Indiens strenge Datenschutzbestimmungen für VPN-Anbieter um 3 Monate verschoben

Das indische Computer Emergency Response Team (CERT-In) hat am Montag beschlossen, seine neuen Datenschutzbestimmungen für Rechenzentren, Virtual Private Network (VPN)-Anbieter, Virtual Private Server (VPS)-Anbieter und Cloud-Service-Anbieter um weitere drei Monate zu verschieben.

Die Frist zur Einhaltung der neuen Datenschutzbestimmungen in Indien sollte am 27. Juni 2022 in Kraft treten, wurde nun jedoch bis zum 25. September 2022 verlängert.

„Die Verlängerung der Fristen für die Umsetzung dieser Cyber-Sicherheitsrichtlinien vom 28. April 2022 wurde im Hinblick auf Mikro-, kleine und mittlere Unternehmen (MSMEs) gefordert, um angemessene Zeit für den Aufbau der erforderlichen Kapazitäten für die Umsetzung dieser Richtlinien zu schaffen“, hob CERT-In in seiner neuen Mitteilung am Montag hervor.

„Außerdem wurde auch zusätzliche Zeit für die Umsetzung des Mechanismus zur Validierung von Abonnenten/Kunden durch Rechenzentren, Virtual Private Server (VPS)-Anbieter, Cloud-Service-Anbieter und Virtual Private Network Service (VPN-Service)-Anbieter beantragt.“

Für die Unwissenden: Am 28. April 2022 gab das CERT-In Cyber-Sicherheitsrichtlinien für Rechenzentren, VPS-Anbieter, Cloud-Service-Anbieter und Virtual Private Network Service (VPN-Service)-Anbieter heraus, die von ihnen verlangen, Benutzerinformationen mindestens fünf Jahre lang zu sammeln/speichern – selbst nachdem die Benutzer den Dienst nicht mehr nutzen – und diese der Behörde zu übergeben. Wer sich weigert, kann bis zu einem Jahr Gefängnis drohen.

Die neuen Regeln erforderten, dass sie die folgenden Informationen sammeln:

2. Validierte Namen von Abonnenten/Kunden, die die Dienste in Anspruch nehmen

3. Mietzeitraum einschließlich Daten

4. IPs, die den Mitgliedern zugewiesen werden / von diesen verwendet werden

5. E-Mail-Adresse und IP-Adresse sowie Zeitstempel, die zum Zeitpunkt der Registrierung / Einarbeitung verwendet wurden

6. Zweck der Inanspruchnahme von Dienstleistungen

7. Validierte Adresse und Kontaktnummern

8. Eigentumsverhältnisse der Abonnenten/Kunden, die die Dienste in Anspruch nehmen

Zurecht wurden die neuen Regeln von VPN-Anbietern, Cybersicherheitsexperten und Technologen heftig kritisiert, da sie die Privatsphäre und Sicherheit des indischen Marktes erheblich schwächen würden.

Lokale Cybersicherheitsexperten aus Indien und der ganzen Welt haben eine Verschiebung der Einhaltung der im April erlassenen Richtlinien gefordert. Sie haben am Montag einen gemeinsamen Brief an CERT und das Ministerium für Elektronik und Informationstechnologie (MeiTY) gesendet, in dem sie vor den negativen Auswirkungen warnen, die die Richtlinien auf Cybersicherheit und Privatsphäre haben würden.

„Die Richtlinien in ihrer aktuellen Form werden die unbeabsichtigte Folge haben, die Cybersicherheit und ihren wesentlichen Bestandteil der Online-Privatsphäre zu untergraben. Wir sind uns der Notwendigkeit bewusst, einen Rahmen für die Meldung von Cybervorfällen zu schaffen, aber die Fristen für die Meldung und die übermäßigen Datenaufbewahrungsanordnungen, die in den Richtlinien festgelegt sind, werden in der Praxis negative Folgen haben und die Effektivität beeinträchtigen, während sie die Privatsphäre und die Online-Sicherheit gefährden“, schrieben sie.

In der Zwischenzeit haben VPN-Anbieter wie NordVPN, Surfshark, ExpressVPN und PureVPN bereits ihre physischen VPN-Server in Indien abgeschaltet, da sie der Meinung sind, dass die neuen VPN-Regeln das Recht auf Datenschutz verletzen.

Die indische Regierung hat ihrerseits klar gemacht, dass sie nicht die Absicht hat, die neuen Regeln zu lockern, und auch keine öffentlichen Diskussionen zu diesem Thema führen wird.