Indiens Regierung bestätigte am 3. Juli 2026, dass sie an einem neuen Rechtsrahmen zur Regulierung von VPN-Anbietern arbeitet: Diese sollen künftig ein physisches Büro im Land eröffnen, einen lokalen Compliance-Beauftragten benennen und Abonnentendaten - darunter Namen, Adressen und IP-Adressen - fünf Jahre lang speichern. Mitarbeitern von Unternehmen, die sich nicht daran halten, drohen strafrechtliche Konsequenzen bis hin zu Haftstrafen.
Was Indiens neues VPN-Gesetz 2026 verlangen würde
Laut Beamten, die in indischen Medienberichten zitiert werden, orientiert sich der Entwurf an Indiens Information Technology Rules 2021, die große Social-Media-Plattformen bereits verpflichten, einen Chief Compliance Officer und eine Nodal Contact Person als direkte Anlaufstelle für Strafverfolgungsbehörden zu benennen. Auf VPN-Anbieter übertragen, würde dasselbe Modell Folgendes verlangen:
- Registrierung einer lokalen Gesellschaft mit einem physischen Büro in Indien.
- Benennung eines Compliance-Beauftragten als Ansprechpartner der Regierung.
- Fünfjährige Aufbewahrung von Abonnentendaten, einschließlich vollständigem Namen, Adresse, Kontaktdaten und IP-Adressen.
- Herausgabe von Protokollen auf Anfrage - einzelne Mitarbeiter haften bei Verstößen strafrechtlich, bis hin zu möglicher Haft.
Die Richtlinie von 2022, die Anbieter schlicht ignorierten
Es ist nicht Indiens erster Versuch. Bereits 2022 erließ das Indian Computer Emergency Response Team (CERT-In) eine nahezu identische Richtlinie mit einer ursprünglichen Frist zum 27. Juni 2022, die später auf den 25. September 2022 verschoben wurde. Die Reaktion der größten Namen der Branche war unmissverständlich: Proton VPN, NordVPN, ExpressVPN und Surfshark zogen allesamt ihre physischen Server aus Indien ab, anstatt sich zu fügen, und leiteten indische Nutzer stattdessen über virtuelle Server in Singapur und anderswo um. Proton VPN bezeichnete die Richtlinie als "invasives Massenüberwachungsgesetz" und erklärte, keinerlei Absicht zur Einhaltung zu haben.
Warum Behörden strengere VPN-Durchsetzung fordern
Indische Behörden verweisen auf den starken Anstieg von Sperranordnungen für Websites als Beleg dafür, dass anonymisierter Datenverkehr immer schwerer zu kontrollieren ist: Regierungsstellen erließen 2025 mehr als 24.000 Sperranordnungen - mehr als doppelt so viele wie die über 12.000 im Jahr 2024. Beamte argumentieren, ein wachsender Anteil gesperrter Inhalte bleibe erreichbar, weil VPN-Anbieter schlicht keine Protokolle zur Herausgabe führten - und in vielen Fällen überhaupt keine Server innerhalb der indischen Rechtsprechung betrieben. Schätzungen zufolge nutzt etwa die Hälfte der 800 Millionen indischen Internetnutzer zumindest gelegentlich ein VPN, was Behörden zufolge Sperranordnungen landesweit untergräbt.
Der Zeitpunkt folgt zudem auf einen realen Belastungstest der VPN-Nachfrage in Indien. Als Indien im Juni 2026 im Rahmen eines breiteren Vorgehens gegen verschlüsselte Messenger Telegram blockierte, sprunghaft anstiegen die täglichen VPN-Anmeldungen und setzten Millionen neuer Nutzer räuberischer, werbeüberladener Gratis-VPN-Apps aus - ein Anstieg, den Regulierungsbehörden nun als Beleg dafür anführen, dass VPN-Nutzung in Indien mittlerweile so verbreitet ist, dass sie formale Aufsicht erfordert.
Was passiert, wenn Anbieter erneut ablehnen
Wiederholt sich die Geschichte, ist das wahrscheinlichste Ergebnis dasselbe wie 2022: Statt ein lokales Büro zu eröffnen, einen Compliance-Beauftragten strafrechtlicher Verfolgung auszusetzen und fünf Jahre Nutzeraktivität zu protokollieren, würden große No-Log-VPN-Anbieter ihre physische Infrastruktur einfach erneut aus Indien abziehen und indische Nutzer weiterhin über im Ausland gehostete Server bedienen. Das hält den VPN-Zugang formal verfügbar, drängt den Markt aber weiter in Richtung Anbieter, die bereit sind, in einer rechtlichen Grauzone zu operieren - oft dieselben minderwertigen Gratis-Apps, die sich durch die aggressive Werbung finanzieren, über die sich indische Nutzer während der Telegram-Sperre bereits beschwerten.
Indiens VPN-Markt kennt Sicherheitsvorfälle, die Datenschutz-Tools dringlicher statt weniger dringlich erscheinen lassen, bereits aus eigener Erfahrung. Ein Ransomware-Angriff auf den Hersteller Bajaj Auto im Juni 2026 zeigte, wie angreifbar Unternehmens-VPN-Infrastruktur sein kann - selbst innerhalb großer, gut ausgestatteter indischer Unternehmen. Eine Erinnerung daran, dass die Debatte um VPN-Regulierung vor dem Hintergrund realer Sicherheitsvorfälle stattfindet, nicht hypothetischer Risiken.