Offenes Domain-Whois und Europas Datenschutzgrundverordnung – mal sehen, wer gewinnt

Ab 25.Mai 2018 greift die Europäische Datenschutzgrundverordnung in den Ländern Europas. Bisher gehört es zu den Regularien der ICANN, dass bei der Registrierung eines Domainnames unter einer generischen Top Level Domain wie .com, .net. oder .org personenbezogene Daten über den Registrar an die Registry übermittelt werden müssen.
Mittels einer Whois-Abfrage – und dies war bisher so gewollt – kann jeder Informationen wie den administrativen Kontakt (Admin-C) mit Namen, Adresse und Mailadresse abrufen. Juristen bezweifeln, dass dies weiter unverändert so gehandhabt werden kann.

Um festzustellen, wer für die Domain verantwortlich ist, ist die offene Whoisabfrage eine gute Sache, doch mit dem Inkrafttreten der neuen EU-Verordnung wird dies problematisch.
Rechtsexperten halten das offene Whois in der jetzigen Form für inkompatibel zu der Datenschutzgrundverordnung, die Prinzipien wie Datensparsamkeit und Pivacy by design vorsieht. Vor dem Hintergrund der neuen Verordnung ist es schwer zu begründen, warum eine Registry oder ein Registar Admin-C, Tech-C oder Billing-C Angaben braucht oder öffentlich zugänglichen zeigen muss, um die Domain zu betreiben. Hier kollidiere die DSGVO mit den ICANN-Regularien, heißt es.
Anfang Dezember 2017 hat die ICANN dazu einen Blogbeitrag von Goran Marby, Präsident/CEO der ICANN, veröffentlicht und dieses Thema mit hoher Priorität auf die Tagesordnung für das neue Jahr gesetzt. Zeitgleich erschien ein Memorandum der beauftragten schwedischen Rechtsberatung Hamilton, in der ein Layered Access Model vorgeschlagen wird.
Dabei handelt es sich um die Idee, die aktuell über eine offene Whois-Abfrage einsehbaren Daten ab Mai 2018 nur noch  Auskunftsersuchenden mit berechtigtem Interesse an einer bestimmten Information anzuzeigen. Zu diesen Kreisen dürften dann Strafverfolgungsbehörden zählen, aber sicher auch Rechtsanwälte, die Urheberrechtsverstöße oder Markenpiraterie verfolgen wollen und Auskunft darüber bekommen möchten, wer eine Domain betreibt.
Im Blogbeitrag der ICANN heißt es

We’ve made it a high priority to find a path forward to ensure compliance with the GDPR while maintaining WHOIS to the greatest extent possible. Now, it is time to identify potential models that address both GDPR and ICANN compliance obligations.

Bis 15.Januar 2018 wolle man einen Vorschlag unterbreiten, wie ein solches Modell aussehen könne, das sowohl mit der Idee eines möglichst offenen Whois als auch mit den Vorschriften der DSGVO der EU in Einklang steht.

Fazit

Angesichts der knappen Zeit darf man auf den für Mitte Januar angekündigten Vorschlag der ICANN zu Lösung dieser Diskrepanz gespannt sein.
Ein abgestufter Zugriff auf Informationen, je nach berechtigtem Interesse, ist technisch zwar leicht vorstellbar, mit der praktischen Implementierung bis 25.Mai 2018 dürfte dies anders aussehen.
Auf der anderen Seite dürfte eine Erfassung und Weitergabe von Domaininhaberdaten doch eigentlich kein rechtliches Problem sein, auch nicht vor dem Hintergrund der neuen Datenschutzgrundverordnung, wenn der Domaininhaber dem zustimmt.
Sicher wird es Personen geben, die ihren Namen bzw. ihre Identität und Adresse nicht offen in einem Whoisverzeichnis sehen wollen, allerdings gibt es dafür vor allem in den USA aktuell schon viele Whois-Privacy-Services. Dabei wird im Regelfall der Name der Organisation z.B. als Admin-C eingetragen und nur dieser ist über eine Whoisabfrage erfahrbar. Allerdings kostet dieser Zusatzservice normalerweise extra. Und an dieser Stelle könnte sich der EU-Bürger darauf berufen, dass seine Daten mit der DSGVO geschützt, also kostenfrei, verborgen sein sollten.
Zudem muss noch geklärt werden, ob sich diese geplante, eingeschränkte abgestufte  Sichtbarkeit auf Domaininhaberdaten dann nur für EU-Bürger beziehen soll, die eine generische Top Level Domain registrieren oder als natürliche Person beispielsweise als Admin-C fungieren.
Was aber, wenn ein EU-Bürger eine gTLD über einen im außereuropäischen Ausland ansässigen Provider registriert und der im Rahmen der dort gültigen terms and conditions oder gesetzlichen Regelung der Veröffentlichung der Inhaberdaten zustimmt? Darf dann diese Information innerhalb der EU über einen Whois-Dienst nicht abgefragt werden oder dürfen offene Whois-Dienste innerhalb der EU überhaupt nicht zugänglich sein, im außereuropäischen Ausland aber schon.
Es zeichnet sich ab, dass noch viele technische Fragen, aber auch viele einzelne Aspekte  diskutiert werden müssen. Ob dies bis zum Inkraftreten der DSGVO gelingt?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert