Indien: VPN-Dienste sollen umfangreich Nutzungsdaten erheben und Jahre speichern
Ab Juni müssen VPN-Anbieter in Indien jede Menge Daten zu ihren Nutzern und Nutzerinnen vorhalten. Bei Nichtbefolgung droht schlimmstenfalls sogar Gefängnis.
(Bild: deepadesigns/Shutterstock.com)
In Indien müssen Anbieter von VPN-Diensten ab Juni personenbezogene Daten zu ihren Nutzerinnen und Nutzern erheben und für mindestens fünf Jahre vorhalten. Das hat das indische CERT (Indian Computer Emergency Response Team) verfügt. Gespeichert werden müssen demnach unter anderem "bestätigte Namen", die Zeit der Nutzung, die zugewiesenen IP-Adressen, die jeweiligen E-Mail-Adressen und die bei der Registrierung verwendete IP-Adresse, der Zweck der Nutzung, sowie eine bestätigte Adresse und Telefonnummern. Auf die Nichtbefolgung der Vorschriften stehen laut indischen Medien bis zu ein Jahr Gefängnis.
Daten für die Krisenreaktion
Die beim Ministerium für Elektronik und Informationstechnologie angesiedelte Behörde begründet die Vorgabe mit der ihr zugewiesenen Aufgabe, im Fall von Cybersicherheitsvorfällen die nötigen Notfallmaßnahmen zu koordinieren. Manchmal seien die dafür nötigen Informationen nicht vorhanden oder könnten nicht leicht verfügbar gemacht werden, auch wenn sie grundlegend für die eigene Arbeit seien.
Neben den VPN-Diensten werden deshalb auch Rechenzentren, und Cloudanbieter zur Erhebung und Aufbewahrung der Daten verpflichtet. Hinzu kommen Vorgaben zur Anfertigung von Logs, die für andere Unternehmen der IT-Branche gelten. Dienstleister aus der Kryptogeldbranche sollen ebenfalls für fünf Jahre alle Informationen über Kunden und Kundinnen vorhalten.
Wie VPN-Dienste auf die Vorschriften reagieren werden, ist noch unklar. Viele werben als vertrauensbildende Maßnahme explizit damit, dass sie keine Protokolle (Logs) anlegen. Einige Anbieter versprechen sogar, dass sie datenträgerlose Server einsetzen, deren Systeme ausschließlich im Arbeitsspeicher laufen. Es könnte also sein, dass die Vorgaben rein technisch nicht umsetzbar sind. Die Verpflichtung gilt ab 60 Tage nach der Veröffentlichung, also ab dem 27. Juni.
In Bezug auf das Internet gilt Indien laut Freedom House als "teilweise frei", die Situation verschlechtert sich seit Jahren. In dem Land werden besonders häufig Internetsperrungen verhängt, es werden aber auch Tausende Internetseiten blockiert. VPN-Dienste bieten hier eine Möglichkeit, die blockierten Inhalte trotzdem einzusehen. Sollten die Vorgaben dafür sorgen, dass sich die Anbieter aus dem Land zurückziehen, wäre das ein weiterer Rückschlag für die Internetfreiheit in dem Land, das in Bezug auf die Zahl der Internetnutzenden weltweit nur hinter China liegt.
Siehe auch:
- VPN-Anbieter im Vergleich bei heise Download
(mho)