VPN-Anbieter schalten ihre Server ab. Indien hat eine Vorratsdatenspeicherung für 5 Jahre eingeführt. Wer sich weigert, muss ins Gefängnis.
Seit dem 27. Juni müssen unter anderem Anbieter von VPN-Diensten in Indien personenbezogene Daten von ihren Nutzern erheben und für den Fall von Behördenanfragen für mindestens fünf Jahre speichern. Das hat bereits im Mai das indische CERT (Indian Computer Emergency Response Team) erlassen. Bei Unterlassung der Speicherung bzw. Weitergabe droht den Betreibern der VPN-Server in Indien bis zu einem Jahr Freiheitsentzug.
In der Folge haben bereits mehrere Unternehmen den Rückzug ihrer VPN-Server aus Indien angekündigt.
CERT untersteht in Indien dem Ministerium für Technologie
Die VPN-Anbieter müssen konkret die Namen, Anschriften, Telefonnummern, E-Mail-Adressen, ihre IP-Adressen nebst einer detaillierten Aufstellung der Nutzung ihres Dienstes bereithalten. Als Begründung gab das CERT an, nur so könne man Notfallmaßnahmen koordinieren, sollte es zu Vorfällen kommen, die die IT-Sicherheit in Indien betreffen. Das CERT untersteht dort dem Ministerium für Elektronik und Informationstechnologie.
Regelung betrifft auch Rechenzentren und Krypto-Handelsplätze
Neben den VPN-Diensten müssen vergleichbare Daten auch Betreiber von Rechenzentren, Cloudanbietern und von Krypto-Handelsplätzen dauerhaft aufbewahren. In Indien gilt das KYC-Prinzip. Dieses verpflichtet Krypto-Anbieter dazu, die Identität ihrer Kunden ausführlich zu überprüfen. Zudem sind seit dem vergangenen Montag Rechenzentren etc. dazu verpflichtet, Logfiles anzulegen, um sie zu speichern.
Speicherung bei mehreren Anbietern angeblich nicht vorgesehen
Die VPN-Branche hat nun auf den Vorstoß von Indien reagiert. ExpressVPN schreibt auf dem eigenen Blog, man lehne es ab, die Daten der Nutzer zu gefährden. Weil die Server im RAM-Betrieb laufen, sei eine Anfertigung der Nutzungsdaten weder vorgesehen noch möglich. Mittels virtueller Server könne man aber weiterhin Webseiten eine indische IP-Adresse vorgaukeln. Die entsprechenden VPN-Server befinden sich allerdings in Singapur und Großbritannien. Sie fallen somit nicht unter die neue Gesetzgebung.
Für virtuelle Server in Singapur hat sich auch der Wettbewerber PureVPN entschieden. Mullvad gibt in seinen übearbeiteten FAQs an, man sei nur der schwedischen Rechtssprechung und nicht der eines anderen Landes unterstellt. Endscheidend ist aber die Tatsache, dass Mullvad in Indien gar keine VPN-Server unterhält. Wir haben noch bei weiteren VPN-Firmen angefragt, wie sie ab sofort mit dieser Problematik umgehen wollen. Update: hide.me gab am 10. Juni bereits bekannt, dass man die Server in Indien gekündigt hat.