Neue EU-Datenschutzgrundverordnung und Whois: Könnte schwierig werden

Angesichts des Termins, ab dem die neue Datenschutzgrundverordnung der EU wird es Zeit für konforme Regelungen im Umgang mit persönlichen Daten in der Domainwhois-Abfrage. Doch die Zeit bis Mai 2018 wird knapp.

Die ICANN als zuständige Organisation, die das Verfahren und die Art und Weise festlegt wie und unter welchen Bedingungen Domains registriert werden, verlangt aktuell, dass über eine sogenannte Whois-Abfrage jeder erfahren kann, wer Inhaber der Domain ist und wer sie technisch oder administrativ verwaltet.
Dies könnte nach Meinung vieler Marktbeobachter mit grundsätzlichen Bestimmungen der neuen Datenschutzgrundverordnung verstoßen, eigentlich auch schon mit Artikel 8 Absatz 1 der Charta der Grundrechte der EU. Zudem hat nach Artikel 16 Absatz 1 des Vertrags über die Arbeitsweise der Europäischen Union jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten, wie in einem Artikel auf der Website des Branchenverbands Eco ausgeführt wird.
Während des ICANN-60-Meetings kam das Thema Whois und Europäische Datenschutzgrundverordnung auf die Tagesordnung. Der Kernsatz eines Papiers mit einem Statement dazu lautet:

We have no indication that abandoning existing WHOIS requirements is necessary to comply with the GDPR, but we don’t know the extent to which personal domain registration data of residents of the European Union should continue to be publicly available.

Damit scheint klar, dass personenbezogene Daten, insbesondere die von EU-Bürgern wohl künftig nicht mehr so einfach und öffentlich zugänglich in der Whois-Abfrage gezeigt werden – auch wenn die ICANN nach wie vor davon ausgeht, dass die Daten nach wie vor auch unter dem neuen EU-Datenschutzrecht erhoben werden dürfen (GDPR ist die internationale, englische Abkürzung für die neue Datenschutzregelung der EU).
Ein Nachfolger für das etablierte Whois-Modell (älterer Beitrag dazu von uns), der Registration Directory Service (RDS), ist seit spätestens 2014 in Planung und wurde auch teilweise heftig diskutiert. Dass das Verfahren einsatzbereit oder der Verabschiedung nahe wäre, liest man allerdings nirgendwo.

Fazit

Grundsätzlich sollen die Angaben in der Whois-Abfrage die Verfolgung von möglicherweise strafbaren Handlungen oder Verstößen gegen Marken- oder Urheberrechte durch Behörden ermöglichen, allerdings auch dazu beitragen, dass Verantwortliche für Inhalte im Web zuverlässig identifiziert werden können – dies sind sicher gute und wichtige Intentionen.
Allerdings kollidiert das jetzige ICANN-Whois-Verfahren spätestens im Mai 2018 mit der Neuregelung und Harmonisierung des Datenschutzes in der Europäischen Union. Viel Zeit für eine Änderung oder gar einer Einführung von RDS beispielsweise bleibt nicht.
Aus dem Communiqué zum ICANN-60-Meeting in Abu Dhabi (PDF) lässt sich entnehmen, dass dem Board die Aufgabe, sich darum zu kümmern, ins Heft geschrieben wurde (Punkt III, 3.).  In Anbetracht der recht langen Entscheidungsphasen, die bei der ICANN üblich sind, ist nun höchste Eile geboten. Es erscheint fraglich, ob im Februar 2018, wenn die ICANN in Nepal wieder tagt, etwas Konkretes vorgelegt wird. Die EU-Datenschutzgrundverordnung, die keine Einführungs- oder Übergangsphase kennt, sieht jedenfalls hohe Bußgelder für Verstöße vor, denen sich die ICANN womöglich stellen muss.
Man spekuliert, dass als „Notmaßnahme“ der Zugriff auf Daten von EU-Bürgern im Whois-System zunächst pauschal gesperrt wird und man nur als Amtsträger oder Beauftragter einer berechtigten Partei abgestuft Zugriff nehmen darf. Doch dafür bräuchte man Validierungsprozesse und verbindliche Prozeduren, wenn man das nicht alles fallweise von Hand entscheiden möchte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert