Schlagwort: Indien
27. März 2013
Indiens Regierung plant Medienberichten zufolge im Rahmen des Projekts Aadhar, alle Einwohner – auch biometrisch – zu erfassen und jedem eine Personennummer zuzuteilen (Unique Identification, UID). In den kommenden vier Jahren sollen 600 Millionen Inder mit UIDs versehen werden. Geplant sei, dies auf alle 1,2 Milliarden Einwohner Indiens auszuweiten. Die für das Projekts im vergangenen Jahr gegründete Behörde Unique Identification Authority of Inida (UIDAI) trage für die Ablaufkontrolle die Verantwortung.
Die Regierung Indiens wolle damit erstmalig in der Landesgeschichte die klare und eindeutige Identifikation aller Bürger ermöglichen. Davon sollen vor allem Einwanderer, Arme oder die ländliche Bevölkerung profitieren, da erst die eindeutige Identifikation dazu beitrage, Bankgeschäfte zu tätigen, Sozialhilfe zu beantragen oder aber eine Schulausbildung zu erhalten. Kritiker hingegen sollen das Projekt als “Schnellschuss” einordnen und insbesondere datenschutzrechtliche Probleme sehen. Der diesbezügliche Gesetzesentwurf enthalte beispielsweise mannigfaltige Schwachstellen bezüglich des Vermeidens einer unbefugten Nutzung der personenbezogenen Daten.
17. April 2012
Wie The Economist Times berichtet, hat Neu Delhi die EU aufgefordert, Indien in die Riege der sicheren Drittstaaten mit angemessenem Datenschutzniveau aufzunehmen. Dieser Status ermöglicht den Ländern, auf die in der Praxis schwer durchsetzbaren Standardvertragsklauseln der EU zu verzichten.
Bislang ist es EU-Staaten nicht ohne Weiteres erlaubt, sensible personenbezogene Daten nach Indien zu übermitteln. Dies behindere zum Beispiel Dienstleistungen wie die Telemedizin und schränke insgesamt den Dienstleistungsverkehr ein.
In Indien beruft man sich auf Verbesserungen der heimischen Datenschutzgesetze, die nun eine hohe Datensicherheit gewährleisten sollen. Aus den USA gäbe es bereits ungehindert die Möglichkeit, auch sensible Daten nach Indien zu übermitteln und Dienstleistungen auszulagern. Der Vorteil für Indien, in den jeweiligen Wirtschaftszweigen zu wachsen, sei groß, wenn nur die EU Indien als sicheres Land im Sinne des Datenschutzes deklariere. Die EU dürfe den Blick nicht nur auf Konformität mit den eigenen Regeln lenken. Auch wenn Indien abweichende Regelungen treffe, könnten diese als niveaukonform bewertet werden und angemessenen Datenschutz gewährleisten.
12. Januar 2012
Die Hackergruppierung The Lords of Dharmaraja hat einige Dokumente veröffentlicht, die Medienberichten zufolgen belegen, dass Apple, Nokia und Research in Motion (RIM) mit einem indischen Geheimdienst Verträge eingegangen sind, die die Überwachung von Kunden-E-Mails erlauben. Dies soll Bedingung für den Zugang zum indischen Markt gewesen sein. Einem der Schreiben ist zu entnehmen, dass neben den namentlich genannten Firmen alle wichtigen Gerätehersteller eine solche Vereinbarung abgeschlossen hätten. Weiterhin soll aus einem anderen Dokument hervorgehen, dass über diese Schnittstelle auch eine E-Mail der U.S.-China Economic and Security Review Commission (USCC), die sich mit Wirtschafts- und Sicherheitsfragen in den Beziehungen zwischen USA und China beschäftigt, mitgelesen wurde. USCC Verantwortliche überprüfen laut Reuters die Sachlage und sehen sich momentan nicht zu einer weiteren Stellungnahme in der Lage.
Ebendiesem Reuters Artikel zufolge hat Apple Sprecherin Trudy Muller dementiert, dass Apple eine Hintertür für die Indische Regierung in seine Produkte integriert habe. Ein indischer RIM-Sprecher erklärte gegenüber Reuters, dass man Gerüchte nicht kommentiere und Nokia lehnte jeglichen Kommentar ab. RIM musste bereits in der Vergangenheit sowohl Indien, als auch Saudi Arabien und den Vereinigten Arabischen Emiraten Zugang zu bestimmten verschlüsselten Teilen seines BlackBerry Systems gewähren, um nicht von diesen Märkten ausgeschlossen zu werden.
Für die Plausibilität der Berichte spricht, dass die Hacker von The Lords of Dharmaraja kürzlich zweifelsfrei einen Quellcode des Sicherheitsspezialisten Symantec entwenden konnten. Auch bezüglich dieses Quellcodes deuten einige Anzeichen darauf hin, dass dieser von indischen Regierungsservern stammen könnte. (se)
8. September 2011
Wie bereits im Vorfeld erwartet, reagierte die indische Regierung auf die anhaltende Kritik aus der Wirtschaft, die in Bezug auf 43a IT Act laut wurde. In einer Mitteilung vom 24.08.2011 wird nunmehr klargestellt, dass die angegriffenen Regeln ausschließlich auf indische Unternehmen, die in einem direkten Vertragsverhältnis mit einer natürlichen Person stehen, anzuwenden sind. Es wird weiterhin explizit ausgeführt, dass die Regeln nicht anwendbar sind, wenn ein Auftragsdatenverarbeitungsverhältnis mit einem indischen Unternehmen besteht.
Unternehmen, die ihre Datenverarbeitung nach Indien ausgelagert haben, sind somit voraussichtlich durch die Neuregelung nicht betroffen. (se)
13. Juli 2011
Wie bereits berichtet, hat Microsoft offen zugegeben, auch in Europa gespeicherte Daten seines Dienstes Office 365 unter Umständen an US-Behörden weitergeben zu müssen.
Sogleich haben die deutschen Aufsichtsbehörden hierzu eine Reaktion gezeigt: Nach einer Meldung von heise online sieht Dr. Thilo Weichert vom Unabhängigen Landeszentrums für Datenschutz Schleswig Holstein (ULD) in einer solchen Datenweitergabe aus dem EU-Gebiet heraus einen Widerspruch zum europäischem Datenschutzrecht. Ein drohender Zugriff von US-Behörden stelle die Vertraulichkeit der gespeicherten Daten infrage und entziehe bestehenden Verträgen zur Datenverarbeitung somit die Grundlage. Auf Grund dessen lasse sich sowohl ein Sonderkündigungsrecht ableiten als auch die Feststellung treffen, dass Microsoft als Anbieter von Cloud-Lösungen wie Office 365 und Windows-Azure für personenbezogene IT-Dienstleistungen ausscheide. Als Alternative käme ferner der Bezug von Office 365 über T-Systems infrage, da dieser Anbieter seinen Nutzern zusichert, dass die Daten ausschließlich auf “unter eigener Kontrolle stehenden” Servern gespeichert werden.
Dies zeigt einmal mehr, dass das Feld des Cloud Computing in Bezug auf Datenschutz rechtlich immer noch ein Minenfeld ist. (se)
Update:
Auch seitens der EU-Kommission liegt nunmehr eine Reaktion vor: Matthew Newman, der Pressessprecher der für Justiz-, Grundrechts- und Bürgerschaftsbelange zuständigen EU-Kommisarin Viviane Reding, hat sich gegenüber CHIP Online zu der Datenübermittlung in die USA im Rahmen des Patriot Acts geäußert. Nach seinem Verständnis muss sich dabei “jedwede Übertragung personenbezogener Daten in Drittstaaten (…) an die grundlegenden Prinzipien des Datenschutzes in der EU halten”. Wenn ein Drittland Zugriff auf Daten aus dem EU-Raum erlangen wolle, setze dies voraus, “die etablierten offiziellen Kommunikationswege zwischen öffentlichen Ämtern benutzen”.
Zur abschließenden Regelung des Problems hält Newman es für unerlässlich, “eine allumfassende Vereinbarung zwischen der EU und den USA über die gemeinsamen Datenschutz-Prinzipien zu treffen, um die personenbezogenen Daten, die ausgetauscht werden, im Kontext der Verbrechens- und Terrorismusbekämpfung zu schützen.” (se)
6. Juli 2011
Es scheint so, als reagierte Indien auf die anhaltende Kritik aus der Wirtschaft, die in Folge des 43a IT Act steigende Kosten und mangelnde Akzeptanz für Indien als Datenverarbeitungsstandort erwartet.
Kamlesh Bajaj, CEO des DSCI (Data Security Council of India), gab bekannt, dass die Regierung innerhalb der kommenden 2-3 Wochen mit Hilfe eines Amendments (Änderungsantrag) klarstellen will, dass die strikten Regeln bezüglich der schriftlichen Einwilligung nur für die Erhebung der Daten von indischen Kunden maßgeblich seien. Er betonte in seiner Stellungnahme explizit, dass die Firmen, welche ihre Datenverarbeitung nach Indien verlagern, keine schriftliche Einwilligung von Personen außerhalb Indiens einholen müssten, bevor sie deren Daten erheben. Somit seien aus seiner Sicht die Sorgen bezüglich steigender Kosten unbegründet. (se)
29. Juni 2011
Die indische Regierung plant ein neues Gesetz, das erhebliche Sanktionen, darunter die Rücknahme von Lizenzen von Telekommunikationsanbietern, für illegales Abhören von Telefongesprächen und der Veröffentlichung entsprechender Gesprächsinhalte.
Der Gesetzesentwurf (Right to Privacy Bill) sieht ebenso vor, dass eine Behörde (Data Protection Authority of India, DPAI) die Einhaltung der Datenschutzvorschriften überwachen, Beschwerden über mutmaßliche Verletzungen von Datenschutzvorschriften entgegennehmen und in diesen Fällen ermitteln soll.
Während illegale Spionage oder das Abfangen von Informationen zu einer Gefängnisstrafe bis zu fünf Jahren und Geldstrafe von 100.000 INR (ca. 1.550 €) führen soll, sollen Personen, die bei der Verbreitung so erlangter Kommunikationsinhalte oder anderer persönlicher Informationen mitwirken mit einer Gefängnisstrafe bis zu drei Jahren und einer Geldstrafe bis zu 50.000 INR (ca. 770 €) bestraft werden können.
Das Gesetz soll auch die staatlichen Bediensteten nicht ausnehmen. Wird eine Gesetzesverletzung durch ein Ministerium begangen, so soll der Behördenleiter bestraft und haftbar gemacht werden können, außer er beweist, dass der Verstoß ohne sein Wissen erfolgte oder er alle erforderlichen Sicherheitsmaßnahmen befolgt hat um eine solchen Tat zu verhindern.
Nachdem Indien den Datenschutz sehr lange Zeit kaum beachtet hat, ist festzustellen, dass sich das Datenschutzbewusstsein dort erheblich verstärkt hat und in letzter Zeit vergleichsweise viele Maßnahmen erfolgten oder zumindest diskutiert wurden.
7. Juni 2011
Die Philippinen sind auf den ersten Blick kein Land, das für die deutschen Wirtschaftsbeziehungen von besonderer Bedeutung ist. Im Hinblick auf die Globalisierung, insbesondere auch im Bereich der Auftragsdatenverarbeitung, lohnt sich jedoch auch ein Blick auf vermeintliche geografische Randgebiete. Nachdem die neuen strengen Datenschutzregelungen Indiens sowohl dort selbst als auch im Ausland bereits für einigen Diskussionsstoff gesorgt haben, erfährt der Bereich Datenschutz nun auch in anderen Gegenden Asiens wie den Philippinen verstärkt Aufmerksamkeit. Anknüpfungspunkt ist auch dort weniger der Persönlichkeitsschutz als vielmehr wirtschaftliche Gründe. Potentielle Investoren, speziell aus den USA und Europa werden von allzu mangelhaften Datenschutzvorkehrungen nämlich abgeschreckt und eine positive Entwicklung für den BPO Sektor (Business Process Outsourcing), der auf den Philippinen eine erhebliche Rolle auf dem Beschäftigungssektor spielt, wird dadurch verhindert. Insbesondere das Problem des „Datendiebstahls“ stellt dort einen Risikofaktor dar.
Um diese Besorgnisse aus dem Ausland zumindest mildern zu können, sollen daher nun verschiedene datenschutzbezogene Gesetze, das Datenschutzgesetz, das Gesetz zur Errichtung eines Ministeriums für Informations- und Kommunikationstechnologie (DICT) sowie das Gesetz zur Vorbeugung von Internet – Kriminalität, verabschiedet werden. Trotz bereits erfolgter Beratung steht die endgültige Verabschiedung momentan jedoch noch aus.
Auch wenn der Gesetzesentwurf zum Datenschutzgesetz primär die BPO – Industrie begünstigt, wird jedoch auch ein Schutz von Privatpersonen, deren personenbezogene Daten bei Behörden oder Firmen gespeichert sind, bezweckt. Sollte der Entwurf verabschiedet werden, dürfte künftig keine Stelle mehr, unabhängig davon ob staatliche Behörde oder privatwirtschaftliche Firma, persönliche Informationen von Kunden oder Bürgern ohne vorheriges Einverständnis der Betroffenen weitergeben.
Es bleibt abzuwarten, wie stark sich das Datenschutzlevel von Entwicklungs- und Schwellenländern in der nächsten Zeit erhöht. Festzustellen ist jedenfalls, dass die höheren, wenn auch noch nicht unbedingt ausreichenden, Datenschutzregelungen der Industrienationen spürbare Auswirkungen auf das Datenschutzbewusstsein in anderen Ländern haben. Nicht zu vergessen ist im Datenschutz letztlich jedoch auch die technische Komponente. Denn unabhängig von dem Schutzniveau der Gesetze zeigte sich schließlich erst kürzlich bei erfolgreichen Hacker – Angriffen auf Sony oder Nintendo, wie anfällig selbst die Systeme weltweit agierender Konzerne sind, bei denen man aufgrund der finanziellen Mittel eigentlich von einer besonderen Sicherheit sowohl im juristischen als auch technischen Bereich ausgehen können sollte.
3. Juni 2011
Das neue Datenschutzgesetz in Indien bringt auch neue Herausforderungen für CIOs mit sich, deren Unternehmen Niederlassungen in Indien haben bzw. dort Outsourcing-Projekte betreiben, da die indischen Datenschutzregeln für alle Organisationen und Unternehmen gelten, die personenbezogene Daten und Informationen in Indien erheben oder verarbeiten lassen, einschließlich solcher personenbezogener Daten, die außerhalb Indiens erhoben worden sind.
Zwar sind viele der neuen gesetzlichen Regelungen mit denen der EU oder der USA vergleichbar. Allerdings enthält das neue Indische Datenschutzgesetz auch Anforderungen, die deutlich strenger sind, wie etwa die Verpflichtung, besondere personenbezogene Daten nur nach vorheriger schriftlicher Zustimmung des Betroffenen zu erheben und zu verarbeiten.
Obwohl die Indischen Datenschutzregeln die Entwicklung Indiens als Drehkreuz globaler Datenverarbeitung unterstützen und fördern sollen, werden CIOs dennoch vor der Aufgabe stehen, bislang etablierte Prozesse an die neuen gesetzlichen Anforderungen anzupassen.
25. Mai 2011
Die Neuerungen im indischen Datenschutzrecht zeigen nun bei Firmen in den USA erste Auswirkungen. Verschiedene amerikanische Firmen und auch einige indische Firmen, die um ihre Geschäftsbeziehungen fürchten, halten die nun erforderte schriftliche Zustimmung einer Person, bevor ihre persönlichen Daten gesammelt und genutzt werden dürfen, für viel zu restriktiv. Es wird befürchtet, dass viele Firmen nicht bereit sind, das Risiko einzugehen, dass ein Kunde, der die ausdrücklich Anfrage aus Indien bekommt, ob seine Daten dort gespeichert und genutzt werden dürfen, seine Zustimmung dafür verweigert. Stattdessen würden Firmen ihr Geschäft dann eher nach China oder auf die Philippinen auslagern, wo solche Bestimmungen nicht gelten. Auch Google protestiert gegen einige Passagen aus dem neuen Gesetz, wonach ein Internetanbieter für Inhalte verantwortlich gemacht werden, die als “belästigend”, “grob schädlich” oder “ethnisch verwerflich anzusehen sind.
Der indische Minister für Informationstechnologie verteidigte das Gesetz damit, dass es einem seit langem geäußerten Begehren der IT-Industrie nachkäme, endlich gesetzlich Rahmenregelungen für den Datenschutz zu schaffen. Auch einige amerikanische Firmen befürworteten jedenfalls die Richtung des Gesetzes, da so das Vertrauen im Ausland hinsichtlich der ausgelagerten Datenverarbeitung in Indien gestärkt werde.
Ob und wie lange das Gesetz in seiner momentanen Ausgestaltung bestehen bleibt, dürfte letztlich maßgeblich von der Frage abhängen, wie stark der Druck aus dem Ausland noch wird. Da Indien in extrem hohen Maß auf die IT- und Outsourcing- Branche angewiesen ist, könnten allzu starke Proteste und Rückzugsdrohungen von Firmen aus diesem Bereich durchaus noch zu einer Änderung des Gesetzes führen.
