Daten im WHOIS minimieren: ICANN verschläft DSGVO-Frist

Das WHOIS entspricht in seiner jetzigen Form nicht der Datenschutz-Grundverordnung (DSGVO). Leider hat die ICANN die zweijährige Übergangsfrist zur DSGVO verschlafen und verlor einen Gerichtsstreit über die WHOIS-Daten. In der Folge müssen Domain-Registrare künftig einen geringeren Datenumfang von ihren Kunden erheben. Umso wichtiger wird die zuverlässige Überprüfung durch unabhängige Dritte.

WHOIS-Domain-Datenbank gibt es in der ursprünglichen Form nicht mehr

Die ursprüngliche Form der Whois-Domain-Datenbank existiert nicht mehr; sie verstößt gegen die DSGVO. Wenn man es genau nimmt, hatte die zuständige ICANN (Internet Corporation for Assigned Names and Numers) mit der Übergangsfrist zwei Jahre Zeit gehabt, das Whois an die neuen Gegebenheiten anzupassen. Diese Gelegenheit hat die US-amerikanische Organisation jedoch nicht genutzt.

ICANN nutzte ein öffentliches Statement, um vor der Fragmentierung der WHOIS-Datenbank zu warnen. Auch Cyberkriminelle könnten davon profitieren, erklärt die Organisation. Die ICANN forderte deshalb eine Ausnahme von der Datenschutz-Grundverordnung. ICANN-Präsident Göran Marby: „Wir prüfen alle verfügbaren Möglichkeiten, einschließlich rechtlicher Schritte in Europa, um auch weiterhin diese wichtige globale Informationsressource koordinieren zu können.“ Diese rechtlichen Möglichkeiten nutzte die ICANN auch – jedoch wenig erfolgreich.

ICANN vor Gericht

Die ICANN erlitt vor Gericht eine Niederlage. Die Organisation teilte mit, dass das Bonner Landgericht einen Antrag auf einstweilige Anordnung gegen den hierzulande beheimateten Registrar EPAG zurückgewiesen hat. Damit ist EPAG nicht mehr verpflichtet, Kontaktdaten von Tech-C und Admin-C (also der technischen sowie administrativen Domainverwaltung) zu erheben.

EPAG schreibt in einem Blogbeitrag, man werde nun keinerlei persönliche Daten von Personen verarbeiten, „zu denen wir nicht einmal einen direkten Bezug haben – die Admin- und Tech-Kontakte“. Die ICANN jedoch wollte mit der Klage eigentlich schaffen, dass zusätzliche Daten trotz DSGVO auch in Zukunft sowohl erhoben als auch ihr mitgeteilt werden können.

Gericht setzt auf Datensparsamkeit

Die Entscheidung des Landgerichts Bonn kann in diesem PDF nachgelesen werden. Diesem Papier zufolge gelang es der ICANN nicht, glaubhaft darzulegen, dass das Speichern jener Daten, die über die Information des Domaininhabers hinausgehen, erforderlich sei. Man könne beim in der DSGVO verankerten Grundsatz der Datensparsamkeit nicht erkennen, wozu zusätzliche Daten erhoben werden. Die ICANN habe zudem eingeräumt, dass Domains registriert werden können, wenn diese drei Datensätze identisch sind.

Da die Organisation keinerlei rechtliche Klarstellung zum Umsetzen der DSGVO erzielen konnte, wird die ICANN ihre Diskussionen sowohl mit der EU-Kommission als auch mit dem europäischen Datenschutzbeauftragten fortsetzen.

Welche Informationen geben Registrare nun heraus?

Nun dreht sich also viel um die Frage, welche Daten Registrare künftig herausgeben. Die ICANN unterstützt die Vorgehensweise der Denic, mit der auch wir, die PSW GROUP, im Gespräch waren. Die Denic gibt Daten ausschließlich bei einem „berechtigten Interesse“ sowie an Rechteinhaber und Strafverfolgungsbehörden heraus; informiert wurde darüber in einer Pressemitteilung bereits im März 2018.

Durch die Änderungen bei der Herausgabe von Daten, die im Zusammenhang mit einer Domain gespeichert werden dürfen, haben auch die Zertifizierungsstellen Ihre Validierungsguidelines angepasst. Somit werden bei DV-Zertifikaten nicht mehr die im WHOIS hinterlegten E-Mail-Adressen zur Bestätigung herangezogen. Ebenso können bei OV- und EV-Zertifikaten die Angaben aus dem WHOIS nicht mehr für die Organisationsvalidierung genutzt werden.

Haben Sie Fragen oder Anmerkungen zum Thema? Wir freuen uns auf Ihre Kommentare oder den persönlichen Kontakt mit Ihnen!