Indien will VPN-Dienste zu Nutzerdatenspeicherung zwingen
In Indien sollen VPN-Anbieter künftig detaillierte Daten ihrer Kundinnen und Kunden speichern. Das hat das Indian Computer Emergency Response Team (CERT-In) verfügt. Die Behörde ist für die Sicherheit des Internets im Land zuständig und dem Ministerium für Elektronik und Informationstechnologie unterstellt.
Der Anordnung vom 28. April zufolge müssen die Diensteanbieter ab dem 27. Juni folgende Informationen bis zu fünf Jahre lang speichern: “bestätigte Namen”, Zeit der Nutzung, IP-Adressen, E-Mail-Adressen, bei der Registrierung verwendete IP-Adresse, Zweck der Nutzung, sowie eine bestätigte Wohnadresse und Telefonnummern. Die Behörde erklärte, mit der Datenerhebung im Fall von IT-Sicherheitsvorfällen Notfallmaßnahmen koordinieren zu wollen; die Daten seien “unerlässlich” für Analyse, Untersuchung und Koordinierung von IT-Vorfällen wie Angriffen. Kritiker halten diese Argumentation für vorgeschoben und vermuten hinter dem indischen Vorstoß einen Versuch, das Internet im Land noch stärker zu regulieren.
Sollten sich Unternehmen nicht an die neuen Regeln halten, sind Strafen von bis zu einem Jahr Haft vorgesehen. Auch Rechenzentren und Cloud-Anbieter werden zu der Erhebung und Aufbewahrung der Daten verpflichtet.
VPN-Dienste werden unter anderem dazu genutzt, staatliche Sperren und Zensur im Internet zu umgehen und den Nutzenden Anonymität zu gewähren. Sie werden unter anderem von Pressevertretern und Oppositionellen in autoritär regierten Staaten verwendet. Die Menschenrechtsorganisation Amnesty International India schrieb auf Twitter: “In diesem Umfeld der Zensur und anderer Angriffe auf das Recht auf freie Meinungsäußerung bieten VPNs digitale Anonymität, die entscheidend dazu beigetragen hat, die Rechte von Journalisten, Aktivisten und Studenten zu schützen, die unerbittlich verfolgt werden, weil sie der Macht die Wahrheit sagen.”
Laut dem Anbieter atlasVPN hat mehr als jeder fünfte Einwohner Indiens im Jahr 2021 einen VPN-Dienst genutzt. “Diese Richtlinie verstößt eindeutig gegen die Verpflichtungen Indiens aus den internationalen Menschenrechtsnormen”, urteilte Amnesty. Die Regierung müsse das Recht auf freie Meinungsäußerung für jeden schützen und diese Richtlinie “unverzüglich” zurückziehen.
VPN-Anbieter skeptisch
Die personenbezogenen Daten sollen auch dann weiter vorgehalten und gepflegt werden, wenn die jeweiligen Nutzer die Dienstleistung nicht mehr abonniert haben.
“Dieser jüngste Schritt der indischen Regierung, von VPN-Anbietern die Herausgabe persönlicher Nutzerdaten zu verlangen, stellt einen besorgniserregenden Versuch dar, die digitalen Rechte der indischen Bürger zu verletzen”, urteilte Harold Li, Vizepräsident des Anbieters ExpressVPN, gegenüber der IT-Nachrichtenseite Wired.
Einige VPN-Anbieter haben in ersten Stellungnahmen angedeutet, die staatlichen Vorschriften nicht umzusetzen – oder sie aus technischen Gründen nicht umsetzen zu können. Li sagte, ExpressVPN würde niemals Nutzerdaten oder -aktivitäten protokollieren und dass es seine “Abläufe und Infrastruktur anpassen wird, um diesen Grundsatz zu wahren, falls und wenn nötig”.
Die Anonymität der Nutzer gehört bei vielen Anbietern zum Geschäftsmodell, sodass die von den Behörden nun geforderten Daten gar nicht vorliegen.
So erklärte Gytis Malinauskas, Leiter der Rechtsabteilung von Surfshark, gegenüber dem Technikmagazin Wired, dass der VPN-Anbieter die neuen indischen Regelungen derzeit nicht erfüllen könne. Die Server nutzten nur RAM-Speicher und könnten Daten nicht dauerhaft speichern. “Wir sind noch dabei, die neue Verordnung und ihre Auswirkungen auf uns zu untersuchen, aber das allgemeine Ziel ist es, allen unseren Nutzern weiterhin Dienste ohne Protokollierung anzubieten”, sagte er.
Der Anbieter ProtonVPN bezeichnete den Schritt als eine Aushöhlung der bürgerlichen Freiheiten. Eine Sprecherin von Nord VPN warnte: “Wir könnten unsere Server aus Indien entfernen, wenn es keine anderen Möglichkeiten gibt.”
Indien bedroht Freiheit im Netz
Die indische Regierung arbeitet zunehmend an der Restriktion des Internets: In keinem anderen Land wurde 2021 das Netz so oft gesperrt wie in Indien. Die Organisation Access Now registrierte im vergangenen Jahr 106 Fälle von flächendeckenden Netzabschaltungen, Verlangsamungen der Übertragungsgeschwindigkeit oder Blockaden einzelner Dienste wie sozialer Medien.
Ziel der Maßnahmen war unter anderem die Unterdrückung der sogenannten Bauernproteste gegen eine Agrarreform. Die Behörden hätten laut Access Now versucht, die Kommunikation zwischen den Demonstrierenden und die Berichterstattung der Presse zu verhindern. In der Region Jammu und Kaschmir war das Internet sogar 551 Tage lang durchgängig abgeschaltet.
Die Menschenrechtsorganisation Human Rights Watch hatte erst in der vergangenen Woche auf die zunehmend schlechte Lage der Pressefreiheit in Indien hingewiesen.
Indische Behörden würden Journalisten und Internetnutzer wegen ihrer Kritik an der Regierungspolitik strafrechtlich verfolgen. Indien ist im vergangenen Jahr in der Rangliste der Pressefreiheit von Reporter ohne Grenzen um acht Plätze zurückgefallen und liegt nun auf Rang 150 von 180 Ländern weltweit. Behörden würden Journalisten bedrängen, deren Arbeit erschweren und Kritik an Premierminister Narendra Modi werde systematisch unterdrückt. (hcz)