Gemäß einem Gesetz, das diesen Monat in Kraft treten soll, sind VPN-Anbieter verpflichtet, Benutzerdaten und IP-Adressen mindestens fünf Jahre lang aufzubewahren – auch nachdem Kunden den Dienst nicht mehr nutzen. „VPNs sind von zentraler Bedeutung Online-DatenschutzAnonymität und Meinungsfreiheit, sodass diese Einschränkungen einen Angriff auf die digitalen Rechte darstellen“, sagte Harold Li, Vizepräsident von ExpressVPN, gegenüber der Thomson Reuters Foundation. „Die neuen Gesetze gehen zu weit und sind so weit gefasst, dass sie das Fenster für potenziellen Missbrauch öffnen. Wir weigern uns, die Daten unserer Benutzer einem Risiko auszusetzen … daher haben wir die sehr einfache Entscheidung getroffen, unser in Indien ansässiges VPN zu entfernen Server“, sagte er. Indien gehört laut dem globalen Index von AtlasVPN zu den Top-20-Ländern bei der Einführung von VPNs, wobei die Benutzerzahlen in den Jahren 2020 und 2021 – wie weltweit – stark angestiegen sind, da Unternehmen ihre Netzwerke mit mehr Menschen gesichert haben, die inmitten der Pandemie von zu Hause aus arbeiten. Viele sind Unternehmensbenutzer, aber es gibt auch Aktivisten, Journalisten, Anwälte und Whistleblower, die sie verwenden, um auf blockierte Websites zuzugreifen, ihre Daten zu sichern und ihre Identität zu schützen. Mit der zunehmenden Digitalisierung von Daten und Diensten ist Sicherheit ein großes Thema: Indien belegte im vergangenen Jahr nach Schätzungen von Surfshark VPN mit fast 87 Millionen betroffenen Benutzern den dritten Platz unter den Ländern mit den meisten Datenschutzverletzungen. Die neue Anordnung, die im April vom indischen Computer Emergency Response Team (CERT-In) erlassen wurde, verpflichtet Unternehmen außerdem dazu, Datenschutzverletzungen innerhalb von sechs Stunden nach ihrer Entdeckung zu melden und IT- und Kommunikationsprotokolle sechs Monate lang zu führen. Andernfalls könnten Haftstrafen geahndet werden. Technologiefirmen und Organisationen für digitale Rechte haben Bedenken hinsichtlich des Compliance-Aufwands und des Zeitrahmens für die Berichterstattung geäußert, aber Beamte haben gesagt, dass es keine Änderungen an den Regeln geben wird. „Wenn Sie sich nicht an diese Regeln halten wollen, und wenn Sie sich zurückziehen wollen, dann müssen Sie ehrlich gesagt … zurückziehen“, sagte Indiens Junior-IT-Minister Rajeev Chandrasekhar letzten Monat gegenüber Reportern. MIKROSKOP DER ÜBERWACHUNG Regierungen auf der ganzen Welt erzwingen eine größere Kontrolle über den Informationsfluss im Internet mit einer Reihe von Vorschriften sowie Firewalls, Internet-Shutdowns und Social-Media-Sperren. Indien hat in den letzten Jahren die Regulierung von Big-Tech-Firmen verschärft und die Entfernung von Inhalten angeordnet. Auch Dutzende Anwälte, Journalisten und Aktivisten wurden im vergangenen Jahr von der Pegasus-Spyware gehackt. Die indischen Behörden haben sich geweigert zu sagen, ob die Regierung Pegasus-Spyware zur Überwachung gekauft hat. Jetzt können die neuen CERT-In-Regeln verwendet werden, um mehr Bürger genau zu beobachten, sagte Ranjana Kumari, eine Aktivistin und Direktorin des Zentrums für Sozialforschung in Neu-Delhi. „Die Regierung hat ihre Kontrolle über das Internet bereits verstärkt, um gegen jeden Dissens vorzugehen, und die Menschen werden bereits zunehmend überwacht“, sagte sie. „Diese neuen Regeln machen es noch schlimmer.“ Während die Behörden klargestellt haben, dass die Regeln nicht für Unternehmens-VPNs gelten, sagte ProtonVPN, dass sie „ein Angriff auf die Privatsphäre sind und drohen, die Bürger unter ein Mikroskop der Überwachung zu stellen“, und fügte hinzu, dass es seine No-Logs-Richtlinie beibehalten würde. Surfshark hat auch eine „strikte No-Logs-Richtlinie, was bedeutet, dass wir unsere Kunden-Browsing-Daten oder Nutzungsinformationen nicht sammeln oder weitergeben“, sagte Gytis Malinauskas, sein rechtlicher Leiter. „Auch technisch wären wir nicht in der Lage, die Protokollierungsanforderungen zu erfüllen“, fügte er hinzu. Ein Sprecher von NordVPN, einem der weltweit größten Anbieter, sagte, dass sie zwar die „Absichten der Regierung, den Zustand der Cybersicherheit zu verbessern … begrüßen, aber glauben, dass der Diskussionszeitraum verlängert werden sollte“. „Wenn es dazu kommt, werden wir erwägen, (unsere) Präsenz aus Indien zu entfernen.“ Der Information Technology Industry Council, eine globale Koalition, sagte, die neuen Richtlinien – einschließlich der „überweiten“ Definition meldepflichtiger Vorfälle und einer sechsstündigen Meldefrist – könnten „die Cybersicherheit tatsächlich untergraben“. Das Überwachungsrisiko für Millionen von Menschen wird durch das Mandat zur Vorratsdatenspeicherung in der Richtlinie von CERT-In verschärft, sagte Raman Jit Singh Chima, Policy Director für den asiatisch-pazifischen Raum bei Access Now, in einem offenen Brief am 1. Juni. „Die Verpflichtung von Dienstanbietern, einschließlich VPN-Anbietern, Informationen zu protokollieren, die sie andernfalls möglicherweise fünf Jahre oder länger nicht sammeln, verstößt gegen das durch die indische Verfassung geschützte Recht auf Privatsphäre“, sagte er. Das indische Ministerium für Informationstechnologie war für eine Stellungnahme nicht zu erreichen. Die Behörden haben Anfragen von Technologiefirmen und Gruppen für digitale Rechte abgelehnt, die Implementierung zu verzögern, und sagten, der Zeitplan für die Berichterstattung sei „sehr großzügig“. ALLE IN GEFAHR Indien ist nicht das einzige Land, das gegen VPNs vorgeht. Russland hat im vergangenen Jahr mehrere VPN-Dienste als Teil einer umfassenderen Kampagne verboten, die laut Kritikern die Internetfreiheit einschränkt, obwohl es versäumt hat, sie vollständig zu blockieren. Russlands Bemühungen, globale Nachrichtenseiten und Social-Media-Plattformen nach seiner Invasion in der Ukraine zu blockieren – ähnlich wie Chinas „Große Firewall“ – haben zu Bedenken geführt, dass sich das Internet entlang geopolitischer Linien spaltet und Menschen digital isoliert. Indiens neue Richtlinie wurde ohne Rücksprache mit der Technologiebranche oder mit Organisationen der Zivilgesellschaft ausgearbeitet, sagte Prateek Waghre, politischer Direktor der Internet Freedom Foundation, einer Interessenvertretung für digitale Rechte in Delhi. „Aus diesem Grund gibt es jetzt eine Reihe von Anweisungen, die mehrdeutig sind, mit einer enormen Belastung durch die Einhaltung, einschließlich einer möglichen Inhaftierung wegen Nichteinhaltung“, sagte er. Die Regeln könnten großen Schaden anrichten, insbesondere in Ermangelung eines Datenschutzgesetzes, fügte er hinzu. „Obwohl ein klarer Bedarf an verbesserter Cybersicherheit besteht, sind alle gefährdet, wenn Sie um wahllose Datenerfassung bitten – und es besteht ein größeres Risiko für bereits gefährdete Personen wie Aktivisten, Journalisten, Andersdenkende, Minderheiten.“
Warum VPN-Unternehmen unzufrieden sind
Virtuelle private Netzwerke (VPNs), die Daten verschlüsseln und Benutzern online Anonymität bieten, haben einen Anstieg der Nutzung erlebt Indien in den letzten Jahren, als die Regierung das Internet stärker in den Griff bekam, um Dissens einzudämmen, und immer mehr Menschen von zu Hause aus arbeiteten. Nun, einige VPN Anbieter verlassen Indien, während andere erwägen, dies vor neuen Regeln zu tun, von denen die Regierung sagt, dass sie auf die Verbesserung der Cybersicherheit abzielen, die Firmen jedoch argumentieren, dass sie anfällig für Missbrauch sind und die Daten der Benutzer gefährden könnten.