registrierungsdaten über ein Captive Portal erfassen, betrifft Sie diese Gesetzgebung direkt. Die Regeln sind in Kraft, die Durchsetzung wird verschärft und die Strafen sind erheblich. Wir sprechen hier von bis zu 250 Crore Rupien allein bei Sicherheitsmängeln. Gehen wir also ins Detail. In den nächsten zehn Minuten werde ich Sie durch die wichtigsten Verpflichtungen führen, Ihnen zeigen, wie sich dies in der Praxis von der GDPR unterscheidet, Ihnen einen praktischen Aufbewahrungsrahmen an die Hand geben und auf die drei häufigsten Fehler hinweisen, die Standorte derzeit machen. [TECHNISCHER DEEP-DIVE — 5 Minuten] Beginnen wir mit den Grundlagen. Das Digital Personal Data Protection Act wurde im August 2023 verabschiedet, wobei die Durchführungsbestimmungen Ende 2025 finalisiert wurden. Die Fristen für die Einhaltung laufen auf einer gestaffelten Basis von 12 bis 18 Monaten ab dem Inkrafttreten der Regeln — wenn Sie also noch nicht mit Ihrem Compliance-Programm begonnen haben, sind Sie bereits im Verzug. Das Erste, was man verstehen muss, ist die Terminologie. Nach dem DPDP-Gesetz ist Ihr Standort der Data Fiduciary (Datenverantwortliche) — Sie entscheiden, warum und wie personenbezogene Daten verarbeitet werden. Ihr WiFi-Plattformanbieter — ob Purple oder ein anderer Anbieter — ist der Data Processor (Auftragsverarbeiter). Und Ihr Gast ist der Data Principal (Betroffene). Diese Unterscheidung ist enorm wichtig, da im Rahmen von DPDP im Gegensatz zur GDPR die gesamte Compliance-Haftung beim Data Fiduciary liegt. Die DPA Ihres Plattformanbieters überträgt Ihr Risiko nicht. Sie tragen die Verantwortung. Nun zur Einwilligung. Hier stolpern die meisten Standorte. Abschnitt 6 des Gesetzes verlangt, dass die Einwilligung freiwillig, spezifisch, informiert, bedingungslos und eindeutig durch eine klare bestätigende Handlung erfolgen muss. Das Wort „bedingungslos“ ist einzigartig für das DPDP-Gesetz — es ist nicht in der GDPR enthalten — und es hat echte Konsequenzen. Das bedeutet, dass Sie die Einwilligung zu Marketingzwecken nicht zur Bedingung für den Erhalt des WiFi-Zugangs machen dürfen. Punkt.Wie sieht das in der Praxis auf einem Captive Portal aus? Sie benötigen drei Dinge. Erstens einen DPDP-konformen Hinweis, der vor der Datenerfassung angezeigt wird. Dieser muss angeben, welche Daten Sie erfassen, warum, wie lange Sie diese aufbewahren, wie der Gast seine Einwilligung widerrufen kann und wie er Ihren Datenschutzbeauftragten oder die zuständige Person kontaktieren kann. Zweitens granulare Kontrollkästchen für die Einwilligung: eines für den Netzwerkzugriff – was die erforderliche Verarbeitung darstellt – und separate, optionale Kontrollkästchen für Marketingkommunikation sowie Analysen oder Profiling. Diese müssen standardmäßig deaktiviert sein. Drittens müssen Sie die Einwilligung protokollieren – Zeitstempel, IP-Adresse, Version der Einwilligung und worauf genau sich geeinigt wurde – und Sie müssen in der Lage sein, diesen Nachweis auf Anfrage vorzulegen. Ein praktischer Hinweis zur Funktionsweise des Captive Portals: Wenn Sie die Bereitstellung auf Apple iOS-Geräten, Android- oder Windows-Geräten durchführen, verhält sich der Captive Network Assistant – oder CNA – auf jeder Plattform anders. Der CNA von Apple öffnet einen Mini-Browser, der Einschränkungen bei Cookies und Weiterleitungen aufweist. Sie müssen sicherstellen, dass Ihr Einwilligungsmechanismus innerhalb dieser Einschränkungen funktioniert. Der Leitfaden von Purple zur Erkennung von Captive Portals beschreibt die technische Implementierung im Detail – es lohnt sich, diesen parallel zu diesem Compliance-Briefing zu lesen. Lassen Sie uns nun über die Datenaufbewahrung sprechen, da ich hier die meiste Verwirrung erlebe. Der Ansatz des DPDP-Gesetzes ist zweckorientiert. Gemäß Abschnitt 8(7) müssen Sie personenbezogene Daten löschen, wenn entweder der Betroffene seine Einwilligung widerruft oder wenn der festgelegte Zweck nicht mehr erfüllt wird – je nachdem, was zuerst eintritt. Regel 8 fügt dann zwei wichtige Aspekte hinzu. Erstens legt der Third Schedule für bestimmte Plattformen mit hohem Datenaufkommen – E-Commerce mit über zwei Crore Nutzern, soziale Medien, Online-Spiele – eine dreijährige Frist für die angenommene Beendigung fest. Wenn drei Jahre lang keine Interaktion stattgefunden hat, gilt der Zweck als nicht mehr erfüllt. Für die meisten Betreiber von Veranstaltungsorten – Hotels, Einzelhandel, Stadien – gelten diese spezifischen Kategorien des Third Schedule nicht. Sie wenden daher das allgemeine Prinzip von Abschnitt 8(8) an: Wenn der Gast über einen angemessenen Zeitraum nicht mit Ihnen interagiert oder seine Rechte ausgeübt hat, sollten Sie seine Daten löschen. Zweitens schafft Regel 8(3) eine Mindestgrenze: Sie müssen Verarbeitungsprotokolle und zugehörige Daten ab dem Datum der Verarbeitung mindestens ein Jahr lang aufbewahren, unabhängig von der Beendigung des Zwecks. Dies dient Audit- und Regulierungszwecken. Für eine praktische Aufbewahrungsrichtlinie an Veranstaltungsorten empfehle ich daher folgendes Framework: Bewahren Sie aktive Gast-WiFi-Profile für die Dauer der Beziehung plus ein Jahr auf. Wenn sich ein Gast seit vierundzwanzig Monaten nicht mehr verbunden oder interagiert hat, lösen Sie einen Workflow zur erneuten Einwilligung oder Löschung aus. Bewahren Sie Verarbeitungsprotokolle mindestens ein Jahr lang auf. Bei Hotelgästen begründet der Aufenthalt eine legitime Verarbeitungsbeziehung – für das Marketing nach dem Aufenthalt ist jedoch eine separate Einwilligung erforderlich, und diese Einwilligung hat ihre eigene Aufbewahrungsfrist. Nun zu den grenzüberschreitenden Datenübertragungen. Dies ist unter DPDP tatsächlich einfacher als unter der GDPR. Das Gesetz nutzt einen Blacklist-Ansatz – Übertragungen sind in alle Länder zulässig, es sei denn, die Zentralregierung schränkt ein bestimmtes Land oder Gebiet ausdrücklich per Bekanntmachung ein. Vergleichen Sie das mit dem Whitelist-Ansatz der GDPR, bei dem Sie für jede Übertragung in ein nicht angemessenes Drittland einen Angemessenheitsbeschluss, Standardvertragsklauseln oder verbindliche interne Datenschutzvorschriften benötigen. Für multinationale Standorte, die cloudbasierte WiFi-Plattformen mit Rechenzentren außerhalb Indiens nutzen, haben Sie unter DPDP derzeit mehr Flexibilität – aber behalten Sie diesen Bereich im Auge, da sich die Landschaft durch die Bekanntmachungsbefugnisse der Regierung schnell ändern kann. Lassen Sie mich auch auf die Rechte eingehen, die Ihre Gäste unter DPDP haben, da Ihre IT- und Betriebsteams in der Lage sein müssen, darauf zu reagieren. Betroffene Personen (Data Principals) haben das Recht auf Auskunft über ihre Verarbeitung, das Recht auf Berichtigung und Löschung sowie das Recht auf Beschwerdeverfahren – mit einer obligatorischen Antwortfrist von neunzig Tagen. Was sie im Gegensatz zur GDPR nicht haben, ist das Recht auf Datenübertragbarkeit, das Recht auf Widerspruch gegen automatisierte Entscheidungsfindungen oder das Recht auf Einschränkung der Verarbeitung. Das ist ein engerer Rechtsrahmen, was Ihre Reaktionspflichten etwas vereinfacht. Daten von Kindern sind eine separate Kategorie mit höherem Risiko. Unter DPDP ist für die Verarbeitung von Daten von Personen unter achtzehn Jahren eine nachweisbare Zustimmung der Eltern erforderlich. Wenn sich Ihr Standort-WiFi in einer familiären Umgebung befindet – einem Einkaufszentrum, einem Freizeitpark, einem Familienhotel –, benötigen Sie einen Mechanismus, um minderjährige Nutzer zu identifizieren und zu handhaben. Dies ist eine nicht triviale technische und betriebliche Herausforderung, die viele Standorte noch nicht angegangen sind. [IMPLEMENTIERUNGSEMPFEHLUNGEN & FALLSTRICKE — 2 Minuten] Lassen Sie mich Ihnen die drei häufigsten Fallstricke nennen, die ich sehe, und wie Sie diese vermeiden können. Fallstrick eins: gebündelte Einwilligung. Dies ist der häufigste Verstoß. Standorte präsentieren ein einziges Kontrollkästchen „Ich stimme den Allgemeinen Geschäftsbedingungen zu“, das sowohl den Netzwerkzugang als auch das Marketing abdeckt. Unter DPDP-Abschnitt 6 ist dies nicht konform. Die Lösung ist einfach – trennen Sie Ihre Einwilligung in separate, zweckspezifische Kontrollkästchen und stellen Sie sicher, dass das Marketing-Kästchen optional und standardmäßig nicht angekreuzt ist. Fallstrick zwei: kein Audit-Trail für Einwilligungen. Wenn die Datenschutzbehörde Sie auffordert, nachzuweisen, dass ein bestimmter Gast an einem bestimmten Datum für einen bestimmten Zweck seine Einwilligung erteilt hat, können Sie diesen Datensatz vorlegen? Die meisten Standorte können das nicht. Ihre WiFi-Plattform muss Einwilligungsdatensätze mit ausreichender Granularität speichern – Zeitstempel, Sitzungs-ID, IP-Adresse, Einwilligungsversion und die spezifischen Zwecke, denen zugestimmt wurde. Die Plattform von Purple erfasst dies nativ, aber wenn Sie ein Altsystem nutzen, ist dies eine Lücke, die Sie dringend schließen müssen. Fallstrick drei: Kein Auftragsverarbeitungsvertrag. Gemäß Abschnitt 8(2) müssen Sie einen gültigen Vertrag mit jedem von Ihnen beauftragten Data Processor haben. Wenn Ihr WiFi-Plattformanbieter keinen aktuellen Auftragsverarbeitungsvertrag hat, der sich auf die DPDP-Verpflichtungen bezieht, sind Sie ungeschützt. Dies ist keine bloße rechtliche Formalität – es ist eine Voraussetzung für die Compliance-Verteidigung des Data Fiduciary. Auf der Implementierungsseite ist die wichtigste architektonische Entscheidung, wo die Einwilligungsdaten gespeichert werden und wie sie in Ihr CRM oder Ihre Marketing-Automatisierungsplattform integriert werden. Sie benötigen eine Single Source of Truth für den Einwilligungsstatus, die Ihr Marketingteam nicht überschreiben kann. Der Widerruf der Einwilligung muss innerhalb eines angemessenen Zeitrahmens an alle nachgelagerten Systeme weitergegeben werden – ich empfehle maximal zweiundsiebzig Stunden als Ihre betriebliche SLA. Für Standorte mit mehreren Immobilien – Hotelketten, Einzelhandelsflächen – müssen Sie entscheiden, ob sich eine an einem Standort erteilte Einwilligung auf andere erstreckt. Unter der Spezifitätsanforderung des DPDP ist die sicherste Position die Einwilligung auf Standortebene, es sei denn, Ihr Hinweis deckt die Gruppe ausdrücklich ab und die Gäste haben einer gruppenweiten Verarbeitung zugestimmt. [SCHNELLE FRAGERUNDE — 1 Minute] Lassen Sie mich ein paar Fragen durchgehen, die mir regelmäßig gestellt werden. "Kann ich WiFi-Analysen – Besucherzählung, Verweildauer – ohne Einwilligung nutzen?" Wenn die Daten wirklich anonymisiert sind und nicht mit einer Person verknüpft werden können, fallen sie nicht in den Anwendungsbereich des DPDP-Gesetzes. Aber die Randomisierung von MAC-Adressen bedeutet, dass das Tracking auf Geräteebene ohnehin immer unzuverlässiger wird. Für identifizierte Analysen benötigen Sie eine Einwilligung. "Benötige ich einen Datenschutzbeauftragten?" Ein vollwertiger DPO ist nur für Significant Data Fiduciaries zwingend erforderlich – eine Einstufung, die die Regierung bekannt geben wird. Für die meisten Standortbetreiber benötigen Sie eine benannte verantwortliche Person, deren Kontaktdaten veröffentlicht werden. Das ist eine niedrigere Hürde, aber es muss dennoch jemand sein, der Fragen zum Datenschutz tatsächlich beantworten kann. "Wie hoch ist das Strafenrisiko für eine mittelgroße Hotelkette?" Ein Sicherheitsfehler, der zu einer Verletzung führt, zieht bis zu zweihundertfünfzig Crore Rupien nach sich. Die Nichtmeldung einer Verletzung an den Vorstand kostet weitere zweihundert Crore. Dies sind feste Obergrenzen, keine Prozentsätze des Umsatzes – was bedeutet, dass sie kleinere Organisationen proportional härter treffen als die umsatzbasierten Strafen der GDPR große multinationale Konzerne. [ZUSAMMENFASSUNG & NÄCHSTE SCHRITTE — 1 Minute] Zusammenfassend sind hier Ihre fünf sofortigen Maßnahmen. Erstens: Überprüfen Sie noch heute den Einwilligungsfluss Ihres Captive Portal. Wenn er ein einzelnes Kontrollkästchen enthält oder Marketing mit dem Zugang bündelt, muss er neu erstellt werden. Zweitens: Implementieren Sie einen Audit-Trail für Einwilligungen. Jedes Einwilligungsereignis muss mit Zeitstempel, IP, Zweck und Version protokolliert werden. Drittens: Erstellen Sie eine Datenaufbewahrungsrichtlinie. Für die meisten Standorte ist ein Inaktivitätsauslöser von vierundzwanzig Monaten für eine erneute Einwilligung oder Löschung ein angemessener Ausgangspunkt, mit einem Minimum von einem Jahr für Verarbeitungsprotokolle. Viertens: Überprüfen Sie Ihre Auftragsverarbeitungsverträge mit Ihrem WiFi-Plattformanbieter und allen nachgelagerten Marketing- oder Analyseanbietern. Fünftens: Benennen Sie eine verantwortliche Person für Datenschutzfragen und veröffentlichen Sie deren Kontaktdaten auf Ihrem Captive Portal und Ihrer Website. Das DPDP-Gesetz ist in Bezug auf die Breite der Verpflichtungen nicht so komplex wie die GDPR, aber in Bezug auf die Durchsetzungsabsicht ebenso ernst zu nehmen. Die Datenschutzbehörde hat echten Einfluss, und die Strafstruktur ist so konzipiert, dass sie selbst für große Organisationen spürbar ist. Für einen tieferen Einblick in die Captive Portal-Architektur decken die technischen Leitfäden von Purple die Implementierungsdetails ausführlich ab. Und wenn Sie wissen möchten, wie sich Guest WiFi-Analysen in Ihren breiteren Stack für Venue Intelligence integrieren lassen, bietet die Purple WiFi-Analytics-Plattform eine Datenerfassung, bei der die Einwilligung im Mittelpunkt steht. Vielen Dank fürs Zuhören. Bis zum nächsten Mal.