Das indische Computer Emergency Response Team hat im April eine Richtlinie herausgegeben, in der Tech-Unternehmen aufgefordert werden, Datenschutzverletzungen innerhalb von sechs Stunden nach "Bemerken solcher Vorfälle" zu melden und IT- und Kommunikationsprotokolle sechs Monate lang aufzubewahren.

Außerdem wurden Cloud-Service-Anbieter wie Amazon und VPN-Anbieter (Virtual Private Network) verpflichtet, die Namen ihrer Kunden und IP-Adressen mindestens fünf Jahre lang aufzubewahren, auch wenn sie die Dienste des Unternehmens nicht mehr nutzen.

Die Maßnahmen haben in der Branche Besorgnis über eine wachsende Belastung durch Compliance und höhere Kosten ausgelöst.

Der indische Junior-IT-Minister Rajeev Chandrasekhar sagte, dass es trotz der Bedenken keine Änderungen geben werde und dass Technologieunternehmen verpflichtet seien, zu wissen, wer ihre Dienste nutzt.

Indien hat in den letzten Jahren die Regulierung von Big Tech-Firmen verschärft, was zu Widerstand in der Branche führte und in einigen Fällen sogar die Handelsbeziehungen zwischen Neu-Delhi und Washington belastete.

Neu-Delhi erklärte, die neuen Regeln seien notwendig, da zwar regelmäßig Vorfälle im Bereich der Cybersicherheit gemeldet würden, die zur Untersuchung erforderlichen Informationen aber nicht immer ohne weiteres von den Dienstleistern erhältlich seien.

Aber die Regeln haben weit verbreitete Unzufriedenheit hervorgerufen. Bei einem Treffen hinter verschlossenen Türen in dieser Woche diskutierten viele Führungskräfte von sozialen Medien und Technologieunternehmen Strategien, um Neu-Delhi zu drängen, die Regeln auf Eis zu legen, so eine Quelle mit direkter Kenntnis.

Die Quelle sagte, dass die europäischen Behörden verlangen, dass Datenschutzverletzungen innerhalb von etwa 72 Stunden gemeldet werden, und fügte hinzu, dass es schwierig sei, Vorfälle innerhalb von sechs Stunden zu melden.

Chandrasekhar sagte jedoch, Indien sei großzügig, da einige Länder eine sofortige Meldung vorschreiben.

Die Regeln sollen ab Ende Juni in Kraft treten. Nach ihrer Ankündigung erklärte NordVPN, einer der weltweit größten VPN-Anbieter, dass er möglicherweise seine Server aus Indien entfernen wird.

Datenschützer sagten, die Regeln widersprächen der Idee von VPN, die darin besteht, die Identität von Personen wie Whistleblowern vor Überwachung zu schützen.

"Wenn Sie sich nicht an diese Regeln halten wollen und wenn Sie sich zurückziehen wollen, dann müssen Sie sich zurückziehen", sagte Chandrasekhar gegenüber Reportern.